Hướng dẫn Tổng quan về dòng STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume...)

hongmieu98

Búa Đá
Bài này được viết vào 29/8/19, dựa trên bài viết trên diễn đàn Bleeping Computer
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/

*** Vài lời chia sẻ
Trong khoảng vài tháng vừa rồi, mình thấy nhiều bài hỏi về file bị mã hoá chủ yếu bởi dòng STOP ransomware. Trong các bài viết mình đều bình luận các phương pháp có thể khôi phục lại dữ liệu. Tuy nhiên, mình thấy rất nhiều người vào comment cài lại win, xoá hết file mã hoá hay... nên mình muốn viết bài này chia sẻ mọi người cùng hiểu một chút về ransomware này.

Tất cả các file khi bị dòng STOP mã hoá sẽ có các đuôi sau đây:
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel, .zatrov, .masok, .brusaf, londec, .krusop, .mtogas, .coharos, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .stare, .cetori, .carote, .gero, .hese, .geno, .seto, .peta, .moka, và .meds
Các bạn có thể đọc thêm giải thích ở bài viết này của Amigo-A (Andrew Ivanov).
Sau khi mã hoá, nó sẽ để lại ransom note như sau: !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt và !readme.txt. Dòng DJVU và mới hơn sẽ là _openme.txt, _open_.txt or _readme.txt

*** Một vài điều về ransomware này
Trong hầu hết các trường hợp, loại này nhiễm qua các phần mềm repacked, Cr@ck windows, office mà chủ yếu từ các trang như Crackithub.com, kmspico10.com. Ngoài ra, nó còn lây qua RDP (Remote Desktop Protocol) nếu không đủ an toàn, spam email, bundle kèm các app, lỗ hổng, update fake... Nếu các bạn không thích dùng antivirus thì tốt nhất nên backup dữ liệu thường xuyên.
Thường khi mình test nó sẽ chạy lệnh này: "vssadmin.exe Delete Shadows /All /Quiet run" để xoá các bản sao lưu shadow copy. Vậy chúng ta nên thay đổi vssadmin để an toàn hơn, cái này mình sẽ viết ở bài sau.
Khi chạy thường nó sẽ có thông báo update như thế này =)))) Ngoài ra nó sẽ block windows update, sửa file hosts để chặn vào các trang phần mềm diệt virus...

Ngoài ra để tiện hơn nữa, ví dụ như không có tiền trả mã hoá, dạo này nó sẽ kèm thêm Azorult Trojan để ăn cắp dữ liệu của máy tính. Vậy nên nếu có làm sao, các bạn nên thay đổi toàn bộ mật khẩu đăng nhập trên máy tính đó.

*** Các hướng giải quyết đã có
- Dr.Web có thể giải mã một số dòng này, tuy nhiên chỉ cho bản premium hoặc doanh nghiệp tại đây https://antifraud.drweb.com/encryption_trojs/?lng=en
- Demonslay335 (aka Michael Gillespie) đã tạo ra tool STOPDecrypter đã bao gồm cả Bruteforce cho dòng sử dụng mã hoá XOR cũ. Tuy nhiên đừng dùng tính năng bruteforce cho các dòng mới vì có thể gây hỏng file. Khi sử dụng phải được chạy dưới quyền admin.
Các bạn có thể tải tại đây:https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

*** Hướng dẫn sử dụng
Tool sẽ tự xác định dòng bị nhiễm. Tool chỉ có thể dùng được khi ransomware không thể kết nối được đến máy chủ để nhận key từ máy chủ, khi đó nó sẽ dùng key có sẵn của nó để mã hoá các file. Một số trường hợp có cả online key và offline key do nó chạy nhiều lần nhưng tool sẽ chỉ nhận offline key. Các file mã hoá online sẽ bị bỏ qua (skipped). Personal ID tool sẽ lấy từ file hoặc ransom note, lưu ý personal id không phải là key. Vậy nên không chỉnh mục cài đặt trừ khi được chính chủ tool liên hệ bảo điền vì có thể làm hỏng file.

Khi tool bỏ qua file với thông báo như "No key for ID", "No keys were found for the following IDs" hoặc "Unidentified ID" nó sẽ hiện thêm địa chỉ MAC của máy để sau này nếu có thể, giải mã các file của bạn. Bạn sẽ cần gửi thông tin theo mẫu sau cho chủ tool Demonslay335:
  • Personal ID (từ ransom note hoặc từ tool).
  • Extension of files (Đuôi mã hoá)
  • MAC (physical) Address(es) của thiết bị (card mạng, dây, Wi-Fi) của máy bị nhiễm, thường tool STOPDecrypter sẽ hiện
Lưu ý: + Nếu hiện [-] No key for ID: ?E??_^%&&&_TAGSDz?engD ??D??BPS DUR" hoặc kí tự đặc biệt nào đó, có nghĩa là file chưa bị mã hoá do quá lớn, tool sẽ đổi đuôi file lại ban đầu.
+ "Error: System.UnauthorizedAccessException: (5) Access is denied: [filepath]"
sẽ hiện khi bạn không chạy tool với quyền admin
+ "Fatal Error: The Typeinitializer for Alphaleonis.Win32.Filesystem.NativeMethods caused an exception. Aborting. Decrypted 0 files!" nghĩa là bạn cần cài lại framework, tool sẽ cần .NET Framework 4.5.2 trở lên.
+ Tool nếu nảy sinh bất kì lỗi nào khác cần phải PM tác giả để xử lý. Tool không cần chạy trên máy bị nhiễm trừ khi cần đến địa chỉ MAC của máy.
+ Tool không tự động xoá file, vậy nên đừng tích "Delete Encrypted Files". Ngoài ra nếu có vấn đề gì khác như mẫu mới, lỗi..., hãy liên hệ với tác giả.

***FAQ
- Liệu có thể giải mã file được không?
Chỉ khi bị mã hoá bằng Offline key. Vậy nên tất cả có thể làm bây giờ là lưu trữ lại mà thôi.

- Làm thế nào để gửi file?
Có thể comment trực tiếp vào topic bên Bleeping computer hoặc PM cho ông đấy.

-Có thể bruteforce được không?
Các dòng mới thì không vì nó dùng Salsa 20, trừ dòng đã đề cập ở trên.

Ngoài ra các bạn nên đọc thêm FAQ bên diễn đàn đó, khá là hay =)))))

10/9/2019: STOP decrypter sẽ dừng cập nhật. Malware đã thay đổi cơ chế mã hoá từ mẫu .coharos, vậy nên phiên bản hiện tại chỉ hoạt động với mẫu .carote trở về trước.
 
Sửa lần cuối:

dvh0422

Gà con
Nếu mà ngay từ đầu mình không vào 2 trang kia thì cũng không bị, cài anti virus ngay lúc mới cài win là ổn
 

hongmieu98

Búa Đá
Nếu mà ngay từ đầu mình không vào 2 trang kia thì cũng không bị, cài anti virus ngay lúc mới cài win là ổn
Nếu có anti virus hoặc app hay extension như adguard, chắc chắn nó sẽ chặn bạn vào hai trang đó =)))))
 
Tin công nghệ
Liên Hệ và Hợp Tác

Top