Ransomware STOP/DJVU (Guide 2023)

by Brendan Smith
avril 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
Le rançongiciel STOP (DJVU) codifie les données des utilisateurs avec l’algorithme AES-256 (mode CFB). Cependant, il ne crypte pas l’intégralité du fichier, mais environ 5 Mo de sa partie initiale. Ensuite, il demande une rançon de 980 $ en équivalent Bitcoin pour restaurer les fichiers.

Les auteurs du malware ont des racines russes. Les fraudeurs utilisent la langue russe et des mots russes écrits en anglais, ainsi que des domaines enregistrés par des sociétés russes de registration de domaines. Il est probable que les escrocs aient des alliés dans d’autres pays.

Informations techniques sur le DJVU Ransomware

De nombreux utilisateurs indiquent que le cryptoware est injecté après avoir téléchargé des installateurs repackagés et infectés de programmes populaires, des activateurs piratés de MS Windows et MS Office (tels que KMSAuto Net, KMSPico, etc.) distribués par les fraudeurs sur des sites Web populaires. Cela concerne à la fois les applications gratuites légitimes et les logiciels piratés illégalement.

Le cryptoware peut également être propagé par le piratage en utilisant une configuration RDP mal protégée via des spams électroniques et des pièces jointes malveillantes, des téléchargements trompeurs, des exploits, des injecteurs Web, des mises à jour défectueuses, des installateurs repackagés et infectés.

La liste des extensions de fichiers soumises au cryptage :

  • Documents MS Office ou OpenOffice
  • Fichiers PDF et texte
  • Bases de données
  • Photos, musique, vidéos ou fichiers image
  • Archives
  • Fichiers d’application, etc.

STOP/DJVU Ransomware dépose des fichiers (notes de rançon) nommés !!!YourDataRestore !!!.txt, !!!RestoreProcess !!!.txt, !!!INFO_RESTORE !!!.txt, !!RESTORE !!!.txt, !!!!RESTORE_FILES ! ! !!.txt, !!!DATA_RESTORE !!!.txt, !!!RESTORE_DATA !!!.txt, !!!KEYPASS_DECRYPTION_INFO !!!.txt, !!!WHY_MY_FILES_NOT_OPEN !!!.txt, !!!SAVE_FILES_INFO !!!.txt et !readme.txt. Le .djvu* et les variantes plus récentes : _openme.txt, _open_.txt ou _readme.txt

Les étapes de l’infection par un cryptoware

  1. Une fois lancé, le fichier exécutable du cryptoware se connecte au serveur Command and Control (С&C). Par conséquent, il obtient la clé de chiffrement et l’identifiant d’infection pour le PC de la victime. Les données sont transférées sous le protocole HTTP sous forme de JSON.
  2. Si le serveur С&C est indisponible (lorsque le PC n’est pas connecté à Internet ou que le serveur ne répond pas), le cryptoware applique la clé de chiffrement directement spécifiée cachée dans son code et effectue le chiffrement autonome. Dans ce cas, il est possible de décrypter les fichiers sans payer la rançon.
  3. Le cryptoware utilise rdpclip.exe pour remplacer le fichier Windows légitime et mettre en œuvre l’attaque sur le réseau informatique.
  4. Après le chiffrement réussi des fichiers, le chiffreur est automatiquement supprimé à l’aide du fichier de commande delself.bat.

Articles associés

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Tâches: "Azure-Update-Task"
Registre: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Trafic sur le réseau

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Détection d’antivirus

Crackithub.com, kmspico10.com, crackhomes.com et piratepc.net sont quelques-uns des sites de distribution de STOP Ransomware. Tout programme téléchargé à partir de ces sites peut être infecté par ce ransomware!

En plus de chiffrer les fichiers des victimes, la famille DJVU a également installé le Spyware Azorult pour voler les identifiants de compte, les portefeuilles de crypto-monnaies, les fichiers de bureau, et plus encore.

Comment décrypter les fichiers de STOP/DJVU Ransomware?

Djvu Ransomware se décline essentiellement en deux versions.

  1. Ancienne version : La plupart des anciennes extensions (de “.djvu” jusqu’à “.carote (v154)”) pour la plupart de ces versions étaient précédemment prises en charge par l’outil STOPDecrypter en cas de fichiers infectés avec une clé hors ligne. Ce même support a été intégré dans le nouveau décrypteur Emsisoft pour ces anciennes variantes Djvu. Le décrypteur ne décodera que vos fichiers sans soumettre de paires de fichiers si vous avez une CLÉ HORS LIGNE.
  2. Nouvelle version : Les dernières extensions ont été publiées vers la fin d’août 2019 après que le ransomware ait été modifié. Cela inclut .nury, nuis, tury, tuis, etc… ces nouvelles versions étaient prises en charge uniquement avec le décrypteur Emsisoft.

Qu’est-ce qu’une “paire de fichiers” ?

Il s’agit d’une paire de fichiers identiques (c’est-à-dire qui contiennent les mêmes données précises), mais dont l’un est crypté et l’autre non.

How to identify offline or online key?

Le fichier SystemID/PersonalID.txt créé par STOP (DJVU) sur votre disque C contient tous les identifiants utilisés dans le processus de chiffrement.

Presque tous les identifiants hors ligne se terminent par “t1”. Le chiffrement par une CLÉ HORS LIGNE peut être vérifié en regardant l’identifiant personnel dans la note _readme.txt et le fichier C:\SystemID\PersonalID.txt.

Le moyen le plus rapide de vérifier si vous avez été infecté par une clé hors ligne ou en ligne est de le faire :

  1. Recherchez le fichier PesonalID.txt situé dans le dossier C:\SystemID\ la machine infectée et vérifiez s’il n’y a qu’un seul ou plusieurs identifiants.
  2. Si l’ID se termine par “t1“, il est possible que certains de vos fichiers aient été cryptés par la clé OFFLINE et puissent être récupérés.
  3. Si aucun des identifiants répertoriés ne se termine par “t1”, tous vos fichiers ont très probablement été cryptés avec une CLÉ EN LIGNE et ne peuvent plus être récupérés.

Online & offline keys – What does it mean?

OFFLINE KEY indicates that the files are encrypted in offline mode. After discovering this key, it will be added to the decryptor and that files can be decrypted.

ONLINE KEY – was generated by the ransomware server. It means that the ransomware server generated a random set of keys used to encrypt files. Decrypt such files is not possible.

Le cryptage avec l’algorithme RSA utilisé dans les dernières variantes de DJVU ne permet pas d’utiliser une paire de fichiers “cryptés + originaux” pour entraîner le service de décryptage. Ce type de cryptage est résistant au craquage et il est impossible de décrypter les fichiers sans une clé privée. Même un superordinateur aura besoin de 100 000 ans pour calculer une telle clé.

Extension des fichiers cryptés

I. Groupe STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Le groupe Puma

puma, pumax, pumas, shadow

III. Le groupe Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Groupe Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

La liste des e-mails DJVU connus :

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

La liste des derniers STOP(DJVU) Ransomware

Sending
User Review
5 (1 vote)
Comments Rating 5 (1 review)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

Anglais Allemand Japonais Espagnol Portugais - du Brésil Turc Chinois traditionnel Coréen Indonésien Hindi Italien

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

One Response

  1. Ghali août 28, 2023

    Very helpful

    Very helpful thank you sir for your work 🙂

    Répondre

Leave a Reply

Sending