مهروماه

مرکز ماهر با بررسی حملات باج‌افزاری اخیر، از شیوع گسترده‌ی باج‌افزار STOP/Djvu در سطح کشور خبر داد. این باج‌افزار برای رمزگذاری فایل‌ها از الگوریتم AES-256 استفاده و مبلغی بین ۲۰۰ تا ۶۰۰ دلار (به‌صورت بیت‌کوین) را به‌عنوان باج از قربانی درخواست می‌کند. باج‌افزار STOP اولین‌بار در اواخر سال ۲۰۱۷ مشاهده شد و Djvu نسخه‌ی جدیدتر آن است که ازنظر عملکرد شبیه STOP است و امروزه آن را با نام STOP/Djvu می‌شناسند.

باج‌افزار STOP/Djvu به‌محض اجرا در سیستم قربانی، با سرور کنترل و فرمان (C&C) خود ارتباط برقرار و فایل‌ها را با کلید آنلاین رمزگذاری می‌کند و در‌صورتی‌که به هر دلیل موفق نشود با سرور خود ارتباط برقرار کند، از روش آفلاین برای رمزگذاری فایل‌ها استفاده می‌کند.

تاکنون تعداد محدودی از نسخه‌های آفلاین باج‌افزار STOP/Djvu در شرایط خاص قابل رمزگشایی بوده‌اند؛ اما با توجه به اینکه توسعه‌دهندگان این باج‌افزار در نسخه‌های جدیدتر شیوه‌ی خود را تغییر می‌دهند و از الگوریتم رمزنگاری نامتقارن استفاده می‌کنند، از این به‌بعد، فایل‌های رمزگذاری‌شده ازطریق باج‌افزار STOP/Djvu بدون کلید خصوصی توسعه‌دهنده‌ی باج‌افزار رمزگشایی‌شدنی نخواهند بود.

این باج‌افزار از روش‌های متنوعی مانند پیوست هرزنامه‌ها، کرک‌های آلوده‌ی ویندوز و محصولات آفیس، درایورها و به‌روزرسانی‌های جعلی و سوءاستفاده از پروتکل RDP برای نفوذ و انتشار خود به سیستم قربانی استفاده می‌کند.

طبق اعلام مرکز ماهر، میزان حمله‌ی باج‌افزارهایی همچون STOP/Djvu که شکارش بیشتر کابران خانگی هستند، در یک ماهه‌ی اخیر بیشتر شده است. عمده دلایل آلوده‌شدن رایانه‌ها کلیک روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و ماکروهای آلوده‌ی موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf ,doc ,ppt و... است. نکاتی که کاربران برای جلوگیری از آلوده‌شدن رایانه‌های شخصی و کاهش آسیب‌های ناشی از حملات باج‌افزاری می‌توانند رعایت کنند، عبارت‌اند از:

از اطلاعات ارزشمند خود نسخه‌ی پشتیبان تهیه و آن را به‌صورت آفلاین نگه‌داری کنید؛
از بازکردن پیام‌های مشکوک در محیط‌های مختلف ازجمله ایمیل و پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز کنید؛
از دریافت فایل‌های اجرایی از منابع ناشناس به‌ویژه دریافت کرک نرم‌افزارها ازجمله فعال‌سازهای ویندوز و محصولات آفیس خودداری کنید؛
از به‌روزبودن سیستم‌عامل و ضدویروس مطمئن شوید. در بسیاری از موارد، ضدویروس‌ها از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی است. مفهوم RaaS یا «باج‌افزار به‌عنوان خدمت» زمانی به‌کار برده می‌شود که گروهی بستر حمله، یعنی فایل‌های مخرب و بستر ارتباطی را فراهم می‌کنند و طیف گسترده‌ای از مهاجمان با دانش پایین‌تر، با دراختیارگرفتن انواع فایل‌های جدید و سفارشی‌سازی‌شده که تا آن لحظه هیچ ضدویروسی مشاهده نکرده است، حمله می‌کنند؛
همواره به علائم آلودگی باج‌افزار ازقبیل تغییر رمزعبور فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و... توجه کنید و درصورت مشاهده‌ی موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده کنید.