Stop Ransomware: cơn ác mộng kinh hoàng không được nhắc đến?

Bạn có bị mã hóa bởi STOP Ransomware không?

  • Không


Results are only viewable after voting.

vpn

Well-Known Member
10/09/2019
20
52 bài viết
Stop Ransomware: cơn ác mộng kinh hoàng không được nhắc đến?
Bạn đã bao giờ nghe nói về STOP Ransomware chưa?

Có lẽ là không, bởi rất ít người viết về mã độc tống tiền này, hầu hết các nhà nghiên cứu đều không đề cập nó trong các báo cáo, và đặc biệt STOP hầu như chỉ nhắm đến các nạn nhân thông qua các phần mềm bẻ khóa (crack), gói phần mềm quảng cáo và những trang web mờ ám.

afdfa.jpg

Các định dạng (đuôi) phổ biến hiện nay của STOP được cập nhật liên tục : .nuksus, .cetori, .stare, .carote, .nesa, .peta, .moka, meds, .kvag, .domn, .karl, . . .

Hiện nay, những loại ransomware nổi tiếng như Ryuk, GandCrab hay Sodinkibi thường nhận được nhiều sự chú ý của giới truyền thông vì chúng thường yêu cầu các khoản thanh toán tiền chuộc khổng lồ, ảnh hưởng rất lớn đến cả doanh nghiệp lẫn cơ quan địa phương và thu hút nhiều sự quan tâm của công chúng.

Tuy nhiên, dựa trên thống kê các yêu cầu hỗ trợ gửi về trang ID Ransomware – dịch vụ trợ giúp nhận dạng mã độc tống tiền của nhà nghiên cứu bảo mật Michael Gillespie (aka demonslay335) tại BleepingComputer – thì STOP mới là ransomware được phân phối tích cực nhất trên mạng Internet hiện nay. Cụ thể, mỗi ngày ID Ransomware nhận được khoảng 2.500 yêu cầu hỗ trợ, trong đó 60 – 70% các tập tin gửi đến được xác định là mã độc tống tiến STOP.


stop-ransomware-1.jpg

Tỷ lệ này luôn có xu hướng gia tăng áp đảo hoàn toàn các loại ransomware khác. Biểu đồ dưới đây cho thấy STOP sắp trở thành Pacman “ăn” tất cả các loại ransomware khác.

stop-ransomware-2.jpg

Các bản crack ứng dụng, gói phần mềm quảng cáo và trang web đen?

Để phát tán mã độc STOP, các nhà phát triển chúng đã hợp tác với các trang web và nhà cung cấp gói phần mềm quảng cáo không rõ nguồn gốc.

Các trang web này có nhiệm vụ quảng bá những phần mềm giả mạo hoặc chương trình miễn phí, nhưng trên thực tế đây là các gói phần mềm quảng cáo có thể cài đặt phần mềm độc hại, lây nhiễm mã độc không mong muốn vào hệ thống máy tính của người dùng. Một trong những mã độc được cài đặt thông qua các gói này là chính STOP Ransomware.

Những bản crack ứng dụng như KMSPico, Cubase, Photoshop và nhiều công cụ chống virus phổ biến khác chính là nguồn phát tán mã độc STOP.


aa.png

Tuy nhiên đó không chỉ là các bản crack, nhiều trang web mờ ám còn cung cấp dịch vụ download phần mềm miễn phí, và trên thực tế, đây chính là các gói phần mềm quảng cáo có khả năng cài đặt ransomware trên hệ thống của nạn nhân.

Tôi phải làm gì để cứu dữ liệu bị mã hóa?

Nhà nghiên cứu bảo mật Gillespie đã phục hồi thành công nhiều tập tin cho các nạn nhân của STOP thông qua bộ giải mã STOPDecryptor. Công cụ này gồm các khóa giải mã (decryption key) ngoại tuyến mà ransomware sử dụng khi không thể giao tiếp được với máy chủ C2. Gillespie đã mở khóa thành công trên nhiều loại mã độc tống tiền khác nhau, trong đó có một số biến thể đặc biệt tinh vi.

Tuy nhiên, đây là một nhiệm vụ khó khăn bởi vì STOP đã tạo ra 3-4 biến thể mỗi ngày và có hàng ngàn nạn nhân bị nhiễm cần giúp đỡ cùng lúc. Mặt khác, mã hóa đã thay đổi và Gillespie không còn có thể cung cấp nhiều hỗ trợ cho các nạn nhân như trước. Tệ hơn, nếu người dùng chưa có khả năng chi trả tiền chuộc thì số tiền sẽ tăng gấp đôi sau 72 giờ.


 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
huhu bạn ơi, mình vừa bị dính con này, nhưng không nhận dạng được là biến thể nào, làm thế nào để xác định được là mình dính con virut thuộc biến thể nào bạn nhỉ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
huhu bạn ơi, mình vừa bị dính con này, nhưng không nhận dạng được là biến thể nào, làm thế nào để xác định được là mình dính con virut thuộc biến thể nào bạn nhỉ

Biến thế của nó bạn có thể xác định nhận dạng ngay được là ở đuôi file (ví dụ: example.pdf.xxx) thì xxx chính là biến thế mã hoá kiểu mới của nó.
Để biết nó có phải STOP hay không thì bạn mở file _readme.txt ra xem nó sẽ có dạng giống như ảnh đầu tiên trong bài của mình.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hnay vừa bị dính con này xong :(, Làm thế nào bây giờ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Biến thế của nó bạn có thể xác định nhận dạng ngay được là ở đuôi file (ví dụ: example.pdf.xxx) thì xxx chính là biến thế mã hoá kiểu mới của nó.
Để biết nó có phải STOP hay không thì bạn mở file _readme.txt ra xem nó sẽ có dạng giống như ảnh đầu tiên trong bài của mình.


Mình vừa bị chiều nay xong, nó có đuôi *.mkos nữa
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: concuada
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình bị mã hóa đuôi .nlah và có file .txt như trên. Vậy .nlah là biến thể của Ransomwware STOP ạ? Nếu đúng, ad cho xin tip cứu PC được không ạ, không bố mình cho mình ra ngoài đường mất :<
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
vậy còn nguồn mã hóa của nó thì sao ạ? nếu giải mã hết r mà vẫn còn vr mã hóa thì file lại bị mã hóa lần nữa đúng không ạ? Nếu có thì xử lí ra sao ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
vậy còn nguồn mã hóa của nó thì sao ạ? nếu giải mã hết r mà vẫn còn vr mã hóa thì file lại bị mã hóa lần nữa đúng không ạ? Nếu có thì xử lí ra sao ạ?
Nguồn gốc lây nhiễm thì phải điều tra (forensic) bạn ạ. Điều tra thường sử dụng các log trên máy.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
.kvag .meds .moka .nesa .nuksus .peta mã độc mã độc tống tiền stop ransomware
Bên trên