Szyfrowanie zaszyfrowanego: trojan Zorab w narzędziu deszyfrującym STOP

Co ludzie robią, gdy odkryją, że ich pliki zostały zainfekowane programem ransomware?  Najpierw wpadają w panikę, później zaczynają się martwić, a następnie szukają sposobu na odzyskanie danych bez konieczności płacenia okupu (co i tak nie daje gwarancji). Szukają więc w internecie rozwiązania lub proszą o poradę w sieciach społecznościowych. Na to właśnie liczą twórcy trojana Zorab, którzy umieścili szkodliwy program w narzędziu, którego celem jest rzekoma pomoc ofiarom szkodnika STOP/Djvu.

Fałszywe narzędzie do deszyfrowania plików zajętych przez szkodnika STOP jako przynęta

Cyberprzestępcy postanowili przysporzyć jeszcze większych problemów ofiarom ransomware STOP/Djvu, które zaszyfrowało dane i — w zależności od wersji — przypisało im rozszerzenie .djvu, .djvus, .djvuu, .tfunde lub .uudjvu. Autorzy szkodnika Zorab udostępnili narzędzie, które rzekomo deszyfruje te pliki — w rzeczywistości jednak szyfruje je ponownie.

Pliki, które zostały zaszyfrowane przy użyciu wcześniejszych wersji szkodnika STOP, można odzyskać za pomocą narzędzia udostępnionego w październiku 2019 roku przez firmę Emsisoft. Jednak bieżące wersje wykorzystują algorytm szyfrowania mocniejszy, niż może złamać współczesna technologia. Na tę chwilę więc nie istnieje żadne narzędzie do deszyfrowania dla nowych wersji programu STOP/Djvu.

Piszę „na tę chwilę”, bo narzędzia do deszyfrowania mogą pojawić się w jednym z dwóch przypadków: gdy cyberprzestępcy popełnią błąd w algorytmie szyfrowania (lub użyją słabego szyfru) lub policja zlokalizuje i przejmie ich serwery. Oczywiście autorzy szkodliwego programu mogą dobrowolnie udostępnić klucze, jednak zdarza się to rzadko. Wówczas firmy z branży infosec muszą jeszcze utworzyć narzędzie, dzięki któremu ofiary będą mogły przywrócić swoje dane. Taka sytuacja miała miejsce w przypadku kluczy do plików zajętych przez ransomware Shade — w kwietniu bieżącego roku opublikowaliśmy program deszyfrujący.

Po czym poznać, że narzędzie deszyfrujące to fałszywka

Anonimowi życzliwi raczej nie tworzą narzędzi deszyfrujących i nie publikują ich na mało znanych stronach, ani nie udostępniają łącza bezpośredniego na forach i w sieciach społecznościowych. Legalne narzędzia można znaleźć na stronach firm zajmujących się bezpieczeństwem informacji oraz na specjalistycznych portalach poświęconych walce z oprogramowaniem ransomware, na przykład nomoreransom.org. Narzędzia dostępne w innych miejscach należy traktować z dużą dozą nieufności.

Cyberprzestępcy lubią wywoływać uczucia paniki, bo wiedzą, że gdy ktoś stracił dostęp do plików, pilnie poszukuje narzędzia. Nawet jeśli wierzysz w to, że narzędzie zostało przygotowane w dobrej wierze, zachowaj zimną krew i postaraj się obiektywnie ocenić stronę. Jeśli masz jakieś wątpliwości co do jej legalności, nie korzystaj z tego narzędzia.

Jak zapewnić sobie bezpieczeństwo przed ransomware Zorab i jemu podobnymi

• Nie klikaj podejrzanych łączy ani nie uruchamiaj plików wykonywalnych, jeśli nie masz zaufania do ich źródła. Jeśli szukasz narzędzia deszyfrującego, najbardziej wiarygodnymi źródłami — i tam właśnie na nich warto zacząć wyszukiwanie — są noransom.kaspersky.com, nomoreransom.org (wspólny projekt kilku firm), a także strony innych producentów rozwiązań bezpieczeństwa. Jeśli znajdziesz takie narzędzie gdzieś indziej, sprawdź jego autorów oraz stronę, na której zostało ono udostępnione, zanim postanowisz z niego skorzystać.
• Twórz kopie zapasowe ważnych plików.
• Używaj niezawodnych rozwiązań zabezpieczających, które rozpoznają znane ransomware, a w przypadku nieznanego programu identyfikują i blokują jego próby modyfikowania plików.

W przypadku firm, które obawiają się ataku ransomware, ale stosują ochronę innego producenta, zalecamy korzystanie z oddzielnego rozwiązania Kaspersky Anti-Ransomware Tool. Jest ono kompatybilne większością rozwiązań innych dostawców bezpieczeństwa oraz wykrywa zagrożenia, które mogą złamać istniejące zabezpieczenia.