هشدارهای افتایی
به تازگی نمونه‌ای از خانواده باج‌افزار STOP مشاهده شده است که علاوه بر رمزگذاری فایل‌های قربانی، شروع به نصب تروجان سرقت گذرواژه Azorult در رایانه قربانی کرده تا اطلاعات حساب‌ها، کیف پول‌های رمزارز، فایل‌های دسکتاپ و موارد دیگر را سرقت کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت BleepingComputer، تروجان Azorult نوعی آلودگی رایانه‌ای است که در تلاش برای سرقت نام کاربری و گذرواژه ذخیرهشده در مرورگرها، فایل‌های دسکتاپ قربانی، کیف پول رمزارز ، اطلاعات حساس Steam، تاریخچه مرورگر، تاریخچه پیام‌های اسکایپ و موارد دیگر است. این اطلاعات سپس به سرور راه دوری که تحت کنترل مهاجم است، منتقل می‌شود.
هنگام کشف نوع DJVU این باجافزار، که توسط کرک‌های جعلی نرم‌افزاری در ماه ژانویه توزیع شده بود، مشخص‌شد که هنگام اجرای بدافزار، اجزای متنوعی که برای انجام وظایف مختلف در رایانه قربانی مورد استفاده قرار می‌گیرند، دانلود می‌شوند. این وظایف شامل نمایش یک صفحه جعلی بروزرسانی ویندوز، غیرفعال‌کردن Windows Defender و مسدودکردن دسترسی به سایت‌های امنیتی با اضافه‌کردن ورودی‌های خاص به فایل HOSTS ویندوز است.
یکی از فایل‌های دانلودشده توسط باج‌افزار، ترافیکی را از جانب بدافزار Azorult ایجاد می‌کند. چهار نمونه مورد آزمایش متفاوت از آن، نشان داده است که ترافیک شبکه مربوط به Azorult است. بعد از اجرا، باج‌افزار فایل‌های ذکرشده در بخش نشانه‌های آلودگی (IoC) را دانلودکرده و رایانه را رمزگذاری می‌کند. در نوع خاصی از باج‌افزار، زمانی که فایل‌ها رمزگذاری می‌شوند، پسوند promorad. به فایل‌های رمزگذاری شده اضافه‌شده و یادداشت‌های باج‌خواهی با عنوان readme.txt_  ایجاد می‌شوند.
نمونه‌های گونه‌ی باج‌افزار Promonad مورد آزمایش، یک فایل با نام :
5.exe
را دانلود و اجرا می‌کند. پس از اجرا، برنامه ترافیک شبکه‌ای ایجاد می‌کند که همانند ارتباطات سرور فرمان و کنترل شناخته‌شده تروجان Azorult است. علاوه بر این، هنگامی که این پرونده با استفاده از VirusTotal بررسی‌ و پرونده به عنوان تروجان سرقت رمزعبور تشخیص داده‌شد.
قربانیانی که با یکی از انواع باج‌افزار STOP آلوده شده‌اند باید فورا گذرواژه هر حساب آنلاین مورد استفاده خود را، به ویژه آن‌هایی که در مرورگر ذخیره می‌شوند، تغییر دهند. قربانیان همچنین باید گذرواژه نرم‌افزار‌هایی مانند Skype، Steam، Telegram  و FTP Clients را تغییردهند. درآخر، قربانیان باید هرگونه فایل ذخیره‌شده روی دسکتاپ ویندوز را برای اطلاعات شخصی که درحال‌حاضر ممکن است در دست مهاجمان باشد، بررسی کنند. باج‌افزارSTOP  به یک گونه‌ی پرطرفدار با انواع مختلف تبدیل شده‌است و فعلا معلوم نیست که چه مدت است که به نصبAzorult  می‌پردازد.
لیست شناخته شده از پسوندهای STOP عبارتند از:
•    .blower
•    .djvu
•    Infowait.
•    .promok
•    .promorad2
•    .promos
•    .promoz 
•    .puma
•    .rumba
•    .tro
نشانه‌های آلودگی (IoC):
هش‌ها:
•    Ransomware: 1dabaae66931e6414803313adee4d7b5305acba3ad539f49b6aba65f10f809a6
•    Azorult: 5c258f35e2b9b6997464631e1178841d090a47f3b43d1f6f54621128d352d2f3

ترافیک شبکه:
•    hxxp://ymad.ug/tesptc/ck/updatewin1.exe
•    hxxp://ymad.ug/tesptc/ck/updatewin2.exe
•    hxxp://ymad.ug/tesptc/ck/updatewin.exe
•    hxxp://ymad.ug/tesptc/ck/3.exe
•    hxxp://ymad.ug/tesptc/ck/4.exe
•    hxxp://ymad.ug/tesptc/ck/5.exe
•    hxxp://ymad.ug/1/index.php

منبع : 
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.