باج افزار STOP/DJVU: معرفی، آنالیز و دانلود ابزار رمزگشا

باج افزار STOP/DJVU یکی از شایع ترین باج افزارها در سال 2020 است که عضو خانواده STOP بوده و با استفاده از الگوریتم رمزنگاری RSA، اطلاعات قربانیان را رمزگذاری می کند. این باج افزار معمولا از طریق کِرک کردن، keygen ها، دانلود نرم افزارهای نامعتبر و یا پیوست های ایمیل مخرب به کامپیوتر شما نفوذ می کند. در حال حاضر بیش از 270 پسوند مختلف برای این باج افزار شناسایی شده که روز به روز در حال افزایش است.

خوشبختانه امسی سافت ابزار رمزگشای رایگانی تولید کرده است که این باج افزار مشهور را تحت شرایط خاصی رمزگشایی کرده و فایل های کاربران را بازگردانی می کند. خانواده باج افزاری STOP دارای گونه های مختلفی است که معروف ترین آن ها DJVU است:

• UPPERCASE: این نوع شامل پسوندهایی مانند  KEYPASS و DATAWAIT است، که بسیاری از آن ها در صورت وجود یک نمونه جفت فایل، توسط ابزار رایگان STOP Puma decryptor قابل رمزگشایی است.
• Puma: این نوع شامل پسوندهایی مانند puma ،pumas و pumax است، که تمامی آن ها در صورت وجود یک نمونه جفت فایل، توسط ابزار رایگان STOP Puma decryptor قابل رمزگشایی است.
• نوع قدیمی Djvu: این نوع شامل پسوند هایی مانند djvu ،roland و verasto است که تقریبا شایع ترین نوع خانواده باج افزار STOP/DJVU به حساب می آید. فایل های رمزنگاری شده 78 بایت بزرگتر از فایل اصلی هستند. تمامی پسوندهای این نوع در صورت وجود چند نمونه جفت فایل و یا استفاده از کلید آفلاین، توسط ابزار رایگان STOP Djvu decryptor قابل رمزگشایی است.
• نوع جدید Djvu: این نوع شامل پسوند هایی مانند boot ،omfl و igdm است که از ماه آگوست سال 2019 در حال شیوع است. فایل های رمزنگاری شده 334 بایت بزرگتر از فایل اصلی هستند. بیشتر پسوندهای این نوع، تنها در صورت استفاده از کلید آفلاین، توسط ابزار رایگان STOP Djvu decryptor قابل رمزگشایی است. لازم به ذکر است که در صورت استفاده از کلید آنلاین، امکان رمزگشایی فایل ها در حال حاضر وجود ندارد.

شیوع باج افزار STOP/DJVU

سرعت گسترش این باج افزار بسیار قابل ملاحظه بوده است. در اکتبر 2018، این باج افزار با ثبت درصد 54.3، از 5 خانواده برتر باج افزار که توسط سرویس ID Ransomware شناسایی شده بود، بالاترین رتبه را به خود اختصاص داد. تا اکتبر 2019 جایگاه نخست خود را حفظ کرده و هم اکنون یکی از شایع ترین خانواده های باج افزاری موجود است. 

باج افزار STOP/DJVU پس از نفوذ موفقیت آمیز به سیستم، فایل اجرایی خود با فرمت tmp.exe. را در پوشه LocalAppData نصب کرده و سپس شروع به دانلود چند فایل اجرایی دیگر می کند.  این فایل های اجرایی معمولا شامل موارد زیر هستند:

• فرمت tmp.exe.: فایل اصلی باج افزار است.
• 1.exe: برای غیرفعال کردن Windows Defender و خاموش کردن اسکن Real-Time طراحی شده است.
• 2.exe: برای ویرایش فایل های ویندوز هاست طراحی شده تا قربانی نتواند به وب سایت های امنیتی دسترسی داشته باشد.
• Updatewin.exe: این فایل در زمان اجرای فرآیند رمزنگاری، یک پنجره جعلی بروزرسانی سیستم عامل را نشان می دهد.

پس از نفوذ و آماده سازی  مراحل اولیه، باج افزار سیستم را برای یافتن فایل های شخصی اسکن کرده و 150 کیلوبایت اول آنها را رمزنگاری می کند، به طوری که دیگر قربانیان نمی توانند به آنها دسترسی پیدا کنند.همچنین 334 بایت (شامل کلید رمزگذاری شده RSA، نشانگر فایل و ID) به حجم فایل مورد نظر اضافه می کند. در نهایت فایل ransom note (یادداشت باج  افزار) را بر روی سیستم قرار داده که اطلاعات مربوط به نحوه پرداخت باج و رمزگشایی در آن قرار دارد.

در بعضی مواقع گزارش شده که این باج افزار علاوه بر رمزنگاری اطلاعات، یک تروجان برای سرقت پسوردهای کاربر بر روی سیستم نصب می کند. بنابراین حذف کردن این باج افزار بلافاصله پس از آلودگی بسیار ضروری است. می توانید با استفاده از کیت اضطراری امسی سافت، سیستم خود را از هرگونه بدافزار موجود به سرعت پاکسازی کنید. همچنین به سرعت تمامی پسوردهای حساب های کاربری (شامل پسوردهای ذخیره شده در مرورگرها) خود را تغییر دهید.

باج افزارها با تغییر پسوند فایل، آن ها را قفل و از دسترس خارج می کنند. پسوندهایی که برای خانواده باج افزار STOP/DJVU تا به حال شناخته شده اند، به شرح زیر هستند:

.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad,, promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato. .masodas, .stare, .cetori

پسوند های شناسایی شده فایل هایی که با نوع جدید باج افزار STOP/DJVU رمزگذاری شده اند، به شرح زیر است:

.coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .moqs, .hhqa .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax 

توجه داشته باشید که این پسوند ها، به صورت پیوسته و روزانه در حال افزایش است. آخرین پسوندها و تغییرات این باج افزار را هم می توانید در این لینک مشاهده نمایید.

راه های انتشار و گسترش باج افزار STOP/DJVU

به طور کلی باج افزارها فایل های اجرایی هستند که می توانند با استفاده از روش های مختلف، به سیستم قربانیان نفوذ کنند. به عنوان مثال، فایل اجرایی که کد مخرب را بارگذاری می کند، می تواند از طریق یک فایل ZIP در پیوست ایمیل وارد شود و یا می تواند در قالب یک فایل JavaScript باشد که کد مخرب را دانلود و سپس اجرا می کند.

روش های توزیع باج افزار STOP/DJVU اغلب شامل ایمیل های اسپم، وبگردی و دانلود در وبسایت های آلوده و نامعتبر، کرک کردن نرم افزارها و فعال کننده های KMSPico و یا آسیب پذیری نرم افزار و سیستم عامل است.

برای محافظت از خود در برابر باج افزارها، سیستم عامل و نرم افزارهای شخص ثالث خود را به طور مرتب بروز کنید و از یک آنتی ویروس و ضد بدافزار معتبر و با کیفیت استفاده نمایید.

چگونگی تشخیص نوع کلید (آنلاین و آفلاین) در باج افزار STOP/DJVU

STOP/DJVU پس از اجرا تلاش می کند به یک کنترل سرور ریموت متصل شود. در صورت موفقیت، یک کلید رمزنگاری منحصر به فرد برای قفل کردن فایل های قربانی از سرور مربوطه درخواست می کند. این کلید رمزنگاری، کلید آنلاین نامیده می شود. اما در صورتی که نتواند با سرور خود ارتباط برقرار کند، امکان دریافت کلید آنلاین نداشته و از یک کلید محلی و تعبیه شده در خود برای رمزنگاری استفاده می کند. این کلید را کلید رمزنگاری آفلاین می نامند و فقط یک کلید رمزگشایی برای آن وجود دارد.

در صورتی که فایل های کاربری با کلید آفلاین قفل شود و باج را پرداخت کند، می تواند کلید آن را با کارشناسان امنیت سایبری به اشتراک گذاشته و در نتیجه ابزار رمزگشای رایگان برای آن پسوند بروز گردد. از آن جا که مشخص نیست چه زمانی این اتفاق خواهد افتاد، عملا نمی توان زمان دقیقی را برای بروزرسانی ابزار معین کرد.

گونه جدید Djvu که از ماه آگوست سال 2019 در حال شیوع است، تنها در شرایطی امکان رمزگشایی دارد که از کلید آفلاین استفاده کند و کلید آن توسط کاربری خریداری شده و در اختیار متخصصان قرار گیرد. برای تشخیص اینکه از چه نوع کلیدی استفاده شده، می توانید ID شخصی خود را در مسیر C:\SystemID\PersonalID.txt و یا در یادداشت باج افزار مشاهده کنید.در صورتی که  ID با حروف t1 تمام شده باشد، به این معنی است که کلید مورد نظر آفلاین است. همچنین در صورتی که از ابزار رمزگشای امسی سافت برای بازگردانی فایل ها استفاده کنید، پس از اسکن کردن فایل ها، نوع کلید را به شما خواهد گفت. یک نمونه از ID هایی که نشان دهنده کلید آفلاین است مانند این است:

 hvKVwn4fNn8A1rpjC19CUFmS1ySGycmqdrz89zt1

نحوه استفاده از ابزار رمزگشای STOP/DJVU امسی سافت

لطفا مراحل زیر را دنبال فرمایید:

1. ابتدا آخرین نسخه از ابزار رمزگشای STOP/DJVU امسی سافت را از این لینک دانلود نمایید.
2. پس از دانلود، نرم افزار را اجرا کرده و در پنجره ی License Terms و Disclaimer به ترتیب بر روی گزینه YES و OK کلیک نمایید.
3. در صفحه باز شده می توانید با استفاده از گزینه Add folder، مسیر هایی که فایل های قفل شده شما در آن موجود است را به نرم افزار معرفی کنید.
4. پس از معرفی مسیر مورد نظر، بر روی گزینه Decrypt کلیک کرده تا فایل های معرفی شده، در صورت امکان بازگردانی شوند.

توجه: لطفا به خاطر داشته باشید که برای گونه جدید Djvu که از کلید آنلاین استفاده می کند، هیچگونه راه حل رمزگشایی وجود ندارد.

روز خوب و بدون باج افزاری داشته باشید!

برگرفته از:

Remove STOP/DJVU Ransomware Virus

Emsisoft releases new decryptor for STOP Djvu ransomware