کمیته رکن چهارم – خبرها حاکی از شیوع گسترده باج افزار STOP/Djvu در کشور ایران است. این باج افزار یکی از زیرمجموعههای خانواده باج افزار STOP است که طبق شواهد به گروه کلاهبرداری هندی یا نام «Shadow» تعلق دارد.
هنوز آماری در رابطه با تعداد قربانیان این باج افزار در ایران متشر نشده است اما قربانیان میگویند هکرها مبالغی بین ۳۵۰ تا ۸۰۰ دلار را از انها به عنوان باج درخواست کردهاند.
شروع گسترده آلودگی سیستمها به باج افزارهای این گروه از سال ۲۰۱۸ بود و از این رو گروه تصمیم گرفت نسخههای مختلف و پیچیدهتر آن را با پسوندهای مختلف و البته الگوریتمهای پیچیدهتر منتشر کند.
با اینکه در ابتدا اطلاعات زیادی راجع باج افزار STOP/Djvu در دسترس نبود اما کارشناسان امنیتی با شیوع گسترده آن دریافتند که Djvu عموما از طریق دانلود کرک های نرمافزاری ویندوز و آفیس و رمزشکنهای نرمافزاری که متاسفانه در بین ایرانیان بسیار شایع هستند وارد سیستم قربانی میشود. البته طبق گزارشهای جدید این باج افزار از طریق لینکهای آلوده در هرزنامهها (اسپم) و باندلهای تبلیغاتی نیز وارد سیستم قربانی شده است.
مراحل آلوده شدن سیستم به باج افزار STOP/Djvu
طبق گزارش وبسایت Spyware فایل آلوده پس از دانلود شدن توسط قربانی وارد بخش LocalAppData سیستم میشود سپس سه فایل اجرایی با وظایف مختلف را وارد سیستم قربانی میکند. این فایلها با نامهای ۱٫exe، ۲٫exe و ۳٫exe شناخته میشوند. اما هرکدام از این فایلها چه وظیفهای دارند؟
۱٫exe وظیفه غیرفعال کردن سیستم دفاعی ویندوز را برعهده دارد
۲٫exe از دسترسی کاربر به یک سری آدرسهای اینترنتی URL جلوگیری میکند تا قربانی نتواند درخواست کمک کند.
نقش فایل ۳٫exe فعلا نامعلوم است.
تماس با سرور و آغاز رمزگذاری
پس از انجام این مراحل، Djvu با سرور C2 هکرها تماس برقرار میکند و اطلاعات شناسایی سیستم کاربر (MAC) را برای آنها ارسال میکند. سپس سرور هکرها عملیات رمزگذاری فایلهای قربانی را آغاز میکند. در حین انجام پروسه رمزگذاری، باج افزار STOP/Djvu یک پنجره آپدیت ویندوز تقلبی را اجرا میکند تا همه چیز برای قربانی طبیعی جلوه دهد.
پس از آلوده شدن سیستم میزبان، این باج افزار از الگوریتمهای بر پایه AES-256 یا یک الگوریتم جدیدتر برای رمزگذاری فایلهای میزبان استفاده میکند. سرعت عملکرد این باج افزار آنقدر بالاست که به محض آلوده شدن سیستم، قربانی میتواند تغییر پسوند فایلهایش به .djvus یا .djvuu و دیگر پسوندها را مشاهده کند. در ادامه باج افزار فایلهای پشتیبانی سایه (Shadow) قربانی را نیز حذف میکند تا احتمال بازگردانی فایلها غیرممکن شود.
ارسال پیام و درخواست باج
به محض اینکه رمزگذاری فایلهای قربانی تمام شد، کاربر با یک پیغام از طرف هکرها مواجه میشود که معمولا از طریق یک فایل با نامهای _readme.txt یا _openme.txt دیده میشوند. در این پیغام هکرها از قربانیان تقاضای مبالغی در ازای بازگشایی رمز فایلهای آلوده میکنند. طبق گزراشهای قربانیان، این مبالغ بین ۳۵۰ تا ۸۰۰ دلار متغیر هستند که البته در این پیامها ادعا شده در صورت پرداخت وجه طی ۷۲ ساعت، قربانی میتواند از ۵۰ درصد تخفیف بهرهمند شود. تمامی این مبالغ به صورت بیت کوین از قربانی دریافت میشوند. تصویر زیر یکی از همین پیامهای ارسالی از طرف باج افزار STOP/Djvu برای دریافت باج از قربانی است.
البته برخی از نسخههای جدید زمانی که باج افزار نمیتواند با سرور C&C ارتباط برقرار کند قابل رمزگشایی هستند اما در کل باج افزار Djvu طوری طراحی شده که حتی در صورت قطع ارتباط با اینتنرت بتواند رمزگذاری را بهصورت آفلاین نیز ادامه دهد. در هر صورت پرداخت باج به این دسته از هکرها توسط قربانیان پیشنهاد نمیشود. اما باج افزار STOP/Djvu اینبار نسخه ویروس خود را هم منتشر کرده که این ویروس از رمزگذاری بسیار پیچیدهتری برخوردار است و بر پایه الگوریتم RSA رمزگذاری شده است.
چرا بیت کوین؟
هکرهایی که از چنین ویروسها و باج افزارهایی بهره میبرند، عموما از ارز رمزها برای دریافت مبالغ از قربانیان استفاده میکنند. محبوبترین ارز دیجیتالی در بین هکرهای امروزی نیز بیت کوین است چراکه امروزه در سراسر دنیا استفاده میشود. هکرهای به دلیل غیرقابل شناسایی بودن اطلاعات صاحب ارزهای دیجیتالی از این روش استفاده میکنند. این مسئله باعث میشود هکرها بدون هرگونه ریسکی به باج گیری از قربانیان بپردازند.
پیشگیری و مقابله
اگر میخواهید فایلهایتان را رمزگشایی کنید، قبل از هرکاری ابتدا فایل آلوده Djvu را از روی سیستم حذف کنید. البته پس از ریبوت کردن سیستم ممکن است فایلهای شما مجددا آلوده شوند. البته پیشنهاد میکنیم رمزگشایی فایلهایتان را به متخصصان امنیتی بسپارید و یا منتظر بمانید ابزارهای رمزگشایی این باج افزار Djvu منتشر شوند.
البته نسخههای قبلی این باج افزار را میتوان از طریق ابزارهایی مثل STOPDecrypter رمزگشایی کرد اما بهنظر می رسد نسخههای جدید از رمزگذاری خیلی پیچیدهتر بر پایه AES-256 بهره میبرند و کرک کردن آنها اصلا کار سادهای نیست.
در کل برای جلوگیری از آلوده شدن به این باجافزار بهتر است موارد زیر را تا حد ممکن رعایت کنید.
تا حد امکان از دانلود فایلهای کرک نرمافزاری و Keygen خودداری کنید.
بر روی لینکهای مشکوک در وبسایتهای نامطمئن و اسپمها کلیک نکنید.
آنتی ویروس و سیستم عامل خود را همواره به روز نگه دارید.
