当人们发现勒索软件对自己的文件进行了加密之后,会怎么做?首先很可能会惊慌失措,然后开始担心,寻找恢复数据的方法,一般不会轻易向勒索者支付赎金(无论如何,交了也没有用)。许多人会去网上搜索解决方案或在社交网络上征求意见。日前新发现的Zorab木马程序,开发者将其嵌入到一个声称可以帮助STOP和Djvu勒索软件受害者的工具中。
以假的STOP解密器为诱饵
不法分子加剧了STOP/Djvu勒索软件受害者面临的问题,该勒索软件会加密数据,并根据版本的不同,为修改后的文件分配不同的扩展名,选项包括.djvu、.djvus、.djvuu、.tfunde和.uudjvu。Zorab的开发者发布了一个解密程序,声称可以解密这些遭到勒索文件,但实际上它将它们全部加密一遍。
你确实可以解密早期版本STOP的泄露文件:Emsisoft在2019年10月发布过一个工具。但现在的版本使用了更可靠的加密算法,目前的技术尚无法破解。因此,至少目前为止没有针对最新版本STOP/Djvu的解密工具存在。
我们说 “目前为止”,是因为解密工具只有两种情况下会出现:要么是开发者在加密算法中出错了(或者干脆使用弱密码),要么是警察找到并查封他们的服务器。当然,开发者可能会自愿公布密钥,但这是一个非常长远的过程——即使他们这样做,信息安全公司仍然必须创建一个方便的实用程序,使受害者可以用来恢复他们的数据。被Shade勒索软件攻击的文件密钥就发生了这种情况,我们曾在今年4月发布过一个解密程序。
如何知道解密器是真是假
很少有匿名的人在未知的网站上发布解密实用程序,或者在论坛或社交网络上提供直接下载链接。你可以在信息安全公司的网站或专门打击勒索软件的专业门户网站上找到真正的实用程序,如nomoreransom.org。请对其他地方托管的工具保持怀疑态度。
这些不法分子利用的是人们的恐慌心理,他们知道有人遭到文件的勒索后会急忙地想要解决办法。我们建议,当你相信某个工具是可靠且善意的时候,也要保持冷静和客观地检查该来源网站。如果你对其合法性有任何怀疑,请不要下载不明来源的工具。
如何防范Zorab和其他勒索软件
- 如果你不确定来源的话,请不要打开可疑的链接或运行可执行文件。最可靠的解密器来源是noransom.kaspersky.com,nomoreransom.org(由几家公司联合经营的项目),以及其他安全解决方案供应商的网站。如果你在其他地方找到了一个实用程序,那么我们强烈建议在你考虑使用它之前,检查其开发者的合法性及其发布的网站。
- 对重要文件进行备份。
- 使用可靠的安全解决方案,它可以检测已知的勒索软件,并在遇到未知的来源时,识别并阻止文件的恶意修改。
对于担心勒索软件且依赖其他保护的公司,我们提供独立的卡巴斯基反勒索软件工具。它与大多数安全解决方案兼容,并可以检测任何突破他们的防御的威胁。