باجافزار STOP برای نخستین بار در تاریخ 25 دسامبر 2017 میلادی مشاهده گردید. این باجافزار تاکنون با اسامی مختلفی از جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است. اما به طور کلی به دو دسته STOP و Djvu تقسیم میگردد. Djvu در واقع نسخه جدیدتر این باجافزار بوده که از نظر عملکرد شبیه والد خود (STOP) میباشد و امروزه آنها را با نام STOP/Djvu میشناسند. تعدد نسخهها در فواصل زمانی کوتاه در واقع تکنیکی است که باجافزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده میکند. تاکنون بیش از 200 پسوند مختلف از این باجافزار مشاهده گردیده است. بر اساس آمارهای منتشر شده در وبسایت Emsisoft تنها در سهماهه اول 2020 بیش از 66,090 مورد گزارش آلودگی به این باجافزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً 70% از موارد آلودگی به باجافزارها در سطح جهان را به خود اختصاص داده است. نسخههایی از این باجافزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در کشور ایران نیز مشاهده شده است.
باجافزار STOP/Djvu با زبان برنامهنویسی C++ نوشته شده است. نسخههای جدید این باجافزار در کد نویسی خود به شدت مبهمسازی (Obfuscate) شدهاند و از انواع روشهای anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیلگران بدافزار استفاده کردهاند. برخی از نسخههای این باجافزار نیز باتوجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام میدهند و بدین ترتیب به صورت هدفمندتر قربانیان خود را انتخاب میکنند.
این باجافزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر "%AppData%\Local\" کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط میگیرد و فایلها را با کلید آنلاین و الگوریتم نامتقارن RSA-2048 رمزگذاری میکند. در برخی نسخهها از الگوریتم Salsa20 نیز برای رمزگذاری فایلها استفاده شده است. در صورتی که باجافزار به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین (الگوریتم AES-256) برای رمزگذاری فایلها استفاده میکند. نسخههای اولیه این باجافزار از روش آفلاین برای رمزگذاری فایلهای قربانیان استفاده میکردند و شرکتهایی مثل Emsisoft توانستند برای این نسخهها رمزگشا ارائه دهند. اما از آگوست 2019 شیوه رمزگذاری باجافزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام میدهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باجافزار ذخیره شده است عملاً رمزگشایی فایلها غیرممکن خواهد بود. در مواردی مشاهده شده که باجافزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجانها و جاسوسافزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت مینماید نیز آلوده نموده است. لذا توجه به این نکته در زمان ارائه خدمات امداد به قربانیان این باجافزار ضروری است.
باجافزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتیویروسها به صورت مداوم پسوند و ساختار خود را تغییر میدهد. به همین دلیل است که حتی از سد بهروزترین آنتیویروسها نیز عبور میکند. بر اساس گزارشهای رسیده از قربانیان این باجافزار در سرتاسر جهان، باجافزار STOP/Djvu معمولاً از طریق کرک و فعالسازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرمافزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنسهای تقبلی و حتی آپدیتهای جعلی ویندوز منتشر میشود. نسخههایی از این باجافزار حتی در قالب اسناد آفیس و فایل Setup نرمافزارهای مرتبط با پایاننامهها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق میتوان اینگونه نتیجهگیری کرد که جامعه هدف باجافزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمانها تهدید کمتری محسوب میگردد. بنابراین اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باجافزار میباشد که بیشتر مبتنی بر دانلود فایلهای آلوده در اثر بی احتیاطی کاربران است. طبق بررسیهای صورت گرفته، میتوان گفت که رفتار باجافزار STOP/Djvu در کشور ایران به صورت فصلی میباشد. در فصولی که دانشجویان به دنبال یافتن قالب برای پایاننامهها یا سایر مقالات و ارائههای خود هستند، رخدادهای بیشتری مشاهده میگردد.
به منظور پیشگیری از آلودگی و مقابله با این باجافزار توصیه میگردد در مرحله اول سیستمعامل، آنتیویروس و سایر نرمافزارها به صورت مداوم بهروزرسانی گردند. همچنین کاربران میبایست از دانلود هرگونه فایل یا نرمافزار از وبسایتهای ناشناس خودداری کرده و قبل از اجرای فایلها بر روی سیستم خود حتما آنها را با آنتیویروسهای بهروز و سامانههای آنلاین مثل VirusTotal اسکن نمایند. در پایان یادآور میگردد که پشتیانگیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باجافزارهاست.
- 32