STOP (DJVU) 勒索軟件 使用AES-256 算法 ( 循環流化床模式)。 但是,它不會加密整個文件,而是加密其開頭的大約 5 MB。 隨後,它要求支付相當於 980 美元比特幣的贖金來恢復文件。
惡意軟件的作者有俄羅斯血統。 欺詐者使用俄語和用英語書寫的俄語單詞,以及通過俄羅斯域名註冊公司註冊的域名。 騙子很可能在其他國家有盟友。
DJVU 勒索軟件技術信息
許多用戶表示,加密軟件是在下載流行程序的重新打包和受感染的安裝程序後注入的,MS Windows 和 MS Office 的盜版激活器(例如 KMSAuto Net、KMSPico 等) 由騙子通過熱門網站分發。 這涉及合法的免費應用程序和非法盜版軟件。
加密軟件也可能通過黑客攻擊傳播,使用保護不力的 RDP 配置,通過電子郵件垃圾郵件和惡意附件、誤導性下載、漏洞利用、網絡注入器、錯誤更新、重新打包和受感染的安裝程序。
受加密的文件擴展名列表:
- MS Office 或 OpenOffice 文檔
- PDF 和文本文件
- 數據庫
- 照片、音樂、視頻或圖像文件
- 檔案
- 申請文件等
STOP/DJVU 勒索軟件投放名為 !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, , !!!SAVE_FILES_INFO!!!.txt 和 !readme.txt。 .djvu* 和更新的變體:_openme.txt、_open_.txt 或 _readme.txt
加密軟件感染的階段
- 一旦啟動,加密軟件可執行文件就會連接到命令和控制服務器 (С&C)。 因此,它獲得了受害者 PC 的加密密鑰和感染標識符。 數據以JSON格式在HTTP協議下傳輸。
- 如果 C&C 不可用(當 PC 未連接到服務器的 Internet 時不響應),加密軟件將應用隱藏在其代碼中的直接指定的加密密鑰並執行自主加密。 在這種情況下,可以在不支付贖金的情況下解密文件。
- 該加密軟件使用rdpclip.exe替換合法的Windows文件,實施計算機網絡攻擊。
- 文件加密成功後,使用delself.bat 命令文件 自動刪除密碼器。
相關項目
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe 任務: "Azure-Update-Task" 註冊表: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
網絡流量
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
殺毒檢測
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
除了加密受害者的文件外,DJVU 家族還安裝 Azorult 間諜軟件以竊取 帳戶憑據、加密貨幣錢包、桌面文件等。
如何解密 STOP/DJVU 勒索軟件文件?
Djvu Ransomware 本質上有兩個版本。
- 舊版本:大多數較舊的擴展名(從“.djvu”到“.carote (v154)”)對大多數這些版本的解密以前都由 STOPDecrypter 工具支持以防被感染的文件具有離線密鑰 . 對於這些舊的 Djvu 變體,新的 Emsisoft Decryptor 中也加入了同樣的支持。 如果您有OFFLINE KEY,解密器將只解碼您的文件而不提交文件對。
- 新版本:2019年8月下旬勒索軟件被更改後,最新的擴展已發布。 這包括 .nury、nuis、tury、tuis 等….這些新版本僅受 支持 Emsisoft 解密器。
什麼是“文件對”?
這是一對相同的文件(因為它們是相同的精確數據),除了一個副本被加密,另一個沒有。
如何識別離線或在線密鑰?
STOP (DJVU) 在您的 C 盤上創建的 SystemID/PersonalID.txt 文件包含加密過程中使用的所有 ID。
幾乎每個離線 ID 都以“t1”結尾。 可以通過查看 _readme.txt 註釋和 C:\SystemID\PersonalID.txt 中的個人 ID 來驗證通過 離線密鑰 進行的加密 文件。
检查您是否感染了离线或在线密钥的最快方法是:
- 在受感染機器的 C:\SystemID\ 文件夾中找到 PesonalID.txt 文件,並查看是否只有一個或多個 ID。
- 如果 ID 以“t1”結尾,則您的某些文件可能已被 離線密鑰 加密並且可以恢復。
- 如果列出的 ID 均未以“t1”結尾,那麼您的所有文件很可能已使用 在線密鑰 加密,現在無法恢復。
在線和離線密鑰 – 這是什麼意思?
離線密鑰表示文件在離線模式下加密。 發現此密鑰後,將其添加到解密器中,可以解密文件。
在線密鑰 – 由勒索軟件服務器生成。 這意味著勒索軟件服務器生成了一組隨機密鑰,用於加密文件。 無法解密此類文件。
使用最新 DJVU 變體中使用的 RSA 算法進行加密,不允許使用一對“加密+原始”文件來訓練解密服務。 這種加密方式是抗破解的,沒有私鑰是無法解密文件的。 即使是超級計算機也需要 100`000 年才能計算出這樣的密鑰。
加密文件擴展名
一、STOP組
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
二。 Puma 集團
puma, pumax, pumas, shadow
三、 Djvu組
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
四、 Gero 集團 (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
已知的 DJVU 電子郵件列表:
support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc
最新STOP(DJVU)勒索軟件列表
- Hlas Virus 解密+恢復 .HLAS 文件
- Qeza Virus 解密+恢復 .QEZA 文件
- Bgzq Virus 解密+恢復 .BGZQ 文件
- KAAA 病毒 .kaaa 文件勒索軟件)— 解密和刪除工具
- Uazq Virus 解密+恢復 .UAZQ 文件
- UAJS 病毒 (.uajs 文件)— 解密和刪除工具
- Vook Virus 解密+恢復 .VOOK 文件
- LOOY 病毒 .looy 文件勒索軟件)— 解密和刪除工具
- Kool Virus 解密+恢復 .KOOL 文件
- NOOD 病毒 .nood 文件勒索軟件)— 解密和刪除工具