有被勒索軟體殘害過的用戶一定了解這種切身之痛,但這是最糟糕的情形嗎? 不!更可惡的是有人居然藉由受害者急於解密的心情,卻再一次加密那些已經被加密過的檔案,讓受害者雪上加霜。
去年火紅的Stop勒索軟體主要透過金鑰產生器及破解程式散布,當時市場上至少有160種變種,但資安業者Emsisoft與Gillespie則共同釋出了一個可解鎖當中148種變種的解密金鑰,正當大家在高興得到救贖之時,一個偽裝成Djvu勒索軟體解密器的工具—STOP Djvu,其實是另一套名稱為Zorab的勒索軟體,正在網際網路上傳播。這套Zorab的勒索軟體,它通過偽裝成Djvu的免費解密器,來誘導已經中STOP勒索軟體的人在電腦上使用它,當一個絕望的用戶在偽造的解密器中輸入他們的資訊後並點擊 ``開始掃描`` 時,程序將提取另一個名為crab.exe的可執行文件並將其保存到%Temp%文件夾中並進行加密。最後的結果就是電腦上已被加密的文件會被再次加密,雙重加密的結果讓客戶更加難以還原檔案。
過去Zorab主要是透過垃圾電子郵件或電子郵件附加檔案散布,但也許是覬覦Stop勒索軟體的受歡迎程度,因而偽裝成它的解密工具來進行散播。要如何避免這種慘況發生呢? 最終還是要提醒使用者,務必從可靠的來源下載解密工具,否則就會樂極生悲,造成二度傷害。
詳文請見iThome 原文新聞稿