martedì 9 giugno 2020

Zorab: il falso tool di decriptazione ransomware che in realtà è un ransomware


Quando non riescono a farsi "un mercato proprio", alcuni ransomware sfruttano quello di altri. E' quanto sta succedendo col ransomware Zorab (fondamentalmente sconosciuto e poco efficace, a giudicare dal numero di infezioni) che ha deciso di sfruttare un ransomware di ben maggiore peso, STOP Djvu, per infettare più  utenti. 

Riportiamo l'alert del ricercatore Michael Gillespie, non solo perchè le vittime del ransomware STOP  Djvu sono centinaia di migliaia nel mondo, alcune centinaia anche in Italia, ma anche perchè Zorab è pubblicizzato come tool funzionante 100% per decriptare gratuitamente i file criptati da STOP, le cui ultime versioni non hanno soluzione. 

Di siti web che promettono il recupero dei file tramite fantomatici tool di recovery, ripristino e pulizia del sistema ve ne sono a centinaia, spesso indicizzati così bene sui motori di ricerca da comparire per primi tra i risultati, ben prima di siti afferenti a realtà serie e realmente capaci di offrire soluzioni senza cedere al ricatto del riscatto. In questo caso però si promette un decryptor, esattamente come fanno i più seri vendor e realtà impegnate nella lotta ai ransomware, e, per di più, di un ransomware per il quale da molto tempo non esiste una soluzione gratuita o alternativa al pagamento del riscatto: un modo piuttosto brutale di guadagnare sfruttando la disperazione delle vittime.  Il punto è che STOP non riscuote molta attenzione da parte dei grandi vendor, perchè colpisce principalmente utenti home che commettono l'errore (e il reato) di scaricare software craccati ai quali è collegato il ransomware. 

Zorab se ne approfitta: doppia criptazione
Insomma, a parte alcuni ricercatori indipendenti, di decriptare i file vittime di STOP Djvu non pare interessare a molti quindi le ultime versioni restano non risolvibili (mentre le prime tre versioni sono risolvibili con un tool gratuito prodotto dal ricercatore indipendente Michael Gillespie). Gli utenti quindi cercano disperatamente soluzioni online per riportare in chiaro i propri file personali: quelli che approdano sulle pagine coi falsi recovery tool sono colpiti da spyware o keylogger o trojan, chi capita dalle parti della pagina web di Zorab subisce una doppia criptazione. 

L'autore dietro Zorab ha prodotto effettivamente un decyrptor fake, nel senso che il tool, una volta scaricato ha proprio l'apparenza e l'aspetto di un tool di decriptazione.


Quando l'utente fa clic su "Start Scan" il programma estrae un altro eseguibile, chiamato "crab.exe" e lo salva nella cartella %Temp%. Crab.exe è proprio il ransomware Zorab: la routine di criptazione inizia quasi immediatamente. Il nome file non subisce modifiche, l'estensione aggiunta è .ZRB. 


La nota di riscatto è rinominata --DECRYPT--ZORAB.txt.ZRB e viene copiata in ogni cartella contenente file criptati. Contiene ovviamente le informazioni di contatto e di pagamento. 


Il ransomware è sotto studio in cerca di soluzioni: per gli utenti che subiscono la doppia criptazione purtroppo la situazione si fa veramente complessa e le possibilità di riportare in chiaro i file criptati da due diversi ransomware si riducono moltissimo. 

Nessun commento:

Posta un commento