{"id":15582,"date":"2020-06-09T19:12:38","date_gmt":"2020-06-09T22:12:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15582"},"modified":"2020-11-27T13:53:49","modified_gmt":"2020-11-27T16:53:49","slug":"fake-djvu-ransomware-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/fake-djvu-ransomware-decryptor\/15582\/","title":{"rendered":"Trojan se disfar\u00e7a de ferramenta anti-ransomware"},"content":{"rendered":"

O que as pessoas fazem se descobrem que um ransomware criptografou seus arquivos? Primeiro entram em p\u00e2nico, provavelmente. Depois se preocupam, e depois procuram formas de recuperar os dados sem pagar resgate aos invasores (o que seria in\u00fatil, de qualquer maneira<\/a>). Em outras palavras, buscam no Google uma solu\u00e7\u00e3o ou pedem conselhos nas redes sociais. \u00c9 exatamente isso que os criadores do Trojan Zorab<\/a> desejam, tendo escondido o malware em uma ferramenta que visa ajudar as v\u00edtimas do STOP\/Djvu.<\/p>\n

Falso decriptor do STOP usado como isca<\/h2>\n

De fato, os cibercriminosos decidiram aumentar os problemas j\u00e1 enfrentados pelas v\u00edtimas do ransomware STOP\/Djvu, que criptografa dados e, dependendo da vers\u00e3o, atribui uma extens\u00e3o \u2013 como .djvu<\/em>, .djvus<\/em>, .djvuu<\/em>, .tfunde<\/em>, e .uudjvu<\/em> \u2013 para os arquivos modificados. Os criadores do Zorab lan\u00e7aram uma ferramenta que supostamente decodifica esses arquivos, mas na verdade os criptografa novamente.<\/p>\n

Voc\u00ea pode realmente decodificar arquivos que as vers\u00f5es anteriores do STOP comprometeram, pois a Emsisoft lan\u00e7ou uma ferramenta<\/a> em outubro de 2019. Mas os Trojan atuais usam um algoritmo de criptografia mais robusto que a tecnologia desenvolvida n\u00e3o \u00e9 capaz de decifrar. Portanto, pelo menos por enquanto, n\u00e3o h\u00e1 maneira confi\u00e1vel recuperar os arquivos criptografados pelas novas vers\u00f5es do STOP\/Djvu.<\/p>\n

Dizemos \u201cpor enquanto\u201d porque as ferramentas de decodifica\u00e7\u00e3o aparecem em um dos dois casos: os cibercriminosos cometem um erro no algoritmo de criptografia (ou simplesmente usam um c\u00f3digo fraco) ou a pol\u00edcia localiza e apreende seus servidores. Claro, os criadores podem publicar voluntariamente as chaves, mas isso raramente acontece \u2013 e mesmo que o fa\u00e7am, as empresas da infosec ainda precisam criar um utilit\u00e1rio para que as v\u00edtimas possam usar e restaurar seus dados.<\/p>\n

Isso aconteceu com as chaves dos arquivos atingidos pelo ransomware Shade<\/a>, e publicamos um decriptor em abril deste ano<\/a>.<\/p>\n

Como saber se um decriptor \u00e9 falso<\/h2>\n

\u00c9 muito improv\u00e1vel que an\u00f4nimos desejem criar uma ferramenta de decodifica\u00e7\u00e3o e o coloquem em algum site desconhecido, ou forne\u00e7am um link direto em um f\u00f3rum ou rede social. Voc\u00ea pode encontrar decriptors genu\u00ednos nos sites das empresas de seguran\u00e7a da informa\u00e7\u00e3o ou em portais especializados dedicados ao combate ao ransomware, como o nomoreransom.org<\/a>. Ferramentas hospedadas em outro lugar podem ser consideradas como suspeita.<\/p>\n

Os cibercriminosos apostam no p\u00e2nico, sabendo que algu\u00e9m que perdeu arquivos para um programa de criptografia vai fazer qualquer coisa. Mesmo que voc\u00ea acredite que uma ferramenta \u00e9 aut\u00eantica, \u00e9 importante se manter calmo e objetivo e verificar o site corretamente. Se voc\u00ea tem alguma suspeita sobre sua legitimidade, n\u00e3o chegue perto do decriptor.<\/p>\n

Como se proteger contra o Zorab e outros ransomware<\/h2>\n