Security-Experten warnen erneut ausgiebig vor einer neuen Ransomware, die sich massiv verbreitet. “Zorab” hat vor allem hilfesuchende User im Visier, deren Festplatte bereits von einer anderen Ransomware infiziert ist.
Warnung vor angeblichen Hilfsprogrammen wie Zorab
Der renommierte Security-Experte Michael Gillespie warnte über Twitter alle Besitzer eines PCs oder Laptops intensiv vor einer neuen Ransomware namens Zorab. Hierbei handelt es sich um ein vermeintliches Entschlüsselungsprogramm. Es verspricht seinen Nutzern, eine bereits vorhandene Verschlüsselung der Festplatte zu entfernen, die durch eine andere bekannte Ransomware ausgelöst wurde: Stop Djvu.
Stop Djvu verschlüsselt Festplatten und erpresst Lösegeld vom Nutzer
Stop Djvu ist eines der momentan verbreitetsten Schadprogramme, das bereits mehrere Computer weltweit befallen hat. Der Nutzer holt es sich unwissentlich in Form von gecrackten Software-Paketen auf sein System. Öffnet der Nutzer die verseuchte Datei, trägt dies mit sofortiger Wirkung zu einer Verschlüsselung aller auf der Festplatte befindlichen Dateien bei.
Um diese Verschlüsselung rückgängig zu machen, verlangen die kriminellen Programmierer der Software ein Lösegeld in Höhe von 500 US-Dollar. Eine Zahlung bringt allerdings nichts: die verschlüsselten Dateien werden auch im Nachhinein nicht wieder lesbar.
Ransomware “Zorab” gaukelt Nutzern Hilfe vor
Wer sich nach der besagten Verschlüsselung auf die Suche nach Hilfe begibt, stösst hierbei immer häufiger auf das neue Programm, vor dem Michael Gillespie nun ausdrücklich warnt. Es hört auf den Namen “Zorab” und gibt vor, ein Entschlüsselungstool zu sein, mit dem sich die Verschlüsselung durch Stop Djvu wieder rückgängig machen lässt. Schon unter diesem Aspekt wird deutlich, dass beide Tools dieselbe perfide Strategie verfolgen.
Installiert man die Zorab Software auf seinem PC, werden alle bereits verschlüsselten Dateien ein weiteres Mal verschlüsselt. Eine lesbare Textdatei fordert die Opfer anschliessend auf, eine neue spezielle Entschlüsselungssoftware zu erwerben. Die wiederum soll den Vorgang angeblich rückgängig machen. Der betroffene Nutzer landet also in einem Teufelskreis.
Entschlüsselungsprogramm existiert tatsächlich – jedoch nur für ältere Versionen
Dass derzeit so viele Nutzer auf die miese Masche der Programmierer von “Stop Djvu” und “Zorab” hereinfallen, liegt vielleicht daran, dass es tatsächlich bereits ein Programm gibt, das eine Verschlüsselung rückgängig macht.
Michael Gillespiel unterstützte das Softwareunternehmen Emsisoft bei der Entwicklung, es zeigt jedoch nur bei älteren Versionen der Ransomware Wirkung. Für die neuartige Schadsoftware “Zorab” gibt es hingegen noch kein bekanntes Entschlüsselungsprogramm.