در روزهای اخیر گزارشهای متعددی در خصوص مشاهده آلودگی به جدیدترین نسخه از باج افزار STOP در برخی موسسات کشور منتشر شده است. در نسخه مذکور، به فایلهای رمزگذاری شده توسط باج افزار، پسوند pumas الصاق میشود.
روش اصلی انتشار باج افزار STOP هرزنامههای با پیوست/لینک مخرب و با عناوینی همچون موارد زیر است:
- Invoices
- Recipes
- Details of the order
- Account security reports
- Something that is work related
در چند نوبت نیز گردانندگان STOP با تزریق کد مخرب به برخی برنامههای موسوم به Crack، Key Generator و Activator و بهاشتراکگذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت این برنامهها مینمودند به باج افزار آلوده کردند.
یکی دیگر از روشهای مورد استفاده نویسندگان STOP برای انتشار این باج افزار ، بکارگیری بسته بهرهجوی Fallout است. این بسته بهرهجو، از آسیبپذیری CVE-2018-8174 در بخش مدیریتکننده کدهای VBScript و از آسیبپذیری CVE-2018-487در محصول Adobe Flash Player سوءاستفاده کرده و کد مخرب مورد نظر مهاجمان – در اینجا باج افزار – را بر روی دستگاه قربانی بهصورت از راه دور نصب و اجرا میکند.
مهاجمان معمولا بستههای بهرهجو را در سایتهای با محتوای جذاب یا سایتهای معتبر هک شده تزریق میکنند تا از این طریق در زمان مراجعه کاربر به سایت از آسیبپذیریهای موجود در سیستم عامل و نرمافزارهای نصب شده بر روی دستگاه سو استفاده شود.
لازم به ذکر است که شرکت مایکروسافت ۱۹ اردیبهشت ماه، همزمان با عرضه اصلاحیههای ماه میلادی می آسیبپذیری CVE-2018-8120 را ترمیم کرد. شرکت ادوبی نیز آسیبپذیری CVE-2018-4990 را در بهروزرسانیهای APSA18-09 و APSA18-17 اصلاح و برطرف کرد. بهروز بودن سیستم عامل Windows و نرمافزار Flash Player اصلیترین راهکار برای ایمن نگاه داشتن دستگاه در برابر این بسته بهرهجو محسوب میشود.
همچنین STOP با اجرای فرامینی اقدام به حذف نسخههای موسوم به Shadow، غیرفعال نمودن قابلیت System Restore و متوقف کردن سرویسهای Windows Defender،و System Recovery و BITS میکند.
فایل اطلاعیه باجگیری نسخه Pumas این باج افزار readme.txt! نام دارد که نمونهای از آن در تصویر زیر قابل مشاهده است:
همچون همیشه، برای ایمن ماندن از گزند باج افزارها، رعایت موارد زیر توصیه میشود:
- از ضدویروس قدرتمند و بهروز استفاده کنید.
- از اطلاعات سازمانی بهصورت دورهای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای دادههای حیاتی توصیه میشود. بر طبق این قاعده، از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
- از نصب فوری آخرین اصلاحیههای امنیتی اطمینان حاصل کنید.
- به دلیل انتشار برخی از باج افزارها از طریق سوءاستفاده از قابلیتDynamic Data Exchange در Office، با استفاده از این راهنما نسبت به پیکربندی صحیح آن اقدام کنید.
- با توجه به انتشار بخش قابل توجهی از باج افزارها از طریق فایلهای نرمافزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید. برای این منظور میتوانید از این راهنما استفاده کنید.
- ایمیلهای دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور میتوانید از تجهیزات دیواره آتش، همچونSophos بهره بگیرید.
- آموزش و راهنمایی کاربران سازمان به صرفنظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن این فایلها داشته باشد. برای این منظور میتوانید از ایندادهنماییها استفاده کنید.
- با مطالعهاین راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
- از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
- دسترسی به پوشههای اشتراکی در حداقل سطح ممکن قرار داده شود.
- سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمیشود.