رفتن به مطلب

کاربران و مؤسسات ایرانی هدف گسترده باج‌افزار STOP


Recommended Posts

در روزهای اخیر گزارش‌های متعددی در خصوص مشاهده آلودگی بر روی سیستم برخی کاربران ایرانی به نسخه‌های جدید باج‌افزار STOP به شرکت مهندسی شبکه گستر واصل شده است. STOPاز جمله باج‌افزارهایی است که در هر یک از نسخه‌های خود، پسوندی متفاوت از نسخه قبلی به فایل‌های رمزگذاری شده الصاق می‌کند. فهرست پسوندهای بکار گرفته شده توسط این باج‌افزار به شرح زیر است:

.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces,.luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .masok, .Coharos

باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد.در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند را به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

یکی دیگر از روش‌های مورد استفاده نویسندگان STOP برای انتشار این باج‌افزار، بکارگیری بسته بهره‌جوی Fallout است. این بسته بهره‌جو، از آسیب‌پذیری در بخش CVE-2018-8174 مدیریت‌کننده کدهای VBScript و از آسیب‌پذیری CVE-2018-4878 در محصول Adobe Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان – در اینجا باج‌افزار – را بر روی دستگاه قربانی به‌صورت از راه دور نصب و اجرا می‌کند. مهاجمان معمولا بسته‌های بهره‌جو را در سایت‌های با محتوای جذاب یا سایت‌های معتبر هک شده تزریق می‌کنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیب‌پذیری‌های موجود در سیستم عامل و نرم‌افزارهای نصب شده بر روی دستگاه سوءاستفاده شود.لازم به ذکر است که شرکت مایکروسافت اردیبهشت ماه سال قبل، همزمان با عرضه  آسیب‌پذیری اصلاحیه های میلادی ماه مه CVE-2018-8120 را ترمیم کرد. شرکت ادوبی نیز آسیب‌پذیری CVE-2018-4990 را در به‌روزرسانی‌های APSA18-09 و APSA18-17 اصلاح و برطرف کرد. به‌روز بودن سیستم عامل Windows و نرم‌افزار Flash Player اصلی‌ترین راهکار برای ایمن نگاه داشتن دستگاه در برابر این بسته بهره‌جو محسوب می‌شود.ایمیل‌های با پیوست و لینک مخرب نیز دیگر روش انتشار STOP است.

مبلغ اخاذی شده توسط این باج‌افزار 980 دلار است که بر طبق آنچه که در اطلاعیه باج‌گیری (Ransom Note) آن درج شده است در صورتی که پرداخت ظرف 72 ساعت پس از آلودگی انجام شود قربانی مشمول تخفیفی 50 درصدی شده و این مبلغ به 490 دلار کاهش می‌یابد.

STOP-Ransom-Note.png

STOP با اجرای فرامینی اقدام به حذف نسخه‌های موسوم به Shadow، غیرفعال نمودن قابلیت System Restore و متوقف کردن سرویس‌های Windows Defender،و System Recovery و BITS می‌کند.در برخی نمونه‌ها از این باج‌افزار، از کلید رمزگذاری آفلاین (و نه آنلاین) استفاده می‌شود. در این صورت بکارگیری این ابزار برای بازگرداندن فایل‌ها به حالت اولیه کارساز خواهد بود. توضیح این‌که به‌منظور شناسایی کلید رمزگذاری نیاز است که یک فایل رمز شده توسط باج‌افزار به همراه فایل اصلی آن (رمزگذاری نشده) در مسیر Settings | Bruteforcer به نرم‌افزار معرفی شود. حجم این دو فایل معرفی شده می‌بایست بیشتر از 150 کیلوبایت باشد.

 نرم افزار:

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

متأسفانه در حال حاضر راهکاری برای بازگردانی فایل‌های رمز شده توسط کلیدهای ایجاد شده در حالت آنلاین بدون در اختیار داشتن کلید فراهم نیست. با این حال در برخی مواقع به دلایلی نظیر مصادره سرورهای حاوی کلید یا شناسایی اشکالی در فرایند رمزگذاری این امکان فراهم می‌شود که فایل‌ها را به رایگان به حالت اولیه بازگرداند. بنابراین توصیه می شود که فایل‌هایی که پسوند آنها تغییر کرده را به همراه فایل Ransom Note آنها در محلی نگهداری کنید تا هر زمان که راه‌حلی جدید برای رمزگشایی کشف شد بتوان این فایل‌ها را بازگردانی کرد.مجددا تأکید می‌گردد که مؤثرترین راهکار در مقابله با باج‌افزارها، پیشگیری از آلوده شدن به آنهاست. پس همچون همیشه بکارگیری روش های پیشگیرانه در مقابل با باج افزارها ( فایل روشهای پیشگیرانه با باج افزار ها ) توصیه میشود.

منبع خبر :shabakeh.net

ویرایش شده توسط ahmadsa
لینک به دیدگاه
Share on other sites

  • کاربر ویژه

سلام الان کدوم نرم افزار پیشنهاد میشه ؟

لینک به دیدگاه
Share on other sites

در 2 دقیقه قبل، Hassan.SK گفته است :

سلام الان کدوم نرم افزار پیشنهاد میشه ؟

Webroot

malewarebyte

لینک به دیدگاه
Share on other sites

جالبه  coharos و حالا این 

نمیدونم چرا ولی احساس میکنم سازنده همش 1نفر یا تیم هست چون 5تا مخرب دیگه با همین نشانی و مبلغ و readme فعالیت میکنن

عجیبه

لینک به دیدگاه
Share on other sites

سلام. یعنی آنتی ویروس هایی چون نود یا کسپر نمی تونند اونا رو شناسایی کنند؟

اگر اینطوریه پس چرا این همه پول یه آنتی ویروس اورجینال رو بدیم.

مثل مال خودم اینه:

image.thumb.png.9d702b600d6989c1096d268cd11ac844.png

با این آنتی ویروس می شه از ورودش به سیستم جلوگیری کرد البته باتوجه داشتن فایروال و اینترنت سکروتری بودنش می پرسم.

 

لینک به دیدگاه
Share on other sites

در 26 دقیقه قبل، pesari_az_kelachai گفته است :

سلام. یعنی آنتی ویروس هایی چون نود یا کسپر نمی تونند اونا رو شناسایی کنند؟

اگر اینطوریه پس چرا این همه پول یه آنتی ویروس اورجینال رو بدیم.

مثل مال خودم اینه:

image.thumb.png.9d702b600d6989c1096d268cd11ac844.png

با این آنتی ویروس می شه از ورودش به سیستم جلوگیری کرد البته باتوجه داشتن فایروال و اینترنت سکروتری بودنش می پرسم.

 

درود

اینها پدیده های جدیدی اند و هنوز مثل ویروسها فرموله و آسیب شناسی نشده اند. ویروسها هدفشان خرابکاری روی سیستم عامل بود و نه لزوما تخریب یا پاک کردن فایلها. شیوه ی پخششان هم انتقال از دیسک به دیسک بود.

اما اکنون با وجود اینترنت و رمز-ارزها امکانات بیشتری برای خرابکاری، رخنه به حریم شخصی و نیز باجگیری وجود دارد. مثلا ضد ویروس کاسپرسکی kav برای امنیت شبکه چیزی ندارد و برای این منظور kis عرضه شده. سازوکارهای باج افزارها متنوع  و پیچیده  و نیز کمتر شناخته شده اند و باید شکیبید تا پیشرفت فناوری راهی بیابد.

ویرایش شده توسط سعید بهمنیان
لینک به دیدگاه
Share on other sites

چطوری باید سیستم طرف ویروس بگیره ؟ اگه کاربر استفاده ی درست داشته باشه نباید مشکلی براش پیش میاد والا من چند ساله آنتی ویروس ندارم

لینک به دیدگاه
Share on other sites

در ۱ ساعت قبل، Coffee Addicted گفته است :

چطوری باید سیستم طرف ویروس بگیره ؟ اگه کاربر استفاده ی درست داشته باشه نباید مشکلی براش پیش میاد والا من چند ساله آنتی ویروس ندارم

درود 

از راه فلش یا بدافزارهای اینترنتی مثلا.

کاش با کمک از تجربه هایتان راهنمایی امنیتی بنویسید تا به کار دیگر دوستان بیاید.

لینک به دیدگاه
Share on other sites

در 2 ساعت قبل، pesari_az_kelachai گفته است :

 

اگر اینطوریه پس چرا این همه پول یه آنتی ویروس اورجینال رو بدیم.

 

 

دقیقا همینه

به نظرم اشتباه میکنید پول انتی ویروس میدید

جز تحمیل هزینه اضافی ، مزاحمت های پی در پی ، و اشغال بخشی از توانایی پردازشگر هیچ فایده ای نداره

بنده چندین ساله هیچ نوع انتی ویروسی به جز ویندوز دفندر ندارم و هیچ مشکلی هم ندارم

لینک به دیدگاه
Share on other sites

در 5 ساعت قبل، Coffee Addicted گفته است :

چطوری باید سیستم طرف ویروس بگیره ؟ اگه کاربر استفاده ی درست داشته باشه نباید مشکلی براش پیش میاد والا من چند ساله آنتی ویروس ندارم

درسته البته بعضی وقتا ممکنه ابزار های جانبی متصل بشه یا باگ خاصی دسترسی ایجاد کنه

منم تو این چندساله جز گیر های کرک هشدار امنیتی نداشتم

لینک به دیدگاه
Share on other sites

در 3 ساعت قبل، Alirezatha گفته است :

دقیقا همینه

به نظرم اشتباه میکنید پول انتی ویروس میدید

جز تحمیل هزینه اضافی ، مزاحمت های پی در پی ، و اشغال بخشی از توانایی پردازشگر هیچ فایده ای نداره

بنده چندین ساله هیچ نوع انتی ویروسی به جز ویندوز دفندر ندارم و هیچ مشکلی هم ندارم

البته وبروت یه انتیویروس ابری هست و کلا 30مگ رم بیشتر مصرف نمیکنه یعنی دیتابیسش رو سروره جای اینکه رو سیستم باشه خوب این خیلی خوبه  رفتار شناسی خوبی داره البته که مانند هر برنامه دیگه ای کامل نیست و شاید ابزار خاصی در مواقع خیلی حساس  نداشته باشه. مصرف اینترنتش هم کمه با 256 مخابراتم راحت کار میکنه

به نظرم جایگزین خوبی برای دیفندر ویندوز هست

لینک به دیدگاه
Share on other sites

  • 1 ماه بعد...

کاربران و سازمان‌های ایرانی، هدف نسخه جدید بدافزار VJw0rm

در هفته‌های اخیر نسخه جدیدی از بدافزار VJw0rm کاربران و مؤسسات ایرانی را هدف حملات خود قرار داده است.

 روش انتشار این بدافزار بهره‌گیری از حافظه‌های جداشدنی موسوم به USB Flash است. بدین نحوه که علاوه بر کپی دو نمونه از خود بر روی حافظه متصل به دستگاه آلوده‌شده، تمامی پوشه‌ها و فایل‌های موجود بر روی آن را مخفی نموده و به ازای هر یک از آنها یک میانبر (Shortcut) ایجاد می‌کند.

3.png

اجرای میانبر موجب فراخوانی فایل مخرب موجود در حافظه USB Flash و سپس اجرای فایل / پوشه اصلی می‌شود. با توجه به عدم نمایش فایل‌ها و پوشه‌های مخفی و سیستمی در حالت پیش‌فرض و نظر به اجرا شدن فایل یا پوشه مورد نظر کاربر احتمال مشکوک شدن کاربر به آلوده بودن حافظه تا حد بسیار زیادی کاهش می‌یابد.

در ادامه بدافزار اقدام به کپی نسخه‌ای از خود در مسیرهای زیر می‌کند:

  • %Temp%
  • %UserProfile%\Downloads

VJw0rm با ایجاد کلید زیر در محضرخانه (Registry) موجب اجرای خودکار خود در هر بار راه‌اندازی شدن سیستم عامل می‌گردد.

1.png

دو نمونه از فایل مخرب VJw0rm نیز در پوشه %Startup% کپی می‌شود که مکانیزمی دیگر برای اجرای خودکار بدافزار است.

2.png

همچنین از طریق پروسه معتبر wscript.exe کلیدی تحت عنوان VJw0rm با مقدار False در مسیر HKEY_CURRENT_USER ایجاد می‌شود.

4.png

از دیگر دست‌درازی‌های VJw0rm می‌توان به ایجاد یک فرمان زمانبندی شده با عنوان Skype اشاره کرد که وظیفه آن اجرای فایل مخرب هر 30 دقیقه یکبار است.

5.png   6.png

همچنین در این نسخه، بدافزار اقدام به برقراری ارتباط با نشانی lalik.linkpc[.]net بر روی درگاه 76 می‌کند. به‌نظر می‌رسد نشانی مذکور متعلق به سایتی هک شده است که مهاجمان از آن به‌عنوان سرور فرماندهی این نسخه از VJw0rm استفاده می‌کنند.

استفاده از ضدویروس به روز و قدرتمند و بکارگیری محصولات موسوم به Device Control می تواند سازمان را از گزند این تهدیدات ایمن نگاه دارد.

نمونه بررسی شده در این خبر توسط ضدویروس های McAfee و Bitdefender به ترتیب با نام های JS/Agent.b و Trojan.JS.Agent.TMZ قابل شناسایی است.

هشدار! گسترش حملات باج‌افزاری در بین کاربران خانگی

مشاهدات صورت گرفته نشان می‌دهد که در بازه زمانی یک‌ماهه اخیر، با رشد و گسترش باج‌افزارهایی همچون STOP/Djvu که کابران خانگی را مورد حمله قرار می‌دهند، شدت این حملات بیشتر شده است. بررسی‌ها نشان می‌دهد که از عمده دلایل آلوده شدن این رایانه‌ها کلیک بر روی لینک‌های آلوده، دریافت فایل‌های اجرایی مخرب، کرک‌ها و نرم‌افزارهای فعال‌ساز و همچنین ماکروهای آلوده موجود در فایل‌های محصولات ادوبی و آفیس با پسوندهای pdf, doc, ppt و ... می‌باشند.
برای جلوگیری از آلوده شدن رایانه‌های شخصی و کاربران خانگی و همچنین کاهش آسیب‌های ناشی از حملات باج‌افزاری توصیه می‌گردد:
1. نسبت به تهیه نسخه‌های پشتیبان از اطلاعات ارزشمند و نگهداری به صورت غیر برخط اقدام نمایند.
2. از باز کردن پیام‌های مشکوک در محیط‌های مختلف از جمله ایمیل، پیام‌رسان‌ها و شبکه‌های اجتماعی پرهیز نمایند.
3. از دریافت فایل‌های اجرایی از منابع ناشناس پرهیز نمایند. به طور ویژه از دریافت کرک نرم‌افزارها خصوصاً فعال‌سازهای ویندوز و محصولات آفیس خودداری نمایند.
4. از به‌روز بودن سیستم‌عامل و محصولات ضدویروس اطمینان حاصل نمایند. لازم به یادآوری است که در بسیاری از موارد، ضدویروس‌ها از از تشخیص به‌هنگام باج‌افزارها ناتوان هستند. دلیل این موضوع گسترش کاربرد RaaS در بین باج‌افزارهای امروزی می‌باشد. مفهوم RaaS یا "باج‌افزار به عنوان یک خدمت" زمانی به کار برده می‌شود که گروهی نسبت به تهیه بستر حمله یعنی فایل‌های مخرب و بستر ارتباطی اقدام کرده و طیف گسترده‌ای از مهاجمین عموماً با دانش پایین‌تر با در اختیار گرفتن انواع فایل‌های جدید و سفارشی‌سازی شده که تا آن لحظه توسط هیچ ضدویروسی مشاهده نشده است، اقدام به حمله می‌نمایند.
5. همواره نسبت به علائم آلودگی باج‌افزار از قبیل تغییر پسوند فایل‌ها، پیغام باج‌خواهی، کاهش محسوس سرعت سیستم‌عامل و ... حساسیت داشته و در صورت مشاهده موارد مشکوک به آلودگی، قبل از هر اقدامی از خدمات مشاوره‌ای مرکز ماهر در این زمینه استفاده نمایند.

منبع 2

منبع1

ویرایش شده توسط ahmadsa
لینک به دیدگاه
Share on other sites

  • 1 ماه بعد...

خبری بسیار خوش برای قربانیان باج‌افزار STOP

شرکت ام‌سی‌سافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شده که امکان رمزگشایی 148 گونه از باج‌افزار مخرب STOP را فراهم می‌کند.

گرچه پیش‌تر نیز ابزاری برای این منظور عرضه شده بود اما ابزار قبلی صرفا قادر به رمزگشایی فایل‌های آن دسته از سیستم‌های آلوده شده به STOP بود که در جریان دست‌درازی به فایل‌ها، از کلید رمزگذاری آفلاین (و نه آنلاین) استفاده می‌شد.

بر اساس گزارشی که در شهریور ماه سایت BleepingComputer آن را منتشر کرد، STOP، فعال‌ترین باج‌افزار سال میلادی جاری بوده است. مهاجمان این باج‌افزار به کرات سیستم کاربران و سازمانهای ایرانی   را هدف حملات خود قرار داده‌اند.

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد. در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند را به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به‌خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

از جمله برنامه‌های مورد استفاده توسط نویسندگان STOP می‌توان به Crack نرم‌افزارهای KMSPico،وCubase،وPhotoshop و برنامه‌های ضدویروس اشاره کرد.

انتشار ابزار رمزگشایی جدید دستاورد بزرگی برای جامعه امنیت فناوی اطلاعات در مقابله با تهبکاران و باج‌گیران سایبری است.

ابزار عرضه شده جدید که در اینجا قابل استفاده است از پسوندهای زیر پشتیبانی می‌کند:

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

منبع

ویرایش شده توسط ahmadsa
لینک به دیدگاه
Share on other sites

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .
توجه: مطلب ارسالی شما پس از تایید مدیریت برای همه قابل رویت خواهد بود.

مهمان
ارسال پست در این تاپیک...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

 اشتراک گذاری

×
  • اضافه کردن...