Zorab木馬程式冒充解密工具 再次加密已遭加密勒索的受害者

很多遭受加密勒索攻擊的受害者,都會在網絡上尋找免費的解密攻擊,有黑客就看準這一點,以Zorab木馬程式冒充加密勒索程式「STOP」的解密工具,其實是對受害人進行二次傷害,把已經被加密的檔案再度加密。

焦急解密墮入假解密工具陷阱
一般人發現自己的檔案被加密勒索程式全部加密,通常都會感到恐慌和憂慮,然後尋找可以無需支付贖金而取回資料的方法,而大部份人都會在 Google 或社交平台上尋找解決方案,而這正是木馬程式 Zorab 製作者的目標,把惡意程式收錄在原本以協助 STOP/Djvu 受害者為目標的工具內。

事實上網絡罪犯是想進一步對被 STOP/Djvu 加密勒索的受害者進行二次傷害,因應版本的不同,對被加密勒的 .djvu、.djvus、.djvuu、tfunde 和 .uudjvu 副檔名的檔案再次進行加密。事實上 STOP 的解密工具只能應對舊版本的病毒,新版本採用了更可靠的加密運算,暫時無法破解,意味著新版本 STOP/Djvu 暫時沒有解密的工具。

解密工具出現主要有兩個原因,第一個是網絡罪犯在加密運算上有錯誤 (或使用弱的運算),第二個原因是執法報門搗破伺服器。還有一個較少出現的情況,就是製作人自願公開金鑰,不過通常都不會在短期內發生,而且還要等資訊安全公司製作一個使用較簡單的工具,讓受害者能取回自己的資料,近期個案有加密勒索程式 Shade,卡巴斯基於今年 4 月發佈了其解密程式

分辦解密工具的真偽
基本上沒有匿名的好心人士會製作解密工具,然後把它放在一個不知名的網站上,又或者直接把連結放在網上討論區或社交網絡,用戶通常可以在資訊安全保安公司的網站或針對加密勒索的特別的網站找到 (例如 nomoreransom.org)。

防範 Zorab 和其他加密勒索軟件
電腦的使用者可以留意以下幾點,增強防範加密勒索攻擊的能力,又或者降低受害時的損傷:

  • 不要進入可疑連結或執行來歷不明的執行檔,如果尋找解密工具,可以瀏覽 noransom.kaspersky.com 或 nomoreransom.org,又或者其他保安方案供應商網站,就算找到工具,也要注意來源的網站和發行者是否可信。
  • 經常備份重要的檔案
  • 使用能夠偵測加密勒索軟件的可靠保安方案,辨別和封鎖惡意的加密行為。