گسترش باج‌افزار STOP/Djvu در ایران | روش های آلوده شدن به باج افزار

گسترش باج‌افزار STOP/Djvu در ایران

گزارشات بدست آمده از حملات باج‌افزاری اخیر، از شیوع گسترده گسترش باج‌افزار STOP/Djvu در سطح کشور خبر می‌دهد.

باج‌افزار‌ها (Ransomwares) نوع خاصی از بدافزار‌ها(Maleware) هستند که فایل‌های سیستم شما را رمزنگاری کرده و در قبال رمزگشایی و بازیابی داده‌ها از شما درخواست پرداخت هزینه می‌کنند.

باج افزار ها انواع مختلفی دارند ولی وجه شباهت آنها در درخواست مبلغ جهت رمزگشایی اطلاعات می باشد.

باج‌افزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن می‌باشد که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvu می‌شناسند.

باج افزار STOP/Djvu داده های کاربران را با الگوریتم (AES-556 (CFB mode رمزگذاری می کند. هرچند دراین روش هکرها همه فایلها را رمزگذاری نمی کند، ولی در ابتدا حدود 5 مگابایت از فایلهای وندوزی و فایلها با پسوندهای شناخته شده رمزگذاری می شوند. سپس هکر برای رمزگشایی فایل ها از مالک سیستم، مبلغی حدود 980 دلار بصورت بیت کوین درخواست می کند.

ریشه این باج افزار از کشور روسیه می باشد. در این کلاهبرداری ها از زبان روسی و کلمات روسی استفاده شده و دامنه های مربوطه از طریق شرکت های رجیسترار دامنه در روسیه ثبت شده اند. کلاهبرداران به احتمال زیاد در کشورهای دیگر نیز متحد دارند.

روش های آلوده شدن به باج افزار DJVU:

بسیاری از قربانیان این باج افزار بیان می کنند که پس از دانلود و نصب برنامه های رایج از منابع نامعتبر، سیستم آنها آلوده شده است. زیرا که هکرها کدهای مخرب را در فایلهای نصب برنامه‌های رایج MS Windows و MS Office (مانند KMSAuto Net ، KMSPico و غیره) مخفی نموده و درنتیجه با نصب برنامه از منابع نامعتبر سیستم کاربر آلوده می گردد.

این باج‌افزار از روش‌های متنوعی برای نفوذ و انتشار خود به سیستم قربانی استفاده می‌کند. کرک‌های آلوده ویندوز و محصولات آفیس، درایورها و آپدیت‌های جعلی و همچنین سوء استفاده از پروتکل RDP از روش‌های انتشار این باج‌افزار می‌باشد.

همچنین کدهای مخرب(Cryptoware) این باج افزار ممکن است از طریق بازکردن ایمیل های اسپم و پیوست های آلوده ، دانلود فایلهای آلوده، exploits، تزریق وب(web injectors)، به روزرسانی های مشکوک، نصب فایلهای آلوده و… منتشر شود.

پسوند های رمزگذاری شده توسط باج افزار DJVU:

لیست پسوندهای فایل که توسط این باج افزار رمزگذاری می شود، به شرح زیر است:

فایلهای MS Office یا OpenOffice ، فایلهای متنی و PDF ها ، پایگاه داده ، عکس ها ، فایلهای موزیک ، فایلهای تصویری یا ویدئویی ، فایل‌های آرشیو(archives)، فایلهای application ها و غیره.

مراحل آلوده شدن و رمزگذاری فایلها:

  • پس از دریافت فایل آلوده روی سیستم به هرکدام از روش‌های بالا، کدهای مخرب(cryptoware) اجرایی به سرور Command and Control )С&C) متصل می شود. در نتیجه ، کلید رمزنگاری(encryption key) و شناسه معرف infection identifier را برای رایانه قربانی بدست می آورد. داده ها تحت پروتکل HTTP به فرمت JSON منتقل می شوند.
  • اگر С&C در دسترس نباشد (در مواقعی که رایانه قربانی به اینترنت متصل نباشد و سرور پاسخ نمی دهد)، باج افزار مستقیما کلید رمزگذاری(encryption key) را که در کد پنهان شده است، اعمال می کند و بطور اتوماتیک رمزنگاری انجام می دهد. در این حالت، رمزگشایی پرونده ها بدون پرداخت باج نیز امکان پذیر است.
  • کدمخرب/cryptoware از rdpclip.exe برای جایگزینی فابلهای اصلی ویندوز و حمله به شبکه رایانه استفاده می کند.
  • پس از رمزگذاری موفقیت آمیز فایلها ، دستور رمزگذاری به صورت اتوماتیک با استفاده از فرمان delself.bat حذف می شود.

فایل‌های مرتبط:

%LocalAppData%\[guid]\[random_numbers]tmp.exe

%LocalAppData%\[guid]\2.exe

%LocalAppData%\[guid]\1.exe

%LocalAppData%\[guid]\3.exe

%LocalAppData%\[guid]\updatewin.exe

C:\Windows\System32\Tasks\Time Trigger Task

فایل رجیستری (Registry Entries):

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

ترافیک شبکه :

api.2ip.ua

morgem.ru

لیست کامل پسوندهای شناخته شده DJVU:

اگر هرکدام از پسوندهای زیر را روی سیستم خود ملاحظه نمودید، بدانید که سیستم شما آلوده شده است:

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec

روش بازگشایی فایل‌های رمز شده:

Michael Gillespie ، متخصص تحقیقات رمزنگاری ، روشی جهت رمزگشایی فایلهای سیستم در حالتی که سیستم از طریق رمزنگاری آفلاین کد شده است، معرفی کرده است.

مایکل یک ابزار رمزگشایی رایگان با عنوان STOPDecrypter را منتشر کرد. این ابزار شامل BruteForcer برای انواع مختلفی است که از رمزگذاری XOR استفاده می کنند.

 

به یاد داشته باشید: STOPDecrypter باید با دسترسی Administrator در دسکتاپ اجرا شود.

البته توجه داشته باشید که تاکنون تعداد محدودی از نسخه‌های آفلاین باج‌افزار STOP/Djvu تحت شرایط خاص قابل رمزگشایی بودند.

اما اخیراً با توجه به اینکه توسعه‌دهندگان این باج‌افزار در نسخه‌های جدیدتر، شیوه خود را تغییر داده و از الگوریتم رمزنگاری نامتقارن استفاده کرده‌اند، از این پس، فایل‌های رمزگذاری شده توسط باج‌افزار STOP/Djvu بدون کلید خصوصی توسعه‌دهنده باج‌افزار قابل رمزگشایی نخواهند بود.

سوالات متداول

  • باج افزر چیست؟
    نوعی بدافزار هستند که با قراردادن رمز بر روی فایل ها و یا هارد شما برای شما ایجاد مشکل میکنند و با ایجاد پیام های بر روی نمایشگر شما از شما درخواست مبلغی پول میکنند .این نوع از بد ازار ها جزو خطرناک ترین بدافزار ها به حساب می آیند
  • چطور به باج افزار ها آلوده میشویم؟
    بسیاری از قربانیان این باج افزار بیان می کنند که پس از دانلود و نصب برنامه های رایج از منابع نامعتبر، سیستم آنها آلوده شده است.آن ها با ایجاد فایل ای آلوده به راحتی به سیستم شما دست پیدا مینمایند

در صورتی که مقاله فوق مورد توجه شما قرار گرفته پیشنهاد میکنیم مقالات “خطای ssl چیست | آموزش رفع خطای ssl در گوگل کروم، موبایل و اندروید” و ”علت بلاک شدن IP در فایروال سرور” در بلاگ مرواهاست مطالعه فرمایید

فیس بوک
توییتر
لینکدین
تامبلر
پین ترست
رددیت
ایمیل

8 آذر 1402

در 14:06

در دنیای امروز، ایمیل یکی از ابزارهای اصلی ارتباطی و کاری برای افراد و شرکت‌ها است. اغلب ما با داشتن چندین ایمیل از منابع مختلف، با مشکلاتی از جمله زمان‌بری ...

28 آبان 1402

در 17:17

یکی از مسائل حیاتی در مدیریت یک وب‌سایت ، امنیت به خصوص امنیت هاستینگ آن است. از آنجایی که پنل کنترل وب‌سایت‌ها همچون cPanel، Plesk و Direct Admin برای مدیری...

24 آبان 1402

در 17:23

نصب SSL رایگان در دایرکت ادمین از موضوعات حیاتی برای افزایش امنیت وب‌سایت‌ها و ارتقاء جایگاه آن‌ها در موتورهای جستجو است. با توجه به اینکه کاربران در حال جست...

17 آبان 1402

در 00:09

آپتایم سرور لینوکس یکی از مفاهیم کلیدی در مدیریت سرورهای لینوکسی است که به ما اطلاعات ارزشمندی ارائه می‌دهد. این مفهوم نشان می‌دهد که سرور چه مدت به طور مداو...

15 آبان 1402

در 15:42

امروزه اطلاعات و دانش به یکی از مهم‌ترین دارایی‌های انسان تبدیل شده‌اند. هر روزه میلیون‌ها اطلاعات و داده‌های تازه در مورد افراد، مکان‌ها، رویدادها و موارد د...

24 مهر 1402

در 16:37

در دنیای اینترنت امروز، جنگ برای جلب توجه مخاطبان به محتواهایی که ارائه می‌شوند، به یکی از مهم‌ترین تهدیدهایی که کسب‌وکارها و نویسندگان با آن مواجه هستند، تب...

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.