Самым активным вымогательским ПО в настоящее время являются представители семейства STOP. К такому выводу пришел эксперт Bleeping Computer Лоуренс Абрамс (Lawrence Abrams), проанализировав жалобы пострадавших на форуме компании и на ИБ-сайте ID Ransomware.

В прошлом году на долю STOP и его вариаций приходилась половина детектов среди образцов, артефакты которых пользователи загружают на ID Ransomware в надежде получить помощь. В этом году вклад активно распространяемого зловреда заметно возрос. По словам Абрамса, идентификационный сервис ID Ransomware ежедневно собирает порядка 2,5 тыс. загрузок и в 60–70% случаев возвращает вердикт STOP.

Этот Windows-вымогатель проникает на компьютеры жертв в основном вместе с пиратским ПО или adware-пакетом, по ошибке скачанным с теневого сайта. По своему поведению STOP мало отличается от своих собратьев: он шифрует файлы, добавляет к результату расширение и оставляет на машине записку с требованием выкупа. Семейство выделяет лишь огромное количество модификаций, которые не перестают плодиться, — эксперты иногда регистрируют по 3-4 варианта в сутки, и тут же появляются тысячи новых жертв.

STOP ransomware detections

Шифровальщики, с которыми наиболее часто сталкиваются пользователи ID Ransomware (источник: Bleeping Computer)

За два года своего присутствия в Сети авторы STOP обновляли его не менее 160 раз. При этом они обычно меняют используемое расширение и контактные email-адреса, иногда — имя файла с требованием выкупа. Злоумышленники также экспериментируют с разными криптоалгоритмами: вначале это был AES-256 в режиме CFB, в конце прошлого года появились варианты, оперирующие XOR, а затем STOP перешел на Salsa20 (с выходом модификации Djvu).

Универсального бесплатного декриптора для STOP до сих пор нет, однако крупнейшему специалисту по вымогательскому ПО Майклу Гиллеспи (Michael Gillespie) иногда удается оказать помощь жертвам. Созданная им утилита STOPDecryptor содержит ряд ключей расшифровки, которыми STOP пользуется в автономном режиме — когда C&C-сервер недоступен.  К сожалению, в конце августа авторы зловреда опять сменили шифр, и исследователи пока не в состоянии помогать жертвам в прежнем объеме.

Новейший вариант шифровальщика использует расширение .karl и оставляет записку в файле _readme.txt, в которой требует 980 долларов за расшифровку, со скидкой 50% в течение первых трех суток после заражения. Идти на поводу у вымогателей эксперты не советуют: успех воодушевляет, и подобные зловреды будут множиться и впредь.

Категории: Аналитика, Вредоносные программы