Immaginate di essere stati vittima di un attacco ransomware. Vi viene consegnato il decryptor gratuitamente, tirate un sospiro di sollievo e lo usate per recuperare i dati crittografati. Però il decryptor in questione si rivela essere un altro ransomware e la situazione peggiora invece che migliorare.

È il dramma che stanno vivendo migliaia di vittime contagiate da un ransomware denominato STOP Djvu. Non riceve le stesse attenzioni mediatiche di armi ben più popolari come Maze, REvil e altri, ma su base giornaliera sta infettando più persone di tutti loro.

Il servizio ID-ransomware  ha conteggiato oltre 600 invii al giorno, che lo rende il ransomware più distribuito nel corso dell'ultimo anno. Non beneficia di tutta l'attenzione che merita perché colpisce per lo più gli utenti domestici che scaricano crack per software illegali. Per lo più le prove riconducono ai download di KMSPico, Cubase, Photoshop, e soluzioni antivirus.
Adware. Crediti: Bleeping ComputerOvviamente il download e l'installazione di software illegali sono azioni da condannare. Questo però non legittima il contagio ransomware ai danni di questi utenti, la cui maggioranza non può permettersi di pagare un riscatto di 500 dollari.

Il metodo di operare dei cyber criminali che lo usano è perverso. Una volta infettate le vittime con STOP Djvu, consegnano loro un decryptor gratuito. La chiave consegnata però è un falso, che infetta i computer già compromessi con un secondo ransomware.

Il gruppo opera da tempo, alcuni ricercatori per la sicurezza erano riusciti a creare un vero decryptor gratuito per tornare in possesso dei file. I cyber criminali però hanno pubblicato una nuova variante di STOP che al momento non consente di decifrare i file gratuitamente. Chi era rimasto indietro con le notizie potrebbe quindi essere tratto in inganno.

Il doppio ransomware

Il secondo ransomware non è STOP, ma Zorab. È un prodotto della cyber criminalità che è stato scoperto di recente. È il suo payload quello contenuto nella chiave di decifrazione gratuita consegnata alle vittime di STOP. Non recupera i file, anzi, crittografa tutti i dati già crittografati.
Ad attivarlo è l'utente stesso, nel momento in cui clicca la voce "Avvia scansione" del falso decryptor. In realtà avvia un programma che estrae un eseguibile chiamato crab.exe e lo salva nella cartella %Temp%. Crab.exe è appunto conosciuto con il nome di zorab. Appena terminata l'installazione, inizia a crittografare tutti i dati sul computer. I file così illeggibili avranno estensione ZRB al nome del file. Il ransomware crea anche il solito file con la richiesta di riscatto, chiamato DECRYPT--ORAB.txt.RB.

Questo ransomware è ancora in fase di analisi. Gli esperti di sicurezza consigliano di non pagare il riscatto fino a quando non ci sarà la conferma che non è possibile creare un decryptor gratuito per Zorab.