Para pembuat malware ini memiliki akar dari Rusia. Penipuan ini menggunakan bahasa Rusia dan kata-kata Rusia yang ditulis dalam bahasa Inggris serta domain yang terdaftar melalui perusahaan registrasi domain Rusia. Penjahat ini kemungkinan besar memiliki sekutu di negara lain.
Info Teknis Ransomware DJVU
Banyak pengguna mengindikasikan bahwa cryptoware ini dimasukkan setelah mengunduh instalator program populer yang di-repack dan terinfeksi, aktivator bajakan MS Windows dan MS Office (seperti KMSAuto Net, KMSPico, dll.) yang didistribusikan oleh penipuan melalui situs web populer. Hal ini berkaitan dengan aplikasi gratis yang sah dan perangkat lunak bajakan yang ilegal.
Cryptoware ini juga dapat disebarkan melalui hacking dengan menggunakan konfigurasi RDP yang kurang terlindungi melalui spam email dan lampiran jahat, pengunduhan yang menyesatkan, eksploitasi, injector web, pembaruan yang salah, instalator yang di-repack dan terinfeksi.
Daftar ekstensi file yang dikenai enkripsi:
- Dokumen MS Office atau OpenOffice
- File PDF dan teks
- Basis data
- Foto, Musik, Video atau file gambar
- Arsip
- File aplikasi, dll.
STOP / DJVU Ransomware menjatuhkan file (catatan tebusan) bernama !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, dan !readme.txt. .djvu* dan varian yang lebih baru: _openme.txt, _open_.txt atau _readme.txt
Tahapan infeksi cryptoware
- Setelah diluncurkan, program eksekutor cryptoware terhubung ke server Komando dan Kontrol (С&C). Oleh karena itu, program eksekutor mendapatkan kunci enkripsi dan identifier infeksi untuk PC korban. Data ditransfer di bawah protokol HTTP dalam bentuk JSON.
- Jika С&C tidak tersedia (ketika PC tidak terhubung ke internet server atau tidak merespon), cryptoware menggunakan kunci enkripsi yang ditentukan secara langsung yang tersembunyi dalam kode program untuk melakukan enkripsi secara mandiri. Dalam kasus ini, file dapat didekripsi tanpa membayar tebusan.
- Cryptoware menggunakan rdpclip.exe untuk menggantikan file Windows asli dan melaksanakan serangan jaringan komputer.
- Setelah berhasil mengenkripsi file, program cipherer secara otomatis dihapus menggunakan file perintah delself.bat.
Item Terkait
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe Tugas: "Azure-Update-Task" Pendaftaran: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
Lalu Lintas Jaringan
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
Deteksi antivirus
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
Selain mengenkripsi file korban, keluarga DJVU juga menginstal Azorult Spyware untuk mencuri kredensial akun, dompet mata uang kripto, file desktop, dan banyak lagi.
Bagaimana cara mendekripsi file STOP/DJVU Ransomware?
Djvu Ransomware pada dasarnya memiliki dua versi.
- Versi Lama: Mayoritas ekstensi lama (dari “.djvu” hingga “.carote (v154)”) dekripsi untuk sebagian besar versi sebelumnya didukung oleh alat STOPDecrypter untuk file terinfeksi dengan kunci offline. Dukungan yang sama telah dimasukkan ke dalam Emsisoft Decryptor baru untuk varian Djvu lama tersebut. Alat dekripsi hanya akan mendekode file Anda tanpa mengirimkan pasangan file jika Anda memiliki KUNCI OFFLINE.
- Versi Baru: Ekstensi terbaru dirilis sekitar akhir Agustus 2019 setelah ransomware diubah. Ini termasuk .nury, nuis, tury, tuis, dll….versi baru ini hanya didukung dengan Emsisoft Decryptor.
Apa yang dimaksud dengan “pasangan file”?
Ini adalah pasangan file yang identik (seperti data yang sama persis), kecuali satu duplikat dienkripsi, dan yang lainnya tidak.
Bagaimana cara mengidentifikasi kunci offline atau online?
File SystemID/PersonalID.txt yang dibuat oleh STOP (DJVU) di drive C Anda berisi semua ID yang digunakan dalam proses enkripsi.
Hampir semua ID offline diakhiri dengan “t1”. Enkripsi dengan KUNCI OFFLINE dapat diverifikasi dengan melihat ID pribadi di catatan _readme.txt dan file C:\SystemID\PersonalID.txt.
Cara tercepat untuk memeriksa apakah Anda terinfeksi KUNCI OFFLINE atau ONLINE adalah dengan:
- Temukan file PesonalID.txt yang terletak di folder C:\SystemID\ di mesin yang terinfeksi dan periksa apakah hanya ada satu atau beberapa ID.
- Jika ID diakhiri dengan “t1“, ada kemungkinan beberapa file Anda dienkripsi oleh KUNCI OFFLINE dan dapat dipulihkan.
- Jika tidak ada ID yang terdaftar diakhiri dengan “t1”, maka semua file Anda kemungkinan besar dienkripsi dengan KUNCI ONLINE dan tidak dapat dipulihkan sekarang.
Kunci online & offline – Apa artinya?
KUNCI OFFLINE menunjukkan bahwa file-file dienkripsi dalam mode offline. Setelah menemukan kunci ini, kunci tersebut akan ditambahkan ke decryptor dan file-file tersebut dapat didekripsi.
KUNCI ONLINE – dihasilkan oleh server ransomware. Ini berarti bahwa server ransomware menghasilkan seperangkat kunci acak yang digunakan untuk mengenkripsi file. Tidak mungkin untuk mendekripsi file seperti ini.
Enkripsi dengan algoritma RSA yang digunakan dalam varian DJVU terbaru tidak memungkinkan penggunaan pasangan file “terenkripsi + asli” untuk melatih layanan dekripsi. Jenis enkripsi ini tahan terhadap pembobolan, dan tidak mungkin untuk mendekripsi file tanpa kunci privat. Bahkan superkomputer akan membutuhkan waktu 100.000 tahun untuk menghitung kunci tersebut.
Ekstensi file terenkripsi
I. Kelompok STOP
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
II. Grup Puma
puma, pumax, pumas, shadow
III. Grup Djvu
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
IV. Grup Gero (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
Daftar email DJVU yang diketahui:
support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc
Daftar Ransomware STOP (DJVU) terbaru
- HLAS Virus (.hlas File) Ransomware – Hapus & Dekripsi File
- QEZA Virus (.qeza File) Ransomware – Hapus & Dekripsi File
- BGZQ Virus (.bgzq File) Ransomware – Hapus & Dekripsi File
- KAAA Virus (.kaaa File) Ransomware – Hapus & Dekripsi File
- UAJS Virus (.uajs File) Ransomware – Hapus & Dekripsi File
- UAZQ Virus (.uazq File) Ransomware – Hapus & Dekripsi File
- VOOK Virus (.vook File) Ransomware – Hapus & Dekripsi File
- LOOY Virus (.looy File) Ransomware – Hapus & Dekripsi File
- KOOL Virus (.kool File) Ransomware – Hapus & Dekripsi File
- NOOD Virus (.nood File) Ransomware – Hapus & Dekripsi File
User Review
( votes)English German Japanese Spanish Portuguese, Brazil French Turkish Chinese (Traditional) Korean Hindi Italian