MalwareHunterTeam ได้เปิดเผยถึงแรนซัมแวร์ชนิดใหม่ที่ชื่อ Zorab โดยแรนซัมแวร์ชนิดนี้มีจุดประสงค์เพื่อปลอมเป็นเครื่องมือถอดรหัสแรนซัมแวร์ที่ชื่อ STOP Djvu decryptor
STOP Djvu decryptor นั้นเป็นเครื่องมือถอดรหัสแรนซัมแวร์ตระกูล STOP Djvu ที่ถูกพัฒนาโดยบริษัท Emsisoft และ Michael Gillespie เพื่อใช้ในการถอดรหัสแรนซัมแวร์ STOP Djvu
เมื่อผู้ใช้ทำการใช้เครื่องมือถอดรหัสแรนซัมแวร์ STOP Djvu ปลอมแล้ว ตัวแรนซัมแวร์ที่แฝงอยู่ในเครื่องมือถอดรหัสจะทำการรัน Crab.exe และทำการบันทึกซอฟต์แวร์ลงในโฟลเดอร์ %Temp% หลังจากนั้น Crab.exe จะทำการเรียกใช้งาน Zorab แรนซัมแวร์เพื่อทำการเข้ารหัสข้อมูลบนคอมพิวเตอร์ โดยจะทำการเปลื่ยนไฟล์ที่ถูกเข้ารหัสเป็นไฟล์นามสกุล . ZRB ต่อท้ายชื่อของไฟล์และจะสร้างไฟล์การติดต่อเพื่อถอดรหัสที่ชื่อว่า --DECRYPT - ZORAB.txt.ZRB ในแต่ละโฟลเดอร์ที่ไฟล์นั้นถูกเข้ารหัส
ข้อมูล IOCs ของ Zorab แรนซัมแวร์
Hash: 1abf41be04801cfc3478502127abc47c2d84253ab659d576e5c02cc0b716c782
Associated files: Decryptor Djvu mlagham.exe; %Temp%crab.exe; --DECRYPT - ZORAB.txt.ZRB
Associated emails: zorab28@protonmail[.]com
ที่มา: bleepingcomputer
You must be logged in to post a comment.