24小时联系电话:185 8888 888

新闻
您现在的位置: 首页 > 新闻 > 一组新工具可以解密被高度活跃的勒索软件Stop锁定的文件
  • “酷”大脑研究的扭曲观念扼杀了心理治疗

    “酷”大脑研究的扭曲观念扼杀了心理治疗

    发布时间:2020/03/31

      ‘对于人类的每一个问题,总是存在着众所周知的解决方案-简洁,合理和错误。” 人类从来没有遇到过比了解我们自己的人性更复杂的问题。而且,不乏任何试图探究其深度的简洁,合理和错误的答案。 在我职业生...

  • SpaceX赢得NASA合同,使用新型Dragon XL工艺将货物运送到月球网关

    SpaceX赢得NASA合同,使用新型Dragon XL工艺将货物运送到月球网关

    发布时间:2020/03/31

      美国国家航空航天局(NASA)挖掘出一种尚未建造的SpaceX货运飞船,用于向尚未发射的绕月轨道前哨基地运送补给品。 SpaceX的机器人Dragon XL是其主力Dragon太空船的圆柱形超大型版本,将作为第一批从NASA获得...

  • Spaces应用程序使人们可以参加VR中的Zoom会议

    Spaces应用程序使人们可以参加VR中的Zoom会议

    发布时间:2020/03/30

      一个名为Spaces的新PC VR应用程序使用户可以从VR内部加入Zoom会议和其他视频通话。 该应用是根据最近发生的COVID-19大流行而开发的,该大流行已经使世界各地许多人在家中工作并使用诸如Zoom之类的虚拟会议...

  • 汇盈医疗声称其AI可以从CT扫描中检测冠状病毒,准确率达96%

    汇盈医疗声称其AI可以从CT扫描中检测冠状病毒,准确率达96%

    发布时间:2020/03/30

      总部位于中国惠州的医疗设备公司慧英医疗声称已开发出一种AI成像解决方案,该解决方案使用CT胸部扫描来检测COVID-19的存在。该公司断言,如果不使用逆转录聚合酶链反应(RT-PCR)(COVID-19的标准测试方法),...

一组新工具可以解密被高度活跃的勒索软件Stop锁定的文件

发布时间:2019/10/21 新闻 浏览次数:671

 
数以千计的勒索软件受害者最终可能会得到一些期待已久的救济。
新西兰安全公司Emsisoft已为Stop(一种勒索软件家族)构建了一套解密工具,该勒索软件家族包括Djvu和Puma,他们说这可以帮助受害者恢复一些文件。
根据帮助识别感染的免费网站ID-Ransomware的数据,Stop被认为是世界上最活跃的勒索软件,占所有勒索软件感染的一半以上。但Emsisoft表示,这一数字可能会更高。
如果您从未使用过勒索软件,那么您就是其中之一。勒索软件是当今一些罪犯更常见的赚钱方式之一,这种方式是通过使用加密技术来锁定文件的恶意软件感染计算机,从而赚钱。 Stop勒索软件感染后,它将使用任意扩展名之一重命名用户的文件,例如,将.jpg和.png文件替换为.radman,.djvu和.puma。受害者可以解锁其文件,以换取赎金要求-通常是几百美元的加密货币。
并非所有勒索软件都是平等创建的。一些安全专家已经能够通过找到勒索软件强大的代码中的漏洞来解锁某些受害者的文件而无需支付费用,从而使他们在某些情况下可以逆转加密并使受害者的文件恢复正常。
Stop是Emsisoft研究人员能够破解的最新勒索软件。
“最新的已知受害者人数约为116,000。据估计,这大约是受害者总数的四分之一。”
Emsisoft
Emsisoft的开发人员兼研究员Michael Gillespie说:“它比通常的工具要复杂得多。”他说:“这是一个非常复杂的勒索软件。”
在Stop的情况下,它使用从攻击者服务器获取的在线密钥或离线密钥对用户文件进行加密,而离线密钥在无法与服务器通信时对用户文件进行加密。吉莱斯皮说,许多受害者已被脱机密钥感染,因为攻击者的网络基础设施经常宕机或被感染的计算机无法访问。
这些工具的工作原理如下。
勒索软件说,勒索软件攻击者给每个受害者一个“主密钥”。该主密钥与勒索软件加密的每个文件的前五个字节结合在一起。某些文件类型(如.png图像文件)在每个.png文件中共享相同的五个字节。通过将原始文件与加密文件进行比较并应用一些数学计算,他不仅可以解密该.png文件,还可以解密同一文件类型的其他.png文件。
某些文件类型共享相同的前五个字节。大多数现代Microsoft Office文档(如.docx和.pptx)与.zip文件共享相同的五个字节。使用任何文件之前和之后,这些文件类型中的任何一种都可以解密其他文件类型。
有一个陷阱。 Gillespie说,对于受感染的计算机,解密工具“不是万能药”。
他说:“受害人必须在他们想要恢复的每种形式的前后都找到一种好东西。”
他说,一旦系统清除了勒索软件,受害者应该尝试寻找备份的任何文件。那可能是默认的Windows墙纸,或者可能意味着浏览电子邮件并找到您发送的原始文件,并将其与现在加密的文件进行匹配。
当用户将一对“之前和之后”文件上传到提交门户时,服务器将进行数学计算并确定这对文件是否兼容,并吐出哪些扩展名可以解密。
吉莱斯皮说,但是有陷阱。
他说:“不幸的是,在2019年8月结束之后进行的任何感染,除非使用脱机密钥加密,否则我们将无能为力。”如果从攻击者的服务器上拔出了在线密钥,受害者将失去运气。他补充说,提交给门户网站的文件必须大于150 KB,否则解密工具将无法工作,因为勒索软件会加密该文件中的多少文件。而且某些文件扩展名将很难恢复,因为每个文件扩展名对文件的前五个字节的处理方式不同。
他说:“受害者确实需要付出一些努力。”
这不是吉莱斯皮的第一个牛仔竞技表演。有一时间,他正在为那些已使用脱机密钥加密文件的受害者手动处理解密密钥。他建立了一个基本的解密工具,名为STOPDecrypter,用于解密一些受害者的文件。但是,使该工具保持最新状态是他与勒索软件攻击者一起玩的猫和老鼠游戏。每次他找到解决方法时,攻击者都会推出新的加密文件扩展名,以胜过他。
他说:“他们不断让我保持警惕。”
自STOPDecrypter启动以来,Gillespie收到了数千人的邮件,这些人的系统已被Stop勒索软件加密。 通过在Bleeping Computer论坛上发帖,他已经能够使受害者了解其发现和解密工具更新的最新信息。
但是,随着一些受害者变得更加迫切希望取回文件,吉莱斯皮面临着挫折的冲击。
“该网站的主持人耐心回应。 他们保持了和平,”他说。 “论坛上的其他一些志愿者也一直在帮助向受害者解释事情。”
他说:“有很多社区支持试图在每一点上提供帮助。”
吉莱斯皮说,该工具也将被纳入欧洲刑警组织的“不再勒索项目”,以便将来的受害者会收到解密工具可用的通知。

姓 名:
邮箱
留 言: