資安業者 Emsisoft 上周釋出了勒索軟體 Stop(又名Djvu)的解密金鑰 ,Stop 是近來最常見的勒索軟體,估計市場上總計有 160 種變種,而 Emsisoft 的解密金鑰,則能解鎖其中 148 種變種的加密檔案,對受害者來說無疑是項福音。
Stop 勒索軟體主要透過金鑰產生器及破解程式散布,這些工具通常是用來讓人們免費使用付費軟體,而最大的受害者則為阮囊羞澀的學生或青少年,或是與他們共用電腦的親友。Stop 除了會加密系統上的檔案之外,有時還會嵌入其它惡意軟體,像是專門盜取密碼的木馬程式。
根據 ID Ransomware 在今年 4 到 9 月的統計,Stop 在勒索軟體領域的市佔率達到 56%,居次的 Dharma 則只有 12%。前五大受害區域為印尼(17.1%)、印度(15.0%)、美國(13.6%)、巴西(13.2%)與韓國(12.6%),當中的印尼剛好是全球盜版軟體最猖獗的市場之一。全球確定的 Stop 受害者數量為 11.6 萬,但估計受害者可能高達 46 萬。
Stop 家族的勒索軟體會將加密系統上的檔案,並把它們的副檔名變更為 .djvu、.rumba、.radman 或 .gero 等,然後向受害者索取 980 美元的費用來換得解密金鑰,若在 72 小時內與駭客聯繫則可打五折。
Emsisoft 表示,他們是透過 Stop 的金鑰串流漏洞展開旁路攻擊,破解了 Stop 的加密機制,而這也是史上第一次利用此一方法大規模回復加密文件。
可惜的是,目前 Emsisoft 所打造的解密工具只能回復 148 種 Stop 變種,無法涵蓋全部的 160 種,但估計已覆蓋了 70% 的 Stop 受害者,至於另外的 12 種變種目前則尚無解法。
曾感染 Stop 勒索軟體的受害者現可下載 Decryptor for STOP Djvu 或 Decryptor for STOP Puma 來試試自己的運氣。