انتشار گسترده یک باج افزار در کشور/ قشر دانشجو هدف قرار گرفت
تاریخ انتشار: ۲۷ خرداد ۱۳۹۹ | کد خبر: ۲۸۳۱۴۰۶۶
به گزارش خبرگزاری مهر به نقل از مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، باجافزار STOP برای نخستین بار در تاریخ ۲۵ دسامبر ۲۰۱۷ میلادی مشاهده شده است.
این باجافزار تاکنون با اسامی مختلفی از جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است.
اما به طور کلی به دو دسته STOP و Djvu تقسیم میگردد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
تعدد نسخهها در فواصل زمانی کوتاه در واقع تکنیکی است که باجافزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده میکند.
تاکنون بیش از ۲۰۰ پسوند مختلف از این باجافزار مشاهده شده و بر اساس آمارهای منتشر شده در وبسایت Emsisoft تنها در سهماهه اول ۲۰۲۰ بیش از ۶۶ هزار مورد گزارش آلودگی به این باجافزار توسط قربانیان به ثبت رسیده است.
این رقم حدودا ۷۰ درصد از موارد آلودگی به باجافزارها در سطح جهان را به خود اختصاص داده است. نسخههایی از این باجافزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در کشور ایران نیز مشاهده شده است.
باجافزار STOP/Djvu با زبان برنامهنویسی C++ نوشته شده است. نسخههای جدید این باجافزار در کد نویسی خود به شدت مبهمسازی (Obfuscate) شدهاند و از انواع روشهای anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیلگران بدافزار استفاده کردهاند. برخی از نسخههای این باجافزار نیز با توجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام میدهند و بدین ترتیب به صورت هدفمندتر قربانیان خود را انتخاب میکنند.
این باجافزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر %AppData%\Local\ کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط میگیرد و فایلها را با کلید آنلاین و الگوریتم نامتقارن RSA-۲۰۴۸ رمزگذاری میکند. در برخی نسخهها از الگوریتم Salsa۲۰ نیز برای رمزگذاری فایلها استفاده شده است.
در صورتی که باجافزار به هر دلیل موفق به برقراری ارتباط با سرور خود نشود از روش آفلاین (الگوریتم AES-۲۵۶) برای رمزگذاری فایلها استفاده میکند. نسخههای اولیه این باجافزار از روش آفلاین برای رمزگذاری فایلهای قربانیان استفاده میکردند و شرکتهایی مثل Emsisoft توانستند برای این نسخهها رمزگشا ارائه دهند.
اما از آگوست ۲۰۱۹ شیوه رمزگذاری باجافزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام میدهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باجافزار ذخیره شده است عملاً رمزگشایی فایلها غیرممکن خواهد بود.
در مواردی مشاهده شده که باجافزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجانها و جاسوسافزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت میکند نیز آلوده کرده است. لذا توجه به این نکته، در زمان ارائه خدمات، امداد به قربانیان این باجافزار ضروری است.
باجافزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتیویروسها به صورت مداوم پسوند و ساختار خود را تغییر میدهد. به همین دلیل است که حتی از سد بهروزترین آنتیویروسها نیز عبور میکند.
بر اساس گزارشهای رسیده از قربانیان این باجافزار در سرتاسر جهان، باجافزار STOP/Djvu معمولاً از طریق کرک و فعالسازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرمافزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنسهای تقبلی و حتی آپدیتهای جعلی ویندوز منتشر میشود.
نسخههایی از این باجافزار حتی در قالب اسناد آفیس و فایل Setup نرمافزارهای مرتبط با پایاننامهها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق میتوان اینگونه نتیجهگیری کرد که جامعه هدف باجافزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمانها تهدید کمتری محسوب میشود.
بنابراین اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باجافزار است که بیشتر مبتنی بر دانلود فایلهای آلوده در اثر بی احتیاطی کاربران است.
طبق بررسیهای صورت گرفته از سوی مرکز ماهر، میتوان گفت که رفتار باجافزار STOP/Djvu در کشور ایران به صورت فصلی است و در فصولی که دانشجویان به دنبال یافتن قالب برای پایاننامهها یا سایر مقالات و ارائههای خود هستند، رخدادهای بیشتری مشاهده می شود.
از این رو به منظور پیشگیری از آلودگی و مقابله با این باجافزار توصیه میشود که در مرحله اول سیستمعامل، آنتیویروس و سایر نرمافزارها به صورت مداوم بهروزرسانی شوند.
همچنین کاربران باید از دانلود هرگونه فایل یا نرمافزار از وبسایتهای ناشناس خودداری کرده و قبل از اجرای فایلها روی سیستم خود حتما آنها را با آنتیویروسهای بهروز و سامانههای آنلاین مثل VirusTotal اسکن کنند.
مرکز ماهر تاکید کرد: پشتیانگیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باجافزارها است.
کد خبر 4951142 معصومه بخشی پورمنبع: مهر
کلیدواژه: ویروس باج افزار مرکز ماهر پایان نامه ویروس کرونا معاونت علمی و فناوری ریاست جمهوری شرکت دانش بنیان نوآوری فناوری فضایی تحقیقات علمی فناوری نانو تولید اینترنت ایالات متحده آمریکا صندوق نوآوری و شکوفایی ماهواره آمازون گوشی هوشمند باج افزار STOP Djvu باج افزار مشاهده شده آنتی ویروس نرم افزار نسخه ها فایل ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.mehrnews.com دریافت کردهاست، لذا منبع این خبر، وبسایت «مهر» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۸۳۱۴۰۶۶ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
رقابت ۲ هزار و ۱۵۰ دانشآموز برای تکنولوژیهای آینده
به گزارش گروه آموزش و دانشگاه خبرگزاری علم و فناوری آنا، رقابت علمی کیدکد شریف با حضور 2 هزار و 150 دانشآموز، در محل دانشگاه صنعتی شریف برگزار شد.
در ۱۴ اردیبهشت ۱۴۰۳، دانش آموزان از سن ۷ تا ۱۷ سال از سراسر ایران با حضور در سومین دوره مسابقات کیدکد شریف، به رقابت برای تکنولوژیهای آینده پرداختند.
این دوره از مسابقات با حضور 2 هزار و 150 دانشآموز در لیگهای مختلف از جمله اسکرچ، اپلیکیشن سازی با موبایل، طراحی سایت، پایتون، لیگ جهانی ACM و همچنین لیگ برنامه نویسی بر روی سخت افزار (IOT)، لیگهای خلاقیت، رباتهای رالی، جنگجو، مسیریاب، نوریاب، فوتبالیست و لیگ جهانی WRO برگزار شد که رقابتهای جذابی را به نمایش گذاشتند، این رویداد یک پلتفرم برای کشف استعدادهای جوانان در عرصه برنامهنویسی نرم افزار و سخت افزار است.
این رویداد در محل دانشگاه صنعتی شریف، و با هدف ایجاد فرهنگ عمومی برنامهنویسی و کشف و پرورش استعدادهای دانش آموزان در زمینه فناوریهای هایتک برگزار شد. دانش آموزان برتر سهمیه حضور در مسابقات جهانی و بورسیه مرکز نوآوری دانش آموزی لنسر شریف را دریافت خواهند کرد.
نتایج نهایی این دوره از مسابقات در ۲۸ اردیبهشت طی مراسم اختتامیه با حضور مدیران و مسئولان دانشآموزی برگزار و به برندگان جوایزی اهدا خواهد شد.
انتهای پیام/