李逵变李鬼,亚信安全揭秘STOP勒索病毒入侵全过程!
近日,亚信安全收到用户反馈,其电脑文件被加密,加密后缀为.jyos。对此,亚信安全技术专家非常重视,立即进行溯源分析,最终得出结论:由于该用户需要文本比对工具,其通过搜索引擎搜索文本对比工具,并点击进入第三方下载站点,下载了该工具的破解版本,在运行软件过程中,被有恶意属性的盗版软件(李鬼)勒索加密,此勒索软件正是臭名昭著的STOP!
关于STOP
STOP勒索病毒最早出现在2018年2月份左右,从2018年8月份开始在全球范围内活跃,主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播,最近一两年STOP勒索病毒捆绑过KMS激活工具进行传播,甚至还捆绑过其他防毒软件,到目前为止此勒索病毒一共有160多个变种,虽然已有140多个变种被解密,但最新的一批STOP勒索病毒仍然无法解密,常见后缀:.TRO .djvu .puma .pumas .pumax .djvuq .litrar…
传播方式及行为
Stop勒索病毒可透过“破解软件”,“免费软件”等下载站点进行传播,诱导受害者下载,进而感染勒索病毒;
产生多个副本,在注册表,计划任务等进行持久化驻留;
与C2服务器连接,若连接成功,则获取命令及下载其他恶意软件;
窃密IE数据;
使用离线和在线两种方式加密文件。
STOP勒索攻击链
亚信安全解决方案
“
「方舟」勒索治理解决方案
超全。「方舟」勒索治理解决方案汇聚云、网、边、端、邮全栈检测数据,多维度“感知”勒索信息和攻击趋势,全面前置勒索防护,封堵勒索传播源头,扼制攻击态势。在响应和处置阶段,利用立体化防护,云网边端邮产品智能联动,本地+云端威胁情报研判,切断勒索攻击途径、拦截勒索加密行为;同时,全局感知和可视化技术,能够“具象化”勒索事件和产品能力,战局尽在掌控。
极简。仅需部署一台服务器,无需安装其他组件,即可完成UAP勒索治理平台远程运营的零感部署和升级。简化无效操作,聚合安全能力,实现一个平台、一键处置勒索风险,同时配合亚信安全的安全运营专家团队,第一时间远程响应处置,进阶“平台+产品+服务”的一体化治理。
无惧勒索第一步,开启勒索体检。亚信安全专业的安全团队将根据报名用户的具体情况,分行业、场景和需求,定制专项体检服务,专家+产品+平台的模式,为客户进行全面的勒索威胁评估,找到潜在隐秘威胁,早发现早处置。
只需一键申请,便可一步知晓安全“健康”情况,全面勒索体检服务,给安全加码。
“
亚信安全病毒码直接检测
亚信安全云病毒码版本18.383.71,传统病毒码版本18.383.60,全球码版本18.383.00可对该勒索进行检测。
亚信安全梦蝶病毒码版本1.6.0.133可对该勒索进行检测。
安全建议
全方位部署安全产品,并及时更新病毒码,打开产品的行为监控功能;
部署EDR产品,EDR能对终端发生的异常行为产生告警。即使事件发生,也能在事后溯源中提供各类详细日志;
提高安全意识,到官方网站下载正版程序使用;
不点击陌生链接,不打开陌生人发来的邮件;
注意备份重要文档,备份的最佳选择是采取3-2-1原则,即至少三个副本,用两种不同格式保存,副本异地存储。
了解亚信安全,请点击“阅读原文”