هشدار: شیوع گسترده باج‌ افزار STOP/Djvu در ایران

گزارش‌ جدید مرکز ماهر حاکی از شیوع گسترده باج ‌افزار STOP/Djvu در کشور ایران است. این باج افزار یکی از زیرمجموعه‌های خانواده باج‌ افزار STOP است که طبق شواهد به گروه کلاهبرداری هندی یا نام «Shadow» تعلق دارد.

هنوز آماری در رابطه با تعداد قربانیان این باج ‌افزار در ایران متشر نشده است اما قربانیان می‌گویند هکرها مبالغی بین 350 تا 800 دلار را از انها به عنوان باج درخواست کرده‌اند.

شروع گسترده آلودگی سیستم‌ها به باج‌ افزارهای این گروه از سال 2018 بود و از این رو گروه تصمیم گرفت نسخه‌های مختلف و پیچیده‌تر آن را با پسوندهای مختلف و البته الگوریتم‌های پیچیده‌تر منتشر کند.

با اینکه در ابتدا اطلاعات زیادی راجع باج ‌افزار STOP/Djvu در دسترس نبود اما کارشناسان امنیتی با شیوع گسترده آن دریافتند که Djvu عموما از طریق دانلود کرک‌ های نرم‌افزاری ویندوز و آفیس و رمزشکن‌های نرم‌افزاری که متاسفانه در بین ایرانیان بسیار شایع هستند وارد سیستم قربانی می‌شود. البته طبق گزارش‌های جدید این باج ‌افزار از طریق  لینک‌های آلوده در هرزنامه‌ها (اسپم) و باندل‌های تبلیغاتی نیز وارد سیستم قربانی شده‌ است.

مراحل آلوده شدن سیستم به باج ‌افزار STOP/Djvu

طبق گزارش وبسایت Spyware فایل آلوده پس از دانلود شدن توسط قربانی وارد بخش LocalAppData سیستم می‌شود سپس سه فایل اجرایی با وظایف مختلف را وارد سیستم قربانی می‌کند. این فایل‌ها با نام‌های 1.exe، 2.exe و 3.exe شناخته می‌شوند. اما هرکدام از این فایل‌ها چه وظیفه‌ای دارند؟

1.exe وظیفه غیرفعال کردن سیستم دفاعی ویندوز را برعهده دارد

2.exe از دسترسی کاربر به یک سری آدرس‌های اینترنتی URL جلوگیری می‌کند تا قربانی نتواند درخواست کمک کند.

نقش فایل 3.exe فعلا نامعلوم است.

تماس با سرور و آغاز رمزگذاری

پس از انجام این مراحل، Djvu با سرور C2 هکرها تماس برقرار می‌کند و اطلاعات شناسایی سیستم کاربر (MAC) را برای آنها ارسال می‌کند. سپس سرور هکرها عملیات رمزگذاری فایل‌های قربانی را آغاز می‌کند. در حین انجام پروسه رمزگذاری، باج‌ افزار STOP/Djvu یک پنجره آپدیت ویندوز تقلبی را اجرا می‌کند تا همه چیز برای قربانی طبیعی جلوه دهد.

پس از آلوده شدن سیستم میزبان، این باج افزار از الگوریتم‌های بر پایه AES-256 یا یک الگوریتم جدیدتر برای رمزگذاری فایل‌های میزبان استفاده می‌کند. سرعت عملکرد این باج افزار آنقدر بالاست که به محض آلوده شدن سیستم، قربانی می‌تواند تغییر پسوند فایل‌هایش به .djvus یا .djvuu و دیگر پسوندها را مشاهده کند. در ادامه باج ‌افزار فایل‌های پشتیبانی سایه (Shadow) قربانی را نیز حذف می‌کند تا احتمال بازگردانی فایل‌ها غیرممکن شود.

ارسال پیام و درخواست باج

به محض اینکه رمزگذاری فایل‌های قربانی تمام شد، کاربر با یک پیغام از طرف هکرها مواجه می‌شود که معمولا از طریق یک فایل با نام‌های _readme.txt یا _openme.txt دیده می‌شوند. در این پیغام هکرها از قربانیان تقاضای مبالغی در ازای بازگشایی رمز فایل‌های آلوده می‌کنند. طبق گزراش‌های قربانیان، این مبالغ بین 350 تا 800 دلار متغیر هستند که البته در این پیام‌ها ادعا شده در صورت پرداخت وجه طی 72 ساعت، قربانی می‌تواند از 50 درصد تخفیف بهره‌مند شود. تمامی این مبالغ به صورت بیت کوین از قربانی دریافت می‌شوند. تصویر زیر یکی از همین پیام‌های ارسالی از طرف باج‌ افزار STOP/Djvu برای دریافت باج از قربانی است.

البته برخی از نسخه‌های جدید زمانی که باج افزار نمی‌تواند با سرور C&C ارتباط برقرار کند قابل رمزگشایی هستند اما در کل باج ‌افزار Djvu طوری طراحی شده که حتی در صورت قطع ارتباط با اینتنرت بتواند رمزگذاری را به‌صورت آفلاین نیز ادامه دهد. در هر صورت پرداخت باج به این دسته از هکرها توسط قربانیان پیشنهاد نمی‌شود. اما باج‌ افزار STOP/Djvu اینبار نسخه ویروس خود را هم منتشر کرده که این ویروس از رمزگذاری بسیار پیچیده‌تری برخوردار است و بر پایه الگوریتم RSA رمزگذاری شده است.

چرا بیت کوین؟

هکرهایی که از چنین ویروس‌ها و باج ‌افزارهایی بهره می‌برند، عموما از ارز رمزها برای دریافت مبالغ از قربانیان استفاده می‌کنند. محبوبترین ارز دیجیتالی در بین هکرهای امروزی نیز بیت کوین است چراکه امروزه در سراسر دنیا استفاده می‌شود. هکرهای به دلیل غیرقابل شناسایی بودن اطلاعات صاحب ارزهای دیجیتالی از این روش استفاده می‌کنند. این مسئله باعث می‌شود هکرها بدون هرگونه ریسکی به باج گیری از قربانیان بپردازند.

پیشگیری و مقابله

اگر می‌خواهید فایل‌هایتان را رمزگشایی کنید، قبل از هرکاری ابتدا فایل آلوده Djvu را از روی سیستم حذف کنید. البته پس از ریبوت کردن سیستم ممکن است فایل‌های شما مجددا آلوده شوند. البته پیشنهاد می‌کنیم رمزگشایی فایل‌هایتان را به متخصصان امنیتی بسپارید و یا منتظر بمانید ابزارهای رمزگشایی این باج‌ افزار Djvu منتشر شوند.

البته نسخه‌های قبلی این باج افزار را می‌توان از طریق ابزارهایی مثل STOPDecrypter رمزگشایی کرد اما به‌نظر می رسد نسخه‌های جدید از رمزگذاری خیلی پیچیده‌تر بر پایه AES-256 بهره می‌برند و کرک کردن آنها اصلا کار ساده‌ای نیست.

در کل برای جلوگیری از آلوده شدن به این باج‌افزار بهتر است موارد زیر را تا حد ممکن رعایت کنید.

• تا حد امکان از دانلود فایل‌های کرک نرم‌افزاری و Keygen خودداری کنید.
•  بر روی لینکهای مشکوک در وبسایت‌های نامطمئن و اسپم‌ها کلیک نکنید.
•  آنتی ویروس و سیستم عامل خود را همواره به روز نگه دارید.