国家计算机病毒应急处理中心通过对互联网的监测,发现名为“Zorab”的新型勒索软件伪装成“STOP Djvu”勒索软件的免费解密工具,对受害者已被加密的文件进行二次加密,目的是获取经济利益。 受害者运行伪造的解密工具并点击“Start Scan”后,该程序调用一个名为“crab.exe”的可执行文件,并保存到%Temp%文件夹中,该文件即“Zorab”勒索软件。该勒索软件运行后立即删除自身,为分析人员溯源增加困难。“Zorab”勒索软件会遍历受害者的文件,对于未被加密的文件进行加密,对于已被加密的文件进行二次加密,被加密的文件会被增加“.ZRB”扩展名。加密完成后,该勒索软件将受害者桌面背景设置为黑色,并在桌面留下名为“–DECRYPT–ZORAB.txt.ZRB”的勒索信。 “STOP Djvu”勒索软件最早出现于2018年12月,早期版本已有免费的解密工具。该勒索软件主要以家庭、个人用户为目标,受害者数量较大,分析人员称这可能是“Zorab”勒索软件选择伪造其解密工具的原因。目前“Zorab”勒索软件的传播方式和受害者数量尚不明确,但由于“STOP Djvu”勒索软件传播范围较广,受害者存在遭受“二次伤害”的可能性,而且该勒索软件采用的攻击方式可能会被更多的攻击者效仿。 建议用户采取以下措施予以防范,一是在使用解密工具对被勒索软件加密的文件进行解密前做好非本地备份,防止产生“二次伤害”;二是从正规可信渠道下载使用解密工具;三是应尽量在非联网环境下使用解密工具;四是定期对重要文件进行非本地备份,提高网络安全意识。