باج افزار Stampado اولین بار در جولای 2016 مشاهده گردید، اما نسخه های جدیدی از این باج افزار با قابلیت توزیع خودکار و رمزنگاری فایل هایی که قبلا توسط باج افزار های دیگر استفاده شده، در dark web و با قیمتی ارزان مشاهده شده است.
یک مطالعه جدید توسط Zscaler بر روی Stampado نشان می دهد که این باج افزار با قیمت 39$ به فروش می رسد که شامل مجوز مادام العمر نیز می باشد و این باج افزار را به بکی از ارزان ترین باج افزار ها تا به امروز تبدیل کرده است. با این قیت ارزان، یک مجرم سایبری می تواند بر روی بیش از 1200 نوع فایل مختلف رمزنگاری انجام دهد و قربانیان را تهدید می کند در صورت عدم پرداخت باج، فایل های آن ها را پاک می کند و تهدید باقی خواهد ماند.
خبر خوب این است که این باج افزار می تواند پاک شود و فایل ها بدون پرداخت باج قابل بازیابی هستند.
بدافزار به طور معمول یا از طریق ایمیل اسپم و یا از طریق درایو های دانلود بر روی سیستم قرار می گیرند و این باج افزار خود را به عنوان یک پردازش واقعی ویندوز نشان می دهد ( svchost.exe) و به این ترتیب خود را استتار می نماید. همچنین این باج افزار خود را بر روی شبکه و درایو های قابل حمل کپی می نماید و قابلیت این را دارد که فایل هایی که قبلا توسط باج افزار های دیگر رمز شده است را دوباره رمز کند.
Atinderpal Singh آنالیزور ThreatLabZ شرکت Zscaler می گوید: ” این باج افزار یک نسخه از خود را درون مسیر [DrivePath]\myDisk\Drivers.exe قرار می دهد و ویژگی های فایل ها را +SHR قرار می دهد تا خود را مخفی نماید، فایل [DrivePath]\autorun.inf را ایجاد می کند و shortcut فایل ها را با اسامی فایل ها ایجاد کرده و آدرس فابل اجرایی خود را برای آن ها قرار می دهد و فایل های اصلی را مخفی می کند. و به این ترتیب با انتخاب فایل توسط کاربران باج افزار اجرا می شود.”
رمز نگاری دو مرحله ای ممکن است برای کاربر دردسرساز شود. حتی با وجود آنکه رمزنگاری Stampado می تواند برداشته شود اما خنثی کردن رمز اولیه کاری به مراتب سخت تر می باشد. این رمز نگاری دو مرحله ای به این دلیل است که Stampado دقیقا همان فایل هایی را مورد حمله قرار می دهد که باج افزار های دیگر مانند Locky، Cerber و یا Cryptolocker آن ها را هدف قرار می دهند.
وقتی عملیات رمز نگاری پایان یافت یک پیغام باج گیری ظاهر می شود که البته ادعای نادرستی دارد. این پیام اعلام می دارد که در صورت عدم پرداخت باج هر 6 ساعت فایل ها پاک خواهند شد. علاوه بر آن بعد از 96 ساعت نیز تمامی فایل های رمز شده پاک می شوند که هیچ کدام از این پیام ها صحیح نمی باشد.
Singh افزود: ” خوشبختانه، در مورد Stampado، بسیار آسان می توان فایل ها را باز گرداند و توصیه می شود که باج پرداخت نشود، زیرا بدون آن نیز می توان فایل ها را رمزگشایی نمود.”
برای پاک کردن کامل کامپیوتر از این باج افزار باید دستور (REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v “Windows Update” ) اجرا شود و سپس سیستم باید restart شود، سپس svchost.exe باید از appdata پاک گردد و بعد از آن می توان از نرم افزار رایگان decrypter که توسط Fabian Wosar نوشته شده است برای رمزگشایی فایل ها استفاده نمود.