شيوع گسترده باج افزار STOP/DJVU در كشور
مركز ماهر با مطالعه حملات باجافزاري اخير، از شيوع گستردهي باجافزار STOP/Djvu در سطح كشور خبر داد. اين باجافزار براي رمزگذاري فايلها از الگوريتم AES-256 استفاده و مبلغي بين ۲۰۰ تا ۶۰۰ دلار (بهصورت بيتكوين) را بهعنوان باج از قرباني درخواست ميكند. باجافزار STOP اولينبار در اواخر سال ۲۰۱۷ مشاهده شد و Djvu نسخهي جديدتر آن است كه ازانديشه متخصصين عملكرد شبيه STOP است و امروزه آن را با نام STOP/Djvu ميشناسند.
باجافزار STOP/Djvu بهمحض اجرا در سيستم قرباني، با سرور كنترل و فرمان (C&C) خود ارتباط برقرار و فايلها را با كليد الكترونيك رمزگذاري ميكند و درصورتيكه به هر دليل موفق نشود با سرور خود ارتباط برقرار كند، از روش آفلاين براي رمزگذاري فايلها استفاده ميكند.
تاكنون تعداد محدودي از نسخههاي آفلاين باجافزار STOP/Djvu در شرايط خاص قابل رمزگشايي بودهاند؛ اما با توجه به اينكه توسعهدهندگان اين باجافزار در نسخههاي جديدتر شيوهي خود را تغيير ميدهند و از الگوريتم رمزنگاري نامتقارن استفاده ميكنند، از اين بهبعد، فايلهاي رمزگذاريشده ازطريق باجافزار STOP/Djvu بدون كليد خصوصي توسعهدهندهي باجافزار رمزگشاييشدني نخواهند بود.
اين باجافزار از روشهاي متنوعي مانند پيوست هرزنامهها، كركهاي آلودهي ويندوز و محصولات آفيس، درايورها و بهروزرسانيهاي جعلي و سوءاستفاده از پروتكل RDP براي نفوذ و انتشار خود به سيستم قرباني استفاده ميكند.
طبق اعلام مركز ماهر، ميزان حملهي باجافزارهايي همچون STOP/Djvu كه شكارش بيشتر كابران خانگي هستند، در يك ماههي اخير بيشتر شده است. عمده دلايل آلودهشدن رايانهها كليك روي لينكهاي آلوده، دريافت فايلهاي اجرايي مخرب، كركها و نرمافزارهاي فعالساز و ماكروهاي آلودهي موجود در فايلهاي محصولات ادوبي و آفيس با پسوندهاي pdf ,doc ,ppt و... است. نكاتي كه متخصصان براي جلوگيري از آلودهشدن رايانههاي شخصي و كاهش آسيبهاي ناشي از حملات باجافزاري ميتوانند رعايت كنند، عبارتاند از:
- از اطلاعات ارزشمند خود نسخهي همراه تهيه و آن را بهصورت آفلاين نگهداري كنيد؛
- از بازكردن پيامهاي مشكوك در محيطهاي مختلف ازجمله رايانامه و پيامرسانها و شبكههاي اجتماعي پرهيز كنيد؛
- از دريافت فايلهاي اجرايي از منابع ناشناس بهويژه دريافت كرك نرمافزارها ازجمله فعالسازهاي ويندوز و محصولات آفيس خودداري كنيد؛
- از بهروزبودن سيستمعامل و ضدويروس مطمئن شويد. در بسياري از موارد، ضدويروسها از تشخيص بههنگام باجافزارها ناتوان هستند. دليل اين موضوع گسترش متخصصد RaaS در بين باجافزارهاي امروزي است. مفهوم RaaS يا «باجافزار بهعنوان خدمت» زماني بهكار برده ميشود كه گروهي بستر حمله، يعني فايلهاي مخرب و بستر ارتباطي را فراهم ميكنند و طيف گستردهاي از مهاجمان با دانش پايينتر، با دراختيارگرفتن انواع فايلهاي جديد و سفارشيسازيشده كه تا آن لحظه هيچ ضدويروسي مشاهده نكرده است، حمله ميكنند؛
- همواره به علائم آلودگي باجافزار ازقبيل تغيير رمزعبور فايلها، پيغام باجخواهي، كاهش محسوس سرعت سيستمعامل و... توجه كنيد و درصورت مشاهدهي موارد مشكوك به آلودگي، قبل از هر اقدامي از خدمات مشاورهاي مركز ماهر در اين زمينه استفاده كنيد.
هم انديشي ها