Дешифровка файлов после шифровальщика STOP

Специалисты Emsisoft совместно с экспертом по вымогательским программам Майклом Гиллеспи (Michael Gillespie) выпустили бесплатный декриптор для трояна STOP. Утилита работает со 148 вариантами зловреда и расшифрует файлы, заблокированные не позже августа этого года.

Атаки шифровальщика STOP

Хотя STOP менее известен, чем GandCrab, Dharma и другие трояны-вымогатели, именно на него в этом году приходится более половины обнаруженных атак. Более того, следующий участник рейтинга, вышеупомянутый Dharma, отстает от него по этому показателю более чем в четыре раза. Значительную роль в распространенности STOP играет его многоликость: в самые активные периоды эксперты обнаруживали по три-четыре новых версии ежедневно, каждая из которых поражала по несколько тысяч жертв.

К настоящему моменту в семейство входит около 160 представителей, а общее число пострадавших пользователей приближается к полумиллиону. Основная часть атак приходится на страны Европы и Южной Америки, Индию и Юго-Восточную Азию. Угроза также коснулась США, Австралии и Южной Африки. Российских пользователей шифровальщик обходит стороной, проверяя перед началом работы языковые настройки пораженной системы.

Жертвы STOP чаще всего получают его в комплекте с пиратским и бесплатным ПО. Зловред не только шифрует пользовательские файлы, но и устанавливает вредоносные расширения для браузера, кликеры и прочие нежелательные программы. В начале 2019 года эксперты сообщали, что одна из версий STOP распространяет троян Azorult, который может похищать пользовательскую информацию и доставлять на компьютер другие зловреды.

Как расшифровать данные после атаки STOP

Опубликованный декриптор — не первая попытка подступиться к этому шифровальщику. Ранее исследователи обнаружили в коде оффлайн-ключи, которые зловред использует без подключения к управляющему серверу. Эта находка в некоторых случаях помогает вернуть файлы в исходный вид, однако со временем злоумышленники изменили механизм шифрования. Специалисты также разработали по-прежнему актуальный декриптор к вымогателю Puma, который входит в семейство STOP.

Разработка Гиллеспи и специалистов Emsisoft использует характерную особенность в работе STOP — зловред создает ключ шифрования на основе первых пяти байт пораженного объекта. Это позволяет экспертам воссоздать ключ, используя исходный файл. Кроме того, у некоторых файлов код начинается с одних и тех же участков — например, документы Microsoft Office в этом совпадают с ZIP-архивами. В результате расшифровка одного объекта позволяет работать с остальными форматами.

Чтобы воспользоваться декриптором, пользователю нужно обучить программу — загрузить через онлайн-интерфейс один и тот же документ в зашифрованном и исходном виде. Такие пары нужно подобрать для каждого формата файлов, которые необходимо восстановить. Обученная таким образом утилита далее сможет расшифровывать все объекты соответствующих форматов.

Создатели декриптора уточняют, что их программа обучается на объектах весом до 150 КБ. Эксперты рекомендуют искать такие документы в электронной почте — в письмах могут сохраниться вложения, которые пользователь также сохранял на жестком диске.

По окончании обучения появится ссылка на декриптор. Пользователю необходимо скачать и запустить его, принять условия лицензионного соглашения, а затем указать папки с заблокированными файлами. Создатели утилиты подчеркивают, что расшифровка может занять продолжительное время, причем в течение всего процесса программе требуется интернет-подключение.

По оценкам экспертов, декриптор может вернуть данные 70% жертв STOP. Остальным пользователям специалисты рекомендуют заархивировать зашифрованные данные и дождаться появления новых утилит.,