شیوع گسترده باج‌‌افزار STOP/ Djvu در ایران

هنوز آماری در رابطه با تعداد قربانیان این باج‌‌افزار در ایران منتشر نشده است، اما قربانیان می‌گویند هکرها مبالغی بین ۳۵۰ تا ۸۰۰ دلار را از آنها به‌عنوان باج درخواست کرده‌اند. شروع گسترده آلودگی سیستم‌ها به باج‌‌افزارهای این گروه از سال ۲۰۱۸ بود و از این رو گروه تصمیم گرفت نسخه‌های مختلف و پیچیده‌تر آن را با پسوندهای مختلف و البته الگوریتم‌های پیچیده‌تر منتشر کند. با اینکه در ابتدا اطلاعات زیادی راجع باج‌‌افزار STOP/ Djvu در دسترس نبود، اما کارشناسان امنیتی با شیوع گسترده آن دریافتند که Djvu عموما از طریق دانلود کرک‌‌های نرم‌افزاری ویندوز و آفیس و رمزشکن‌های نرم‌افزاری که متاسفانه در بین ایرانیان بسیار شایع هستند وارد سیستم قربانی می‌شوند. البته طبق گزارش‌های جدید این باج‌‌افزار از طریق لینک‌های آلوده در هرزنامه‌ها (اسپم) و باندل‌های تبلیغاتی نیز وارد سیستم قربانی شده‌ است.

مراحل آلوده شدن

طبق گزارش وب‌سایت Spyware فایل آلوده پس از دانلود شدن توسط قربانی وارد بخش LocalAppData سیستم می‌شود سپس سه فایل اجرایی با وظایف مختلف را وارد سیستم قربانی می‌کند. این فایل‌ها با نام‌های ۱.exe،.exe۲ و ۳.exe شناخته می‌شوند. اما هر کدام از این فایل‌ها چه وظیفه‌ای دارند؟ ۱.exe وظیفه غیرفعال کردن سیستم دفاعی ویندوز را برعهده دارد ۲.exe از دسترسی کاربر به یکسری آدرس‌های اینترنتی URL جلوگیری می‌کند تا قربانی نتواند درخواست کمک کند. نقش فایل ۳.exe فعلا نامعلوم است.

تماس با سرور و آغاز رمزگذاری

پس از انجام این مراحل، Djvu با سرور C۲ هکرها تماس برقرار می‌کند و اطلاعات شناسایی سیستم کاربر (MAC) را برای آنها ارسال می‌کند. سپس سرور هکرها عملیات رمزگذاری فایل‌های قربانی را آغاز می‌کند. در حین انجام پروسه رمزگذاری، باج‌‌افزار STOP/ Djvu یک پنجره آپدیت ویندوز تقلبی را اجرا می‌کند تا همه چیز برای قربانی طبیعی جلوه دهد. پس از آلوده شدن سیستم میزبان، این باج‌افزار از الگوریتم‌های بر پایه AES-۲۵۶ یا یک الگوریتم جدیدتر برای رمزگذاری فایل‌های میزبان استفاده می‌کند. سرعت عملکرد این باج‌افزار آنقدر بالاست که به محض آلوده شدن سیستم، قربانی می‌تواند تغییر پسوند فایل‌هایش به.djvus یا.djvuu و دیگر پسوندها را مشاهده کند. در ادامه باج‌‌افزار فایل‌های پشتیبانی سایه (Shadow) قربانی را نیز حذف می‌کند تا احتمال بازگردانی فایل‌ها غیرممکن شود.

اعطای تخفیف!

به محض اینکه رمزگذاری فایل‌های قربانی تمام شد، کاربر با یک پیغام از طرف هکرها مواجه می‌شود که معمولا از طریق یک فایل با نام‌های _readme.txt یا _openme.txt دیده می‌شوند. در این پیغام هکرها از قربانیان تقاضای مبالغی در ازای بازگشایی رمز فایل‌های آلوده می‌کنند. طبق گزارش‌های قربانیان، این مبالغ بین ۳۵۰ تا ۸۰۰ دلار متغیر هستند که البته در این پیام‌ها ادعا شده در صورت پرداخت وجه طی ۷۲ ساعت، قربانی می‌تواند از ۵۰ درصد تخفیف بهره‌مند شود. تمامی این مبالغ به‌صورت بیت کوین از قربانی دریافت می‌شوند. البته برخی از نسخه‌های جدید زمانی که باج‌افزار نمی‌تواند با سرور C&C ارتباط برقرار کند قابل رمزگشایی هستند اما در کل باج‌‌افزار Djvu طوری طراحی شده که حتی در صورت قطع ارتباط با اینترنت بتواند رمزگذاری را به‌صورت آفلاین نیز ادامه دهد. در هر صورت پرداخت باج به این دسته از هکرها توسط قربانیان پیشنهاد نمی‌شود. اما باج‌‌افزار STOP/ Djvu این بار نسخه ویروس خود را هم منتشر کرده که این ویروس از رمزگذاری بسیار پیچیده‌تری برخوردار است و بر پایه الگوریتم RSA رمزگذاری شده است.

چرا بیت کوین؟

هکرهایی که از چنین ویروس‌ها و باج‌‌افزارهایی بهره می‌برند، عموما از ارز رمزها برای دریافت مبالغ از قربانیان استفاده می‌کنند. محبوب‌ترین ارز دیجیتالی در بین هکرهای امروزی نیز بیت کوین است، چراکه امروزه در سراسر دنیا استفاده می‌شود. هکرها به‌دلیل غیرقابل شناسایی بودن اطلاعات صاحب ارزهای دیجیتالی از این روش استفاده می‌کنند. این مساله باعث می‌شود هکرها بدون هرگونه ریسکی به باج‌گیری از قربانیان بپردازند.

پیشگیری و مقابله

اگر می‌خواهید فایل‌هایتان را رمزگشایی کنید، قبل از هرکاری ابتدا فایل آلوده Djvu را از روی سیستم حذف کنید. البته پس از ریبوت کردن سیستم ممکن است فایل‌های شما مجددا آلوده شوند. البته پیشنهاد می‌کنیم رمزگشایی فایل‌هایتان را به متخصصان امنیتی بسپارید یا منتظر بمانید ابزارهای رمزگشایی این باج‌‌افزار Djvu منتشر شوند. البته نسخه‌های قبلی این باج‌افزار را می‌توان از طریق ابزارهایی مثل STOPDecrypter رمزگشایی کرد اما به‌نظر می‌رسد نسخه‌های جدید از رمزگذاری خیلی پیچیده‌تری بر پایه AES-۲۵۶ بهره می‌برند و رمزگشایی آنها اصلا کار ساده‌ای نیست. به‌طور کلی پیشنهاد کارشناسان این است روی لینک‌های مشکوک در وب‌سایت‌های نامطمئن کلیک نکنید و آنتی ویروس‌های خود را همواره به روز نگاه دارید.