09.06.2020

Datenschutz/ Juni 9, 2020/ News

Fieser Fake: Ransomware-Entschlüsselungstool verschlüsselt Daten nochmal

Opfer des Verschlüsselungstrojaners STOP Djvu sollten sich vor einem Fake-Entschlüsselungstool in Acht nehmen. Ein vermeintlich hilfreiches Tool macht alles nur noch schlimmer: Wer sich den Windows-Erpressungstrojaner STOP Djvu eingefangen hat, sollte sich vor einem im Internet kursierenden kostenlosen Entschlüsselungstool in Acht nehmen. Dabei handelt es sich um kein Helferlein, sondern um eine weitere Ransomware, die bereits verschlüsselte Daten nochmal verschlüsselt. Es gibt zwar ein legitimes Entschlüsselungstool, das funktioniert aber nur mit älteren Versionen von STOP Djvu. Das machen sich nun Kriminelle zu Nutze und verbreiten ihr Fake-Tool. Der Erpressungstrojaner ist weltweit unterwegs und hat es auf Privatpersonen abgesehen. Der Schädling kommt aber in der Regel nicht als E-Mail-Anhang auf Computer, sondern er versteckt sich hinter manipulierten Cracks für kostenpflichtige Software.

Fake-Tool nicht ausführen!

Wie das IT-Portal Bleepingcomputer berichtet, heißt der Fake-Entschlüssler „Decrypter DJVU“. Dahinter sollen die Entwickler des Verschlüsselungstrojaners Zorab stecken. Führen Opfer von STOP Djvu das Tool aus, startet im Hintergrund die Zorab-Ransomware und verschlüsselt die von STOP Djvu gefangengenommen Dateien nochmal. Die Dateien weisen dann die Endung .ZRB auf. Opfer sollen erneut ein Lösegeld zahlen. Sie werden also doppelt zu Kasse gebeten. Derzeit gibt es zufolge keine Schwachstelle in STOP Djvu und Zorab, an der ein Entschlüsselungstool ansetzen könnten. Das Lösegeld sollte man nicht zahlen, da Sicherheitsforscher in naher Zukunft eventuell so ein Tool entwickeln könnten. Ob es so ein Tool gibt, kann man auf der Website https://id-ransomware.malwarehunterteam.com/index.php prüfen. Dort kann man verschlüsselte Dateien hochladen und der Service prüft, ob es bereits ein Entschlüsselungstool gibt. Derzeit erkennt die Website über 860 Erpressungstrojaner.

Die STOP Djvu Ransomware ist nach wie vor aktiv. Der kostenlose Analyseservice ID-Ransomware gibt an, im vergangenen Monat pro Tag bis zu 800 Samples erhalten zu haben.