انتشار گسترده یک باج افزار در کشور، قشر دانشجو هدف نهاده شد - آسمان تو

اگر علاقمند به دریافت بهترین خدمات تحصیل کانادا هستید با ما همراه شوید، با مجری مستقیم ویزای تحصیلی کانادا، با دریافت مشاوره رایگان از مجربترین تیم مهاجرتی کانادا، بهترین مسیر را به سوی مدارو، کالج ها و دانشگاه های کانادا انتخاب کنید.

این باج افزار تا به امروز با اسامی مختلفی از جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است.

اما به طور کلی به دو دسته STOP و Djvu تقسیم می گردد. Djvu در واقع نسخه جدیدتر این باج افزار بوده که از نظر عملکرد شبیه والد خود (STOP) است و امروزه آن ها را با نام STOP/Djvu می شناسند.

تعدد نسخه ها در فواصل زمانی کوتاه در واقع تکنیکی است که باج افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می نماید.

تا به امروز بیش از 200 پسوند مختلف از این باج افزار مشاهده شده و بر اساس آمارهای منتشر شده در وب سایت Emsisoft تنها در سه ماهه اول 2020 بیش از 66 هزار مورد گزارش آلودگی به این باج افزار توسط قربانیان به ثبت رسیده است.

این رقم حدوداً 70 درصد از موارد آلودگی به باج افزارها در سطح دنیا را به خود اختصاص داده است. نسخه هایی از این باج افزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و … در کشور ایران نیز مشاهده شده است.

باج افزار STOP/Djvu با زبان برنامه نویسی C++ نوشته شده است. نسخه های جدید این باج افزار در کد نویسی خود به شدت مبهم سازی (Obfuscate) شده اند و از انواع روش های anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیلگران بدافزار استفاده نموده اند. بعضی از نسخه های این باج افزار نیز با توجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام می دهند و بدین ترتیب به صورت هدفمندتر قربانیان خود را انتخاب می نمایند.

این باج افزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در جهت %AppData%Local کپی نموده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط می گیرد و فایل ها را با کلید آنلاین و الگوریتم نامتقارن RSA-2048 رمزگذاری می نماید. در بعضی نسخه ها از الگوریتم Salsa20 نیز برای رمزگذاری فایل ها استفاده شده است.

در صورتی که باج افزار به هر دلیل پیروز به برقراری ارتباط با سرور خود نگردد از روش آفلاین (الگوریتم AES-256) برای رمزگذاری فایل ها استفاده می نماید. نسخه های اولیه این باج افزار از روش آفلاین برای رمزگذاری فایل های قربانیان استفاده می کردند و شرکت هایی مثل Emsisoft توانستند برای این نسخه ها رمزگشا ارائه دهند.

اما از آگوست 2019 شیوه رمزگذاری باج افزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام می دهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باج افزار ذخیره شده است عملاً رمزگشایی فایل ها غیرممکن خواهد بود.

در مواردی مشاهده شده که باج افزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجان ها و جاسوس افزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می نماید نیز آلوده نموده است. لذا توجه به این نکته، در زمان ارائه خدمات، امداد به قربانیان این باج افزار لازم است.

باج افزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتی ویروس ها به صورت مداوم پسوند و ساختار خود را تغییر می دهد. به همین دلیل است که حتی از سد به روزترین آنتی ویروس ها نیز عبور می نماید.

بر اساس گزارش های رسیده از قربانیان این باج افزار در سرتاسر دنیا، باج افزار STOP/Djvu معمولاً به وسیله کرک و فعال سازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرم افزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و …) و همچنین لایسنس های تقبلی و حتی آپدیت های جعلی ویندوز منتشر می گردد.

نسخه هایی از این باج افزار حتی در قالب اسناد آفیس و فایل Setup نرم افزارهای مرتبط با خاتمه نامه ها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق می توان اینگونه نتیجه گیری کرد که جامعه هدف باج افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمان ها تهدید کمتری محسوب می گردد.

بنابراین اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باج افزار است که بیشتر مبتنی بر دانلود فایل های آلوده در اثر بی احتیاطی کاربران است.

طبق آنالیز های انجام شده از سوی مرکز ماهر، می توان گفت که رفتار باج افزار STOP/Djvu در کشور ایران به صورت فصلی است و در فصولی که دانشجویان به دنبال یافتن قالب برای خاتمه نامه ها یا سایر مقالات و ارائه های خود هستند، رخدادهای بیشتری مشاهده می گردد.

از این رو به منظور پیشگیری از آلودگی و مقابله با این باج افزار توصیه می گردد که در مرحله اول سیستم عامل، آنتی ویروس و سایر نرم افزارها به صورت مداوم به روزرسانی شوند.

همچنین کاربران باید از دانلود هرگونه فایل یا نرم افزار از وب سایت های ناشناس خودداری نموده و قبل از اجرای فایل ها روی سیستم خود حتماً آن ها را با آنتی ویروس های به روز و سامانه های آنلاین مثل VirusTotal اسکن نمایند.

مرکز ماهر تاکید نمود: پشتیبان گیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج افزارها است.