مهاجمان با استفاده از ابزاری جعلی که در ظاهر قادر به رمزگشایی رایگان فایلهای رمز شده توسط باجافزار STOP / Djvu است اقدام به رمزگذاری مجدد فایلهای قربانی، این بار با باجافزاری متفاوت میکنند.
در حالی که گردانندگان باج افزارهایی همچون Maze،و REvil،وNetwalker و DoppelPaymer سازمانهای بزرگ را مورد حمله قرار داده میدهند عمده تمرکز نویسندگان باجافزار STOP بر روی کاربران خانگی است. بر خلاف باجافزارهای مذکور که مبالغ اخاذی شده توسط آنها بسیار هنفگت است میزان باج درخواستی در STOP معمولاً 500 دلار است که نسبتاً مبلغ ناچیزی تلقی میشود.
به گزارش شرکت مهندسی شبکه گستر، STOP از جمله فعالترین باجافزارهای حال حاضر جهان محسوب میشود. در ایران نیز این باجافزار بهشدت فعال بوده و گزارشهای متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به باجافزار STOP به شرکت مهندسی شبکه گستر واصل شده است.
باجافزار STOP که نخستین نسخه آن در آذر ۱۳۹۷ شناسایی شد از روشهای مختلفی برای آلوده کردن سیستمها بهره میگیرد. در یکی از این روشها، گردانندگان STOP با تزریق کد مخرب به برخی برنامههای موسوم به Crack،وKey Generator و Activator و بهاشتراکگذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامهها میکنند به باجافزار آلوده میسازند. متأسفانه این شیوه، اصلیترین دلیل انتشار موفق STOP در سطح کشور است. بهخصوص آنکه در زمان اجرای چنین برنامههایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باجافزار و شروع فرایند رمزگذاری کافی خواهد بود.
در نسخههای نخست این باجافزار در صورت عدم اتصال دستگاه آلوده شده به اینترنت، باجافزار با سازوکاری اقدام به رمزگذاری فایلها میکرد که در برخی موارد امکان بازگردانی آنها بدون نیاز به پرداخت باج امکانپذیر میبود. در مهر ماه ۱۳۹۸ نیز شرکت امسیسافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شد که امکان رمزگشایی ۱۴۸ گونه از باجافزار مخرب STOP را فراهم میکرد. اما در نسخ اخیر این باجافزار باگها و اشکالات مذکور برطرف شده است. گر چه امتحان کردن ابزار امسیسافت به تمامی قربانیان STOP توصیه میشود.
در چنین مواقعی اولین راهکاری که به ذهن بسیاری از قربانیان خطور میکند جستجو برای یافتن ابزاری است که بتواند فایلها را از شر باجافزار خلاص کند.
گردانندگان باجافزار Zorab با سوءاستفاده از این موضوع با بهاشتراکگذاری یک ابزار دروغین که نمونهای از آن در تصویر زیر قابل مشاهده است فایلهای کاربر ناآگاه را که پیشتر توسط STOP رمزگذاری شدهاند مجدداً رمز میکند.
با کلیک کاربر بر روی دگمه Start Scan فایلی اجرایی با عنوان crab.exe استخراج شده و در مسیر %Temp% ذخیره میشود.
crab.exe که همان فایل اجرایی باجافزار Zorab است دادههای قربانی را رمزگذاری کرده و به آنها پسوند ZRB را الصاق میکند.
همچنین فایل موسوم به اطلاعیه باجگیری خود با عنوان v–DECRYPT–ZORAB.txt.ZRB را در هر پوشهای که حداقل یکی از فایلهای آن توسط Zorab رمز شده کپی میکند.
همچون همیشه بکارگیری روشهای پیشگیرانه در مقابله با باجافزارها و مقاوم سازی پودمان RDP برای ایمن ماندن از گزند باجافزارها توصیه میشود.
همچنین این نمونه Zorab با نامهای زیر قابل شناسایی است:
Bitdefender:
- Trojan.GenericKD.33924719
McAfee:
- RDN/Ransom
Sophos:
- Troj/Ransom-FYU