© /Barbara Wimmer

Digital Life
06/11/2020

Vorsicht: Entschlüsselungstool ist gemeine Falle

Das kostenlose Tool soll gegen einen Trojaner helfen, ist aber Ransomware und verschlüsselt Daten erneut.

Bei der Benutzung kostenloser Tools ist immer Vorsicht geboten. Im Falle eines Programms, mit dem Daten entschlüsselt werden sollen, sollten sich einige Windows-Nutzer besonders in Acht nehmen.

Der Erpressungstrojaner STOP Djvu ist bereits seit Ende 2019 in Umlauf und greift private Windows-Nutzer an. Er wird über manipulierte Software-Versionen bekannter Programme eingeschleust. Hat man sich STOP Djvu eingefangen, verschlüsselt dieser Daten und die Erpresser fordern für die Freigabe ein Lösegeld.

Eine ältere Version des Trojaners konnte aber über ein echtes Entschlüsselungstool entkräftet werden. Kriminelle nutzen das aus, um über ein ähnliches Fake-Tool einen zweiten Trojaner einzuschleusen. Laut Bleepingcomputers trägt das Tool den Namen „Decrypter DJVU“.

Die entschlüsselten Dateien werden erneut verschlüsselt

Das Tool zeigt eine Zahlungsaufforderung an

Legitimes Tool verfügbar

Zwar entschlüsselt das Tool die Daten zunächst wie erwartet, allerdings werden sie sofort wieder verschlüsselt. Sie haben dann die Dateiendung .zrb, da es sich um Zorab-Ransomware handelt. Anschließend erhält man erneut eine Zahlungsaufforderung.

Der Trojaner befindet sich weiterhin in Umlauf. Betroffene sollen nicht auf die Lösegeldforderungen eingehen. Emisoft hat inzwischen ein legitimes Tool zur Entschlüsselung der Zorab-Dateien veröffentlicht.