Poznaj Stop Ransomware: najbardziej aktywny Ransomware, o którym nikt nie mówi

[Grandalf]

Czy kiedykolwiek słyszałeś o STOP Ransomware? Prawdopodobnie nie, ponieważ niewielu o tym pisze, większość naukowców tego nie obejmuje,
i w przeważającej części jest on skierowany do konsumentów crackowanego oprogramowania, pakietów oprogramowania reklamowego i podejrzanych witryn.

Zaloguj lub Zarejestruj się aby zobaczyć!

,

Zaloguj lub Zarejestruj się aby zobaczyć!

i

Zaloguj lub Zarejestruj się aby zobaczyć!

zyskują ogromną i zasłużoną uwagę mediów, ponieważ generują gigantyczne płatności

Zaloguj lub Zarejestruj się aby zobaczyć!

, mogą powstrzymać biznes i samorządy oraz wpłynąć na klientów korporacyjnych, którzy są chlebem powszednim dla firm AV.

Jednak w oparciu o dane identyfikacyjne Ransomware

Zaloguj lub Zarejestruj się aby zobaczyć!

i

Zaloguj lub Zarejestruj się aby zobaczyć!

, w ubiegłym roku było to najbardziej aktywnie dystrybuowane oprogramowanie ransomware na wolności.

Usługa identyfikacji ransomware

Zaloguj lub Zarejestruj się aby zobaczyć!

otrzymuje około 2500 zgłoszeń ransomware dziennie. Spośród nich 60–70% to ransomware STOP.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

Jezus maria, wyszla mi kobyla za ktora serdecznie przepraszam!!!

Nie mowi sie z jednego prostego powodu: dystrybucja. Dystrybucja odbywa sie przez rozne pseudo darkwebowe stronki, adware, cracki, lewe wersje programow itp. Ta, i owszem: jednym z kanalow dystrybucji jest/historycznie bylo KMSPico

Spoiler: pobrany stad

Zaloguj lub Zarejestruj się aby zobaczyć!

i inne takie na ogol

Spoiler: stad

Zaloguj lub Zarejestruj się aby zobaczyć!

, udajace np. dziela ratiborus'a (nie twierdze ze uzywanie oryginalnego "produktu" tego autora jest bezpieczne, dla scislosci, ale TEGO akurat nie zawiera...).
Z tego powodu ofiary stanowia na ool dosc szczegolna grupe osob o ograniczonych mozliwosciach raportowania przestepstwa "organom musowego przymusu" bo ciezko wyobrazic sbie losowego Sebe lecacego do dzielnicowego z meldunkiem: Panie polucjancie, a te wredne przestepce zablokowaly mnie dostep do plikow bo ukradlem wiedzmina fefnascie, nieprawdaz?
Losowa Karynka tez nie poleci i nie zamelduje: Panie wadzo, jak ukradlam offica to mnie zablokowalo pliki i kasy kce.

Dodatkowym utrudnieniem jest to ze czesto pojawiaja sie nowe warinaty, a Gillespie stwierdzil ze po ostatniej zmianie metody szyfrowania NIE jest w stanie na chwile obecna opracowac decryptora (spojler nizej).

Cos oprocz szyfrowania? Alez prosze uprzejmie: od mniej wiecej marca 2019 WSZYSTKIE odmiany probuja zenic trojana Azorult, ktory probuje zajumac haselka, wiec jak cos ten teges to zalecana zmiana (tu przed czami memi roztacza sie pejzaz osoby sciagajacej skrakowane internet security, aktywujace offica, ze szczegolnym uwzglednienem outlooka za pomoca zarazonego cracka/KMS i dziwiacej sie ze bandyty jedne sie wlamaly na poczte.... matko bosko) hasel do WSZYSTKICH serwisow online na ktore sie logowalo z zarazonej maszynki.

Dla zeglarzy po "bezpiecznych inaczej" wodach oraz pasjonatow krakowanych programow antywirusowych (moja ulubiona aberracja umyslowa) tu jest

Spoiler: lchronologia... mniej wiecej

Zaloguj lub Zarejestruj się aby zobaczyć!

przy czym na chwle obecna warianty z *** na poczatku NIE DAJA sie rozszyfrowac kluczem offline, bo maja poprawna implementacje szyfrowania asymetrycznego i szyfrowania online... ale prace trwaja

ponizej troszke TL;DR.
Deszyrator Gillespiego daje rade z odmianami puma, djvu, pdff, tro, tfude, rumba i niektorymi pochodnymi (patrz spojler wyzej)

Chronologicznie wyglada na to ze rozwoj nastepowal wg

Spoiler: linii

Zaloguj lub Zarejestruj się aby zobaczyć!

Troszke genetyki czyli co do czego? A prosze uprzejmie.
Dziadostwo generalnie mozna podzielic na nastepujace galezie:
I. STOP
odmiany STOP: STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA
odmiany KEYPASS: .KEYPASS, .WHY, .SAVEfiles
odmiany DATAWAIT: .DATAWAIT, .INFOWAIT

II. PUMA: .puma, .pumax, .pumas, .shadow

i oczywiscie najlatwiejsza, wiec najpopularniejsza rodzinka:
III. DJVU
Djvu-1: .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu
Djvu-2: .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee
Promo: .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .kropun1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden
Drume: .drume, .tronas, .trosak, .grovas, grovat, roland, refols, raldug, .etols
Guvara: .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .pidon, .poret, .heroset, .boston, .myskle, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .coharos, .nacro, .pedro, .nuksus, .vesrato, .cetori, .masodas, .stare, .carote, .shariz,
Gero: .gero, .hese, .geno, .seto, .peta, .moka, .meds, .kvag

Jak toto dziala(lo) (opis jest opisem dzialania wersji dosc historycznej, wiec tego....)
1. laczy sie z C&C, wymieniajac dane po http JSONem (ciekawostka: niektore wersje posluguja sie wlasnym DNS, np. api.2ip.ua dla komunikacji)
a) niektore warianty modyfikuja hosts,

Spoiler: dodajac wpisy

Zaloguj lub Zarejestruj się aby zobaczyć!

2. jak nie da rady sie polaczyc z C&C, to zaczyna szyfrowanie uzywajac zhardcodowanego klucza (co DAWALO sie wykorzystac przy deszyfracji, jesli wyslano probke szyfratora)
3. Szyfrowanie AES-CFB z 32bitowym kluczem, szyfrowanie pierwszych 5MB (okolo) kazdego pliku
4. probuje uzyc rdpclip zeby rozmnozyc sie na inne kompy w sieci
5. usuwa sie z pomoca delself.bat

przykladowe wyniki analizy

Spoiler: sa tu

Zaloguj lub Zarejestruj się aby zobaczyć!

definicje

Spoiler: detekcji przez niektore zabezpieczenia

Zaloguj lub Zarejestruj się aby zobaczyć!