Зашифровать зашифрованное: троян Zorab в декрипторе для STOP

Декриптор для шифровальщика STOP как приманка
По сути, злоумышленники усугубляют проблемы, возникающие у жертв вымогателя, который шифрует данные и — в зависимости от версии — присваивает измененным файлам расширение .djvu, .djvus, .djvuu, .tfunde, .uudjvu или какое-нибудь другое. Создатели Zorab выпустили утилиту,  якобы способную восстановить файлы, но по факту она шифрует их еще раз.
Файлы, попорченные ранними версиями STOP, действительно можно было расшифровать — компания Emsisoft выпустила соответствующий  инструмент  еще в октябре 2019 года. Но последние версии используют более надежный алгоритм шифрования, который при нынешнем уровне технологий взломать не удается. Так что для современных разновидностей STOP/Djvu восстанавливающей утилиты не существует — по крайней мере пока.
Пока — потому что утилиты для расшифровки получается создать в одном из двух случаев. Либо если злоумышленники допустили какую-то ошибку в имплементации алгоритма шифрования или просто выбрали слабый шифр, либо если полиции удается обнаружить и изъять их серверы.
Да, есть еще вариант, когда авторы шифровальщика добровольно публикуют ключи, но это скорее исключение. Впрочем, и для этого случая компании в сфере информационной безопасности создают удобную утилиту, позволяющую пострадавшим вернуть данные. Например, так произошло с ключами для файлов, пораженных вымогателем Shade, — программу для расшифровки  мы опубликовали в апреле этого года .
Как понять, что утилита для расшифровки поддельная
Очень маловероятно, что утилиту для расшифровки создадут анонимные доброжелатели и выложат ее на неизвестном сайте или же дадут прямую ссылку на форуме либо в социальных сетях. Настоящие инструменты публикуют либо на сайтах компаний, занимающихся информационной безопасностью, либо на специализированных порталах, посвященных борьбе с шифровальщиками, вроде  nomoreransom.org . Если утилита нашлась за пределами таких сайтов — это уже подозрительно.
Злоумышленники пользуются тем, что человек, чьи данные зашифровали, будет хвататься за любую соломинку. Однако даже если вы верите в существование утилиты на каком-то стороннем ресурсе, взгляните на ситуацию трезво и проверьте сайт, на который вас отправил анонимный «доброжелатель». Если у вас возникли подозрения в его легитимности — запускать такой инструмент однозначно не стоит.
Как защититься от Zorab и других шифровальщиков

Не переходите по подозрительным ссылкам и не запускайте исполняемые файлы, если не доверяете их источнику. Если вы ищите декриптор, то надежными источниками будут наш сайт  kaspersky.ru , совместный проект нескольких антивирусных компаний —  nomoreransom.org  или сайты других компаний, занимающихся защитными решениями. Если утилита опубликована где-то еще, то, прежде чем воспользоваться ей, мы рекомендуем проверить легитимность ее авторов и сайта, где она опубликована.
Делайте резервные копии важных файлов. О том, как их делать правильно, мы рассказывали  в отдельном посте .
Используйте  надежное защитное решение , которое детектирует известные шифровальщики, а при встрече с неизвестными выявляет попытки изменить файлы и предотвращает их.

Источник
Batafsil | Подробно | Read more... InfoCOM