首个STOP勒索软件疫苗问世
STOP是针对个人和中小企业用户的最为猖獗的勒索软件之一,其特点是”薄利多销“,赎金要价不高(通常为500-1000美元),近年来新冠疫情导致的远程办公热潮更是让STOP这种小额勒索攻击泛滥成灾。
不防感染,防加密
近日,德国安全软件公司GDATA发布了一种勒索软件疫苗,可以阻止STOP勒索软件在感染后加密受害者的文件。是的,你没听错,这种勒索软件疫苗也是“不防感染,防重症(加密)”。
GDATA恶意软件分析师Karsten Hahn和John Parol解释说:“该工具本身并不能防止感染勒索软件,STOP勒索软件仍会留下赎金票据并可能更改系统设置。”
“但如果系统提前打了疫苗,遭遇STOP勒索软件攻击时文件不会被加密。”
用户可以通过下面的链接下载STOP Ransomware疫苗,文件格式为已编译好的 .EXE或Python脚本:
https://github.com/struppigel/STOP-DJVU-Ransomware-Vaccine/releases/
运行“疫苗”程序后,会出现以下提示:
从提示可以看出,勒索软件疫苗的工作方式与医学疫苗非常类似,也是从恶意软件样本中选取部分无害文件,提前”注射“到系统中,通过添加勒索软件通常部署在受感染系统上的文件来欺骗勒索软件软件,让后者误以为设备已经被感染。
虽然Emsisoft和Michael Gillespie曾于2019年10月还为STOP勒索软件发布了一个解密器,用于免费解密由148个变体加密的文件,但它不再适用于较新的变体。因此,如果您想防范这种勒索软件株,GDATA的疫苗是您最好的选择。
但是,由于黑客通常会在疫苗发布后试图绕过疫苗,因此这款勒索软件疫苗可能会在STOP勒索软件未来的新版本中失效。
所以,打完疫苗后,一定要确保自己的重要文件也有备份!
最活跃的勒索软件
虽然与动辄斩获数千万美元的勒索软件巨头们相比,STOP没有获得过太多媒体关注,但事实上STOP是近年来最活跃的勒索软件。根据BleepingComputer的统计,在STOP活动的高峰期,每天提交的勒索软件攻击ID中有60%到70%都与STOP有关:
这是因为STOP主要通过恶意网站和广告软件包来攻击家庭用户,这些网站和广告软件包会推送恶意软件或伪装成免费程序的广告软件。
后者通常会在用户的计算机上安装各种不需要的软件,而且通常安装的程序之一是恶意软件,例如STOP勒索软件。
据报道,在STOP勒索软件的“投放渠道“包括KMSPico、Cubase、Photoshop和防病毒软件。除此之外,STOP只是普通的勒索软件,它会加密文件、附加扩展名,并发出要求500美元到1000美元不等的赎金通知。
最后,STOP如此成功的根本原因是能持续发布大量变体以逃避检测。