近日，亞信安全收到用戶反饋，其電腦文件被加密，加密后綴為.jyos。對此，亞信安全技術(shù)專家非常重視，立即進行溯源分析，最終得出結(jié)論：由于該用戶需要文本比對工具，其通過搜索引擎搜索文本對比工具，并點擊進入第三方下載站點，下載了該工具的破解版本，在運行軟件過程中，被有惡意屬性的盜版軟件(李鬼)勒索加密，此勒索軟件正是臭名昭著的STOP！

關(guān)于STOP

STOP勒索病毒最早出現(xiàn)在2018年2月份左右，從2018年8月份開始在全球范圍內(nèi)活躍，主要通過捆綁其它破解軟件、廣告類軟件包等渠道進行感染傳播，最近一兩年STOP勒索病毒捆綁過KMS激活工具進行傳播，甚至還捆綁過其他防毒軟件，到目前為止此勒索病毒一共有160多個變種，雖然已有140多個變種被解密，但最新的一批STOP勒索病毒仍然無法解密，常見后綴：.TRO .djvu .puma .pumas .pumax .djvuq .litrar…

傳播方式及行為

Stop勒索病毒可透過“破解軟件”，“免費軟件”等下載站點進行傳播，誘導(dǎo)受害者下載，進而感染勒索病毒；

• 產(chǎn)生多個副本，在注冊表，計劃任務(wù)等進行持久化駐留；

• 與C2服務(wù)器連接，若連接成功，則獲取命令及下載其他惡意軟件；

• 竊密IE數(shù)據(jù)；

• 使用離線和在線兩種方式加密文件。

STOP勒索攻擊鏈

亞信安全解決方案

「方舟」勒索治理解決方案

超全。「方舟」勒索治理解決方案匯聚云、網(wǎng)、邊、端、郵全棧檢測數(shù)據(jù)，多維度“感知”勒索信息和攻擊趨勢，全面前置勒索防護，封堵勒索傳播源頭，扼制攻擊態(tài)勢。在響應(yīng)和處置階段，利用立體化防護，云網(wǎng)邊端郵產(chǎn)品智能聯(lián)動，本地+云端威脅情報研判，切斷勒索攻擊途徑、攔截勒索加密行為；同時，全局感知和可視化技術(shù)，能夠“具象化”勒索事件和產(chǎn)品能力，戰(zhàn)局盡在掌控。

極簡。僅需部署一臺服務(wù)器，無需安裝其他組件，即可完成UAP勒索治理平臺遠程運營的零感部署和升級。簡化無效操作，聚合安全能力，實現(xiàn)一個平臺、一鍵處置勒索風(fēng)險，同時配合亞信安全的安全運營專家團隊，第一時間遠程響應(yīng)處置，進階“平臺+產(chǎn)品+服務(wù)”的一體化治理。

無懼勒索第一步，開啟勒索體檢。亞信安全專業(yè)的安全團隊將根據(jù)報名用戶的具體情況，分行業(yè)、場景和需求，定制專項體檢服務(wù)，專家+產(chǎn)品+平臺的模式，為客戶進行全面的勒索威脅評估，找到潛在隱秘威脅，早發(fā)現(xiàn)早處置。

只需一鍵申請，便可一步知曉安全“健康”情況，全面勒索體檢服務(wù)，給安全加碼。

亞信安全病毒碼直接檢測

亞信安全云病毒碼版本18.383.71，傳統(tǒng)病毒碼版本18.383.60，全球碼版本18.383.00可對該勒索進行檢測。

亞信安全夢蝶病毒碼版本1.6.0.133可對該勒索進行檢測。

安全建議

• 全方位部署安全產(chǎn)品，并及時更新病毒碼，打開產(chǎn)品的行為監(jiān)控功能；

• 部署EDR產(chǎn)品，EDR能對終端發(fā)生的異常行為產(chǎn)生告警。即使事件發(fā)生，也能在事后溯源中提供各類詳細日志；

• 提高安全意識，到官方網(wǎng)站下載正版程序使用；

• 不點擊陌生鏈接，不打開陌生人發(fā)來的郵件；

• 注意備份重要文檔，備份的最佳選擇是采取3-2-1原則，即至少三個副本，用兩種不同格式保存，副本異地存儲。