Het versleutelde versleutelen: Zorab Trojan in STOP-decryptor

Cybercriminelen verspreiden ransomware vermomd als een tool om bestanden te decoderen die versleuteld zijn door de STOP-trojan.

Wat doen mensen als ze ontdekken dat hun bestanden door ransomware zijn versleuteld?  Allereerst is er waarschijnlijk sprake van paniek, vervolgens zijn er de zorgen, en daarna gaat men op zoek naar manieren om de gegevens terug te krijgen zonder losgeld aan de aanvallers te betalen (wat sowieso nutteloos zou zijn). In andere woorden: ze zoeken op Google naar een oplossing of vragen om advies op sociale netwerken. Dat is precies wat de makers van de Zorab-trojan willen, aangezien ze hun malware in een tool hebben verpakt die pretendeert slachtoffers van STOP/Djvu te helpen.

Valse STOP-decryptor als lokaas

In principe hebben de cybercriminelen besloten om de problemen waar slachtoffers van de STOP/Djvu-ransomware al mee te maken hebben nog eens te verergeren. Deze ransomware versleuteld gegevens en, afhankelijk van de versie, wijst het een extensie aan versleutelde bestanden toe, zoals bijvoorbeeld .djvu, .djvus, .djvuu, .tfunde en .uudjvu. De makers van Zorab hebben een tool uitgebracht die deze bestanden zogenaamd zou decoderen, maar in werkelijkheid worden de bestanden hiermee juist opnieuw versleuteld.

U kunt bestanden die door eerdere versies van STOP getroffen zijn inderdaad decoderen, aangezien Emisoft hier in oktober 2019 een tool voor beschikbaar stelde, maar modernere versies gebruiken een betrouwbaarder encryptie-algoritme dat de huidige technologie niet kan kraken. Dat betekent dat er op dit moment nog geen decryptietool bestaat voor de moderne versies van STOP/Djvu.

We zeggen “op dit moment”, want decryptietools verschijnen in één of twee gevallen: de cybercriminelen maken ofwel een fout in het encryptie-algoritme (of gebruiken simpelweg een zwakke sleutel), of de politie vindt hun servers en neemt deze in beslag. Het kan natuurlijk gebeuren dat de makers zelf de sleutels publiceren, maar die kans is klein, en zelfs als dat al het geval is moeten infosec-bedrijven nog steeds een handige tool creëren die slachtoffers kunnen gebruiken om hun gegevens te herstellen. Dat gebeurde met de sleutels voor bestanden die getroffen waren door Shade-ransomware, en we publiceerde in april van dit jaar een decryptie-programma.

Hoe weet u of een decryptor nep is?

Het is zeer onwaarschijnlijk dat anonieme weldoeners een decryptietool maken en deze ergens op een onbekende site plaatsen, of een rechtstreekse link op een forum of sociaal netwerk verstrekken. Er zijn echte tools te vinden op de websites van infosec-bedrijven of op gespecialiseerde portals die zich toewijden aan het bestrijden van ransomware, zoals bijvoorbeeld nomoreransom.org. Ga erg voorzichtig om met tools die u ergens anders vindt.

Cybercriminelen vertrouwen op paniek en weten dat iemand die door ransomware bestanden is kwijtgeraakt zich aan elke strohalm zal vastklampen. Zelfs als u gelooft dat een tool echt is, is het belangrijk om kalm en objectief te blijven en de website goed te inspecteren. Als u bedenkingen heeft over de legitimiteit ervan, doe dan niets met de tool.

Hoe beschermt u zich tegen Zorab en andere ransomware?

  • Klik niet op verdachte links en voer geen uitvoerbare bestanden uit als u de bron niet vertrouwt. Als u op zoek bent naar een decryptor, zijn de betrouwbaarste bronnen waar u zou moeten beginnen met zoeken noransom.kaspersky.com, nomoreransom.org (een gezamenlijk project van verschillende bedrijven) en de websites van andere verkopers van beveiligingssystemen. Als u ergens anders een tool vindt, raden we u sterk aan om de legitimiteit van de makers en de website waar deze op staat gepubliceerd te verifiëren voordat u er daadwerkelijk mee aan de slag gaat.
  • Maak back-ups van belangrijke bestanden.
  • Gebruik een [KIS placeholder]betrouwbare beveiligingsoplossing[/KIS placeholder] die bekende ransomware detecteert en in het geval van een onbekende dreiging de pogingen om bestanden te wijzigen identificeert en blokkeert.

Voor bedrijven die bang zijn voor ransomware maar op andere bescherming vertrouwen, bieden we de losstaande Kaspersky Anti-Ransomware Tool aan. Deze tool is compatibel met de meeste beveiligingssystemen en detecteert de dreigingen die door deze defensie heen kunnen glippen.

Tips