اخبار سایبریاخبار فوریبدافزارها

هشدار : باج افزار STOP از طریق کرک نرم افزارهایی مانند KMSPico ، Cubase ، Photoshop و آنتی ویروس پخش می شود

باج افزار STOP یک data-locker است که برای اولین بار در دسامبر سال 2017 ظاهر شد. این بدافزار ترکیبی از الگوریتم های AES و RSA برای رمزگذاری داده ها می باشد و از افزودن پسوندSTOP. به پرونده ها استفاده می کند. با این حال نسخه های جدید تقریباً هر ماه در حال گسترش بوده اند و در حال حاضر این باج افزار پسوندهای زیر را به پرونده ها اضافه می کند: .shadow ، .keypass ، .tocue ، .daris ، .gusau ، .madek ، .lapoi ، .todar ، .dodoc،. novasof ، .bopador ، .ntuseg ، .ndarod و بسیاری دیگر. فعال ترین آن معمولا ransomware Keypass و ransomware Djvu است که بیش از 20 کشور را مورد هدف خود قرار داده اند. آنها برای رمزگشایی داده ها خواستار باج 300 تا 600 دلار شده اند و با استفاده از openme.txt, readme.txt یا یادداشت های باج گیری مشابه ، کاربران را ترغیب می کنند تا از طریق [email protected], [email protected], [email protected] یا آدرس ایمیل های مشابه با باجگیران تماس بگیرند.

این باج افزار عمدتا از طریق نرم افزارهای کرک ، بسته های نرم افزاری تبلیغاتی و سایتهای مشکوک پخش می شود. باج افزار های Ryuk ، GandCrab و Sodinkibi و … به دلیل نیاز به پرداخت باج های کلانی که دارند مورد توجه رسانه ها قرار گرفته اند و می توانند در عملکرد عادی شرکت ها و دولت ها اختلال ایجاد کنند.

براساس گزارش باج افزاری مایکل گیلسپی فعال ترین باج افزار در سال گذشته، ارسال های STOP Ransomware است. بر اساس گزارشاتی از سرویس شناسه های باج افزارها، هر روز تقریباً 2،500 ارسال باج افزاری دریافت می شود که از این تعداد 60-70 درصد موارد ارسال شده با استفاده از باج افزار Stop می باشد. این تعداد ارسال بیش از سایر باج افزارهایی است که کاربران هنگام درخواست کمک به این سرویس ارسال می کنند.

توسعه دهندگان باج افزار به منظور توزیع STOP از سایتهای مشکوک وتبلیغاتی استفاده می کنند. این سایتها تعداد زیادی نرم افزارهای کرک شده را تبلیغ می کنند اما در واقع پشت این برنامه تبلیغاتی آنها بدافزاری است که ناخواسته  روی رایانه کاربر نصب می شود. یکی از برنامه های نصب شده از طریق این بسته ها ، STOP Ransomware است.

در حال حاضر باج افزار STOP در  کرک نرم افزاریی از جمله KMSPico ، Cubase ، Photoshop تعبیه شده است و حتی در آنتی ویروس ها هم یافت می شود. لازم به ذکر است که توزیع این باج افزار تنها به این نرم افزار های نام برده محدود نمیشود بلکه این سایتها از برخی نرم افزارهای رایگان و همچنین بسته های نرم افزاری تبلیغاتی مزاحم جهت نصب این باج افزار استفاده می کنند.

کاربران قربانی ناامید هستند

محقق امنیتی Gillespie موفقیتی در زمینه کمک به قربانیان این باج افزار و بازیابی پرونده های آنان از طریق ابزار رمزگشایی STOPDecryptor خبر می دهد . این ابزار شامل کلیدهای رمزگشایی آفلاین است که باج افزار هنگام استفاده از C2 قادر به استفاده از آن نیست. محقق ransomware همچنین در کمک به کسانی که با کلیدهای منحصر به فرد آلوده شده اند، موفقیت کمی داشته است.

مقالات مرتبط:

The Week in Ransomware – September 6th 2019 – Three Week Roundup

The Week in Ransomware – September 20th 2019 – Fairly Quiet

The Week in Ransomware – September 13th 2019 – Exploit Kits

The Week in Ransomware – August 16th 2019 – Fairly Slow

The Week in Ransomware – August 9th 2019 – Summer Doldrums

دیدگاهتان را بنویسید