Cứu dữ liệu bị mã hóa bởi ransomware STOP (Djvu, Puma, …)

Tuy rằng STOP (Djvu) có thể không nổi tiếng như WannaCry, GandCrab hay Sodinokibi, nhưng với 160 biến thể, hơn 116,000 nạn nhân đã xác nhận và ước tính tổng số ca lây nhiễm thực tế lên tới 460,000 trường hợp, hiện nay STOP (Djvu) đang là họ mã độc tống tiền hoạt động và lây lan mạnh nhất. WorldStar International (WSI) cũng đã gặp vài trường hợp khách hàng tìm đến nhờ tư vấn cứu dữ liệu sau khi bị mã hóa bởi một trong các biến thể của nó.

Tin vui dành cho các nạn nhân của họ ransomware này là mới đây Emsisoft đã công bố một công cụ miễn phí để giải mã các file bị mã hóa.

Theo thông tin từ Emsisoft, phương thức được họ áp dụng để tìm ra cơ chế mã hóa của STOP là thông qua tấn công side-channel – dựa trên việc thu thập thông tin được sinh ra khi máy tính thực hiện các thao tác mã hóa, từ đó biên dịch ngược (reverse engineer) để tìm ra keystream – chuỗi ký tự được dùng để mã hóa. Cho đến thời điểm hiện tại, đây là lần đầu tiên phương thức này được ứng dụng trên diện rộng để cứu dữ liệu bị mã hóa bởi mã độc tống tiền.

Họ mã độc tống tiền STOP lây lan chủ yếu qua các phần mềm lậu, các bản crack hay key-gen cho phần mềm hoặc game, và thậm chí cả các gói phần mềm miễn phí từ những nguồn không tin cậy, do vậy người dùng Việt Nam vốn đã quen với việc sử dụng các phần mềm lậu sẽ rất dễ trở thành nạn nhân và sau đó tiếp tục lây lan cho những người dùng chung hệ thống máy.

Tệ hơn nữa, một số biến thể của STOP còn được gắn thêm mã độc khác, ví dụ như các loại Trojans đánh cắp mật khẩu.

STOP Djvu detection heatmap

STOP Djvu detection heatmap

STOP Djvu detection heatmap closer look: Europe, Middle East, Africa and Asia

STOP Djvu detection heatmap closer look: Europe, Middle East, Africa and Asia

Công cụ giải mã miễn phí của Emsisoft có thể giải mã những file đã bị mã hóa, tuy nhiên nó chỉ đảm bảo cứu dữ liệu thành công cho 148 trên tổng số 160 biến thể. Theo ước tính, con số này tương ứng với việc khoảng 70% số nạn nhân sẽ cứu được dữ liệu của họ. Với những nạn nhân của 12 biến thể còn lại, đặc biệt là những biến thể sau khoảng tháng 8/2019, vẫn có thể tải công cụ giải mã để thử tuy tỷ lệ thành công không cao, phần hướng dẫn phía dưới không dành cho những biến thể này.

Nếu bạn bị nhiễm ransomware và bị mã hóa file bởi họ mã độc tống tiền STOP, vui lòng làm theo hướng dẫn phía dưới hoặc liên hệ với WorldStar International để được tư vấn và hỗ trợ cứu dữ liệu.

 

LÀM SAO ĐỂ NHẬN BIẾT MÃ ĐỘC TỐNG TIỀN THUỘC HỌ STOP

Khi bị mã hóa dữ liệu bởi ransomware, rất dễ để nhận ra việc các file trong hệ thống xuất hiện những phần mở rộng (extension, đuôi file…) lạ, đồng thời xuất hiện thư tống tiền “_readme.txt” có nội dung dạng như sau:

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-sTWdbjk1AY
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gerentoshelp@firemail.cc

Your personal ID:
[redacted]

Để biết tên của họ mã độc mà bạn bị lây nhiễm, dễ dàng nhất là dựa vào phần mở rộng của các file bị mã hóa, ví dụ .puma, .djvu, … ngoài ra phần địa chỉ email trong thư tống tiền cũng là một thông tin quan trọng.

 

DỰA VÀO PHẦN MỞ RỘNG (ĐUÔI FILE) ĐỂ PHÂN BIỆT CÁC BIẾN THỂ MÃ ĐỘC TỐNG TIỀN HỌ STOP

Với khoảng hơn 160 biến thể được phát hiện cho đến giờ, họ STOP được chia làm 4 nhóm chính, mỗi nhóm có tỷ lệ giải mã thành công khác nhau:

  • Biến thể với phần mở rộng VIẾT HOA (ví dụ: .INFOWAIT, .DATAWAIT, .KEYPASS)– Một số biến thể thuộc nhóm này có thể được giải mã với công cụ STOP Puma decryptor bằng cách cung cấp một cặp file trước và sau khi bị mã hóa với kích thước trên 150KB.
  • Biến thể dạng Puma (ví dụ: .puma, .pumas, .pumax)– Tất cả biến thể thuộc nhóm này có thể được giải mã với công cụ STOP Puma decryptor bằng cách cung cấp một cặp file trước và sau khi bị mã hóa với kích thước trên 150KB.
  • Biến thể Djvu cũ (ví dụ: .djvu, .roland, .verasto)– Nhóm phổ biến nhất. Các file bị mã hóa sẽ luôn có kích thước lơn hơn 78 bytes so với file gốc. Tất cả các biến thể thuộc nhóm này có thể được giải mã với công cụ STOP Djvu decryptor (đọc kỹ hướng dẫn) theo hai cách: offline keys hoặc cung cấp vài cặp file trước và sau khi mã hóa với kích thước trên 150KB.
  • Biến thể Djvu mới (ví dụ: .gero, .meds, .boot)– Các biến thể mới nhất của họ STOP (Djvu) mới bắt đầu phát tán từ khoảng tháng 8 / 2019, các file này luôn có kích thước lớn hơn 334 bytes so với file gốc. Công cụ STOP Djvu decryptor có thể sẽ hiệu quả, tuy nhiên chỉ trong một số tình huống.

Nếu các file bị mã hóa của bạn có phần mở rộng nằm trong danh sách dưới đây, bạn đã bị lây nhiễm bởi một biến thể Djvu loại cũ, và xin chúc mừng, các file đó có thể được giải mã để cứu dữ liệu bằng STOP Djvu decryptor:

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

GIẢI MÃ CỨU DỮ LIỆU BỊ MÃ HÓA BỞI MÃ ĐỘC TỐNG TIỀN HỌ STOP

Bước 1: Chuẩn bị file mẫu

Đầu tiên bạn cần các bộ file mẫu bao gồm file bị mã hóa và file gốc, đảm bảo các điều kiện sau:

  • Mỗi loại file cần một cặp mẫu
  • Mẫu phải là cùng một file trước và sau khi bị mã hóa
  • Kích thước file tối thiểu 150KB

Ví dụ bạn muốn phục hồi các file doc, docx, xls, xlsx, psd, ai, cdr, … thì bạn cần chuẩn bị file mẫu cho từng loại file sau đó upload lên để công cụ phân tích tìm key, sau đó dùng công cụ đó để giải mã tất cả các file cùng loại đó trong máy của bạn. Vì chuỗi key cho mỗi máy bị mã hóa là khác nhau nên công cụ cần có mẫu để phân tích trước khi giải mã.

Việc tìm file mẫu thực ra rất đơn giản, tốt nhất bạn nên kiểm tra những file bị mã hóa xem có file nào được tải xuống từ internet hoặc có file sao lưu trên cloud (Google Drive, OneDrive, …) và tải lại file gốc tương ứng, khi đó bạn sẽ có trong tay cặp file mẫu cần thiết cho loại file đó.

Bước 2: Đưa mẫu lên trang web của dịch vụ để học mẫu

Nếu mã độc bạn bị lây nhiễm thuộc 2 nhóm biến thể đầu tiên (phần mở rộng viết hoa hoặc .puma…) chỉ cần tải công cụ STOP Puma decryptor và làm theo bước 3.

Nếu trường hợp của bạn rơi vào nhóm biến thể Djvu, bạn cần truy cập vào địa chỉ https://decrypter.emsisoft.com/submit/stopdjvu/ để tải cặp file mẫu lên

Tải cặp file mẫu lên trang web

Sau khi bấm Submit, hình tròn đang xoay sẽ xuất hiện trong khi dịch vụ xử lý cặp file mẫu. Quá trình này có thể mất vài phút nên vui lòng kiên nhẫn chờ. Sau khi xử lý thành công, một thông báo sẽ xuất hiện và bạn có thể tải công cụ về để giải mã loại file đã submit hoặc tiếp tục upload các cặp file mẫu khác. Trừ phi bạn đang cần giải mã gấp file nào đó, còn lại thông thường WSI khuyến nghị bạn nên upload và xử lý tất cả những cặp file mẫu trước khi công cụ về.
Lưu ý: File công cụ tải về chỉ áp dụng cho máy của bạn.

Files Processed

Sau khi đã xử lý xong cặp file mẫu

 

Bước 3: Sử dụng STOP Decryptor để cứu dữ liệu bị mã hóa

Sau khi tải về, hãy đảm bảo rằng máy của bạn được kết nối với Internet và khởi chạy chương trình giải mã. Thông thường đến bước này, bảng UAC (User Account Control) của Windows sẽ xuất hiện để hỏi bạn có chấp nhận cho phép công cụ giải mã tác động vào các file trong máy, nhấn Yes hoặc đăng nhập tài khoản admin nếu cần.

Cửa sổ License Term sẽ xuất hiện, tiếp theo là cửa sổ hướng dẫn. Đọc xong bạn nhấn Yes để tiếp tục.

Màn hình chính của công cụ sẽ xuất hiện. Mặc định của chương trình đã lựa chọn sẵn các ổ cứng trong máy của bạn. Bạn có thể thêm hoặc bỏ bớt các thư mục theo ý muốn rồi nhấn Decrypt.

 

Done! Vậy là bạn đã có thể giải mã cứu dữ liệu bị mã hóa bởi ransomware họ STOP.

Tuy nhiên vẫn còn rất nhiều các loại ransomware mà hiện thời chưa có cách nào giải mã hay cứu dữ liệu. Cách tốt nhất để đảm bảo an toàn trước mối nguy đến từ ransomware – mã độc tống tiền nói riêng và các loại mã độc nói chung vẫn là chủ động phòng chống, bằng các giải pháp như:
Phần mềm Diệt Virus thế hệ mới AhnLab V3 Internet Security (và phiên bản V3 Net dành cho máy chủ.)
Giải pháp toàn diện chống APT và các mã độc chưa được nhận biết AhnLab MDS.

Nếu cần thêm thông tin hoặc tư vấn liên quan đến các sự cố bảo mật, vui lòng liên hệ với chúng tôi qua
Số điện thoại:  (+84) 24 7306 8338
Hotline: 1800 6021
Facebook fanpagehttps://www.facebook.com/worldstar.international.jsc

Nguồn:
https://blog.emsisoft.com
http://bleepingcomputer.com

Hoàng Hải.

 

 

 

 

 

 

 

 

 

 

 

 

 

This post is available in: viTiếng Việt