Opfer des Verschlüsselungstrojaners STOP Djvu sollten sich vor einem Fake-Entschlüsselungstool in Acht nehmen.

Ein vermeintlich hilfreiches Tool macht alles nur noch schlimmer: Wer sich den Windows-Erpressungstrojaner STOP Djvu eingefangen hat, sollte sich vor einem im Internet kursierenden kostenlosen Entschlüsselungstool in Acht nehmen. Dabei handelt es sich um kein Helferlein, sondern um eine weitere Ransomware, die bereits verschlüsselte Daten nochmal verschlüsselt.

Der Erpressungstrojaner ist seit Ende 2019 weltweit unterwegs und hat es auf Privatpersonen abgesehen. Der Schädling kommt aber in der Regel nicht als E-Mail-Anhang auf Computer, sondern er versteckt sich hinter manipulierten Cracks für kostenpflichtige Software.

Der Fake-Entschlüssler heißt „Decrypter DJVU“. Dahinter sollen die Entwickler des Verschlüsselungstrojaners Zorab stecken.

Führen Opfer von STOP Djvu das Tool aus, startet im Hintergrund die Zorab-Ransomware und verschlüsselt die von STOP Djvu gefangengenommen Dateien nochmal. Die Dateien weisen dann die Endung .ZRB auf. Opfer sollen erneut ein Lösegeld zahlen. Sie werden also doppelt zu Kasse gebeten.

Derzeit gibt es keine Schwachstelle in STOP Djvu und Zorab, an der ein Entschlüsselungstool ansetzen könnten. Das Lösegeld sollte man nicht zahlen, da Sicherheitsforscher in naher Zukunft eventuell so ein Tool entwickeln könnten. Ob es so ein Tool gibt, kann man auf der Website ID-Ransomware prüfen. Dort kann man verschlüsselte Dateien hochladen und der Service prüft, ob es bereits ein Entschlüsselungstool gibt. Derzeit erkennt die Website über 860 Erpressungstrojaner.

Die STOP Djvu Ransomware ist nach wie vor aktiv. Der kostenlose Analyseservice ID-Ransomware gibt an, im vergangenen Monat pro Tag bis zu 800 Samples erhalten zu haben.

Link zu ID Ransomware