2020-09-27 11:11:4916624人阅读
一款伪装成STOP Djvu解密器的Zorab勒索软件正在互联网上传播,STOP勒索软件主要是通过破解软件、内嵌广告的软件和暗网等渠道进行感染传播的,该勒索软件主要目标为使用一些破解类软件的用户。根据一些公开的数据显示,全球较为活跃的勒索软件包含STOP勒索软件。
分发STOP勒索软件的方式如下,勒索软件开发人员与相关站点和广告软件捆绑在一起。这些网站发布一些破解的软件,不过实际内含广告程序,可在用户计算机上安装各种不需要的软件和恶意软件。安装的恶意软件其中就存在STOP勒索软件。更糟糕的是,其中一些变种还将Azorult窃密木马与勒索软件捆绑在一起,对受害者实施双重攻击。
近期的这次事件,也属于对受害者的双重打击,因为受害者已经被STOP勒索软件加密了文件,而在寻找解密工具的过程中,却意外发现解密工具本身内含另一款新型勒索软件Zorab,而导致本地文件数据被二次加密。
近期深信服安全团队捕获了该勒索样本,通过分析后发现缺陷进而破解了Zorab勒索软件,下面对Zorab勒索软件进行分析,本地双击运行后,如下。
伪装的STOP Djvu解密器查询后,如下,采用C#编写的.NET平台恶意文件,没有加壳。
对其反编译后分析,如下,编译时间2020年5月29日。
一旦点击按钮,就会从资源里提取释放crab.exe文件然后启动。
从伪装的STOP Djvu解密器提取出核心勒索文件,如下。
是采用C#编写的.NET平台恶意文件,存在三种壳,对其脱壳后,得到如下文件。
勒索信如下
—+-= ZORAB =-+—
Attention! Attention! Attention!
Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB
Don't worry, you can return all your files!
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
if you want to decrypt your files
The only method of recovering files is to purchase decrypt tool
This tool will decrypt all your encrypted files.
To get this software you need write on our e-mail: zorab28@protonmail.com
What guarantees do we give to you?
Its just a business. We absolutely do not care about you and your deals, except getting benefits.
You can send 2 your encrypted file from your PC and we decrypt it for free.
+--Warning--+
DONT try to change files by yourself, DONT use any third party software for restoring your data
Your personal id: [redacted hex]
本地运行后,实际加密后的文件命名,如下,后缀为ZRB。
经过深入分析后发现其存在缺陷,可被解密,如有遭遇该勒索软件后文件被加密的用户可及时与我们联系,解密工具演示视频如下。
6fbb86f54ecd1ed4d517f95de2c149e2
e7766e1ecf082bad3bcd7ade33e1bc3c
作者:深信服千里目安全实验室