STOP/DJVU Ransomware (2023 Leitfaden)

STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
Die STOP (DJVU) Ransomware verschlüsselt die Daten der Benutzer mit dem AES-256 Algorithmus (CFB Modus). Allerdings verschlüsselt sie nicht die gesamte Datei, sondern nur etwa 5 MB am Anfang der Datei. Anschließend verlangt sie ein Lösegeld von $980 in Bitcoin-Äquivalent, um die Dateien wiederherzustellen.

Die Autoren der Malware haben russische Wurzeln. Die Betrüger verwenden die russische Sprache und russische Wörter in englischer Schreibweise, sowie Domänen, die von russischen Domain-Registrierungsunternehmen registriert wurden. Die Kriminellen haben höchstwahrscheinlich Verbündete in anderen Ländern.

DJVU Ransomware Technische Informationen

Viele Benutzer geben an, dass die Kryptoware nach dem Herunterladen von umgepackten und infizierten Installationsprogrammen beliebter Programme, raubkopierten Aktivatoren für MS Windows und MS Office (wie KMSAuto Net, KMSPico, usw.) verbreitet wird, die von den Betrügern über beliebte Websites verteilt werden. Dies betrifft sowohl legitime kostenlose Anwendungen als auch illegale Raubkopien.

Die Kryptoware kann auch durch Hacking mittels schlecht geschützter RDP-Konfigurationen über E-Mail-Spam und schädliche Anhänge, irreführende Downloads, Exploits, Web-Injectoren, fehlerhafte Updates, umgepackte und infizierte Installationsprogramme verbreitet werden.

Die Liste der Dateierweiterungen, die verschlüsselt werden:

  • MS Office- oder OpenOffice-Dokumente
  • PDF- und Textdateien
  • Datenbanken
  • Fotos, Musik, Video- oder Bilddateien
  • Archive
  • Anwendungsdateien, usw.

Der STOP/DJVU-Ransomware hinterlässt Dateien (Lösegeldnotizen) mit den Namen !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt und !readme.txt. Die .djvu*- und neueren Varianten verwenden: _openme.txt, open.txt oder _readme.txt

Stufen der Cryptoware-Infektion:

  1. Nach dem Start verbindet sich die Cryptoware-Executable mit dem Command-and-Control-Server (С&C) und erhält den Verschlüsselungsschlüssel und die Infektions-ID für den betroffenen PC des Opfers. Die Daten werden im JSON-Format unter dem HTTP-Protokoll übertragen.
  2. Falls der С&C nicht verfügbar ist (wenn der PC nicht mit dem Internet verbunden ist oder der Server nicht antwortet), verwendet die Cryptoware den direkt im Code verborgenen Verschlüsselungsschlüssel und führt die autonome Verschlüsselung durch. In diesem Fall ist es möglich, die Dateien ohne Zahlung des Lösegeldes zu entschlüsseln.
  3. Die Cryptoware verwendet rdpclip.exe, um die legitime Windows-Datei zu ersetzen und den Netzwerkangriff durchzuführen.
  4. Nach erfolgreicher Verschlüsselung der Dateien wird die Cipherer-Executable mithilfe der Datei delself.bat autonom entfernt.

Zugehörige Artikel

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Aufgaben: "Azure-Update-Task"
Registry: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Netzverkehr

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Antivirus-Erkennung

Crackithub.com, kmspico10.com, crackhomes.com und piratepc.net sind einige der STOP Ransomware-Verbreitungsstellen. Jedes Programm, das von dort heruntergeladen wird, kann mit dieser Ransomware infiziert werden!

Die DJVU-Familie verschlüsselt nicht nur die Dateien eines Opfers, sondern hat auch die Azorult-Spyware installiert, um Kontoanmeldeinformationen, Kryptowährungs-Wallets, Desktop-Dateien und mehr zu stehlen.

Wie entschlüsselt man STOP/DJVU Ransomware-Dateien?

Djvu Ransomware hat im Wesentlichen zwei Versionen.

  1. Alte Version: Die meisten älteren Erweiterungen (von “.djvu” bis “.carote (v154)”) konnten mithilfe des STOPDecrypter-Tools entschlüsselt werden, falls die Dateien mit einem Offline-Schlüssel infiziert waren. Diese Unterstützung wurde in den neuen Emsisoft Decryptor für diese alten Djvu-Varianten integriert. Der Entschlüsseler entschlüsselt Ihre Dateien nur, wenn Sie einen Offline-Schlüssel haben, ohne dass Dateipaare übermittelt werden müssen.
  2. Neue Version: Die neuesten Erweiterungen wurden gegen Ende August 2019 veröffentlicht, nachdem der Ransomware geändert wurde. Dies umfasst .nury, nuis, tury, tuis usw…. Diese neuen Versionen wurden nur mit dem Emsisoft Decryptor unterstützt.

Was ist ein “Dateipaar”?

Dabei handelt es sich um zwei identische Dateien (d. h. dieselben Daten), von denen eine verschlüsselt ist und die andere nicht.

Wie erkennt man Offline- oder Online-Schlüssel?

Die von STOP (DJVU) auf Ihrem C-Laufwerk erstellte Datei SystemID/PersonalID.txt enthält alle IDs, die im Verschlüsselungsprozess verwendet werden.

Fast jede Offline-ID endet mit “t1”. Eine Verschlüsselung durch einen OFFLINE KEY kann über die Personal-ID im Hinweis _readme.txt und die Datei C:\SystemID\PersonalID.txt überprüft werden.

Der schnellste Weg, um zu überprüfen, ob Sie mit einem Offline- oder Online-Schlüssel infiziert wurden, ist folgender:

  1. Suchen Sie die Datei PesonalID.txt, die sich im Ordner C:\SystemID\ auf dem infizierten Computer befindet, und prüfen Sie, ob es nur eine oder mehrere IDs gibt.
  2. Wenn die ID mit “t1” endet, besteht die Möglichkeit, dass einige Ihrer Dateien durch den Offline-Schlüssel verschlüsselt wurden und wiederherstellbar sind.
  3. Wenn keine der aufgelisteten IDs mit “t1” endet, wurden alle Ihre Dateien höchstwahrscheinlich mit einem Online-Schlüssel verschlüsselt und können nicht mehr wiederhergestellt werden.

Online- und Offline-Schlüssel – Was bedeutet das?

Offline-Schlüssel zeigt an, dass die Dateien im Offline-Modus verschlüsselt sind. Nachdem dieser Schlüssel entdeckt wurde, wird er dem Entschlüsselungsprogramm hinzugefügt und die Dateien können entschlüsselt werden.

Online-Schlüssel – wurde vom Ransomware-Server generiert. Das bedeutet, dass der Ransomware-Server einen zufälligen Satz von Schlüsseln generiert hat, die zum Verschlüsseln von Dateien verwendet werden. Es ist nicht möglich, solche Dateien zu entschlüsseln.

Die Verschlüsselung mit dem RSA-Algorithmus, die in den neuesten DJVU-Varianten verwendet wird, erlaubt nicht die Verwendung eines Paares “verschlüsselt + Original”-Dateien, um den Entschlüsselungsdienst zu trainieren. Diese Art der Verschlüsselung ist resistent gegen Knacken und es ist unmöglich, Dateien ohne einen privaten Schlüssel zu entschlüsseln. Selbst ein Supercomputer benötigt 100.000 Jahre, um einen solchen Schlüssel zu berechnen.

Verschlüsselte Dateierweiterung

I. STOP-Gruppe

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Puma-Gruppe

puma, pumax, pumas, shadow

III. Djvu-Gruppe

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Gero group (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

Die Liste der bekannten DJVU-E-Mails:

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

Die Liste der neuesten STOP(DJVU) Ransomware

Sending
User Review
4.3 (10 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

Englisch Japanisch Spanisch Portugiesisch, Brasilien Französisch Türkisch Traditionelles Chinesisch Koreanisch Indonesisch Hindi Italienisch

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending