about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
امنیت سیستم عامل
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

انتشار گسترده باج افزار STOP/DJVU در کشور

باج افزار STOP در در نرم‌افزارهای مرتبط با پایان‌نامه‌ها جاسازی می شود و بیشتر، قشر دانشجو و کاربران خانگی را هدف قرار داده است.

 به گزارش کارگروه امنیت سایبربان ؛ ‫باج افزار STOP برای نخستین بار در تاریخ 25 دسامبر 2017 میلادی مشاهده گردید. این باج افزار تاکنون با اسامی مختلفی ازجمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی‌شده است. اما به‌طورکلی به دودسته STOP و Djvu تقسیم می‌گردد. Djvu درواقع نسخه جدیدتر این باج افزار بوده که ازنظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را بانام STOP/Djvu می‌شناسند. تعدد نسخه‌ها در فواصل زمانی کوتاه درواقع تکنیکی است که باج افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می‌کند. تاکنون بیش از 200 پسوند مختلف از این باج افزار مشاهده گردیده است. بر اساس آمارهای منتشرشده در وب‌سایت Emsisoft تنها در سه‌ماهه اول 2020 بیش از 66,090 مورد گزارش آلودگی به این باج افزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً 70% از موارد آلودگی به باج افزارها در سطح جهان را به خود اختصاص داده است. نسخه‌هایی از این باج افزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در کشور ایران نیز مشاهده‌شده است.
باج افزار STOP/Djvu با زبان برنامه‌نویسی C++ نوشته‌شده است. نسخه‌های جدید این باج افزار در کد نویسی خود به‌شدت مبهم‌سازی (Obfuscate) شده‌اند و از انواع روش‌های anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیل‌گران بدافزار استفاده کرده‌اند. برخی از نسخه‌های این باج افزار نیز با توجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام می‌دهند و بدین ترتیب به‌صورت هدفمندتر قربانیان خود را انتخاب می‌کنند.
این باج افزار به‌محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر "%AppData%\Local\" کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط می‌گیرد و فایل‌ها را با کلید آنلاین و الگوریتم نامتقارن RSA-2048 رمزگذاری می‌کند. در برخی نسخه‌ها از الگوریتم Salsa20 نیز برای رمزگذاری فایل‌ها استفاده‌شده است. درصورتی‌که باج افزار به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین (الگوریتم AES-256) برای رمزگذاری فایل‌ها استفاده می‌کند. نسخه‌های اولیه این باج افزار از روش آفلاین برای رمزگذاری فایل‌های قربانیان استفاده می‌کردند و شرکت‌هایی مثل Emsisoft توانستند برای این نسخه‌ها رمزگشا ارائه دهند. اما از آگوست 2019 شیوه رمزگذاری باج افزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام می‌دهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باج افزار ذخیره‌شده است عملاً رمزگشایی فایل‌ها غیرممکن خواهد بود. در مواردی مشاهده‌شده که باج افزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجان‌ها و جاسوس‌افزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می‌نماید نیز آلوده نموده است. لذا توجه به این نکته در زمان ارائه خدمات امداد به قربانیان این باج افزار ضروری است.
باج افزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتی‌ویروس‌ها به‌صورت مداوم پسوند و ساختار خود را تغییر می‌دهد. به همین دلیل است که حتی از سد به‌روزترین آنتی‌ویروس‌ها نیز عبور می‌کند. بر اساس گزارش‌های رسیده از قربانیان این باج افزار در سرتاسر جهان، باج افزار STOP/Djvu معمولاً از طریق کرک و فعال‌سازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرم‌افزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنس‌های تقبلی و حتی آپدیت‌های جعلی ویندوز منتشر می‌شود. نسخه‌هایی از این باج افزار حتی در قالب اسناد آفیس و فایل Setup نرم‌افزارهای مرتبط با پایان‌نامه‌ها جاسازی‌شده و قشر دانشجو را مورد هدف قرار داده است. با توجه به موارد فوق می‌توان این‌گونه نتیجه‌گیری کرد که جامعه هدف باج افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمان‌ها تهدید کمتری محسوب می‌گردد. بنابراین اطلاعات ازدست‌رفته ارزش مادی بالایی ندارند. دلیل آن‌هم روش انتشار این باج افزار می‌باشد که بیشتر مبتنی بر دانلود فایل‌های آلوده در اثر بی‌احتیاطی کاربران است. طبق بررسی‌های صورت گرفته، می‌توان گفت که رفتار باج افزار STOP/Djvu در کشور ایران به‌صورت فصلی می‌باشد. در فصولی که دانشجویان به دنبال یافتن قالب برای پایان‌نامه‌ها یا سایر مقالات و ارائه‌های خود هستند، رخدادهای بیشتری مشاهده می‌گردد.
به‌منظور پیشگیری از آلودگی و مقابله با این باج افزار توصیه می‌گردد در مرحله اول سیستم‌عامل، آنتی‌ویروس و سایر نرم‌افزارها به‌صورت مداوم به‌روزرسانی گردند. همچنین کاربران می‌بایست از دانلود هرگونه فایل یا نرم‌افزار از وب‌سایت‌های ناشناس خودداری کرده و قبل از اجرای فایل‌ها بر روی سیستم خود حتماً آن‌ها را با آنتی‌ویروس‌های به‌روز و سامانه‌های آنلاین مثل VirusTotal اسکن نمایند. در پایان یادآور می‌گردد که پشتیان گیری منظم از اطلاعات به‌صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج افزارهاست.

منبع:

مرکز ماهر

موضوع:

تازه ترین ها
تصویب
1405/04/02 - 12:51- هوش مصنوعي

تصویب قانون عدالت کیفری کانادا با هدف حمایت از کودکان

آسیب‌های دیجیتال و حمایت از کودکان، اصلاحات عمده‌ای را در قانون مجازات کانادا ایجاد کرده است.

نقشه‌برداری
1405/04/02 - 12:04- هوش مصنوعي

نقشه‌برداری از اثرات پنهان فشار خون بالا توسط هوش مصنوعی

محققان آکسفورد ابزاری مبتنی بر هوش مصنوعی برای نقشه‌برداری از اثرات پنهان فشار خون بالا توسعه دادند.

تغییر
1405/04/02 - 11:39- هوش مصنوعي

تغییر الگوهای اشتغال در ایالات متحده توسط هوش مصنوعی

شکاف فزاینده‌ای در رشد اشتغال بین مشاغل پرخطر و کم‌خطر، به‌ویژه پس از سال ۲۰۲۲، در بازار کار ایالات متحده وجود دارد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.