STOP/DJVU Ransomware (Panduan 2023)

by Brendan Smith
April 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
STOP (DJVU) ransomware mengkodekan data pengguna dengan algoritma AES-256 (CFB mode). Namun, tidak seluruh file yang dienkripsi, hanya sekitar 5 MB di awal file. Kemudian, ia meminta tebusan sejumlah $980 dalam bentuk Bitcoin untuk memulihkan file-file tersebut.

Para pembuat malware ini memiliki akar dari Rusia. Penipuan ini menggunakan bahasa Rusia dan kata-kata Rusia yang ditulis dalam bahasa Inggris serta domain yang terdaftar melalui perusahaan registrasi domain Rusia. Penjahat ini kemungkinan besar memiliki sekutu di negara lain.

Info Teknis Ransomware DJVU

Banyak pengguna mengindikasikan bahwa cryptoware ini dimasukkan setelah mengunduh instalator program populer yang di-repack dan terinfeksi, aktivator bajakan MS Windows dan MS Office (seperti KMSAuto Net, KMSPico, dll.) yang didistribusikan oleh penipuan melalui situs web populer. Hal ini berkaitan dengan aplikasi gratis yang sah dan perangkat lunak bajakan yang ilegal.

Cryptoware ini juga dapat disebarkan melalui hacking dengan menggunakan konfigurasi RDP yang kurang terlindungi melalui spam email dan lampiran jahat, pengunduhan yang menyesatkan, eksploitasi, injector web, pembaruan yang salah, instalator yang di-repack dan terinfeksi.

Daftar ekstensi file yang dikenai enkripsi:

  • Dokumen MS Office atau OpenOffice
  • File PDF dan teks
  • Basis data
  • Foto, Musik, Video atau file gambar
  • Arsip
  • File aplikasi, dll.

STOP / DJVU Ransomware menjatuhkan file (catatan tebusan) bernama !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, dan !readme.txt. .djvu* dan varian yang lebih baru: _openme.txt, _open_.txt atau _readme.txt

Tahapan infeksi cryptoware

  1. Setelah diluncurkan, program eksekutor cryptoware terhubung ke server Komando dan Kontrol (С&C). Oleh karena itu, program eksekutor mendapatkan kunci enkripsi dan identifier infeksi untuk PC korban. Data ditransfer di bawah protokol HTTP dalam bentuk JSON.
  2. Jika С&C tidak tersedia (ketika PC tidak terhubung ke internet server atau tidak merespon), cryptoware menggunakan kunci enkripsi yang ditentukan secara langsung yang tersembunyi dalam kode program untuk melakukan enkripsi secara mandiri. Dalam kasus ini, file dapat didekripsi tanpa membayar tebusan.
  3. Cryptoware menggunakan rdpclip.exe untuk menggantikan file Windows asli dan melaksanakan serangan jaringan komputer.
  4. Setelah berhasil mengenkripsi file, program cipherer secara otomatis dihapus menggunakan file perintah delself.bat.

Item Terkait

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Tugas: "Azure-Update-Task"
Pendaftaran: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Lalu Lintas Jaringan

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Deteksi antivirus

Crackithub.com, kmspico10.com, crackhomes.com, dan piratepc.net adalah beberapa situs distribusi STOP Ransomware. Program apa pun yang diunduh dari sana dapat terinfeksi ransomware ini!

Selain mengenkripsi file korban, keluarga DJVU juga menginstal Azorult Spyware untuk mencuri kredensial akun, dompet mata uang kripto, file desktop, dan banyak lagi.

Bagaimana cara mendekripsi file STOP/DJVU Ransomware?

Djvu Ransomware pada dasarnya memiliki dua versi.

  1. Versi Lama: Mayoritas ekstensi lama (dari “.djvu” hingga “.carote (v154)”) dekripsi untuk sebagian besar versi sebelumnya didukung oleh alat STOPDecrypter untuk file terinfeksi dengan kunci offline. Dukungan yang sama telah dimasukkan ke dalam Emsisoft Decryptor baru untuk varian Djvu lama tersebut. Alat dekripsi hanya akan mendekode file Anda tanpa mengirimkan pasangan file jika Anda memiliki KUNCI OFFLINE.
  2. Versi Baru: Ekstensi terbaru dirilis sekitar akhir Agustus 2019 setelah ransomware diubah. Ini termasuk .nury, nuis, tury, tuis, dll….versi baru ini hanya didukung dengan Emsisoft Decryptor.

Apa yang dimaksud dengan “pasangan file”?

Ini adalah pasangan file yang identik (seperti data yang sama persis), kecuali satu duplikat dienkripsi, dan yang lainnya tidak.

Bagaimana cara mengidentifikasi kunci offline atau online?

File SystemID/PersonalID.txt yang dibuat oleh STOP (DJVU) di drive C Anda berisi semua ID yang digunakan dalam proses enkripsi.

Hampir semua ID offline diakhiri dengan “t1”. Enkripsi dengan KUNCI OFFLINE dapat diverifikasi dengan melihat ID pribadi di catatan _readme.txt dan file C:\SystemID\PersonalID.txt.

Cara tercepat untuk memeriksa apakah Anda terinfeksi KUNCI OFFLINE atau ONLINE adalah dengan:

  1. Temukan file PesonalID.txt yang terletak di folder C:\SystemID\ di mesin yang terinfeksi dan periksa apakah hanya ada satu atau beberapa ID.
  2. Jika ID diakhiri dengan “t1“, ada kemungkinan beberapa file Anda dienkripsi oleh KUNCI OFFLINE dan dapat dipulihkan.
  3. Jika tidak ada ID yang terdaftar diakhiri dengan “t1”, maka semua file Anda kemungkinan besar dienkripsi dengan KUNCI ONLINE dan tidak dapat dipulihkan sekarang.

Kunci online & offline – Apa artinya?

KUNCI OFFLINE menunjukkan bahwa file-file dienkripsi dalam mode offline. Setelah menemukan kunci ini, kunci tersebut akan ditambahkan ke decryptor dan file-file tersebut dapat didekripsi.

KUNCI ONLINE – dihasilkan oleh server ransomware. Ini berarti bahwa server ransomware menghasilkan seperangkat kunci acak yang digunakan untuk mengenkripsi file. Tidak mungkin untuk mendekripsi file seperti ini.

Enkripsi dengan algoritma RSA yang digunakan dalam varian DJVU terbaru tidak memungkinkan penggunaan pasangan file “terenkripsi + asli” untuk melatih layanan dekripsi. Jenis enkripsi ini tahan terhadap pembobolan, dan tidak mungkin untuk mendekripsi file tanpa kunci privat. Bahkan superkomputer akan membutuhkan waktu 100.000 tahun untuk menghitung kunci tersebut.

Ekstensi file terenkripsi

I. Kelompok STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Grup Puma

puma, pumax, pumas, shadow

III. Grup Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Grup Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

Daftar email DJVU yang diketahui:

[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

Daftar Ransomware STOP (DJVU) terbaru

Sending
User Review
0 (0 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

English German Japanese Spanish Portuguese, Brazil French Turkish Chinese (Traditional) Korean Hindi Italian

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending