STOP fidye yazılımı serisi, kurbanın dosyalarını şifrelemenin yanı sıra, hesap kimlik bilgilerini, şifrelenmiş para cüzdanlarını, masaüstü dosyalarını ve diğer bilgileri çalmak için kurbanın bilgisayarına Azorult parola çalma Truva Atı'nı kurmaya başladı.
Bir bilgisayara bulaştıktan sonra, Azorult Trojan tarayıcıda saklanan kullanıcı adını ve şifresini, kurbanın masaüstündeki dosyaları, şifreli para cüzdanını, Steam kimlik bilgilerini, tarayıcı geçmişini, Skype mesaj geçmişini vb. Çalmaya çalışacak ve ardından bu bilgileri alıcıya yükleyecektir. Saldırgan tarafından kontrol edilen uzak sunucu.
Araştırmacılar Ocak ayında sahte yazılım tarafından kırılan ve dağıtılan STOP fidye yazılımının DJVU sürümünü ilk kez bildirdiğinde, araştırmacılar kötü amaçlı yazılım uygulamasının kurbanın bilgisayarında farklı görevleri gerçekleştirmek için kullanılan çeşitli bileşenleri indirdiğini keşfetti. Bu görevler arasında sahte Windows Update sayfalarının görüntülenmesi, Windows Defender'ın devre dışı bırakılması ve Windows HOSTS dosyasına girişler ekleyerek kurbanların güvenli sitelere erişmesinin engellenmesi yer alır.
Fidye yazılımı araştırmacıları, bazı yeni türevleri test etti ve Any.Run kurulumunun, fidye yazılımı tarafından indirilen dosyalardan birinin Azorul enfeksiyonlarından trafik oluşturduğunu gösterdiğini buldu. Araştırmacılar ayrıca, dört farklı örneğin hepsinin Azorult ile ilgili ağ trafiği gösterdiğini belirtti.
STOP fidye yazılımının Azorult'u kurup kurmadığını doğrulamak için, araştırmacılar STOP Promorad fidye yazılımı varyantının bir örneğini indirip kurdu.
Fidye yazılımı yürütüldüğünde, aşağıdaki IOC'de listelenen dosyaları indirecek ve bilgisayarı şifreleyecektir. Bu varyantta, dosya şifrelendiğinde, .promorad uzantısını şifrelenmiş dosyaya ekler ve aşağıda gösterildiği gibi _readme.txt adlı bir fidye notu oluşturur.
Araştırmacılar tarafından test edilen Promorad fidye yazılımı varyantının bir örneği de 5.exe adlı bir dosyayı indirip çalıştırdı. Program çalıştırıldığında, Azorult bilgi çalan Truva Atı'nın bilinen komut ve kontrol sunucusu iletişimiyle aynı ağ trafiğini oluşturacaktır.
Ayrıca, bu dosyayı VirusTotal ile tararken, birçok güvenlik sağlayıcısı bu dosyayı parola çalan bir Truva atı olarak algılar.
Fidye yazılımının kurbanı olmak yeterince kötü ve daha da kötüsü şifrelerin ve dosyaların da çalınabileceğini bilirseniz.
STOP fidye yazılımı varyantına bulaşan kurbanlar, şifrelerini, özellikle tarayıcıda depolanan hesap şifrelerini derhal değiştirmelidir. Kurban ayrıca Skype, Steam, Telegram ve FTP istemcisi gibi yazılımlarda şifreyi değiştirmelidir. Son olarak, kurban, artık saldırganın elinde olabilecek özel bilgileri almak için Windows masaüstünde depolanan dosyaları kontrol etmelidir.
STOP fidye yazılımının birçok çeşidi vardır ve Azorult'u ne kadar süredir yükledikleri bilinmemektedir. Bu nedenle, güvenlik nedeniyle, tüm STOP mağdurları yukarıdaki iyileştirici önlemleri uygulamalıdır.
Bilinen STOP uzantılarının listesi şunları içerir:
.blower
.djvu
.infowait
.promok
.promorad2
.promos
.promoz
.puma
.rumba
.tro
Yazar: Gump, http: //www.mottoin.com/detail/3853.html adresinden yeniden üretilmiştir.