ترکیب باج‌افزار و بدافزار سارق اطلاعات

علاوه بر رمزگذاری فایل‌های کاربر، مهاجمان در نسخه جدید باج‌افزار STOP اقدام به نصب اسب تروای Azorult بر روی دستگاه قربانی می‌کنند.

Azorult داده‌های حساسی همچون اطلاعات اصالت‌سنجی، کیف‌های ارز رمز، سوابق سایت‌های فراخوانی شده، پیام‌های تبادل شده در نرم‌افزار Skype، فایل‌های ذخیره شده بر روی Desktop و مواردی از این دست را جمع‌آوری کرده و آنها را به مهاجمان ارسال می‌کند.

در نسخه جدید STOP به فایل‌های رمزگذاری شده پسوند promorad الصاق می‌شود. در نسخه‌های قبلی STOP نیز پسوندهای زیر مورد استفاده قرار گرفته بودند:

• blower
• djvu
• infowait
• promok
• promorad2
• promos
• promoz
• puma
• rumba
• tro

به گزارش شرکت مهندسی شبکه گستر، اطلاعیه باج‌گیری (Ransom Note) در این نسخه readme.txt_ نام دارد.

STOP از جمله باج‌افزارهایی است که موفق به آلوده‌سازی تعداد قابل‌توجهی از سیستم‌های کابران و سازمان‌های ایرانی شده است.

خوشبختانه رمزگذاری انجام شده توسط بسیاری از نسخه‌های باج‌افزار STOP به دلیل اشکالات و باگ‌های نرم‌افزاری آن قابل شکستن است و در اکثر مواقع قربانیان می‌توانند بدون پرداخت باج و با استفاده از این ابزار به اطلاعات خود دست پیدا کنند. شاید به همین دلیل است که نویسندگان STOP بر آن شده‌اند تا با بکارگیری Azorult، حداقل، اطلاعات محرمانه کاربر را در اختیار بگیرند.

اطلاعات سرقت شده توسط Azorult خسارات چه بسا جبران‌ناپذیری را متوجه کاربر خواهد کرد. به همین خاطر به تمامی قربانیان این باج‌افزار توصیه می‌شود که در اولین فرصت اقدام به تغییر رمزهای عبور خود به‌خصوص آن دسته از رمزهایی که در مرورگرشان ذخیره کرده بودند کنند.

توضیح اینکه نسخه جدید STOP و بدافزار Azorult که در این مطلب به آنها اشاره شده با نام‌های زیر قابل شناسایی می‌باشند:

• Bitdefender
     – Trojan.GenericKD.31741727
     – Trojan.PWS.Delf.INS

• McAfee
     – RDN/Generic.dx
     – GenericRXGZ-WP!0E3A899FCA9D

• Sophos
     – Mal/Generic-S
     – Troj/PWS-CJR