مقدمه

یم تحقیقاتی Cyble نوع جدیدی از بدافزار DJVU را که متعلق به خانواده باج افزار STOP می باشد کشف کردند؛ که به یکی از گسترده ترین ویروس های رمزنگاری فایل در سال 2021 تبدیل شده است. DJVU برای اولین بار در دسامبر 2018 شناسایی شد. علاوه بر حملاتی در ایالات متحده، بیشتر قربانیان آن از اروپا، آسیا، آمریکای جنوبی و آفریقا هستند. باج افزار DJVU از الگوریتم های رمزنگاری پیشرفته استاندارد (AES) یا RSA برای رمزگذاری فایل ها در رایانه قربانی یا کل سرور استفاده نموده و باز کردن یا استفاده از فایل ها را غیرممکن می کند؛ همچنین برای خروج از سیستم کاربران و از بین نبردن اطلاعات رایانه آن ها، مبلغ 200 تا 600 دلار را به صورت بیت کوین به عنوان باج تقاضا می ‌کند.

آشنایی بیشتر با باج افزار Djvu

باج افزار STOP Djvu پرونده های قربانی را با Salsa20 رمزگذاری می کند و یکی از ده ها پسوند: “Djvu” ، “.rumba” ، “.radman” ، “.gero” و غیره را به نام فایل ها اضافه می نماید که البته معمولا از پسوند های .igvm و .pcqq برای علامت گذاری فایل های خراب شده.
خبر خوب این است که اکثر قربانیان می توانند فایل ها را با استفاده از STOP/DJVU Decryptor توسط Emsisoft و Michael Gillespie بازیابی کنند. علاوه بر این، بخشی از فایل ها را می توان با استفاده از ابزار Media_Repair توسط DiskTuna تعمیر کرد.
همچنین برای همه نسخه های STOP Djvu، فایل ها را در صورتی که توسط یک کلید آفلاین رمزگذاری شوند، می توان با موفقیت رمزگشایی کرد. همچنین در مورد Old Djvu، فایل ها را می توان با استفاده از جفت فایل های رمزگذاری شده اصلی که به پورتال STOP Djvu Submission شده اند، رمزگشایی کرد. اما متاسفانه برای New Djvu پس از آگوست 2019، نمی توان از این روش استفاده نمود.
قربانیان معمولاً این ویروس را از طریق ترک ها یا کلید های ضمیمه یا پیوست های ایمیل مخرب بارگیری می کنند. بیش از 290 نسخه از این باج افزار وجود دارد که آخرین آن ها از شامل: orkf، .hoop، .reqg، .nooa، .muuq، .guer، .aeur، .hhqa، .moqs، .ufwj، .gujd، .wwka،. zzla، .lssr، .pooe و غیره می شود.

تاثیر ویروس باج افزار Djvu

هنگامی که ویروس باج افزار Djvu برای اولین بار بر روی یک سیستم هدف اجرا می شود، سیستم را برای مکانیسم های امنیتی خاصی اسکن نموده تا از تشخیص حضورش در سیستم جلوگیری کند و بتواند به فعالیت های مخرب خود ادامه دهد. پس از به اتمام رساندن مرحله اول، فایل های مخرب بیشتری از دو طریق ایجاد مستقیم آن ها در سیستم یا بارگیری آن ها از سرور راه دور، بر روی سیستم ایجاد خواهد کرد. با کمک فایل های مخرب، باج افزار Djvu قادر است تمام مراحل را تکمیل نموده که در نهایت هکر ها را قادر می سازد تا برای رمزگشایی فایل ها هزینه ای به عنوان باج از قربانیان بخواهند.
این باج افزار هنگام آلوده کردن سیستم می تواند به برخی از اجزای ضروری مانند ویرایشگر رجیستری دسترسی داشته باشد. از این کار دو هدف دارد، حضور مداوم در سیستم آلوده و راه اندازی پیام باج خواهی.
به منظور دستیابی به این دو مورد، Djvu باید مقادیر مخرب را در زیر کلید های رجیستری Run و RunOnce اضافه کند. هر دو کلید، اجرای خودکار همه پرونده ها و فرآیندهای ذکر شده در زیر آن ها را مدیریت می کنند. بنابراین هنگامی که کلید زیرین رجیستری دچار مشکل شد، فایل های باج افزار در سیستم شروع به فعالیت خواهند کرد، در همین حین RunOnce باعث ظاهر شدن یک فایل به نام _openme.txt می شود.

حذف باج افزار Djvu

باج افزار Djvu علاوه بر رمزگذاری پرونده های قربانی، اقدام به نصب نرم افزار جاسوسی Azorult در رایانه برای سرقت اطلاعات حساب، کیف پول ارزهای دیجیتال شده، فایل های Desktop و موارد دیگر می نماید. GridinSoft2 یک راه عالی برای تشخیص و حذف تهدیدات می باشد. این برنامه رایانه شما را اسکن نموده، تمام فرآیندهای مشکوک را پیدا کرده و خنثی میکند.

  1. GridinSoft Anti-Malware را دانلود نمایید.
  2. فایل Setup را اجرا کنید.
    پس از تمام شدن دانلود فایل Setup، بر روی فایل install-antimalware-fix.exe دوبار کلیک نموده تا GridinSoft Anti-Malware بر روی رایانه شما نصب شود.
    یک کنترل حساب کاربر از شما می خواهد به GridinSoft Anti-Malware اجازه دهید در دستگاه شما تغییراتی ایجاد کند. برای ادامه نصب باید روی “بله” کلیک نمایید.
  3.  بر روی دکمه “نصب – Install ” کلیک کنید.
    پس از نصب، Anti-Malware به طور خودکار اجرا می شود.
  4.  منتظر بمانید تا اسکن Anti-Malware کامل شود.
    GridinSoft Anti-Malware بطور خودکار اسکن رایانه شما را برای ویروس و باج افزار و سایر برنامه های مخرب فرمت می کند. این فرآیند می تواند 20-30 دقیقه طول بکشد، بنابراین پیشنهاد می کنم به صورت دوره ای وضعیت فرایند اسکن را بررسی کنید.

5. بر روی “Clean now” کلیک نمایید.
هنگامی که اسکن به پایان رسید، لیستی از ویروس هایی که GridinSoft Anti-Malware شناسایی کرده است را مشاهده خواهید کرد. برای حذف آن ها روی دکمه “Clean Now” در گوشه سمت راست کلیک کنید.

مرحله 1: اسکن را انجام دهید.

برای شروع اول برنامه Recuva را اجرا نمایید. در ادامه چند پنجره برایتان نمایش داده خواهد شد که به شما امکان می دهد نوع فایل مورد نظر خود را جستجو کنید و مکان هایی که باید اسکن شوند و غیره را مشخص نمایید. تنها کاری که باید انجام دهید این است که گزینه های مورد نظر خود را انتخاب کرده و اسکن را شروع کنید. بهتر است که قبل از شروع گزینه “اسکن عمیق” را فعال کنید، زیرا در غیر این صورت، قابلیت های اسکن برنامه محدود می شوند.

منتظر بمانید تا Recuva اسکن را تکمیل کند. مدت زمان اسکن بستگی به حجم فایل هایتان از نظر مقدار و اندازه دارد؛ به عنوان مثال: اسکن چند صد گیگابایت می تواند بیش از یک ساعت طول بکشد. بنابراین، لطفا در طول فرآیند اسکن صبور باشید.

مرحله 2: بازیابی اطلاعات

پس از اتمام فرآیند، پوشه ها/پرونده هایی را که می خواهید بازیابی شوند انتخاب کرده و بر روی گزینه “بازیابی” کلیک نمایید. توجه داشته باشید که برای بازگرداندن داده ها، مقداری فضای خالی در درایوی که برای ذخیره انتخاب کرده اید، برای ذخیره سازی لازم است.

پشتیبان گیری از داده ها

مدیریت صحیح فایل و پشتیبان گیری برای امنیت داده ها، امری بسیار ضروری است.

مدیریت پارتیشن

توصیه می کنیم اطلاعات خود را در چندین پارتیشن ذخیره کرده و از ذخیره فایل های مهم در پارتیشن که شامل کل سیستم عامل است، خودداری نمایید. در صورتیکه در شرایطی قرار بگیرید که نتوانید سیستم را بوت نموده و مجبور شوید دیسکی را که سیستم عامل بر روی آن نصب است را فرمت کنید، تمام داده های ذخیره شده در آن درایو را از دست خواهید داد. ناگفته نماند که در بیشتر موارد، دیسکی که سیستم عامل بر روی آن نصب می باشد، جایی است که ویروس ها در آن پنهان می شوند.
اگر کل دستگاه ذخیره سازی را به یک پارتیشن اختصاص دهید، مجبور خواهید شد همه چیز را حذف کنید؛ اما ایجاد چندین پارتیشن و تخصیص صحیح داده ها به شما امکان می دهد از چنین مشکلاتی جلوگیری نمایید.

پشتیبان گیری از داده ها

یکی از معتبر ترین روش های پشتیبان گیری استفاده از یک دستگاه ذخیره سازی خارجی است. داده های خود را روی هارد دیسک خارجی، فلش،SSD ، HDD یا هر دستگاه ذخیره سازی دیگر کپی کنید، آن را از سیستم جدا نموده و در مکانی خشک و دور از نور خورشید و دمای شدید قرار دهید.
با این حال، این روش کاملاً ناکارآمد است؛ زیرا پشتیبان گیری و به روز رسانی داده ها باید به طور مرتب انجام شود.
توصیه می کنیم برای پشتیبان گیری از فایل های خود از Microsoft OneDrive استفاده کنید. OneDrive به شما امکان می دهد فایل ها و داده های شخصی خود را در فضای ابر ذخیره نموده، فایل ها را در رایانه ها و تلفن همراه همگام سازی کنید و همچنین به شما این امکان را می دهد که از تمام دستگاه های Windows خود به فایل هایتان دسترسی داشته باشید و آن ها را ویرایش نمایید. OneDrive به شما امکاناتی مثل: ذخیره، اشتراک گذاری و پیش نمایش فایل ها، دسترسی به سابقه بارگیری، انتقال، حذف و تغییر نام فایل ها، ایجاد پوشه های جدید و موارد دیگر را می دهد.

جمع بندی

باج افزار Djvu برای رمزگذاری فایل ‌ها از الگوریتم قدرتمند AES-256استفاده می‌ کند و به محض اجرا در سیستم قربانی با سرور کنترل خود ارتباط برقرار نموده و تمامی فایل‌ های سیستم قربانی رمزگذاری می ‌شود. قطع اتصال با شبکه و اینترنت از سوی سازمان‌ ها و ادارات در زمان شیوع و قرار گرفتن این بد افزار در سیستم، باعث نمی ‌شود تا این باج افزار از بین برود بلکه؛ باج افزار Djvu با استفاده از برنامه ریزی آفلاین به رمزگذاری فایل ‌ها و شیوع آلودگی در سیستم ادامه خواهد داد.