Зашифровать зашифрованное: троян Zorab в декрипторе для STOP

Под видом утилиты для восстановления файлов, пострадавших от трояна STOP, злоумышленники распространяют другой шифровальщик.

Что делает человек, обнаруживший, что его файлы зашифровал троян-вымогатель? Сначала паникует, потом переживает, а потом ищет способы вернуть все обратно, не платя бесполезный выкуп злоумышленникам. То есть он попробует найти решение в Google или попросит совета в соцсетях. Именно на этом пытаются сыграть создатели трояна-шифровальщика Zorab, встроившие его код в некий инструмент, который, если судить по описанию, должен помочь жертвам вымогателя STOP, также известного как Djvu.

Декриптор для шифровальщика STOP как приманка

По сути, злоумышленники усугубляют проблемы, возникающие у жертв вымогателя, который шифрует данные и — в зависимости от версии — присваивает измененным файлам расширение .djvu, .djvus, .djvuu, .tfunde, .uudjvu или какое-нибудь другое. Создатели Zorab выпустили утилиту,  якобы способную восстановить файлы, но по факту она шифрует их еще раз.

Файлы, попорченные ранними версиями STOP, действительно можно было расшифровать — компания Emsisoft выпустила соответствующий инструмент еще в октябре 2019 года. Но последние версии используют более надежный алгоритм шифрования, который при нынешнем уровне технологий взломать не удается. Так что для современных разновидностей STOP/Djvu восстанавливающей утилиты не существует — по крайней мере пока.

Пока — потому что утилиты для расшифровки получается создать в одном из двух случаев. Либо если злоумышленники допустили какую-то ошибку в имплементации алгоритма шифрования или просто выбрали слабый шифр, либо если полиции удается обнаружить и изъять их серверы.

Да, есть еще вариант, когда авторы шифровальщика добровольно публикуют ключи, но это скорее исключение. Впрочем, и для этого случая компании в сфере информационной безопасности создают удобную утилиту, позволяющую пострадавшим вернуть данные. Например, так произошло с ключами для файлов, пораженных вымогателем Shade, — программу для расшифровки мы опубликовали в апреле этого года.

Как понять, что утилита для расшифровки поддельная

Очень маловероятно, что утилиту для расшифровки создадут анонимные доброжелатели и выложат ее на неизвестном сайте или же дадут прямую ссылку на форуме либо в социальных сетях. Настоящие инструменты публикуют либо на сайтах компаний, занимающихся информационной безопасностью, либо на специализированных порталах, посвященных борьбе с шифровальщиками, вроде nomoreransom.org. Если утилита нашлась за пределами таких сайтов — это уже подозрительно.

Злоумышленники пользуются тем, что человек, чьи данные зашифровали, будет хвататься за любую соломинку. Однако даже если вы верите в существование утилиты на каком-то стороннем ресурсе, взгляните на ситуацию трезво и проверьте сайт, на который вас отправил анонимный «доброжелатель». Если у вас возникли подозрения в его легитимности — запускать такой инструмент однозначно не стоит.

Как защититься от Zorab и других шифровальщиков

  • Не переходите по подозрительным ссылкам и не запускайте исполняемые файлы, если не доверяете их источнику. Если вы ищите декриптор, то надежными источниками будут наш сайт kaspersky.ru, совместный проект нескольких антивирусных компаний — nomoreransom.org или сайты других компаний, занимающихся защитными решениями. Если утилита опубликована где-то еще, то, прежде чем воспользоваться ей, мы рекомендуем проверить легитимность ее авторов и сайта, где она опубликована.
  • Делайте резервные копии важных файлов. О том, как их делать правильно, мы рассказывали в отдельном посте.
  • Используйте надежное защитное решение, которое детектирует известные шифровальщики, а при встрече с неизвестными выявляет попытки изменить файлы и предотвращает их.
Советы