Ransomware STOP/DJVU (Guide 2023)

Le rançongiciel STOP (DJVU) codifie les données des utilisateurs avec l’algorithme AES-256 (mode CFB). Cependant, il ne crypte pas l’intégralité du fichier, mais environ 5 Mo de sa partie initiale. Ensuite, il demande une rançon de 980 $ en équivalent Bitcoin pour restaurer les fichiers.

Les auteurs du malware ont des racines russes. Les fraudeurs utilisent la langue russe et des mots russes écrits en anglais, ainsi que des domaines enregistrés par des sociétés russes de registration de domaines. Il est probable que les escrocs aient des alliés dans d’autres pays.

Informations techniques sur le DJVU Ransomware

De nombreux utilisateurs indiquent que le cryptoware est injecté après avoir téléchargé des installateurs repackagés et infectés de programmes populaires, des activateurs piratés de MS Windows et MS Office (tels que KMSAuto Net, KMSPico, etc.) distribués par les fraudeurs sur des sites Web populaires. Cela concerne à la fois les applications gratuites légitimes et les logiciels piratés illégalement.

Le cryptoware peut également être propagé par le piratage en utilisant une configuration RDP mal protégée via des spams électroniques et des pièces jointes malveillantes, des téléchargements trompeurs, des exploits, des injecteurs Web, des mises à jour défectueuses, des installateurs repackagés et infectés.

La liste des extensions de fichiers soumises au cryptage :

• Documents MS Office ou OpenOffice
• Fichiers PDF et texte
• Bases de données
• Photos, musique, vidéos ou fichiers image
• Archives
• Fichiers d’application, etc.

STOP/DJVU Ransomware dépose des fichiers (notes de rançon) nommés !!!YourDataRestore !!!.txt, !!!RestoreProcess !!!.txt, !!!INFO_RESTORE !!!.txt, !!RESTORE !!!.txt, !!!!RESTORE_FILES ! ! !!.txt, !!!DATA_RESTORE !!!.txt, !!!RESTORE_DATA !!!.txt, !!!KEYPASS_DECRYPTION_INFO !!!.txt, !!!WHY_MY_FILES_NOT_OPEN !!!.txt, !!!SAVE_FILES_INFO !!!.txt et !readme.txt. Le .djvu* et les variantes plus récentes : _openme.txt, _open_.txt ou _readme.txt

Les étapes de l’infection par un cryptoware

1. Une fois lancé, le fichier exécutable du cryptoware se connecte au serveur Command and Control (С&C). Par conséquent, il obtient la clé de chiffrement et l’identifiant d’infection pour le PC de la victime. Les données sont transférées sous le protocole HTTP sous forme de JSON.
2. Si le serveur С&C est indisponible (lorsque le PC n’est pas connecté à Internet ou que le serveur ne répond pas), le cryptoware applique la clé de chiffrement directement spécifiée cachée dans son code et effectue le chiffrement autonome. Dans ce cas, il est possible de décrypter les fichiers sans payer la rançon.
3. Le cryptoware utilise rdpclip.exe pour remplacer le fichier Windows légitime et mettre en œuvre l’attaque sur le réseau informatique.
4. Après le chiffrement réussi des fichiers, le chiffreur est automatiquement supprimé à l’aide du fichier de commande delself.bat.

Articles associés

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Tâches: "Azure-Update-Task"
Registre: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Trafic sur le réseau

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Détection d’antivirus

• Win32:Wauchos-AC(Trj)
• Trojan-Ransom.Win32.Polyransom
• Trojan.Buzus
• Trojan:Win32/Rhadamanthys.GHU!MTB
• Trojan:Win32/Smokeloader.GHN!MTB
• Trojan:Win32/RedLine.LD!MTB
• Ransom:MSIL/TankixCrypt.PA!MTB
• Trojan:MSIL/RedLineStealer.EM!MTB
• Ransom.FileCryptor.VMP
• VHO.Trojan.MSIL.Agent

En plus de chiffrer les fichiers des victimes, la famille DJVU a également installé le Spyware Azorult pour voler les identifiants de compte, les portefeuilles de crypto-monnaies, les fichiers de bureau, et plus encore.

Comment décrypter les fichiers de STOP/DJVU Ransomware?

Djvu Ransomware se décline essentiellement en deux versions.

1. Ancienne version : La plupart des anciennes extensions (de “.djvu” jusqu’à “.carote (v154)”) pour la plupart de ces versions étaient précédemment prises en charge par l’outil STOPDecrypter en cas de fichiers infectés avec une clé hors ligne. Ce même support a été intégré dans le nouveau décrypteur Emsisoft pour ces anciennes variantes Djvu. Le décrypteur ne décodera que vos fichiers sans soumettre de paires de fichiers si vous avez une CLÉ HORS LIGNE.
2. Nouvelle version : Les dernières extensions ont été publiées vers la fin d’août 2019 après que le ransomware ait été modifié. Cela inclut .nury, nuis, tury, tuis, etc… ces nouvelles versions étaient prises en charge uniquement avec le décrypteur Emsisoft.

Qu’est-ce qu’une “paire de fichiers” ?

Il s’agit d’une paire de fichiers identiques (c’est-à-dire qui contiennent les mêmes données précises), mais dont l’un est crypté et l’autre non.

How to identify offline or online key?

Le fichier SystemID/PersonalID.txt créé par STOP (DJVU) sur votre disque C contient tous les identifiants utilisés dans le processus de chiffrement.

Presque tous les identifiants hors ligne se terminent par “t1”. Le chiffrement par une CLÉ HORS LIGNE peut être vérifié en regardant l’identifiant personnel dans la note _readme.txt et le fichier C:\SystemID\PersonalID.txt.

Le moyen le plus rapide de vérifier si vous avez été infecté par une clé hors ligne ou en ligne est de le faire :

1. Recherchez le fichier PesonalID.txt situé dans le dossier C:\SystemID\ la machine infectée et vérifiez s’il n’y a qu’un seul ou plusieurs identifiants.
2. Si l’ID se termine par “t1“, il est possible que certains de vos fichiers aient été cryptés par la clé OFFLINE et puissent être récupérés.
3. Si aucun des identifiants répertoriés ne se termine par “t1”, tous vos fichiers ont très probablement été cryptés avec une CLÉ EN LIGNE et ne peuvent plus être récupérés.

Online & offline keys – What does it mean?

OFFLINE KEY indicates that the files are encrypted in offline mode. After discovering this key, it will be added to the decryptor and that files can be decrypted.

ONLINE KEY – was generated by the ransomware server. It means that the ransomware server generated a random set of keys used to encrypt files. Decrypt such files is not possible.

Le cryptage avec l’algorithme RSA utilisé dans les dernières variantes de DJVU ne permet pas d’utiliser une paire de fichiers “cryptés + originaux” pour entraîner le service de décryptage. Ce type de cryptage est résistant au craquage et il est impossible de décrypter les fichiers sans une clé privée. Même un superordinateur aura besoin de 100 000 ans pour calculer une telle clé.

Extension des fichiers cryptés

I. Groupe STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Le groupe Puma

puma, pumax, pumas, shadow

III. Le groupe Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Groupe Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

La liste des e-mails DJVU connus :

[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]

La liste des derniers STOP(DJVU) Ransomware

• Kaaa Virus File Suppression du Rançongiciel + Méthodes de Décryptage
• Uajs Virus (.UAJS FILE) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Virus UAZQ (fichier .uazq) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Vook Virus File Suppression du Rançongiciel + Méthodes de Décryptage
• Looy Virus (.LOOY FILE) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Virus KOOL (fichier .kool) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Nood Virus (.NOOD FILE) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Virus WIAW (fichier .wiaw) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Wisz Virus (.WISZ FILE) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION
• Lkfr Virus (.LKFR FILE) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION

Anglais Allemand Japonais Espagnol Portugais - du Brésil Turc Chinois traditionnel Coréen Indonésien Hindi Italien