STOP/DJVU Ransomware (Guia 2023)

by Brendan Smith
abril 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
O ransomware STOP (DJVU) codifica os dados do usuário com o algoritmo AES-256 (modo CFB). No entanto, ele não criptografa o arquivo inteiro, mas apenas cerca de 5 MB no início. Posteriormente, solicita um resgate que equivale a US$ 980 em Bitcoin para restaurar os arquivos.

Os autores do malware têm raízes russas. As fraudes usam o idioma russo e palavras russas escritas em inglês, e os domínios são registrados por meio de empresas de registro de domínios russas. Os criminosos provavelmente têm aliados em outros países.

Informações Técnicas do Ransomware DJVU

Muitos usuários indicam que o cryptoware é injetado após o download de instaladores repackaged e infectados de programas populares, ativadores piratas do MS Windows e MS Office (como KMSAuto Net, KMSPico, etc.) distribuídos pelos fraudadores através de sites populares. Isso se relaciona tanto a aplicativos gratuitos legítimos quanto a softwares piratas ilegais.

O cryptoware também pode ser propagado por meio de hacking usando configurações RDP mal protegidas via spam de e-mail e anexos maliciosos, downloads enganosos, exploits, injetores da web, atualizações defeituosas, instaladores repackaged e infectados.

A lista de extensões de arquivo sujeitas à criptografia:

  • Documentos do MS Office ou OpenOffice
  • Arquivos PDF e de texto
  • Bancos de dados
  • Fotos, músicas, vídeos ou arquivos de imagem
  • Arquivos
  • Arquivos de aplicativos, etc.

O STOP/DJVU Ransomware solta arquivos (notas de resgate) denominados !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES! !!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt e !readme.txt. O .djvu* e as variantes mais recentes: _openme.txt, _open_.txt ou _readme.txt

Estágios da infecção por cryptoware

  1. Uma vez iniciado, o executável do cryptoware se conecta ao servidor de Comando e Controle (С&C). Consequentemente, ele obtém a chave de criptografia e o identificador de infecção para o PC da vítima. Os dados são transferidos sob o protocolo HTTP na forma de JSON.
  2. Se o С&C estiver indisponível (quando o PC não está conectado à Internet do servidor e não responde), o cryptoware aplica a chave de criptografia diretamente especificada oculta em seu código e realiza a criptografia autônoma. Nesse caso, é possível descriptografar os arquivos sem pagar o resgate.
  3. O cryptoware usa o rdpclip.exe para substituir o arquivo legítimo do Windows e implementar o ataque de rede do computador.
  4. Após a criptografia bem-sucedida do arquivo, o cipherer é removido autonomamente usando o arquivo de comando delself.bat.

Itens associados

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Tarefas: "Azure-Update-Task"
Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Tráfego de rede

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Detecção de antivírus

Crackithub.com, kmspico10.com, crackhomes.com e piratepc.net são alguns dos sites de distribuição do STOP Ransomware. Qualquer programa baixado de lá pode ser infectado por esse ransomware!

Além de criptografar os arquivos da vítima, a família DJVU também instala o Azorult Spyware para roubar credenciais de contas, carteiras de criptomoedas, arquivos de desktop e muito mais.

Como descriptografar os arquivos do STOP/DJVU Ransomware?

O Djvu Ransomware tem essencialmente duas versões.

  1. Versão antiga: A maioria das extensões antigas (de “.djvu” a “.carote (v154)”) tinha suporte de descriptografia anteriormente pelo STOPDecrypter no caso de arquivos infectados com uma chave offline. Esse mesmo suporte foi incorporado ao novo Decryptor Emsisoft para essas variantes antigas do Djvu. O descriptografador só irá decodificar seus arquivos sem enviar pares de arquivos se você tiver uma CHAVE OFFLINE.
  2. Nova versão: As extensões mais recentes foram lançadas no final de agosto de 2019, depois que o ransomware foi alterado. Isso inclui .nury, nuis, tury, tuis, etc. ….. Essas novas versões eram compatíveis apenas com o Emsisoft Decryptor.

O que é um “par de arquivos”?

Trata-se de um par de arquivos idênticos (ou seja, com os mesmos dados precisos), exceto que uma duplicata está criptografada e a outra não.

Como identificar uma chave off-line ou on-line?

O arquivo SystemID/PersonalID.txt criado pelo STOP (DJVU) em sua unidade C contém todas as IDs usadas no processo de criptografia.

Quase todo ID offline termina com “t1”. A criptografia por uma CHAVE OFFLINE pode ser verificada visualizando o ID pessoal na nota _readme.txt e no arquivo C:\SystemID\PersonalID.txt.

A maneira mais rápida de verificar se você foi infectado com uma CHAVE OFFLINE ou ONLINE é:

  1. Encontrar o arquivo PesonalID.txt localizado na pasta C:\SystemID\ na máquina infectada e verificar se há apenas um ou vários IDs.
  2. Se o ID terminar com “t1“, há uma chance de que alguns de seus arquivos tenham sido criptografados com a CHAVE OFFLINE e possam ser recuperados.
  3. Se nenhum dos IDs listados terminar com “t1”, então é provável que todos os seus arquivos tenham sido criptografados com uma CHAVE ONLINE e não possam ser recuperados agora.

Chaves on-line e off-line – O que isso significa?

CHAVE OFFLINE indica que os arquivos foram criptografados no modo offline. Após descobrir essa chave, ela será adicionada ao descriptografador e esses arquivos poderão ser descriptografados.

CHAVE ONLINE – foi gerada pelo servidor de ransomware. Isso significa que o servidor de ransomware gerou um conjunto aleatório de chaves usadas para criptografar arquivos. Não é possível descriptografar tais arquivos.

A criptografia com o algoritmo RSA usada nas últimas variantes do DJVU não permite o uso de um par de arquivos “criptografado + original” para treinar o serviço de descriptografia. Esse tipo de criptografia é resistente a cracking e é impossível descriptografar arquivos sem uma chave privada. Mesmo um supercomputador precisaria de 100.000 anos para calcular tal chave.

Extensão de arquivos criptografados

I. Grupo STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Grupo Puma

puma, pumax, pumas, shadow

III. Grupo Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Grupo Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

A lista de e-mails DJVU conhecidos:

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

A lista dos mais recentes STOP(DJVU) Ransomware

Sending
User Review
0 (0 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

Inglês Alemão Japonês Espanhol Francês Turco Chinês (Tradicional) Coreano Indonésio Hindi Italiano

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending