باج افزار Stop که بسیاری آن را با نام Pumax میشناسند چند روزی است که قربانیان زیادی در ایران گرفته است اما امروز پروژه تست و رمز گشایی چندین نمونه این خانواده باج افزاری در محیط لینوکس با همکاری مهندس افشین ذوالفقاری با لابراتوآر کامیران با موفقیت انجام شد و رمز گشایی فایل های این باج افزار در محیط لینوکس و با استفاده از پایتون میسر شد.
برای ساختن کلید رمزگشایی ، وجود نمونه همسان از سیستم آلوده الزامی است. نمونه همسان یک فایل کد شده و یک فایل سالم است که میتواند شامل تصاویر عمومی در ویندوز نیز باشد.
در این پروژه با استفاده از ضعف برنامه نویسی این باج افزار در رمزنگاری فایل ها میتوان فایل های کد شده را رمزگشایی کرد. زیرا این باج افزار تنها هدرهای فایل ها را تغییر میدهد و بدنه فایل دست نخورده باقی میماند.
کاربران قربانی این باج افزار میتوانند برای دریافت راهنمایی طرق رمز گشایی فایل های خود با مرکز تماس کامیران با شماره 02147251 یا سامانه های پشتیبانی آنلاین کامیران تماس حاصل نمایند.
درباره باج افزار STOP :
روش اصلی انتشار باجافزار STOP هرزنامههای با پیوست/لینک مخرب و با عناوینی همچون موارد زیر است:
Invoices
Recipes
Details of the order
Account security reports
Something that is work related
در چند نوبت نیز گردانندگان STOP با تزریق کد مخرب به برخی برنامههای موسوم به Crack،و Key Generator و Activator و بهاشتراکگذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت این برنامهها مینمودند به باجافزار آلوده کردند.
یکی دیگر از روشهای مورد استفاده نویسندگان STOP برای انتشار این باجافزار، بکارگیری بسته بهرهجوی Fallout است. این بسته بهرهجو، از آسیبپذیری CVE-2018-8174 در بخش مدیریتکننده کدهای VBScript و از آسیبپذیری CVE-2018-4878 در محصول Adobe Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان – در اینجا باجافزار – را بر روی دستگاه قربانی بهصورت از راه دور نصب و اجرا میکند.
مهاجمان معمولا بستههای بهرهجو را در سایتهای با محتوای جذاب یا سایتهای معتبر هک شده تزریق میکنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیبپذیریهای موجود در سیستم عامل و نرمافزارهای نصب شده بر روی دستگاه سواستفاده شود.
لازم به ذکر است که شرکت مایکروسافت 19 اردیبهشت ماه، همزمان با عرضه اصلاحیههای ماه میلادی می آسیبپذیری CVE-2018-8120 را ترمیم کرد. شرکت ادوبی نیز آسیبپذیری CVE-2018-4990 را در بهروزرسانیهای APSA18-09 و APSA18-17 اصلاح و برطرف کرد. بهروز بودن سیستم عامل Windows و نرمافزار Flash Player اصلیترین راهکار برای ایمن نگاه داشتن دستگاه در برابر این بسته بهرهجو محسوب میشود.
همچنین STOP با اجرای فرامینی اقدام به حذف نسخههای موسوم به Shadow، غیرفعال نمودن قابلیت System Restore و متوقف کردن سرویسهای Windows Defender،و System Recovery و BITS میکند.
فایل اطلاعیه باجگیری نسخه PumaX این باج افزار readme.txt! نام دارد.
انتشار نسخه ویندوزی رمز گشایی پسوند های مذکور از خانواده STOP :
بروزرسانی 10 آذر 97 : امروز ابزار رمزگشایی ویندوزی نیز با کمک Michael Gillespie از گروه Malwarehunter منتشر شد که کاربران میتوانند در محیط ویندوز نیز فایل های خود را رمز گشایی نمایند:
( در بخش About این نرم افزار نام همکار ارجمند ما جناب مهندس افشین ذوالفقاری با عنوان Analysis and PoC جهت رعایت قانون کپی رایت توسط این برنامه نویس آمریکایی درج شده است )
راهنمای کار با برنامه فوق : شما برای رمزگشایی نیاز به یک جفت فایل همسان کد شده و سالم دارید که در این پروژه باید حجم آنها بیش از 150 کیلوبایت باشد. پس از اجرای برنامه فوق از منوی Settings گزینه BruteForcer را انتخاب کرده و فایل های همسان را به نرم افزار معرفی نمائید. سپس میتوانید با گزینه Select Directory شاخه های مورد نظر خود را انتخاب نمائید و با زدن دکمه Decrypt فایل ها را رمزگشایی نمائید. دقت نمایئد تنها پس از صحت کامل از سلامت فایل های رمزگشایی شده ، فایل های کد شده را حذف نمائید.
تذکر : این برنامه تحت محیط ویندوز به تازگی منتشر شده است در صورت مشاهده باگ یا خطا بهتر است از اسکریپت های لینوکسی استفاده شود. در صورت مشاهده باگ یا اشکال در نرم افزار فوق آن را به لابراتوآر ویروس شناسی کامیران اطلاع دهید.
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :