گزارشات بدست آمده از حملات باجافزاری اخیر، از شیوع گسترده گسترش باجافزار STOP/Djvu در سطح کشور خبر میدهد.
باجافزارها (Ransomwares) نوع خاصی از بدافزارها(Maleware) هستند که فایلهای سیستم شما را رمزنگاری کرده و در قبال رمزگشایی و بازیابی دادهها از شما درخواست پرداخت هزینه میکنند.
باج افزار ها انواع مختلفی دارند ولی وجه شباهت آنها در درخواست مبلغ جهت رمزگشایی اطلاعات می باشد.
باجافزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن میباشد که از نظر عملکرد شبیه والد خود (STOP) میباشد و امروزه آنها را با نام STOP/Djvu میشناسند.
باج افزار STOP/Djvu داده های کاربران را با الگوریتم (AES-556 (CFB mode رمزگذاری می کند. هرچند دراین روش هکرها همه فایلها را رمزگذاری نمی کند، ولی در ابتدا حدود 5 مگابایت از فایلهای وندوزی و فایلها با پسوندهای شناخته شده رمزگذاری می شوند. سپس هکر برای رمزگشایی فایل ها از مالک سیستم، مبلغی حدود 980 دلار بصورت بیت کوین درخواست می کند.
ریشه این باج افزار از کشور روسیه می باشد. در این کلاهبرداری ها از زبان روسی و کلمات روسی استفاده شده و دامنه های مربوطه از طریق شرکت های رجیسترار دامنه در روسیه ثبت شده اند. کلاهبرداران به احتمال زیاد در کشورهای دیگر نیز متحد دارند.
بسیاری از قربانیان این باج افزار بیان می کنند که پس از دانلود و نصب برنامه های رایج از منابع نامعتبر، سیستم آنها آلوده شده است. زیرا که هکرها کدهای مخرب را در فایلهای نصب برنامههای رایج MS Windows و MS Office (مانند KMSAuto Net ، KMSPico و غیره) مخفی نموده و درنتیجه با نصب برنامه از منابع نامعتبر سیستم کاربر آلوده می گردد.
این باجافزار از روشهای متنوعی برای نفوذ و انتشار خود به سیستم قربانی استفاده میکند. کرکهای آلوده ویندوز و محصولات آفیس، درایورها و آپدیتهای جعلی و همچنین سوء استفاده از پروتکل RDP از روشهای انتشار این باجافزار میباشد.
همچنین کدهای مخرب(Cryptoware) این باج افزار ممکن است از طریق بازکردن ایمیل های اسپم و پیوست های آلوده ، دانلود فایلهای آلوده، exploits، تزریق وب(web injectors)، به روزرسانی های مشکوک، نصب فایلهای آلوده و… منتشر شود.
لیست پسوندهای فایل که توسط این باج افزار رمزگذاری می شود، به شرح زیر است:
فایلهای MS Office یا OpenOffice ، فایلهای متنی و PDF ها ، پایگاه داده ، عکس ها ، فایلهای موزیک ، فایلهای تصویری یا ویدئویی ، فایلهای آرشیو(archives)، فایلهای application ها و غیره.
%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
api.2ip.ua
morgem.ru
اگر هرکدام از پسوندهای زیر را روی سیستم خود ملاحظه نمودید، بدانید که سیستم شما آلوده شده است:
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec
Michael Gillespie ، متخصص تحقیقات رمزنگاری ، روشی جهت رمزگشایی فایلهای سیستم در حالتی که سیستم از طریق رمزنگاری آفلاین کد شده است، معرفی کرده است.
مایکل یک ابزار رمزگشایی رایگان با عنوان STOPDecrypter را منتشر کرد. این ابزار شامل BruteForcer برای انواع مختلفی است که از رمزگذاری XOR استفاده می کنند.
به یاد داشته باشید: STOPDecrypter باید با دسترسی Administrator در دسکتاپ اجرا شود.
البته توجه داشته باشید که تاکنون تعداد محدودی از نسخههای آفلاین باجافزار STOP/Djvu تحت شرایط خاص قابل رمزگشایی بودند.
اما اخیراً با توجه به اینکه توسعهدهندگان این باجافزار در نسخههای جدیدتر، شیوه خود را تغییر داده و از الگوریتم رمزنگاری نامتقارن استفاده کردهاند، از این پس، فایلهای رمزگذاری شده توسط باجافزار STOP/Djvu بدون کلید خصوصی توسعهدهنده باجافزار قابل رمزگشایی نخواهند بود.
در صورتی که مقاله فوق مورد توجه شما قرار گرفته پیشنهاد میکنیم مقالات “خطای ssl چیست | آموزش رفع خطای ssl در گوگل کروم، موبایل و اندروید” و ”علت بلاک شدن IP در فایروال سرور” در بلاگ مرواهاست مطالعه فرمایید
فضای کار اشتراکی یا دفتر اشتراکی که به آن کوورکینگ اسپیس (Coworking Space) هم میگویند،…
فرق هاست وردپرس و لینوکس چیست؟ اگر شما هم به تازگی برای تاسیس وب سایت…
امکانات سایت های فروشگاهی آن هم به صورت تمام و کمال، امروزه که استفاده از…
microsoft sql server چیست؟ در دنیای امروز، دادهها به عنوان ارزشمندترین دارایی هر سازمان شناخته…
کیورد استافینگ یکی از روشهای سئو کلاه سیاه به شمار میرود. این اصطلاح از دو…
ضرورت بکاپ گرفتن از هاست و نگهداشتن یک نسخه بهروز از وبسایت، بیشتر از پیش…