一组新工具可以解密被高度活跃的勒索软件Stop锁定的文件
数以千计的勒索软件受害者最终可能会得到一些期待已久的救济。新西兰安全公司Emsisoft已经为Stop(一套勒索软件,包括Djvu和Puma)构建了一套解密工具,他们说这些工具可以帮助受害者恢复部分文件。根据帮助识别感染的免费网站ID-Ransomware的数据,Stop被认为是世界上最活跃的勒索软件,占所有勒索软件感染的一半以上。但Emsisoft表示,这一数字可能会更高。
如果您从未有过勒索软件,那么您就是幸运者之一。勒索软件是当今一些罪犯更常见的赚钱方式之一,这种方式是通过使用加密技术来锁定文件的恶意软件感染计算机,从而赚钱。一旦停止勒索软件感染,它重命名用户的文件与任何数量的扩展之一,更换.jpg和.png处理文件.radman,.djvu以及.puma,例如。受害者可以解锁其文件,以换取赎金要求-通常是几百美元的加密货币。
并非所有勒索软件都是平等创建的。一些安全专家已经能够通过在勒索软件的代码中找到漏洞来解锁某些受害者的文件而无需支付费用,从而使他们在某些情况下可以逆向加密并将受害者的文件恢复正常。
Stop是Emsisoft研究人员能够破解的最新勒索软件。
“最新的已知受害者人数约为116,000。据估计,这大约是受害者总数的四分之一。”
Emsisoft
Emsisoft的开发人员兼研究员Michael Gillespie说:“它比通常的工具要复杂得多。”他说:“这是一个非常复杂的勒索软件。”
在Stop的情况下,它使用从攻击者服务器拉出的联机密钥或脱机密钥对用户文件进行加密,而脱机密钥在无法与服务器通信时对用户文件进行加密。Gillespie说,许多受害者已经感染了脱机密钥,因为攻击者的Web基础结构经常被关闭或被感染的计算机无法访问。
这些工具的工作原理如下。
勒索软件说,勒索软件攻击者给每个受害者一个“主密钥”。该主密钥与勒索软件加密的每个文件的前五个字节结合在一起。某些文件类型(例如.png图像文件)在每个.png文件中共享相同的五个字节。通过将原始文件与加密文件进行比较并应用一些数学计算,他不仅可以解密该.png文件,还可以解密其他.png相同文件类型。
某些文件类型共享相同的前五个字节。大多数现代Microsoft Office文档(例如.docx和)与文件.pptx共享相同的五个字节.zip。使用任何文件之前和之后,这些文件类型中的任何一种都可以解密其他文件类型。
有一个陷阱。Gillespie说,对于受感染的计算机,解密工具“不是万能药”。
他说:“受害人必须在他们想要恢复的每种形式的前后都找到一种好东西。”
他说,一旦系统清除了勒索软件,受害者应该尝试寻找备份的任何文件。那可能是默认的Windows墙纸,或者可能意味着浏览电子邮件并找到您发送的原始文件,并将其与现在加密的文件进行匹配。
当用户将一对“之前和之后”文件上传到提交门户时,服务器将进行数学运算并确定这对文件是否兼容,并将吐出哪些扩展名可以解密。
吉莱斯皮说,但是有陷阱。
他说:“不幸的是,在2019年8月之后的任何感染中,除非使用脱机密钥加密,否则我们将无能为力。”如果从攻击者的服务器上拔出了在线密钥,受害者将失去运气。他补充说,提交给门户网站的文件必须大于150 KB,否则解密工具将无法工作,因为勒索软件会加密该文件中的多少文件。而且某些文件扩展名将很难恢复,因为每个文件扩展名对文件的前五个字节的处理方式不同。
他说:“受害者确实需要付出一些努力。”
当前全球勒索软件感染的份额(图片来源:Emsisoft)
这不是吉莱斯皮的第一个牛仔竞技表演。有一时间,他正在为那些已使用脱机密钥加密文件的受害者手动处理解密密钥。他建立了一个基本的解密工具,名为STOPDecrypter,可以解密一些受害者的文件。但是,使该工具保持最新状态是他与勒索软件攻击者一起玩的猫和老鼠游戏。每次他找到解决方法时,攻击者都会推出新的加密文件扩展名,以胜过他。
他说:“他们不断让我保持警惕。”
自STOPDecrypter启动以来,Gillespie收到了数千人的邮件,这些人的系统已被Stop勒索软件加密。通过在Bleeping Computer论坛上发帖,他能够使受害者了解其发现和解密工具更新的最新信息。
但是,随着一些受害者变得更加迫切希望取回文件,吉莱斯皮面临着挫折的冲击。
“该网站的主持人耐心回应。他们保持了和平,”他说。“论坛上的其他一些志愿者也一直在帮助向受害者解释事情。”
他说:“有很多社区支持试图在每一点上提供帮助。”
吉莱斯皮说,该工具还将被提供给欧洲刑警组织的“不再勒索项目”,以便将来的受害者将收到解密工具可用的通知。
标签: 勒索软件Stop