{"id":21919,"date":"2020-06-09T14:09:21","date_gmt":"2020-06-09T12:09:21","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21919"},"modified":"2020-06-09T14:09:21","modified_gmt":"2020-06-09T12:09:21","slug":"fake-djvu-ransomware-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/fake-djvu-ransomware-decryptor\/21919\/","title":{"rendered":"Il Trojan Zorab si insinua nel decryptor di STOP"},"content":{"rendered":"

Cosa fanno gli utenti quando scoprono che un ransomware ha cifrato i loro file?\u00a0 Probabilmente all\u2019inizio si fanno prendere dal panico,\u00a0 poi subentra la preoccupazione e infine cercano un modo di recuperare i dati senza pagare alcun riscatto ai cybercriminali (il che sarebbe comunque inutile<\/a>). In altre parole, cercano su Google una soluzione o chiedono consigli sui social network. Ed \u00e8 esattamente ci\u00f2 che vogliono i creatori del Trojan Zorab<\/a>, che hanno aggiunto un malware a uno strumento che si propone di aiutare le vittime di STOP\/Djvu.<\/p>\n

L\u2019esca: il falso decryptor per STOP<\/h2>\n

I cybercriminali hanno infatti deciso di aggravare i problemi gi\u00e0 gravi delle vittime del ransomware STOP\/Djvu che cifra i dati e, a seconda della versione, assegna un\u2019estensione tra .djvu, .djvus, .djvuu, .tfunde e .uudjvu, ai file modificati. I creatori di Zorab hanno rilasciato un\u2019utility che sembra decifrare questi file, ma che in realt\u00e0 li cifra una seconda volta.<\/p>\n

Di fatto, \u00e8 possibile decifrare i file compromessi dalle precedenti versioni di STOP: gi\u00e0 nell\u2019ottobre del 2019, Emsisoft ha rilasciato un tool<\/a> per questo scopo. Tuttavia, le versioni moderne utilizzano un algoritmo di cifratura pi\u00f9 affidabile e che la tecnologia attuale non \u00e8 in grado di decifrare. Quindi, almeno per ora, non esiste alcun decryptor per le versioni moderne di STOP\/Djvu.<\/p>\n

Diciamo \u201cper ora\u201d perch\u00e9 questi tool nascono per via di due situazioni: o i criminali informatici commettono un errore nell\u2019algoritmo di cifratura (o semplicemente usano un sistema debole), oppure la polizia localizza e sequestra i loro server. Certo, i creatori del ransomware potrebbero pubblicare volontariamente le chiavi ma \u00e8 un\u2019ipotesi molto azzardata, e anche se lo facessero, le aziende di sicurezza informatica devono comunque creare un\u2019utility pratica che le vittime possano utilizzare per ripristinare i dati. \u00c8 quanto \u00e8 successo con le chiavi di cifratura dei file colpiti dal ransomware Shade: ad aprile di quest\u2019anno abbiamo rilasciato un programma specifico<\/a>.<\/p>\n

Come sapere se un decryptor \u00e8 falso<\/h2>\n

\u00c8 estremamente improbabile che degli anonimi dalle buone intenzioni creino un decryptor e lo pubblichino su qualche sito sconosciuto, o forniscano un link diretto su un forum o un social network. \u00c8 possibile trovare utility autentiche sui siti di aziende che si occupano di sicurezza informatica o su portali specializzati dedicati alla lotta ai ransomware, come nomoreransom.org.<\/a> Tutti i tool presenti su altri siti vanno guardati con sospetto.<\/p>\n

I criminali informatici fanno affidamento sul panico, sapendo che chi ha perso dei file a causa di un cryptror si aggrapper\u00e0 a qualsiasi speranza. Anche se si ritiene che uno strumento sia, in buona fede, quello corretto, tuttavia \u00e8 importante mantenere la calma e l\u2019obiettivit\u00e0 e verificare se si tratta di un sito affidabile. Se avete dei sospetti sulla sua attendibilit\u00e0, non servitevi del tool.<\/p>\n

Come proteggersi da Zorab e da altri ransomware<\/h2>\n