PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182


Decryptor palsu untuk ransomware STOP Djvu sedang didistribusikan, memikat korban yang sudah putus asa dengan janji dekripsi gratis. Alih-alih mendapatkan file mereka kembali secara gratis, mereka malah terinfeksi dengan ransomware lain yang membuat situasi menjadi lebih buruk.

Sementara operasi ransomware seperti Maze, REvil, Netwalker, dan DoppelPaymer mendapat perhatian luas dari media karena kategori kelas korban mereka yang tinggi, ransomware lain yang disebut STOP Djvu menginfeksi lebih banyak orang tanpa pandang bulu.

Dengan lebih dari 600 pengiriman ke layanan identifikasi ransomware ID-Ransomware dalam sehari, STOP Djvu merupakan ransomware yang paling aktif didistribusikan selama setahun terakhir.

Emsisoft dan Michael Gillespie sebelumnya telah merilis decryptor untuk varian STOP Djvu yang lebih lawas, tetapi decryptor gratis untuk varian yang lebih baru saat ini masih belum tersedia.

Ransomware ini kurang mendapatkan perhatian, karena ransomware sebagian besar memengaruhi pengguna rumahan yang terinfeksi melalui bundel adware yang berpura-pura menjadi crack perangkat lunak.

Decryptor ransomware palsu mengenkripsi dua kali data korban

Sayangnya, inilah yang dilakukan ransomware baru bernama Zorab yang ditemukan oleh Michael Gillespie.

Pembuat ransomware Zorab telah merilis decryptor STOP Djvu palsu yang sebenarnya tidak memulihkan file apa pun secara gratis, melainkan mengenkripsi semua data korban yang sudah dienkripsi oleh ransomware lain.


Ketika korban memasukkan informasi mereka di decryptor ransomware palsu dan mengklik ‘Start Scan,’ program akan mengekstrak executable lain yang disebut crab.exe dan menyimpannya ke folder %Temp%.

Crab.exe adalah ransomware lain yang disebut Zorab, yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file.

Ransomware juga akan membuat catatan tebusan bernama ‘–DECRYPT – ZORAB.txt.ZRB’ di setiap folder tempat file dienkripsi. Catatan ini berisi instruksi tentang cara menghubungi operator ransomware untuk instruksi pembayaran tebusan.

Ransomware ini sedang dianalisis, dan pengguna tidak boleh membayar uang tebusan sampai dipastikan tidak ada kelemahan yang dapat digunakan untuk memulihkan file terenkripsi Zorab secara gratis.


Muhammad Zaky Zulfiqor

Just a simple person who like photography, videography, code, and cyber security enthusiast.