Stop Ransomware: cơn ác mộng kinh hoàng không được nhắc đến?

Thảo luận trong 'Virus/Malware' bắt đầu bởi vpn, 27/09/19, 10:09 AM.

?

Bạn có bị mã hóa bởi STOP Ransomware không?

  1. Không

Results are only viewable after voting.
  1. vpn

    vpn Moderator Thành viên BQT

    Tham gia: 10/09/19, 08:09 AM
    Bài viết: 26
    Đã được thích: 9
    Điểm thành tích:
    3
    afdfa.jpg

    Bạn đã bao giờ nghe nói về STOP Ransomware chưa?

    Có lẽ là không, bởi rất ít người viết về mã độc tống tiền này, hầu hết các nhà nghiên cứu đều không đề cập nó trong các báo cáo, và đặc biệt STOP hầu như chỉ nhắm đến các nạn nhân thông qua các phần mềm bẻ khóa (crack), gói phần mềm quảng cáo và những trang web mờ ám.
    Các định dạng (đuôi) phổ biến hiện nay của STOP được cập nhật liên tục : .nuksus, .cetori, .stare, .carote, .nesa, .peta, .moka, meds, .kvag, .domn, .karl, . . .

    Hiện nay, những loại ransomware nổi tiếng như Ryuk, GandCrab hay Sodinkibi thường nhận được nhiều sự chú ý của giới truyền thông vì chúng thường yêu cầu các khoản thanh toán tiền chuộc khổng lồ, ảnh hưởng rất lớn đến cả doanh nghiệp lẫn cơ quan địa phương và thu hút nhiều sự quan tâm của công chúng.

    Tuy nhiên, dựa trên thống kê các yêu cầu hỗ trợ gửi về trang ID Ransomware – dịch vụ trợ giúp nhận dạng mã độc tống tiền của nhà nghiên cứu bảo mật Michael Gillespie (aka demonslay335) tại BleepingComputer – thì STOP mới là ransomware được phân phối tích cực nhất trên mạng Internet hiện nay. Cụ thể, mỗi ngày ID Ransomware nhận được khoảng 2.500 yêu cầu hỗ trợ, trong đó 60 – 70% các tập tin gửi đến được xác định là mã độc tống tiến STOP.


    stop-ransomware-1.jpg

    Tỷ lệ này luôn có xu hướng gia tăng áp đảo hoàn toàn các loại ransomware khác. Biểu đồ dưới đây cho thấy STOP sắp trở thành Pacman “ăn” tất cả các loại ransomware khác.

    stop-ransomware-2.jpg

    Các bản crack ứng dụng, gói phần mềm quảng cáo và trang web đen?
    Để phát tán mã độc STOP, các nhà phát triển chúng đã hợp tác với các trang web và nhà cung cấp gói phần mềm quảng cáo không rõ nguồn gốc.
    Các trang web này có nhiệm vụ quảng bá những phần mềm giả mạo hoặc chương trình miễn phí, nhưng trên thực tế đây là các gói phần mềm quảng cáo có thể cài đặt phần mềm độc hại, lây nhiễm mã độc không mong muốn vào hệ thống máy tính của người dùng. Một trong những mã độc được cài đặt thông qua các gói này là chính STOP Ransomware.
    Những bản crack ứng dụng như KMSPico, Cubase, Photoshop và nhiều công cụ chống virus phổ biến khác chính là nguồn phát tán mã độc STOP.

    aa.png
    Tuy nhiên đó không chỉ là các bản crack, nhiều trang web mờ ám còn cung cấp dịch vụ download phần mềm miễn phí, và trên thực tế, đây chính là các gói phần mềm quảng cáo có khả năng cài đặt ransomware trên hệ thống của nạn nhân.

    Tôi phải làm gì để cứu dữ liệu bị mã hóa?
    Nhà nghiên cứu bảo mật Gillespie đã phục hồi thành công nhiều tập tin cho các nạn nhân của STOP thông qua bộ giải mã STOPDecryptor. Công cụ này gồm các khóa giải mã (decryption key) ngoại tuyến mà ransomware sử dụng khi không thể giao tiếp được với máy chủ C2. Gillespie đã mở khóa thành công trên nhiều loại mã độc tống tiền khác nhau, trong đó có một số biến thể đặc biệt tinh vi.

    Tuy nhiên, đây là một nhiệm vụ khó khăn bởi vì STOP đã tạo ra 3-4 biến thể mỗi ngày và có hàng ngàn nạn nhân bị nhiễm cần giúp đỡ cùng lúc. Mặt khác, mã hóa đã thay đổi và Gillespie không còn có thể cung cấp nhiều hỗ trợ cho các nạn nhân như trước. Tệ hơn, nếu người dùng chưa có khả năng chi trả tiền chuộc thì số tiền sẽ tăng gấp đôi sau 72 giờ.

     
    Chỉnh sửa cuối: 27/09/19, 11:09 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  2. tu seo

    tu seo New Member

    Tham gia: 09/12/19, 02:12 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    huhu bạn ơi, mình vừa bị dính con này, nhưng không nhận dạng được là biến thể nào, làm thế nào để xác định được là mình dính con virut thuộc biến thể nào bạn nhỉ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. vpn

    vpn Moderator Thành viên BQT

    Tham gia: 10/09/19, 08:09 AM
    Bài viết: 26
    Đã được thích: 9
    Điểm thành tích:
    3
    Biến thế của nó bạn có thể xác định nhận dạng ngay được là ở đuôi file (ví dụ: example.pdf.xxx) thì xxx chính là biến thế mã hoá kiểu mới của nó.
    Để biết nó có phải STOP hay không thì bạn mở file _readme.txt ra xem nó sẽ có dạng giống như ảnh đầu tiên trong bài của mình.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. concuada

    concuada Member

    Tham gia: 20/12/19, 07:12 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Hnay vừa bị dính con này xong :(, Làm thế nào bây giờ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. concuada

    concuada Member

    Tham gia: 20/12/19, 07:12 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1

    Mình vừa bị chiều nay xong, nó có đuôi *.mkos nữa
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. vpn

    vpn Moderator Thành viên BQT

    Tham gia: 10/09/19, 08:09 AM
    Bài viết: 26
    Đã được thích: 9
    Điểm thành tích:
    3
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    concuada thích bài này.
  7. concuada

    concuada Member

    Tham gia: 20/12/19, 07:12 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. concuada

    concuada Member

    Tham gia: 20/12/19, 07:12 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình vừa chạy ứng dụng đó xong và không được bạn ạ.
    Xem lại trên trang của ứng dụng thì nó báo là hỗ trợ từ tháng 8/2019 về trước
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. Ckhanh

    Ckhanh New Member

    Tham gia: 07/06/20, 01:06 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình bị mã hóa đuôi .nlah và có file .txt như trên. Vậy .nlah là biến thể của Ransomwware STOP ạ? Nếu đúng, ad cho xin tip cứu PC được không ạ, không bố mình cho mình ra ngoài đường mất :<
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 469
    Đã được thích: 215
    Điểm thành tích:
    43
    Nó là một biến thể của STOP Ransomware. Bạn thử taira tool này về giải mã xem được không nhé https://www.emsisoft.com/ransomware-decryption-tools/aurora
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. Ckhanh

    Ckhanh New Member

    Tham gia: 07/06/20, 01:06 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    vậy còn nguồn mã hóa của nó thì sao ạ? nếu giải mã hết r mà vẫn còn vr mã hóa thì file lại bị mã hóa lần nữa đúng không ạ? Nếu có thì xử lí ra sao ạ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 469
    Đã được thích: 215
    Điểm thành tích:
    43
    Nguồn gốc lây nhiễm thì phải điều tra (forensic) bạn ạ. Điều tra thường sử dụng các log trên máy.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. securitybox
  2. WhiteHat News #ID:2017
  3. WhiteHat News #ID:2017
  4. nhoxso1h1