Ransomware STOP/DJVU (Guida 2023)

Quick Links

Il ransomware STOP (DJVU) codifica i dati degli utenti con l’algoritmo AES-256 (modalità CFB). Tuttavia, non cripta l’intero file, ma solo circa 5 MB all’inizio. Successivamente, richiede un riscatto di $980 in Bitcoin per ripristinare i file.

Gli autori del malware hanno radici russe. Gli autori usano la lingua russa e parole russe scritte in inglese e i domini sono registrati attraverso aziende di registrazione domini russe. I truffatori probabilmente hanno alleati in altri paesi.

Informazioni tecniche su DJVU Ransomware

Molti utenti indicano che il cryptoware viene iniettato dopo aver scaricato installer repackaged infetti di programmi popolari, attivatori piratati di MS Windows e MS Office (come KMSAuto Net, KMSPico, ecc.) distribuiti dai truffatori attraverso siti web popolari. Questo riguarda sia le applicazioni gratuite legittime che il software piratato illegale.

Il cryptoware potrebbe anche essere diffuso attraverso l’hacking di configurazioni RDP scarsamente protette, via email spam e allegati maligni, download fuorvianti, exploit, web injector, aggiornamenti difettosi, installer repackaged infetti.

L’elenco delle estensioni di file soggette a crittografia:

Documenti MS Office o OpenOffice
File PDF e di testo
Database
Foto, musica, video o file di immagini
Archivi
File di applicazioni, ecc.

STOP/DJVU Ransomware rilascia file (note di riscatto) denominati !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt e !readme.txt. Le varianti .djvu* e più recenti: _openme.txt, _open_.txt o _readme.txt

Fasi dell’infezione da cryptoware

Dopo il lancio, l’eseguibile del cryptoware si collega al server Command and Control (С&C). Successivamente, ottiene la chiave di crittografia e l’identificatore di infezione per il PC della vittima. I dati vengono trasferiti sotto il protocollo HTTP in forma di JSON.
Se С&C non è disponibile (quando il PC non è connesso a Internet o non risponde al server), il cryptoware applica la chiave di crittografia specificata direttamente nascosta nel suo codice e esegue la crittografia in modo autonomo. In questo caso, è possibile decrittare i file senza pagare il riscatto.
Il cryptoware utilizza rdpclip.exe per sostituire il file Windows legittimo e implementare l’attacco alla rete informatica.
Dopo la crittografia dei file con successo, il cifratore viene rimosso autonomamente utilizzando il file di comando delself.bat.

Articoli associati

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Compiti: "Azure-Update-Task"
Registro di sistema: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Traffico di rete

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Rilevamento antivirus

Crackithub.com, kmspico10.com, crackhomes.com e piratepc.net sono alcuni dei siti di distribuzione del ransomware STOP. Qualsiasi programma scaricato da lì può essere infettato da questo ransomware!

Oltre a criptare i file della vittima, la famiglia DJVU ha anche installato lo spyware Azorult per rubare le credenziali degli account, i portafogli delle criptovalute, i file del desktop e altro ancora.

Come decriptare i file di STOP/DJVU Ransomware?

Djvu Ransomware ha essenzialmente due versioni.

Vecchia versione: la decrittografia della maggior parte delle vecchie estensioni (da “.djvu” fino a “.carote (v154)”) era precedentemente supportata dallo strumento STOPDecrypter nel caso in cui i file infetti avessero una chiave offline. Questo stesso supporto è stato incorporato nel nuovo Emsisoft Decryptor per queste vecchie varianti di Djvu. Il decrypter decoderà solo i tuoi file senza inviare coppie di file se hai una CHIAVE OFFLINE.
Nuova versione: le nuove estensioni sono state rilasciate verso la fine di agosto 2019 dopo che il ransomware è stato modificato. Questo include .nury, nuis, tury, tuis, ecc….queste nuove versioni sono state supportate solo con Emsisoft Decryptor.

Che cos’è una “coppia di file”?
Si tratta di una coppia di file identici (cioè con gli stessi dati precisi), tranne per il fatto che un duplicato è crittografato e l’altro no.

Come identificare la chiave offline o online?

Il file SystemID/PersonalID.txt creato da STOP (DJVU) sull’unità C contiene tutti gli ID utilizzati nel processo di crittografia.

Quasi ogni ID offline termina con “t1”. La crittografia tramite una CHIAVE OFFLINE può essere verificata visualizzando l’ID personale nella nota _readme.txt e il file C:\SystemID\PersonalID.txt.

Il modo più rapido per verificare se si è stati infettati da una CHIAVE OFFLINE o ONLINE è quello di:

Individuare il file PesonalID.txt situato nella cartella C:\SystemID\ sul computer infetto e verificare se è presente solo uno o più ID.
Se l’ID termina con “t1“, è possibile che alcuni file siano stati crittografati dalla CHIAVE OFFLINE e siano recuperabili.
Se nessuno degli ID elencati termina con “t1”, è probabile che tutti i file siano stati crittografati con una CHIAVE ONLINE e non siano più recuperabili.

Chiavi online e offline: cosa significa?

CHIAVE OFFLINE indica che i file sono stati crittografati in modalità offline. Dopo aver scoperto questa chiave, verrà aggiunta al decryptor e i file potranno essere decrittati.

CHIAVE ONLINE – è stata generata dal server ransomware. Significa che il server ransomware ha generato un insieme casuale di chiavi utilizzate per crittografare i file. Non è possibile decrittare tali file.

La crittografia con l’algoritmo RSA utilizzato nelle ultime varianti di DJVU non consente di utilizzare una coppia di file “crittografati + originali” per addestrare il servizio di decrittografia. Questo tipo di crittografia è resistente al cracking ed è impossibile decifrare i file senza una chiave privata. Anche un supercomputer avrà bisogno di 100`000 anni per calcolare tale chiave.

Estensione dei file criptati

I. Gruppo STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Gruppo Puma

puma, pumax, pumas, shadow

III. Gruppo Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Gruppo Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.