安全業者Emsisoft上周釋出了勒索軟件Stop(又名Djvu)的解密金鑰,Stop是近來最常見的勒索軟件,估計市場上總計有160種變種,而Emsisoft的解密金鑰,則能解鎖其中148種變種的加密檔案,對受害者來說無疑是項福音。
Stop勒索軟件主要透過金鑰產生器及破解程序散布,這些工具通常是用來讓人們免費使用付費軟件,而最大的受害者則為羞澀的學生或青少年,或是與他們共享電腦的親友。Stop除了會加密系統上的檔案之外,有時還會嵌入其它惡意軟件,像是專門盜取密碼的木馬程序。
根據IDRansomware在今年4到9月的統計,Stop在勒索軟件領域的市占率達到56%,居次的Dharma則只有12%。前五大受害區域為印度尼西亞(17.1%)、印度(15.0%)、美國(13.6%)、巴西(13.2%)與韓國(12.6%),當中的印尼剛好是全球盜版軟件最猖獗的市場之一。全球確定的Stop受害者數量為11.6萬,但估計受害者可能高達46萬。
Stop家族的勒索軟件會將加密系統上的檔案,并把它們的副檔名變更為.djvu、.rumba、.radman或.gero等,然后向受害者索取980美元的費用來換得解密金鑰,若在72小時內與黑客聯系則可打五折。
Emsisoft表示,他們是透過Stop的金鑰串流漏洞展開旁路攻擊,破解了Stop的加密機制,而這也是史上第一次利用此一方法大規模回復加密文件。
可惜的是,目前Emsisoft所打造的解密工具只能回復148種Stop變種,無法涵蓋全部的160種,但估計已覆蓋了70%的Stop受害者,至于另外的12種變種目前則尚無解法。
曾感染Stop勒索軟件的受害者現可下載Decryptor for STOP Djvu或Decryptor for STOP Puma來試試自己的運氣。
資料來源:iThome Security
