Seorang peneliti keamanan menemukan strain ransomware baru yang disebut “Zorab” yang menyamar sebagai decryptor untuk STOP Djvu ransomware.
Michael Gillespie, kreator layanan ID Ransomware, melihat Zorab didistribusikan sebagai dekripsi untuk keluarga ransomware STOP Djvu.
Strain ransomware yang relatif umum, STOP Djvu terlibat dalam berbagai serangan digital selama sekitar setahun terakhir. Kembali pada Januari 2019, STOP menggunakan installer adware sebagai penyamarannya sebagai metode baru untuk mendistribusikan dirinya kepada pengguna yang tidak menaruh curiga. Itu hanya beberapa bulan sebelum para peneliti melihat varian dari keluarga ransomware STOP yang mengunduh infostealer Azorult ke mesin korban sebagai bagian dari proses infeksi.
Serangan dimulai ketika para korban memasukkan informasi mereka ke dekripsi Djvu STOP palsu dan mengklik tombol “Mulai Pindai”. Dalam prosesnya, program tersebut mengekstrak proses lain yang disebut “crab.exe” dan menyimpannya ke folder% Temp%.
Melansir Bleeping Computer, Crab.exe adalah ransomware lain yang disebut Zorab, yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file. Ransomware juga akan membuat catatan tebusan bernama ‘–DECRYPT – ZORAB.txt.ZRB’ di setiap folder tempat file dienkripsi. Catatan ini berisi instruksi tentang cara menghubungi operator ransomware untuk melakukan pembayaran.
Ransomware ini sedang dianalisis, dan pengguna tidak boleh membayar uang tebusan sampai dipastikan tidak ada kelemahan yang dapat digunakan untuk memulihkan file terenkripsi Zorab secara gratis.
Tidak adanya jaminan untuk memulihkan file pada serangan Ransomware sebenarnya menjadi pendorong bagi seluruh perusahaan untuk melakukan langkah-langkah pencegahan sebelum ransomware menyerang jaringan perusahaan. Salah satunya dengan melakukan pencadangan (back up) data secara teratur dan menyimpannya di suatu tempat yang aman.
Berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Tripwire
