Stop Ransomware: cơn ác mộng kinh hoàng không được nhắc đến?

[vpn]

Bạn đã bao giờ nghe nói về STOP Ransomware chưa?

Có lẽ là không, bởi rất ít người viết về mã độc tống tiền này, hầu hết các nhà nghiên cứu đều không đề cập nó trong các báo cáo, và đặc biệt STOP hầu như chỉ nhắm đến các nạn nhân thông qua các phần mềm bẻ khóa (crack), gói phần mềm quảng cáo và những trang web mờ ám.

​

Các định dạng (đuôi) phổ biến hiện nay của STOP được cập nhật liên tục : .nuksus, .cetori, .stare, .carote, .nesa, .peta, .moka, meds, .kvag, .domn, .karl, . . .

Hiện nay, những loại ransomware nổi tiếng như Ryuk, GandCrab hay Sodinkibi thường nhận được nhiều sự chú ý của giới truyền thông vì chúng thường yêu cầu các khoản thanh toán tiền chuộc khổng lồ, ảnh hưởng rất lớn đến cả doanh nghiệp lẫn cơ quan địa phương và thu hút nhiều sự quan tâm của công chúng.

Tuy nhiên, dựa trên thống kê các yêu cầu hỗ trợ gửi về trang ID Ransomware – dịch vụ trợ giúp nhận dạng mã độc tống tiền của nhà nghiên cứu bảo mật Michael Gillespie (aka demonslay335) tại BleepingComputer – thì STOP mới là ransomware được phân phối tích cực nhất trên mạng Internet hiện nay. Cụ thể, mỗi ngày ID Ransomware nhận được khoảng 2.500 yêu cầu hỗ trợ, trong đó 60 – 70% các tập tin gửi đến được xác định là mã độc tống tiến STOP.

Tỷ lệ này luôn có xu hướng gia tăng áp đảo hoàn toàn các loại ransomware khác. Biểu đồ dưới đây cho thấy STOP sắp trở thành Pacman “ăn” tất cả các loại ransomware khác.

Các bản crack ứng dụng, gói phần mềm quảng cáo và trang web đen?

Để phát tán mã độc STOP, các nhà phát triển chúng đã hợp tác với các trang web và nhà cung cấp gói phần mềm quảng cáo không rõ nguồn gốc.

Các trang web này có nhiệm vụ quảng bá những phần mềm giả mạo hoặc chương trình miễn phí, nhưng trên thực tế đây là các gói phần mềm quảng cáo có thể cài đặt phần mềm độc hại, lây nhiễm mã độc không mong muốn vào hệ thống máy tính của người dùng. Một trong những mã độc được cài đặt thông qua các gói này là chính STOP Ransomware.

Những bản crack ứng dụng như KMSPico, Cubase, Photoshop và nhiều công cụ chống virus phổ biến khác chính là nguồn phát tán mã độc STOP.

Tuy nhiên đó không chỉ là các bản crack, nhiều trang web mờ ám còn cung cấp dịch vụ download phần mềm miễn phí, và trên thực tế, đây chính là các gói phần mềm quảng cáo có khả năng cài đặt ransomware trên hệ thống của nạn nhân.

Tôi phải làm gì để cứu dữ liệu bị mã hóa?

Nhà nghiên cứu bảo mật Gillespie đã phục hồi thành công nhiều tập tin cho các nạn nhân của STOP thông qua bộ giải mã STOPDecryptor. Công cụ này gồm các khóa giải mã (decryption key) ngoại tuyến mà ransomware sử dụng khi không thể giao tiếp được với máy chủ C2. Gillespie đã mở khóa thành công trên nhiều loại mã độc tống tiền khác nhau, trong đó có một số biến thể đặc biệt tinh vi.

Tuy nhiên, đây là một nhiệm vụ khó khăn bởi vì STOP đã tạo ra 3-4 biến thể mỗi ngày và có hàng ngàn nạn nhân bị nhiễm cần giúp đỡ cùng lúc. Mặt khác, mã hóa đã thay đổi và Gillespie không còn có thể cung cấp nhiều hỗ trợ cho các nạn nhân như trước. Tệ hơn, nếu người dùng chưa có khả năng chi trả tiền chuộc thì số tiền sẽ tăng gấp đôi sau 72 giờ.

Theo Bleeping Computer​

 

huhu bạn ơi, mình vừa bị dính con này, nhưng không nhận dạng được là biến thể nào, làm thế nào để xác định được là mình dính con virut thuộc biến thể nào bạn nhỉ

 

huhu bạn ơi, mình vừa bị dính con này, nhưng không nhận dạng được là biến thể nào, làm thế nào để xác định được là mình dính con virut thuộc biến thể nào bạn nhỉ

Biến thế của nó bạn có thể xác định nhận dạng ngay được là ở đuôi file (ví dụ: example.pdf.xxx) thì xxx chính là biến thế mã hoá kiểu mới của nó.
Để biết nó có phải STOP hay không thì bạn mở file _readme.txt ra xem nó sẽ có dạng giống như ảnh đầu tiên trong bài của mình.

 

Hnay vừa bị dính con này xong , Làm thế nào bây giờ

 

Biến thế của nó bạn có thể xác định nhận dạng ngay được là ở đuôi file (ví dụ: example.pdf.xxx) thì xxx chính là biến thế mã hoá kiểu mới của nó.
Để biết nó có phải STOP hay không thì bạn mở file _readme.txt ra xem nó sẽ có dạng giống như ảnh đầu tiên trong bài của mình.

Mình vừa bị chiều nay xong, nó có đuôi *.mkos nữa

 

Mình vừa bị chiều nay xong, nó có đuôi *.mkos nữa

Bạn tải tool ở đây về xem giải mã được chưa nhé https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

 

Bạn tải tool ở đây về xem giải mã được chưa nhé https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

Mình sẽ thửu xem. Hy vọng được ngần nào hay ngần đó.
Cảm ơn bạn!

 

Bạn tải tool ở đây về xem giải mã được chưa nhé https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

Mình vừa chạy ứng dụng đó xong và không được bạn ạ.
Xem lại trên trang của ứng dụng thì nó báo là hỗ trợ từ tháng 8/2019 về trước

 

Mình bị mã hóa đuôi .nlah và có file .txt như trên. Vậy .nlah là biến thể của Ransomwware STOP ạ? Nếu đúng, ad cho xin tip cứu PC được không ạ, không bố mình cho mình ra ngoài đường mất :<

 

Mình bị mã hóa đuôi .nlah và có file .txt như trên. Vậy .nlah là biến thể của Ransomwware STOP ạ? Nếu đúng, ad cho xin tip cứu PC được không ạ, không bố mình cho mình ra ngoài đường mất :<

Nó là một biến thể của STOP Ransomware. Bạn thử taira tool này về giải mã xem được không nhé https://www.emsisoft.com/ransomware-decryption-tools/aurora

 

vậy còn nguồn mã hóa của nó thì sao ạ? nếu giải mã hết r mà vẫn còn vr mã hóa thì file lại bị mã hóa lần nữa đúng không ạ? Nếu có thì xử lí ra sao ạ?

 

vậy còn nguồn mã hóa của nó thì sao ạ? nếu giải mã hết r mà vẫn còn vr mã hóa thì file lại bị mã hóa lần nữa đúng không ạ? Nếu có thì xử lí ra sao ạ?

Nguồn gốc lây nhiễm thì phải điều tra (forensic) bạn ạ. Điều tra thường sử dụng các log trên máy.