دانش‌آموزان مراقب این با‌ج‌افزار خطرناک باشند

بر اساس جدیدترین خبرهای منتشر شده، باج افزار STOP/Djvu در سطح کشور در حال گسترش است.

‫به گزارش باشگاه خبرنگاران، باج افزار STOP برای اولین بار در تاریخ ۲۵ دسامبر ۲۰۱۷ میلادی مشاهده گردید. این باج افزار تا به حال با اسامی مختلفی من جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است. ولی بطور کلی به دو دسته STOP و Djvu تقسیم می گردد. Djvu در واقع نسخه جدیدتر این باج افزار بوده که از نظر عملکرد شبیه والد خود (STOP) میباشد و امروزه آنها را با نام STOP/Djvu می شناسند. تعدد نسخه ها در فواصل زمانی کوتاه در واقع تکنیکی است که باج افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می کند. تا به حال بیش از ۲۰۰ پسوند مختلف از این باج افزار مشاهده گردیده است. طبق آمار های منتشر شده در وب سایت Emsisoft تنها در سه ماهه اول ۲۰۲۰ بیش از ۶۶۰۹۰ مورد گزارش آلودگی به این باج افزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً ۷۰% از موارد آلودگی به باج افزار ها در سطح دنیا را بخود اختصاص داده است. نسخه هایی از این باج افزار با پسوند های alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در ایران نیز مشاهده شده است.

باج افزار STOP/Djvu با زبان برنامه نویسی C++ نوشته شده است. نسخه های جدید این باج افزار در کد نویسی خود به شدت مبهم سازی (Obfuscate) شده اند و از انواع روش های anti- emulation و anti- debugging برای جلوگیری از تحلیل توسط تحلیل گران بدافزار استفاده کرده اند. بعضی از نسخه های این باج افزار نیز با توجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام می‌دهند و بدین ترتیب بصورت هدفمندتر قربانیان خود را انتخاب می کنند.

این باج افزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر"% AppData% \Local\" کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C& C) خود ارتباط می گیرد و فایل ها را با کلید آنلاین و الگوریتم نامتقارن RSA- ۲۰۴۸ رمزگذاری می کند. در بعضی نسخه ها از الگوریتم Salsa20 نیز برای رمزگذاری فایل ها استفاده شده است. در صورتی که باج افزار به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین( الگوریتم AES- 526) برای رمزگذاری فایل ها استفاده می کند. نسخه های اولیه این باج افزار از روش آفلاین برای رمزگذاری فایل های قربانیان استفاده می کردند و شرکت هایی مانند Emsisoft توانستند برای این نسخه ها رمزگشا ارائه دهند. ولی از آگوست ۲۰۱۹ شیوه رمزگذاری باج افزار STOP/Djvu تغییر کرد و اکنون تنها به روش آنلاین رمزگذاری را انجام می دهد؛ لذا بدون کلید خصوصی مهاجم که در سرور C& C باج افزار ذخیره شده است عملاً رمزگشایی فایل ها ناممکن خواهد بود. در مواردی مشاهده شده که باج افزار STOP/Djvu بعد از ارتباط با سرور C& C، سیستم قربانی را به انواع تروجان ها و جاسوس افزار ها از قبیل  Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می نماید نیز آلوده نموده است؛ لذا توجه به این نکته در زمان ارائه خدمات امداد به قربانیان این باج افزار الزامی است.

باج افزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتی ویروس ها بصورت مداوم پسوند و ساختار خود را تغییر می دهد. به همین دلیل است که حتی از سد به روزترین آنتی ویروس ها نیز عبور می کند. طبق گزارش های رسیده از قربانیان این باج افزار در سراسر دنیا، باج افزار STOP/Djvu معمولاً از طریق کرک و فعال ساز های ویندوز( KMSAuto، KMSPico)، آفیس و سایر نرم افزار ها( از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنس های تقبلی و حتی آپدیت های جعلی ویندوز منتشر می شود. نسخه هایی از این باج افزار حتی در قالب اسناد آفیس و فایل Setup نرم‌افزار های مرتبط با پایان نامه ها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. با توجه به موارد فوق میتوان اینگونه نتیجه گیری کرد که جامعه هدف باج افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرور ها و سازمان ها تهدید کمتری محسوب می گردد؛ بدین ترتیب اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باج افزار میباشد که بیشتر مبتنی بر دانلود فایل های آلوده در اثر بی احتیاطی کاربران است. بر اساس بررسی های صورت گرفته، میتوان گفت که رفتار باج افزار STOP/Djvu در ایران بصورت فصلی می باشد. در فصولی که دانشجویان به دنبال یافتن قالب برای پایان نامه ها یا سایر مقالات و ارائه های خود هستند، رخداد های بیشتری مشاهده می گردد.

به منظور پيش‌گيري از آلودگی و مقابله با این باج افزار توصیه می گردد در مرحله اول سیستم عامل، آنتی ویروس و سایر نرم‌افزار ها به صورت مداوم به روزرسانی گردند. همینطور کاربران می بایست از دانلود هرگونه فایل یا نرم‌افزار از وب سایت های ناشناس پرهیز کرده و قبل از اجرای فایل ها بر روی سیستم خود حتما آنها را با آنتي‌ويروس های به روز و سامانه های آنلاین مانند VirusTotal اسکن نمایند. در پایان یادآور می گردد که پشتیان گیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج افزارهاست.