Gli autori del malware hanno radici russe. Gli autori usano la lingua russa e parole russe scritte in inglese e i domini sono registrati attraverso aziende di registrazione domini russe. I truffatori probabilmente hanno alleati in altri paesi.
Informazioni tecniche su DJVU Ransomware
Molti utenti indicano che il cryptoware viene iniettato dopo aver scaricato installer repackaged infetti di programmi popolari, attivatori piratati di MS Windows e MS Office (come KMSAuto Net, KMSPico, ecc.) distribuiti dai truffatori attraverso siti web popolari. Questo riguarda sia le applicazioni gratuite legittime che il software piratato illegale.
Il cryptoware potrebbe anche essere diffuso attraverso l’hacking di configurazioni RDP scarsamente protette, via email spam e allegati maligni, download fuorvianti, exploit, web injector, aggiornamenti difettosi, installer repackaged infetti.
L’elenco delle estensioni di file soggette a crittografia:
- Documenti MS Office o OpenOffice
- File PDF e di testo
- Database
- Foto, musica, video o file di immagini
- Archivi
- File di applicazioni, ecc.
STOP/DJVU Ransomware rilascia file (note di riscatto) denominati !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt e !readme.txt. Le varianti .djvu* e più recenti: _openme.txt, _open_.txt o _readme.txt
Fasi dell’infezione da cryptoware
- Dopo il lancio, l’eseguibile del cryptoware si collega al server Command and Control (С&C). Successivamente, ottiene la chiave di crittografia e l’identificatore di infezione per il PC della vittima. I dati vengono trasferiti sotto il protocollo HTTP in forma di JSON.
- Se С&C non è disponibile (quando il PC non è connesso a Internet o non risponde al server), il cryptoware applica la chiave di crittografia specificata direttamente nascosta nel suo codice e esegue la crittografia in modo autonomo. In questo caso, è possibile decrittare i file senza pagare il riscatto.
- Il cryptoware utilizza rdpclip.exe per sostituire il file Windows legittimo e implementare l’attacco alla rete informatica.
- Dopo la crittografia dei file con successo, il cifratore viene rimosso autonomamente utilizzando il file di comando delself.bat.
Articoli associati
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe Compiti: "Azure-Update-Task" Registro di sistema: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
Traffico di rete
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
Rilevamento antivirus
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
Oltre a criptare i file della vittima, la famiglia DJVU ha anche installato lo spyware Azorult per rubare le credenziali degli account, i portafogli delle criptovalute, i file del desktop e altro ancora.
Come decriptare i file di STOP/DJVU Ransomware?
Djvu Ransomware ha essenzialmente due versioni.
- Vecchia versione: la decrittografia della maggior parte delle vecchie estensioni (da “.djvu” fino a “.carote (v154)”) era precedentemente supportata dallo strumento STOPDecrypter nel caso in cui i file infetti avessero una chiave offline. Questo stesso supporto è stato incorporato nel nuovo Emsisoft Decryptor per queste vecchie varianti di Djvu. Il decrypter decoderà solo i tuoi file senza inviare coppie di file se hai una CHIAVE OFFLINE.
- Nuova versione: le nuove estensioni sono state rilasciate verso la fine di agosto 2019 dopo che il ransomware è stato modificato. Questo include .nury, nuis, tury, tuis, ecc….queste nuove versioni sono state supportate solo con Emsisoft Decryptor.
Che cos’è una “coppia di file”?
Si tratta di una coppia di file identici (cioè con gli stessi dati precisi), tranne per il fatto che un duplicato è crittografato e l’altro no.
Come identificare la chiave offline o online?
Il file SystemID/PersonalID.txt creato da STOP (DJVU) sull’unità C contiene tutti gli ID utilizzati nel processo di crittografia.
Quasi ogni ID offline termina con “t1”. La crittografia tramite una CHIAVE OFFLINE può essere verificata visualizzando l’ID personale nella nota _readme.txt e il file C:\SystemID\PersonalID.txt.
Il modo più rapido per verificare se si è stati infettati da una CHIAVE OFFLINE o ONLINE è quello di:
- Individuare il file PesonalID.txt situato nella cartella C:\SystemID\ sul computer infetto e verificare se è presente solo uno o più ID.
- Se l’ID termina con “t1“, è possibile che alcuni file siano stati crittografati dalla CHIAVE OFFLINE e siano recuperabili.
- Se nessuno degli ID elencati termina con “t1”, è probabile che tutti i file siano stati crittografati con una CHIAVE ONLINE e non siano più recuperabili.
Chiavi online e offline: cosa significa?
CHIAVE OFFLINE indica che i file sono stati crittografati in modalità offline. Dopo aver scoperto questa chiave, verrà aggiunta al decryptor e i file potranno essere decrittati.
CHIAVE ONLINE – è stata generata dal server ransomware. Significa che il server ransomware ha generato un insieme casuale di chiavi utilizzate per crittografare i file. Non è possibile decrittare tali file.
La crittografia con l’algoritmo RSA utilizzato nelle ultime varianti di DJVU non consente di utilizzare una coppia di file “crittografati + originali” per addestrare il servizio di decrittografia. Questo tipo di crittografia è resistente al cracking ed è impossibile decifrare i file senza una chiave privata. Anche un supercomputer avrà bisogno di 100`000 anni per calcolare tale chiave.
Estensione dei file criptati
I. Gruppo STOP
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
II. Gruppo Puma
puma, pumax, pumas, shadow
III. Gruppo Djvu
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
IV. Gruppo Gero (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
L’elenco delle e-mail DJVU conosciute:
support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc
L’elenco degli ultimi STOP(DJVU) Ransomware
- FOTY virus (.FOTY File) Ransomware 🔐 Fix & Decrypt Data
- FOZA virus (.foza File) 🔐 Ransomware
- VYPT virus (.VYPT File) Ransomware 🔐 FIX & DECRYPT
- COZA virus (.COZA File) Ransomware 🔐 FIX & DECRYPT
- COTY virus (.COTY File) Ransomware 🔐 FIX & DECRYPT
- COZA virus (.COZA File) Ransomware 🔐 FIX & DECRYPT
- BOZA virus (.BOZA File) Ransomware 🔐 FIX & DECRYPT
- BOTY virus (.BOTY File) Rasnsomware 🔐 FIX + DECRYPT
- KIOP virus (.kiop FILE) RANSOMWARE 🔐 FIX & DECRYPT DATA
- KITZ virus (.kitz FILE) RANSOMWARE 🔐 FIX & DECRYPT DATA
User Review
( votes)Inglese Tedesco Giapponese Spagnolo Portoghese, Brasile Francese Turco Cinese tradizionale Coreano Indonesiano Hindi