شيوع گسترده باج افزار STOP/DJVU در كشور

مركز ماهر با مطالعه حملات باج‌افزاري اخير، از شيوع گسترده‌ي باج‌افزار STOP/Djvu در سطح كشور خبر داد. اين باج‌افزار براي رمزگذاري فايل‌ها از الگوريتم AES-256 استفاده و مبلغي بين ۲۰۰ تا ۶۰۰ دلار (به‌صورت بيت‌كوين) را به‌عنوان باج از قرباني درخواست مي‌كند. باج‌افزار STOP اولين‌بار در اواخر سال ۲۰۱۷ مشاهده شد و Djvu نسخه‌ي جديدتر آن است كه ازانديشه متخصصين عملكرد شبيه STOP است و امروزه آن را با نام STOP/Djvu مي‌شناسند.

باج‌افزار STOP/Djvu به‌محض اجرا در سيستم قرباني، با سرور كنترل و فرمان (C&C) خود ارتباط برقرار و فايل‌ها را با كليد الكترونيك رمزگذاري مي‌كند و در‌صورتي‌كه به هر دليل موفق نشود با سرور خود ارتباط برقرار كند، از روش آفلاين براي رمزگذاري فايل‌ها استفاده مي‌كند.

تاكنون تعداد محدودي از نسخه‌هاي آفلاين باج‌افزار STOP/Djvu در شرايط خاص قابل رمزگشايي بوده‌اند؛ اما با توجه به اينكه توسعه‌دهندگان اين باج‌افزار در نسخه‌هاي جديدتر شيوه‌ي خود را تغيير مي‌دهند و از الگوريتم رمزنگاري نامتقارن استفاده مي‌كنند، از اين به‌بعد، فايل‌هاي رمزگذاري‌شده ازطريق باج‌افزار STOP/Djvu بدون كليد خصوصي توسعه‌دهنده‌ي باج‌افزار رمزگشايي‌شدني نخواهند بود.

اين باج‌افزار از روش‌هاي متنوعي مانند پيوست هرزنامه‌ها، كرك‌هاي آلوده‌ي ويندوز و محصولات آفيس، درايورها و به‌روزرساني‌هاي جعلي و سوءاستفاده از پروتكل RDP براي نفوذ و انتشار خود به سيستم قرباني استفاده مي‌كند.

طبق اعلام مركز ماهر، ميزان حمله‌ي باج‌افزارهايي همچون STOP/Djvu كه شكارش بيشتر كابران خانگي هستند، در يك ماهه‌ي اخير بيشتر شده است. عمده دلايل آلوده‌شدن رايانه‌ها كليك روي لينك‌هاي آلوده، دريافت فايل‌هاي اجرايي مخرب، كرك‌ها و نرم‌افزارهاي فعال‌ساز و ماكروهاي آلوده‌ي موجود در فايل‌هاي محصولات ادوبي و آفيس با پسوندهاي pdf ,doc ,ppt و... است. نكاتي كه متخصصان براي جلوگيري از آلوده‌شدن رايانه‌هاي شخصي و كاهش آسيب‌هاي ناشي از حملات باج‌افزاري مي‌توانند رعايت كنند، عبارت‌اند از:

• از اطلاعات ارزشمند خود نسخه‌ي همراه تهيه و آن را به‌صورت آفلاين نگه‌داري كنيد؛
• از بازكردن پيام‌هاي مشكوك در محيط‌هاي مختلف ازجمله رايانامه و پيام‌رسان‌ها و شبكه‌هاي اجتماعي پرهيز كنيد؛
• از دريافت فايل‌هاي اجرايي از منابع ناشناس به‌ويژه دريافت كرك نرم‌افزارها ازجمله فعال‌سازهاي ويندوز و محصولات آفيس خودداري كنيد؛
• از به‌روزبودن سيستم‌عامل و ضدويروس مطمئن شويد. در بسياري از موارد، ضدويروس‌ها از تشخيص به‌هنگام باج‌افزارها ناتوان هستند. دليل اين موضوع گسترش متخصصد RaaS در بين باج‌افزارهاي امروزي است. مفهوم RaaS يا «باج‌افزار به‌عنوان خدمت» زماني به‌كار برده مي‌شود كه گروهي بستر حمله، يعني فايل‌هاي مخرب و بستر ارتباطي را فراهم مي‌كنند و طيف گسترده‌اي از مهاجمان با دانش پايين‌تر، با دراختيارگرفتن انواع فايل‌هاي جديد و سفارشي‌سازي‌شده كه تا آن لحظه هيچ ضدويروسي مشاهده نكرده است، حمله مي‌كنند؛
• همواره به علائم آلودگي باج‌افزار ازقبيل تغيير رمزعبور فايل‌ها، پيغام باج‌خواهي، كاهش محسوس سرعت سيستم‌عامل و... توجه كنيد و درصورت مشاهده‌ي موارد مشكوك به آلودگي، قبل از هر اقدامي از خدمات مشاوره‌اي مركز ماهر در اين زمينه استفاده كنيد.