علاوه بر رمزگذاری فایلهای کاربر، مهاجمان در نسخه جدید باجافزار STOP اقدام به نصب اسب تروای Azorult بر روی دستگاه قربانی میکنند.
Azorult دادههای حساسی همچون اطلاعات اصالتسنجی، کیفهای ارز رمز، سوابق سایتهای فراخوانی شده، پیامهای تبادل شده در نرمافزار Skype، فایلهای ذخیره شده بر روی Desktop و مواردی از این دست را جمعآوری کرده و آنها را به مهاجمان ارسال میکند.
در نسخه جدید STOP به فایلهای رمزگذاری شده پسوند promorad الصاق میشود. در نسخههای قبلی STOP نیز پسوندهای زیر مورد استفاده قرار گرفته بودند:
- blower
- djvu
- infowait
- promok
- promorad2
- promos
- promoz
- puma
- rumba
- tro
به گزارش شرکت مهندسی شبکه گستر، اطلاعیه باجگیری (Ransom Note) در این نسخه readme.txt_ نام دارد.
STOP از جمله باجافزارهایی است که موفق به آلودهسازی تعداد قابلتوجهی از سیستمهای کابران و سازمانهای ایرانی شده است.
خوشبختانه رمزگذاری انجام شده توسط بسیاری از نسخههای باجافزار STOP به دلیل اشکالات و باگهای نرمافزاری آن قابل شکستن است و در اکثر مواقع قربانیان میتوانند بدون پرداخت باج و با استفاده از این ابزار به اطلاعات خود دست پیدا کنند. شاید به همین دلیل است که نویسندگان STOP بر آن شدهاند تا با بکارگیری Azorult، حداقل، اطلاعات محرمانه کاربر را در اختیار بگیرند.
اطلاعات سرقت شده توسط Azorult خسارات چه بسا جبرانناپذیری را متوجه کاربر خواهد کرد. به همین خاطر به تمامی قربانیان این باجافزار توصیه میشود که در اولین فرصت اقدام به تغییر رمزهای عبور خود بهخصوص آن دسته از رمزهایی که در مرورگرشان ذخیره کرده بودند کنند.
توضیح اینکه نسخه جدید STOP و بدافزار Azorult که در این مطلب به آنها اشاره شده با نامهای زیر قابل شناسایی میباشند:
- Bitdefender
– Trojan.GenericKD.31741727
– Trojan.PWS.Delf.INS
- McAfee
– RDN/Generic.dx
– GenericRXGZ-WP!0E3A899FCA9D
- Sophos
– Mal/Generic-S
– Troj/PWS-CJR