گزارش جدید
هنوز آماری در رابطه با تعداد قربانیان این
شروع گسترده آلودگی سیستم ها به باج افزارهای این گروه از سال 20 بود و از این رو گروه تصمیم گرفت نسخه های مختلف و پیچیده تر آن را با پسوندهای مختلف و البته الگوریتم های پیچیده تر منتشر کند.
با اینکه در ابتدا اطلاعات زیادی راجع باج افزار STOP/Djvu در دسترس نبود اما کارشناسان امنیتی با شیوع گسترده آن دریافتند که Djvu عموما از طریق دانلود کرک های نرم افزاری ویندوز و آفیس و رمزشکن های نرم افزاری که متاسفانه در بین ایرانیان بسیار شایع هستند وارد سیستم قربانی می شود. البته طبق گزارش های جدید این باج افزار از طریق لینک های آلوده در هرمه ها (اسپم) و باندل های تبلیغاتی نیز وارد سیستم قربانی شده است.(
طبق گزارش وبسایتSpywareفایل آلوده پس از دانلود شدن توسط قربانی وارد بخش LocalAppData سیستم می شود سپس سه فایل اجرایی با وظایف مختلف را وارد سیستم قربانی می کند. این فایل ها با نام های 1.exe، 2.exe و 3.exe شناخته می شوند. اما هرکدام از این فایل ها چه وظیفه ای دارند؟(
1.exe وظیفه غیرفعال کردن سیستم دفاعی ویندوز را برعهده دارد
2.exe از دسترسی کاربر به یک سری آدرس های اینترنتی URL جلوگیری می کند تا قربانی نتواند درخواست کمک کند.
نقش فایل 3.exe فعلا نامعلوم است.
پس از انجام این مراحل، Djvu با سرور C2 هکرها تماس برقرار می کند و اطلاعات شناسایی سیستم کاربر (MAC) را برای آنها ارسال می کند. سپس سرور هکرها عملیات رمزگذاری فایل های قربانی را آغاز می کند. در حین انجام پروسه رمزگذاری، باج افزار STOP/Djvu یک پنجره آپدیت ویندوز تقلبی را اجرا می کند تا همه چیز برای قربانی طبیعی جلوه دهد.(
پس از آلوده شدن سیستم میزبان، این باج افزار از
به محض اینکه رمزگذاری فایل های قربانی تمام شد، کاربر با یک پیغام از طرف هکرها مواجه می شود که معمولا از طریق یک فایل با نام های _readme.txt یا _openme.txt دیده می شوند. در این پیغام هکرها از قربانیان تقاضای مبالغی در ازای بازگشایی رمز فایل های آلوده می کنند. طبق گزراش های قربانیان، این مبالغ بین 350 تا 800 دلار متغیر هستند که البته در این پیام ها ادعا شده در صورت پرداخت وجه طی 72 ساعت، قربانی می تواند از 50 درصد تخفیف بهره مند شود. تمامی این مبالغ به صورت بیت کوین از قربانی دریافت می شوند. تصویر زیر یکی از همین پیام های ارسالی از طرف باج افزار STOP/Djvu برای دریافت باج از قربانی است.(
البته برخی از نسخه های جدید زمانی که باج افزار نمی تواند با سرور Camp;C ارتباط برقرار کند قابل رمزگشایی هستند اما در کل باج افزار Djvu طوری طراحی شده که حتی در صورت قطع ارتباط با اینتنرت بتواند رمزگذاری را به صورت آفلاین نیز ادامه دهد. در هر صورت پرداخت باج به این دسته از هکرها توسط قربانیان پیشنهاد نمی شود. اما باج افزار STOP/Djvu اینبار نسخه ویروس خود را هم منتشر کرده که این ویروس از رمزگذاری بسیار پیچیده تری برخوردار است و بر پایه الگوریتم RSA رمزگذاری شده است.(
هکرهایی که از چنین ویروس ها و باج افزارهایی بهره می برند، عموما از ارز رمزها برای دریافت مبالغ از قربانیان استفاده می کنند. محبوبترین ارز دیجیتالی در بین هکرهای امروزی نیز بیت کوین است چراکه امروزه در سراسر دنیا استفاده می شود. هکرهای به دلیل غیرقابل شناسایی بودن اطلاعات صاحب ارزهای دیجیتالی از این روش استفاده می کنند. این مسئله باعث می شود هکرها بدون هرگونه ریسکی به باج گیری از قربانیان بپردازند.
اگر می خواهید فایل هایتان را رمزگشایی کنید، قبل از هرکاری ابتدا فایل آلوده Djvu را از روی سیستم حذف کنید. البته پس از ریبوت کردن سیستم ممکن است فایل های شما مجددا آلوده شوند. البته پیشنهاد می کنیم رمزگشایی فایل هایتان را به متخصصان امنیتی بسپارید و یا منتظر بمانید ابزارهای رمزگشایی این باج افزار Djvu منتشر شوند.
البته نسخه های قبلی این باج افزار را می توان از طریق ابزارهایی مثل STOPDecrypter رمزگشایی کرد اما به نظر می رسد نسخه های جدید از رمزگذاری خیلی پیچیده تر بر پایه AES-256 بهره می برند و کرک کردن آنها اصلا کار ساده ای نیست.(
درباره این سایت