破解伪装成STOP Djvu解密器的Zorab勒索软件 – 作者:深信服千里目安全实验室

样本简介

一款伪装成STOP Djvu解密器的Zorab勒索软件正在互联网上传播,STOP勒索软件主要是通过破解软件、内嵌广告的软件和暗网等渠道进行感染传播的,该勒索软件主要目标为使用一些破解类软件的用户。根据一些公开的数据显示,全球较为活跃的勒索软件包含STOP勒索软件。

分发STOP勒索软件的方式如下,勒索软件开发人员与相关站点和广告软件捆绑在一起。这些网站发布一些破解的软件,不过实际内含广告程序,可在用户计算机上安装各种不需要的软件和恶意软件。安装的恶意软件其中就存在STOP勒索软件。更糟糕的是,其中一些变种还将Azorult窃密木马与勒索软件捆绑在一起,对受害者实施双重攻击。

近期的这次事件,也属于对受害者的双重打击,因为受害者已经被STOP勒索软件加密了文件,而在寻找解密工具的过程中,却意外发现解密工具本身内含另一款新型勒索软件Zorab,而导致本地文件数据被二次加密。

样本分析

近期深信服安全团队捕获了该勒索样本,通过分析后发现缺陷进而破解了Zorab勒索软件,下面对Zorab勒索软件进行分析,本地双击运行后,如下。

1599568211.png!small

1599568216.png!small

伪装的STOP Djvu解密器查询后,如下,采用C#编写的.NET平台恶意文件,没有加壳。

1599568235.png!small

对其反编译后分析,如下,编译时间2020年5月29日。

1599568245.png!small

1599568248.png!small

一旦点击按钮,就会从资源里提取释放crab.exe文件然后启动。

1599568255.png!small

从伪装的STOP Djvu解密器提取出核心勒索文件,如下。

1599568263.png!small

是采用C#编写的.NET平台恶意文件,存在三种壳,对其脱壳后,得到如下文件。

1599568271.png!small

1599568275.png!small

勒索信如下

—+-= ZORAB =-+—

Attention! Attention! Attention!

Your documents, photos, databases and other important files are encrypted and have the extension: .ZRB

Don’t worry, you can return all your files!

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

if you want to decrypt your files

The only method of recovering files is to purchase decrypt tool

This tool will decrypt all your encrypted files.

To get this software you need write on our e-mail: [email protected]

What guarantees do we give to you?

Its just a business. We absolutely do not care about you and your deals, except getting benefits.

You can send 2 your encrypted file from your PC and we decrypt it for free.

+–Warning–+

DONT try to change files by yourself, DONT use any third party software for restoring your data

Your personal id: [redacted hex]

本地运行后,实际加密后的文件命名,如下,后缀为ZRB。

1599568284.png!small

解密演示

经过深入分析后发现其存在缺陷,可被解密,如有遭遇该勒索软件后文件被加密的用户可及时与我们联系,解密工具演示视频如下。

解密视频

威胁情报

6fbb86f54ecd1ed4d517f95de2c149e2

e7766e1ecf082bad3bcd7ade33e1bc3c

来源:freebuf.com 2020-09-08 20:35:13 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论