مركز ماهر هشدار داد:
انتشار گسترده یك باج افزار در كشور
مركز ماهر از انتشار گسترده نسخه جدید باج افزار STOP در كشور اطلاع داده كه در نرم افزارهای در رابطه با رساله ها جاسازی می شود و بیشتر، قشر دانشجو و كاربران خانگی را هدف قرار داده است.
به گزارش سایت شیک به نقل از مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری، باج افزار STOP برای اولین بار در تاریخ ۲۵ دسامبر ۲۰۱۷ میلادی مشاهده شده است. این باج افزار تابحال با اسامی مختلفی همچون STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است. اما به صورت کلی به دو دسته STOP و Djvu تقسیم می گردد. Djvu در واقع نسخه جدیدتر این باج افزار بوده که از نظر عملکرد شبیه والد خود (STOP) است و امروزه آنها را با نام STOP/Djvu می شناسند. تعدد نسخه ها در فواصل زمانی کوتاه در واقع تکنیکی است که باج افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می نماید. تابحال بیشتر از ۲۰۰ پسوند مختلف از این باج افزار مشاهده شده و بر مبنای آمارهای انتشار یافته در وبسایت Emsisoft تنها در سه ماهه اول ۲۰۲۰ بیشتر از ۶۶ هزار مورد گزارش آلودگی به این باج افزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً ۷۰ درصد از موارد آلودگی به باج افزارها در سطح جهان را به خود مختص کرده است. نسخه هایی از این باج افزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و … در کشور ایران هم مشاهده شده است. باج افزار STOP/Djvu با زبان برنامه نویسی C++ نوشته شده است. نسخه های جدید این باج افزار در کد نویسی خود به شدت مبهم سازی (Obfuscate) شده اند و از انواع روش های anti-emulation و anti-debugging برای پیشگیری از تحلیل توسط تحلیل گران بدافزار بهره برده اند. بعضی از نسخه های این باج افزار هم با عنایت به منطقه زمانی و موقعیت جغرافیایی میزبان فرایند رمزگذاری را انجام می دهند و بدین ترتیب به صورت هدفمندتر قربانیان خویش را انتخاب می کنند. این باج افزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خویش را در راه %AppData%\Local\ کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط می گیرد و فایل ها را با کلید آنلاین و الگوریتم نامتقارن RSA-۲۰۴۸ رمزگذاری می کند. در بعضی نسخه ها از الگوریتم Salsa۲۰ هم برای رمزگذاری فایل ها استفاده شده است. در صورتیکه باج افزار به هر علت موفق به برقراری ارتباط با سرور خود نشود از روش آفلاین (الگوریتم AES-۲۵۶) برای رمزگذاری فایل ها استفاده می نماید. نسخه های اولیه این باج افزار از روش آفلاین برای رمزگذاری فایل های قربانیان استفاده می کردند و شرکت هایی مثل Emsisoft توانستند برای این نسخه ها رمزگشا عرضه کنند. اما از آگوست ۲۰۱۹ شیوه رمزگذاری باج افزار STOP/Djvu تغییر نمود و هم اکنون تنها به روش آنلاین رمزگذاری را انجام می دهد. بنابراین بدون کلید خصوصی مهاجم که در سرور C&C باج افزار ذخیره شده است عملاً رمزگشایی فایل ها غیر ممکن خواهد بود. در مواردی مشاهده شده که باج افزار STOP/Djvu بعد از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجان ها و جاسوس افزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می کند هم آلوده کرده است. بنابراین توجه به این نکته، در زمان عرضه خدمات، امداد به قربانیان این باج افزار ضروری می باشد. باج افزار STOP/Djvu برای پیشگیری از شناسایی و دور زدن آنتی ویروس ها به صورت مداوم پسوند و ساختار خویش را تغییر می دهد. بنابراین است که حتی از سد به روزترین آنتی ویروس ها هم عبور می کند. طبق گزارش های رسیده از قربانیان این باج افزار در سراسر جهان، باج افزار STOP/Djvu معمولاً از راه کرک و فعال سازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرم افزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و …) و همینطور لایسنس های تقبلی و حتی آپدیت های جعلی ویندوز منتشر می شود. نسخه هایی از این باج افزار حتی در چارچوب اسناد آفیس و فایل Setup نرم افزارهای در رابطه با رساله ها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق می توان اینگونه نتیجه گیری کرد که جامعه هدف باج افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمان ها تهدید کمتری به حساب می آید. ازاین رو اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باج افزار است که بیشتر مبتنی بر دانلود فایل های آلوده در اثر بی احتیاطی کاربران است. طبق بررسی های صورت گرفته از جانب مرکز ماهر، می توان اظهار داشت که رفتار باج افزار STOP/Djvu در کشور ایران به صورت فصلی است و در فصولی که دانشجویان به دنبال یافتن قالب برای رساله ها یا سایر مقالات و عرضه های خود هستند، رخدادهای بیشتری مشاهده می شود. ازاین رو به منظور جلوگیری از آلودگی و مقابله با این باج افزار سفارش می شود که در مرحله اول سیستم عامل، آنتی ویروس و سایر نرم افزارها به صورت مداوم به روزرسانی شوند. همینطور کاربران باید از دانلود هرگونه فایل یا نرم افزار از وبسایت های ناشناس خودداری کرده و پیش از اجرای فایل ها روی سیستم خود حتما آنها را با آنتی ویروس های به روز و سامانه های آنلاین مثل VirusTotal اسکن کنند. مرکز ماهر تصریح کرد: پشتیبان گیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج افزارها است.
منبع: سایت شیك
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب