باج‌افزار Stampado: ارزان ولی قابل رمزگشایی

۵باج‌افزار Stampado که اولین بار در تیر ماه مورد بررسی قرار گرفت، در نسخه‌ی جدید خود دارای قابلیت‌های خود-انتشاری و رمزنگاری مجدد پرونده‌هایی است که قبلاً توسط باج‌افزار دیگری رمزنگاری شد‌اند. این باج‌افزار با قیمتی بسیار پایین در وب تاریک به فروش می‌رسد.

در بررسی Zscaler مشاهده شد که این باج‌افزار در وب تاریک به قیمت تنها ۳۹ دلار به فروش می‌رسد. این ارزان‌ترین ابزاری است که هرکسی با آن می‌تواند یک سناریوی نفوذ را تجربه کند. بنابراین هر فردی می‌تواند با خرید این باج‌افزار ارزان، قابلیت رمزنگاری ۱۲۰۰ نوع پرونده را داشته باشد و قربانی را برای پرداخت باج ِ مورد نظر تهدید کند.

ولی یک خبر خوب برای کابران وجود دارد. این باج‌فزار به راحتی قابل حذف بوده و می‌توان پرونده‌های رمزنگاری‌‍شده را به آسانی بازیابی کرد.
محققان توضیح دادند که این باج‌افزار از طریق هرزنامه و راه‌اندازی از طریق بارگیری۱ توزیع می‌شود. وقتی این بدافزار ماشینی را آلوده کرد، تلاش می‌کند خود را در قالب یک پردازه‌ی اصلی ویندوزی با نام svchost.exe مخفی کند. در ادامه بدافزار خود را بر روی شبکه و درایوهای قابل حمل منتشر می‌کند. همچنین می‌تواند پرونده‌هایی که بوسیله‌ی باج‌افزارهای دیگر رمزنگاری شده است را مجدد رمزنگاری کند.

محققان توضیح دادند: «این بدافزار یک رونوشت از خود را در مسیر DrivePath]\myDisk\drivers.exe] قرار داده و برای مخفی کردن خود ویژگی این پرونده را به حالت SHR+ تنظیم می‌کند. در ادامه پرونده‌ی DrivePath]\autorun.inf] را ایجاد کرده و پرونده‌های میانبری با نام پرونده‌های میانبر موجود می‌سازد. این پرونده‌های میانبر به پرونده‌ی اجرایی باج‌افزار اشاره می‌کنند. هر موقع قربانی بر روی این پرونده‌های میانبر کلیک کند، پرونده‌ی باج‌افزار اجرا خواهد شد.»

پرونده‌هایی که دوبار رمزنگاری می‌شوند ممکن است برای قربانی مشکل‌ساز شوند. هرچند که رمزگشایی باج‌افزار Stampado راحت است ولی از بین بردن رمزنگاری اولیه ممکن است مشکل باشد. این رمزنگاری دوگانه به این دلیل رخ می‌دهد که باج‌افزارStampado پرونده‌های رمزنگاری‌شده با Locky ،Cerber و cryptolocker را نیز هدف قرار می‌دهد.

پس از اینکه تمامی پرونده‌های مورد نظر توسط این باج‌افزار رمزنگاری شد، یک پیغام باج‌خواهی نشان داده می‌شود. در این پیغام گفته شده هر ۶ ساعت که باج درخواستی پرداخت نشده باشد، بخشی از پرونده‌های رمزنگاری‌شده حذف خواهد شد. محققان می‌گویند این پیغام درست نیست و باج‌افزار پس از ۹۶ ساعت که باج پرداخت نشد، تمامی پرونده‌ها را حذف می‌کند.

محققان می‌گویند خوشبختانه در مورد باج‌افزار Stampado بازیابی پرونده‌ها بسیار راحت است. به کاربران توصیه شده که باج درخواستی را پرداخت نکنند چرا که رمزگشایی پرونده‌ها راحت است.
برای اینکه این بدافزار را از روی رایانه‌ی خود به‌طور کامل حذف کنید، دستور زیر را اجرا کنید:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v “Windows Update”
رایانه‌ی خود را مجدد راه‌اندازی کنید و دستور مورد نظر را در خط فرمان اجرا کنید تا پرونده‌ی scvhost.exe از پوشه‌ی %AppData% حذف شود. در ادامه نیز ابزار رمزگشایی توسعه داده شده توسط فابین وُسار۲ را برای بازیابی پرونده‌هایتان استفاده کنید.

۱. drive by download
۲. Fabian Wosar

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter