「STOPランサムウェア」の暗号化を阻止するのワクチンソフトウェアを公開

ドイツのセキュリティソフトウェア会社G DATAは、「STOP Ransomware」というランサムウェアが感染後に被害者のファイルを暗号化するのをブロックするワクチンソフトウェアをリリースしました。

https://github.com/struppigel/STOP-DJVU-Ransomware-Vaccine/releases/

このツールは、感染自体を防ぐものではありません。STOPランサムウェアは依然として身代金請求書を置いたり、システムの設定を変更される可能性があります

しかし、STOPランサムウェアのワクチンプログラムがインストールされていれば、もうファイルを暗号化させません。ファイルがワクチンで保護されていたという文字列がランサムノートに記載されます。

STOPランサムウェアのワクチンは、コンパイル済みの.EXEまたはPythonスクリプトとして、こちらからダウンロードできます。

このワクチンプログラムは、マルウェアが通常感染したシステムに展開するファイルを追加することで、デバイスがすでに侵害されているとランサムウェアを騙す仕組みになっているため、セキュリティソフトウェアにシステムが感染していると思われてしまう可能性があります。

2019年10月にSTOP Ransomwareの被害者向けに、EmsisoftとMichael Gillespieによって148亜種で暗号化されたファイルを無料で解読するための複合ツールもリリースされましたが、より新しい亜種では動作しなくなりました。したがって、このランサムウェアの系統に対する保護を希望する場合は、G DATAのワクチンプログラムが最善の策です。

しかし、攻撃者はワクチンがリリースされた後にバイパスするため、このワクチンは将来のバージョンのこのランサムウェアに対しては機能しなくなる可能性があります。

そのため、ワクチンを適用した後でも、重要なファイルも確実にバックアップしておく必要があります

STOPランサムウェアはフォーラムに寄せられたIDランサムウェアの投稿やサポートリクエストの中で、常に最も大きな割合を占めています。

このランサムウェアの活動が活発な時期には、1日に何千ものIDランサムウェアが送信されますが、そのうち60~70%はSTOPランサムウェアのものです。

https://id-ransomware.malwarehunterteam.com/

STOPランサムウェアは、主にホームユーザーをターゲットにしており、悪意のあるソフトウェアのクラックや無料プログラムを装ったアドウェアバンドルを押し付ける怪しげなサイトやアドウェアバンドルを介しています。

後者は通常、ユーザーのコンピュータに様々な不要なソフトウェアをインストールしますが、インストールされるプログラムの1つがSTOP Ransomwareのようなマルウェアであることが多いのです。

STOPランサムウェアの配布に使用されたという報告には、KMSPico、Cubase、Photoshop、ウイルス対策ソフトなどがあります。

STOPランサムウェアは、このような展開方法を用いる以外にも、ファイルを暗号化して拡張子を付加し、500ドルから1000ドルの身代金を要求するメモを垂れ流す、ごく普通のランサムウェアでもあります。

コメントを残す

メールアドレスが公開されることはありません。