Издание Bleeping Computer обратило внимание на вымогателя STOP, который по данным сервиса ID Ransomware, созданного известным ИБ-экспертом Майклом Гиллеспи, является одной из наиболее активных угроз в текущем году, наряду с Ryuk, GandCrab и Sodinkibi.
Распространенность STOP подтверждает и крайне активная ветка форума Bleeping Computer, где пострадавшие ищут помощи. Однако об этом шифровальщике почти не говорят и не пишут. Дело в том, что эта малварь атакует в основном любителей пиратского контента, посетителей подозрительных сайтов и распространяется в составе рекламных бандлов.
Сообщается, что ID Ransomware получает примерно 2500 сообщений об атаках вымогателей в день. И примерно 60-70% из них — это сообщения об атаках шифровальщика STOP, что оставляет другие вымогатели далеко позади.
Для распространения STOP используются в основном рекламные бандлы и подозрительные сайты. Эти ресурсы рекламируют фейковые кряки и активаторы (например, для KMSPico, Cubase, Photoshop или антивирусов) и бесплатное ПО, которое на самом деле представляет собой рекламные бандлы, устанавливающие различные нежелательные программы и малварь на машины пользователей. Одним из таких вредоносов является STOP. Также в таких бандлах встречается, к примеру, троян Azorult.
Гиллеспи и специалисты Bleeping Computer отмечают, что сам шифровальщик действует по классической схеме: шифрует файлы, добавляет им новое расширение и помещает на зараженной машине записку с требованием выкупа (малварь требует 490 долларов, но сумма удваивается через 72 часа до 980 долларов). Однако на сегодняшний день существует более 159 вариантов STOP, о которых известно исследователям, и такое разнообразие существенно усложняет ситуацию.
Так, Гиллеспи добился определенных успехов, помогая жертвам шифровальщика восстанавливать файлы, и создал инструмент STOPDecryptor, который включает в себя автономные ключи дешифрования, используемые вымогателем, когда тот не может связаться с управляющим сервером. Также специалист сумел помочь ряду пользователей, чьи машины были зашифрованы с использованием уникальных ключей.
Однако помощь жертвам оказалась трудной задачей: порой авторы вымогателя выпускали по 3-4 версии в день, и тысячи людей нуждались в помощи одновременно. К тому же, в итоге шифрование STOP изменилось, и Гиллеспи больше не может предлагать помощь всем пострадавшим.
В результате ветка помощи на форуме Bleeping Computer уже насчитывает более 500 страниц, а отчаявшиеся пользователи регулярно просят Гиллеспи о помощи в социальных сетях. Так, практически любой твит исследователя моментально обрастает ответами с мольбами о помощи в дешифровке файлов после атаки STOP.
Please help me Broo
— Karanganyar (@afwin_channel) September 20, 2019
My Komputer Infected Virus .KVAG
Id : 0163Asd483yiqgkhjdg6T5mXmvIFUoo8mghI7ZipcBHp6KgFFRodOvN2jaJ
Please Help Me ??
I need Help You?? please
Фото: Bryce Durbin / TechCrunch