Die Autoren der Malware haben russische Wurzeln. Die Betrüger verwenden die russische Sprache und russische Wörter in englischer Schreibweise, sowie Domänen, die von russischen Domain-Registrierungsunternehmen registriert wurden. Die Kriminellen haben höchstwahrscheinlich Verbündete in anderen Ländern.
DJVU Ransomware Technische Informationen
Viele Benutzer geben an, dass die Kryptoware nach dem Herunterladen von umgepackten und infizierten Installationsprogrammen beliebter Programme, raubkopierten Aktivatoren für MS Windows und MS Office (wie KMSAuto Net, KMSPico, usw.) verbreitet wird, die von den Betrügern über beliebte Websites verteilt werden. Dies betrifft sowohl legitime kostenlose Anwendungen als auch illegale Raubkopien.
Die Kryptoware kann auch durch Hacking mittels schlecht geschützter RDP-Konfigurationen über E-Mail-Spam und schädliche Anhänge, irreführende Downloads, Exploits, Web-Injectoren, fehlerhafte Updates, umgepackte und infizierte Installationsprogramme verbreitet werden.
Die Liste der Dateierweiterungen, die verschlüsselt werden:
- MS Office- oder OpenOffice-Dokumente
- PDF- und Textdateien
- Datenbanken
- Fotos, Musik, Video- oder Bilddateien
- Archive
- Anwendungsdateien, usw.
Der STOP/DJVU-Ransomware hinterlässt Dateien (Lösegeldnotizen) mit den Namen !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt und !readme.txt. Die .djvu*- und neueren Varianten verwenden: _openme.txt, open.txt oder _readme.txt
Stufen der Cryptoware-Infektion:
- Nach dem Start verbindet sich die Cryptoware-Executable mit dem Command-and-Control-Server (С&C) und erhält den Verschlüsselungsschlüssel und die Infektions-ID für den betroffenen PC des Opfers. Die Daten werden im JSON-Format unter dem HTTP-Protokoll übertragen.
- Falls der С&C nicht verfügbar ist (wenn der PC nicht mit dem Internet verbunden ist oder der Server nicht antwortet), verwendet die Cryptoware den direkt im Code verborgenen Verschlüsselungsschlüssel und führt die autonome Verschlüsselung durch. In diesem Fall ist es möglich, die Dateien ohne Zahlung des Lösegeldes zu entschlüsseln.
- Die Cryptoware verwendet rdpclip.exe, um die legitime Windows-Datei zu ersetzen und den Netzwerkangriff durchzuführen.
- Nach erfolgreicher Verschlüsselung der Dateien wird die Cipherer-Executable mithilfe der Datei delself.bat autonom entfernt.
Zugehörige Artikel
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe Aufgaben: "Azure-Update-Task" Registry: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
Netzverkehr
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
Antivirus-Erkennung
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
Die DJVU-Familie verschlüsselt nicht nur die Dateien eines Opfers, sondern hat auch die Azorult-Spyware installiert, um Kontoanmeldeinformationen, Kryptowährungs-Wallets, Desktop-Dateien und mehr zu stehlen.
Wie entschlüsselt man STOP/DJVU Ransomware-Dateien?
Djvu Ransomware hat im Wesentlichen zwei Versionen.
- Alte Version: Die meisten älteren Erweiterungen (von “.djvu” bis “.carote (v154)”) konnten mithilfe des STOPDecrypter-Tools entschlüsselt werden, falls die Dateien mit einem Offline-Schlüssel infiziert waren. Diese Unterstützung wurde in den neuen Emsisoft Decryptor für diese alten Djvu-Varianten integriert. Der Entschlüsseler entschlüsselt Ihre Dateien nur, wenn Sie einen Offline-Schlüssel haben, ohne dass Dateipaare übermittelt werden müssen.
- Neue Version: Die neuesten Erweiterungen wurden gegen Ende August 2019 veröffentlicht, nachdem der Ransomware geändert wurde. Dies umfasst .nury, nuis, tury, tuis usw…. Diese neuen Versionen wurden nur mit dem Emsisoft Decryptor unterstützt.
Was ist ein “Dateipaar”?
Dabei handelt es sich um zwei identische Dateien (d. h. dieselben Daten), von denen eine verschlüsselt ist und die andere nicht.
Wie erkennt man Offline- oder Online-Schlüssel?
Die von STOP (DJVU) auf Ihrem C-Laufwerk erstellte Datei SystemID/PersonalID.txt enthält alle IDs, die im Verschlüsselungsprozess verwendet werden.
Fast jede Offline-ID endet mit “t1”. Eine Verschlüsselung durch einen OFFLINE KEY kann über die Personal-ID im Hinweis _readme.txt und die Datei C:\SystemID\PersonalID.txt überprüft werden.
Der schnellste Weg, um zu überprüfen, ob Sie mit einem Offline- oder Online-Schlüssel infiziert wurden, ist folgender:
- Suchen Sie die Datei PesonalID.txt, die sich im Ordner C:\SystemID\ auf dem infizierten Computer befindet, und prüfen Sie, ob es nur eine oder mehrere IDs gibt.
- Wenn die ID mit “t1” endet, besteht die Möglichkeit, dass einige Ihrer Dateien durch den Offline-Schlüssel verschlüsselt wurden und wiederherstellbar sind.
- Wenn keine der aufgelisteten IDs mit “t1” endet, wurden alle Ihre Dateien höchstwahrscheinlich mit einem Online-Schlüssel verschlüsselt und können nicht mehr wiederhergestellt werden.
Online- und Offline-Schlüssel – Was bedeutet das?
Offline-Schlüssel zeigt an, dass die Dateien im Offline-Modus verschlüsselt sind. Nachdem dieser Schlüssel entdeckt wurde, wird er dem Entschlüsselungsprogramm hinzugefügt und die Dateien können entschlüsselt werden.
Online-Schlüssel – wurde vom Ransomware-Server generiert. Das bedeutet, dass der Ransomware-Server einen zufälligen Satz von Schlüsseln generiert hat, die zum Verschlüsseln von Dateien verwendet werden. Es ist nicht möglich, solche Dateien zu entschlüsseln.
Die Verschlüsselung mit dem RSA-Algorithmus, die in den neuesten DJVU-Varianten verwendet wird, erlaubt nicht die Verwendung eines Paares “verschlüsselt + Original”-Dateien, um den Entschlüsselungsdienst zu trainieren. Diese Art der Verschlüsselung ist resistent gegen Knacken und es ist unmöglich, Dateien ohne einen privaten Schlüssel zu entschlüsseln. Selbst ein Supercomputer benötigt 100.000 Jahre, um einen solchen Schlüssel zu berechnen.
Verschlüsselte Dateierweiterung
I. STOP-Gruppe
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
II. Puma-Gruppe
puma, pumax, pumas, shadow
III. Djvu-Gruppe
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
IV. Gero group (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
Die Liste der bekannten DJVU-E-Mails:
support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc
Die Liste der neuesten STOP(DJVU) Ransomware
- HLAS-Virus ☣ (.hlas-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- QEZA-Virus ☣ (.qeza-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- BGZQ-Virus ☣ (.bgzq-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- KAAA-Virus Lösegeldware (.kaaa-Datei) — 🛠 Entschlüsseln & Entfernen
- UAJS-Virus ☣ (.uajs-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- UAZQ-Virus Lösegeldware (.uazq-Datei) — 🛠 Entschlüsseln & Entfernen
- VOOK-Virus ☣ (.vook-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- LOOY-Virus Lösegeldware (.looy-Datei) — 🛠 Entschlüsseln & Entfernen
- KOOL-Virus ☣ (.kool-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
- NOOD-Virus ☣ (.nood-Datei) — WERKZEUG entschlüsseln und ENTFERNEN
User Review
( votes)
Englisch 
Japanisch 
Spanisch 
Portugiesisch, Brasilien 
Französisch 
Türkisch 
Traditionelles Chinesisch 
Koreanisch 
Indonesisch 
Hindi 
Italienisch
