شیوع گسترده باجافزار STOP/ Djvu در ایران
هنوز آماری در رابطه با تعداد قربانیان این باجافزار در ایران منتشر نشده است، اما قربانیان میگویند هکرها مبالغی بین ۳۵۰ تا ۸۰۰ دلار را از آنها بهعنوان باج درخواست کردهاند. شروع گسترده آلودگی سیستمها به باجافزارهای این گروه از سال ۲۰۱۸ بود و از این رو گروه تصمیم گرفت نسخههای مختلف و پیچیدهتر آن را با پسوندهای مختلف و البته الگوریتمهای پیچیدهتر منتشر کند. با اینکه در ابتدا اطلاعات زیادی راجع باجافزار STOP/ Djvu در دسترس نبود، اما کارشناسان امنیتی با شیوع گسترده آن دریافتند که Djvu عموما از طریق دانلود کرکهای نرمافزاری ویندوز و آفیس و رمزشکنهای نرمافزاری که متاسفانه در بین ایرانیان بسیار شایع هستند وارد سیستم قربانی میشوند. البته طبق گزارشهای جدید این باجافزار از طریق لینکهای آلوده در هرزنامهها (اسپم) و باندلهای تبلیغاتی نیز وارد سیستم قربانی شده است.
مراحل آلوده شدن
طبق گزارش وبسایت Spyware فایل آلوده پس از دانلود شدن توسط قربانی وارد بخش LocalAppData سیستم میشود سپس سه فایل اجرایی با وظایف مختلف را وارد سیستم قربانی میکند. این فایلها با نامهای ۱.exe،.exe۲ و ۳.exe شناخته میشوند. اما هر کدام از این فایلها چه وظیفهای دارند؟ ۱.exe وظیفه غیرفعال کردن سیستم دفاعی ویندوز را برعهده دارد ۲.exe از دسترسی کاربر به یکسری آدرسهای اینترنتی URL جلوگیری میکند تا قربانی نتواند درخواست کمک کند. نقش فایل ۳.exe فعلا نامعلوم است.
تماس با سرور و آغاز رمزگذاری
پس از انجام این مراحل، Djvu با سرور C۲ هکرها تماس برقرار میکند و اطلاعات شناسایی سیستم کاربر (MAC) را برای آنها ارسال میکند. سپس سرور هکرها عملیات رمزگذاری فایلهای قربانی را آغاز میکند. در حین انجام پروسه رمزگذاری، باجافزار STOP/ Djvu یک پنجره آپدیت ویندوز تقلبی را اجرا میکند تا همه چیز برای قربانی طبیعی جلوه دهد. پس از آلوده شدن سیستم میزبان، این باجافزار از الگوریتمهای بر پایه AES-۲۵۶ یا یک الگوریتم جدیدتر برای رمزگذاری فایلهای میزبان استفاده میکند. سرعت عملکرد این باجافزار آنقدر بالاست که به محض آلوده شدن سیستم، قربانی میتواند تغییر پسوند فایلهایش به.djvus یا.djvuu و دیگر پسوندها را مشاهده کند. در ادامه باجافزار فایلهای پشتیبانی سایه (Shadow) قربانی را نیز حذف میکند تا احتمال بازگردانی فایلها غیرممکن شود.
اعطای تخفیف!
به محض اینکه رمزگذاری فایلهای قربانی تمام شد، کاربر با یک پیغام از طرف هکرها مواجه میشود که معمولا از طریق یک فایل با نامهای _readme.txt یا _openme.txt دیده میشوند. در این پیغام هکرها از قربانیان تقاضای مبالغی در ازای بازگشایی رمز فایلهای آلوده میکنند. طبق گزارشهای قربانیان، این مبالغ بین ۳۵۰ تا ۸۰۰ دلار متغیر هستند که البته در این پیامها ادعا شده در صورت پرداخت وجه طی ۷۲ ساعت، قربانی میتواند از ۵۰ درصد تخفیف بهرهمند شود. تمامی این مبالغ بهصورت بیت کوین از قربانی دریافت میشوند. البته برخی از نسخههای جدید زمانی که باجافزار نمیتواند با سرور C&C ارتباط برقرار کند قابل رمزگشایی هستند اما در کل باجافزار Djvu طوری طراحی شده که حتی در صورت قطع ارتباط با اینترنت بتواند رمزگذاری را بهصورت آفلاین نیز ادامه دهد. در هر صورت پرداخت باج به این دسته از هکرها توسط قربانیان پیشنهاد نمیشود. اما باجافزار STOP/ Djvu این بار نسخه ویروس خود را هم منتشر کرده که این ویروس از رمزگذاری بسیار پیچیدهتری برخوردار است و بر پایه الگوریتم RSA رمزگذاری شده است.
چرا بیت کوین؟
هکرهایی که از چنین ویروسها و باجافزارهایی بهره میبرند، عموما از ارز رمزها برای دریافت مبالغ از قربانیان استفاده میکنند. محبوبترین ارز دیجیتالی در بین هکرهای امروزی نیز بیت کوین است، چراکه امروزه در سراسر دنیا استفاده میشود. هکرها بهدلیل غیرقابل شناسایی بودن اطلاعات صاحب ارزهای دیجیتالی از این روش استفاده میکنند. این مساله باعث میشود هکرها بدون هرگونه ریسکی به باجگیری از قربانیان بپردازند.
پیشگیری و مقابله
اگر میخواهید فایلهایتان را رمزگشایی کنید، قبل از هرکاری ابتدا فایل آلوده Djvu را از روی سیستم حذف کنید. البته پس از ریبوت کردن سیستم ممکن است فایلهای شما مجددا آلوده شوند. البته پیشنهاد میکنیم رمزگشایی فایلهایتان را به متخصصان امنیتی بسپارید یا منتظر بمانید ابزارهای رمزگشایی این باجافزار Djvu منتشر شوند. البته نسخههای قبلی این باجافزار را میتوان از طریق ابزارهایی مثل STOPDecrypter رمزگشایی کرد اما بهنظر میرسد نسخههای جدید از رمزگذاری خیلی پیچیدهتری بر پایه AES-۲۵۶ بهره میبرند و رمزگشایی آنها اصلا کار سادهای نیست. بهطور کلی پیشنهاد کارشناسان این است روی لینکهای مشکوک در وبسایتهای نامطمئن کلیک نکنید و آنتی ویروسهای خود را همواره به روز نگاه دارید.
ارسال نظر