Фахівці Emsisoft спільно з експертом із здирницьких програм Майклом Гіллеспі (Майкл Гіллеспі) випустили безкоштовний декриптор для трояна STOP. Утиліта працює зі 148 варіантами зловреда та розшифрує файли, заблоковані не пізніше серпня цього року.
Атаки шифрувальника STOP
Хоча STOP менш відомий, ніж GandCrab, Dharma та інші трояни-вимагачі, саме на нього цього року припадає більше половини виявлених атак. Більш того, наступний учасник рейтингу, вищезгаданий Dharma, відстає від нього за цим показником більш ніж у чотири рази. Значну роль поширеності STOP грає його багатоликость: у найактивніші періоди експерти виявляли по три-чотири нові версії щодня, кожна з яких вражала кілька тисяч жертв.
На даний момент до сімейства входить близько 160 представників, а загальна кількість постраждалих користувачів наближається до півмільйона. Основна частина атак припадає на країни Європи та Південної Америки., Індію та Південно-Східну Азію. Загроза також торкнулася США, Австралії та Південної Африки. Російських користувачів шифрувальник обходить стороною, перевіряючи перед початком роботи мовні налаштування ураженої системи.
Жертви STOP найчастіше отримують його в комплекті з піратським та безкоштовним ПЗ. Зловред не тільки шифрує файли користувача, але і встановлює шкідливі розширення для браузера, клікери та інші небажані програми. На початку 2019 роки експерти повідомляли, що одна з версій STOP розповсюджує троян Azorult, який може викрадати інформацію користувача і доставляти на комп'ютер інші зловреди.
Як розшифрувати дані після атаки STOP
Опублікований декриптор — не перша спроба підступитися до цього шифрувальника. Раніше дослідники виявили в коді офлайн-ключі, які зловред використовує без підключення до керуючого сервера. Ця знахідка в деяких випадках допомагає повернути файли у вихідний вигляд., однак згодом зловмисники змінили механізм шифрування. Фахівці також розробили актуальний декриптор до здирника Puma., який входить до сімейства STOP.
Розробка Гіллеспі та фахівців Emsisoft використовує характерну особливість у роботі STOP - зловред створює ключ шифрування на основі перших п'яти байт ураженого об'єкта. Це дозволяє експертам відтворити ключ, використовуючи вихідний файл. Крім того, у деяких файлів код починається з тих самих ділянок — наприклад, документи Microsoft Office у цьому збігаються із ZIP-архівами. В результаті розшифровка одного об'єкта дозволяє працювати з іншими форматами.
Щоб скористатися декриптором, користувачеві потрібно навчити програму - завантажити через онлайн-інтерфейс один і той же документ у зашифрованому та вихідному вигляді. Такі пари потрібно підібрати для кожного формату файлів, які необхідно відновити. Навчена таким чином утиліта надалі зможе розшифровувати всі об'єкти відповідних форматів..
Автори декриптора уточнюють, що їхня програма навчається на об'єктах вагою до 150 КБ. Експерти рекомендують шукати такі документи в електронній пошті — у листах можуть зберегтися вкладення, які також зберігав на жорсткому диску.
Після закінчення навчання з'явиться посилання на декриптор. Користувачеві необхідно завантажити та запустити його, прийняти умови ліцензійної угоди, а потім вказати папки із заблокованими файлами. Творці утиліти підкреслюють, що розшифровка може зайняти тривалий час, причому протягом усього процесу програмі потрібне інтернет-підключення.
За оцінками експертів, декриптор може повернути дані 70% жертви СТОП. Іншим користувачам фахівці рекомендують заархівувати зашифровані дані та дочекатися появи нових утиліт.,