کاربران و مؤسسات ایرانی، هدف گسترده نسخه norvas باج‌افزار STOP

در روزهای اخیر گزارش‌های متعددی در خصوص مشاهده آلودگی به جدیدترین نسخه از باج‌افزار STOP در برخی مؤسسات کشور به شرکت مهندسی شبکه گستر واصل شده است.

در نسخه مذکور، به فایل‌های رمزگذاری شده توسط باج‌افزار، پسوند norvas الصاق می‌شود.

روش اصلی انتشار باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد هرزنامه‌های با پیوست/لینک مخرب است.

در چند نوبت نیز گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،و Key Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت این برنامه‌ها می‌نمودند به باج‌افزار آلوده کردند.

یکی دیگر از روش‌های مورد استفاده نویسندگان STOP برای انتشار این باج‌افزار، بکارگیری بسته بهره‌جوی Fallout است. این بسته بهره‌جو، از آسیب‌پذیری CVE-2018-8174 در بخش مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان – در اینجا باج‌افزار – را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند.

مهاجمان معمولا بسته‌های بهره‌جو را در سایت‌های با محتوای جذاب یا سایت‌های معتبر هک شده تزریق می‌کنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیب‌پذیری‌های موجود در سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه سوءاستفاده شود.

لازم به ذکر است که شرکت مایکروسافت 19 اردیبهشت ماه، همزمان با عرضه اصلاحیه‌های ماه میلادی می آسیب‌پذیری CVE-2018-8120 را ترمیم کرد. شرکت ادوبی نیز آسیب‌پذیری CVE-2018-4990 را در به‌روزرسانی‌های APSA18-09 و APSA18-17 اصلاح و برطرف کرد. به‌روز بودن سیستم عامل Windows و نرم‌افزار Flash Player اصلی‌ترین راهکار برای ایمن نگاه داشتن دستگاه در برابر این بسته بهره‌جو محسوب می‌شود.

همچنین STOP با اجرای فرامینی اقدام به حذف نسخه‌های موسوم به Shadow، غیرفعال نمودن قابلیت System Restore و متوقف کردن سرویس‌های Windows Defender،و System Recovery و BITS می‌کند.

وجود اشکالی در فرایند رمزگذاری STOP، محققان را قادر به عرضه ابزاری برای رمزگشایی فایل‌های قربانیان اکثر نسخه‌های این باج‌افزار کرده است. ابزار مذکور در مسیر زیر قابل دسترس است:

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

به‌منظور شناسایی کلید رمزگذاری نیاز است که یک فایل رمز شده توسط باج‌افزار به همراه فایل اصلی آن (رمزگذاری نشده) در مسیر Settings | Bruteforcer به نرم‌افزار معرفی شود. حجم این دو فایل معرفی شده می‌بایست حداقل 150 کیلوبایت باشد.

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها توصیه می‌شود.

توضیح اینکه نمونه بررسی شده در این خبر با نام‌های زیر قابل شناسایی می‌باشد:

Bitdefender:
– DeepScan:Generic.Ransom.Stop.D454B2BF

McAfee:
– GenericRXHI-OW!B27284F77C73

Sophos:
– Mal/Generic-S

4 پاسخ

امیر گفت:
1398/02/17 در 15:29
سلام خسته نباشید سیستم من آلوده شده به باج افزار norvas تمام فایل های من رو یه پسوند norvas. خورده چطوری میشه درستش کرد خواهشا راهنمایی کنید
پاسخ
1. شبکه گستر گفت:
  1398/02/18 در 15:41
  با سلام؛
  لطفا ابزار اشاره شده در لینک زیر را مورد بررسی قرار دهید:
  https://newsroom.shabakeh.net/20756/norvas-variant-of-stop-ransomware-is-targeting-iranian-users.html
  پاسخ
  1. امیر گفت:
    1398/03/06 در 13:25
    با سلام؛
    ممنون از لینکی که داده بودید استفاده کردم از همون برنامه STOP Decrypter یه فایل موزیک با پسوند norvas. کد شده بود با فایل سالم همون موزیک رو بهش معرفی کردم اما این error رو میده Error: Unsupported encrypted file لطفا راهنمایی کنید
    پاسخ
    1. شبکه گستر گفت:
      1398/03/07 در 08:20
      با سلام؛
      لطفاً فایل مذکور و فایل اطلاعیه باج گیری (Ransom Note) را برای بررسی به سامانه https://my.shabakeh.net یا به ایمیل info@shabakeh.net ارسال نمایید.
      پاسخ

کاربران و مؤسسات ایرانی، هدف گسترده نسخه norvas باج‌افزار STOP

اشتراک گذاری

نظرات

4 پاسخ

دیدگاهتان را بنویسید لغو پاسخ