قربانیان باج‌افزار STOP مراقب این ابزار دروغین باشند

مهاجمان با استفاده از ابزاری جعلی که در ظاهر قادر به رمزگشایی رایگان فایل‌های رمز شده توسط باج‌افزار STOP / Djvu است اقدام به رمزگذاری مجدد فایل‌های قربانی، این بار با باج‌افزاری متفاوت می‌کنند.

در حالی که گردانندگان باج افزارهایی همچون Maze،و REvil،وNetwalker و DoppelPaymer سازمان‌های بزرگ را مورد حمله قرار داده می‌دهند عمده تمرکز نویسندگان باج‌افزار STOP بر روی کاربران خانگی است. بر خلاف باج‌افزارهای مذکور که مبالغ اخاذی شده توسط آنها بسیار هنفگت است میزان باج درخواستی در STOP معمولاً 500 دلار است که نسبتاً مبلغ ناچیزی تلقی می‌شود.

به گزارش شرکت مهندسی شبکه گستر، STOP از جمله فعال‌ترین باج‌افزارهای حال حاضر جهان محسوب می‌شود. در ایران نیز این باج‌افزار به‌شدت فعال بوده و گزارش‌های متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به باج‌افزار STOP به شرکت مهندسی شبکه گستر واصل شده است.

باج‌افزار STOP که نخستین نسخه آن در آذر ۱۳۹۷ شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد. در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به‌خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

در نسخه‌های نخست این باج‌افزار در صورت عدم اتصال دستگاه آلوده شده به اینترنت، باج‌افزار با سازوکاری اقدام به رمزگذاری فایل‌ها می‌کرد که در برخی موارد امکان بازگردانی آنها بدون نیاز به پرداخت باج امکان‌پذیر می‌بود. در مهر ماه ۱۳۹۸ نیز شرکت ام‌سی‌سافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شد که امکان رمزگشایی ۱۴۸ گونه از باج‌افزار مخرب STOP را فراهم می‌کرد. اما در نسخ اخیر این باج‌افزار باگ‌ها و اشکالات مذکور برطرف شده است. گر چه امتحان کردن ابزار ام‌سی‌سافت به تمامی قربانیان STOP توصیه می‌شود.

در چنین مواقعی اولین راهکاری که به ذهن بسیاری از قربانیان خطور می‌کند جستجو برای یافتن ابزاری است که بتواند فایل‌ها را از شر باج‌افزار خلاص کند.

گردانندگان باج‌افزار Zorab با سوءاستفاده از این موضوع با به‌اشتراک‌گذاری یک ابزار دروغین که نمونه‌ای از آن در تصویر زیر قابل مشاهده است فایل‌های کاربر ناآگاه را که پیش‌تر توسط STOP رمزگذاری شده‌اند مجدداً رمز می‌کند.

 

 

با کلیک کاربر بر روی دگمه Start Scan فایلی اجرایی با عنوان crab.exe استخراج شده و در مسیر %Temp% ذخیره می‌شود.

 

 

crab.exe که همان فایل اجرایی باج‌افزار Zorab است داده‌های قربانی را رمزگذاری کرده و به آنها پسوند ZRB را الصاق می‌کند.

 

 

همچنین فایل موسوم به اطلاعیه باج‌گیری خود با عنوان v–DECRYPT–ZORAB.txt.ZRB را در هر پوشه‌ای که حداقل یکی از فایل‌های آن توسط Zorab رمز شده کپی می‌کند.

 

 

همچون همیشه بکارگیری روش‌های پیشگیرانه در مقابله با باج‌افزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باج‌افزارها توصیه می‌شود.

همچنین این نمونه Zorab با نام‌های زیر قابل شناسایی است:

 

Bitdefender:

  • Trojan.GenericKD.33924719

 

McAfee:

  • RDN/Ransom

 

Sophos:

  • Troj/Ransom-FYU

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *