安全业者Emsisoft上周释出了勒索软件Stop(又名Djvu)的解密金钥,Stop是近来最常见的勒索软件,估计市场上总计有160种变种,而Emsisoft的解密金钥,则能解锁其中148种变种的加密档案,对受害者来说无疑是项福音。
Stop勒索软件主要透过金钥产生器及破解程序散布,这些工具通常是用来让人们免费使用付费软件,而最大的受害者则为羞涩的学生或青少年,或是与他们共享电脑的亲友。Stop除了会加密系统上的档案之外,有时还会嵌入其它恶意软件,像是专门盗取密码的木马程序。
根据IDRansomware在今年4到9月的统计,Stop在勒索软件领域的市占率达到56%,居次的Dharma则只有12%。前五大受害区域为印度尼西亚(17.1%)、印度(15.0%)、美国(13.6%)、巴西(13.2%)与韩国(12.6%),当中的印尼刚好是全球盗版软件最猖獗的市场之一。全球确定的Stop受害者数量为11.6万,但估计受害者可能高达46万。
Stop家族的勒索软件会将加密系统上的档案,并把它们的副档名变更为.djvu、.rumba、.radman或.gero等,然后向受害者索取980美元的费用来换得解密金钥,若在72小时内与黑客联系则可打五折。
Emsisoft表示,他们是透过Stop的金钥串流漏洞展开旁路攻击,破解了Stop的加密机制,而这也是史上第一次利用此一方法大规模回复加密文件。
可惜的是,目前Emsisoft所打造的解密工具只能回复148种Stop变种,无法涵盖全部的160种,但估计已覆盖了70%的Stop受害者,至于另外的12种变种目前则尚无解法。
曾感染Stop勒索软件的受害者现可下载Decryptor for STOP Djvu或Decryptor for STOP Puma来试试自己的运气。
资料来源:iThome Security