STOP Ransomware

PC-sikkerhedsforskere modtog rapporter om ransomware-angreb, der involverede en trussel kendt som STOP Ransomware den 21. februar 2018. STOP Ransomware er baseret på en open source-ransomware-platform og udfører en typisk version af et krypteringsransomware-angreb. STOP Ransomware distribueres ved hjælp af spam-e-mail-beskeder, der indeholder beskadigede vedhæftede filer. Disse vedhæftede filer har form af DOCX-filer med indlejrede makro-scripts, der downloader og installerer STOP Ransomware på offerets computer. At lære at genkende phishing-e-mails og undgå at downloade eventuelle modtagne uønskede vedhæftede filer er en af måderne til at undgå disse angreb.

Sådan genkendes en STOP-ransomware-infektion

Når STOP Ransomware er installeret på offerets computer, vil STOP Ransomware søge offerets drev efter en bred vifte af filtyper, generelt på udkig efter brugergenererede filer såsom billeder, mediefiler og mange andre dokumenttyper. STOP Ransomware ser ud til at være konstrueret til at målrette webservere, da det ser efter databasefiler og lignende filtyper, der normalt er indeholdt i disse maskiner eksplicit. De filtyper, som STOP Ransomware vil søge efter og målrette mod i sit angreb, inkluderer:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Denne uge i Malware Ep 10: STOP & Zorab Ransomware udnytter ofre med falsk decryptor

STOP Ransomware bruger en stærk krypteringsalgoritme til at gøre hver af ofrets filer utilgængelige. STOP Ransomware-angrebet tilføjer filtypenavnet '.SUSPENDED' til de filer, det krypterer, som en måde at markere de berørte filer på.

STOP Ransomware’s Ransom Note

STOP Ransomware kræver en løsesumbetaling ved at levere en løsepenge til offerets computer. Denne løsesumnote vises i en tekstfil, der er faldet på ofrets skrivebord. Filen, der hedder '!!! YourDataRestore !!!. Txt, 'indeholder meddelelsen:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .STOP udvidelse er krypteret. Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere software, skal du kontakte os via e-mail stopfilesrestore@bitmessage.ch send os en e-mail din !!! YourDataRestore !!!. Txt-fil og vent på yderligere instruktioner.
For at du kan være sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 enhver ikke særlig stor krypteret sende dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[RANDOM CHARCTERS]
E-mail-adresse for at kontakte os:
stopfilesrestoret@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
stopfilesrestore@india.com '

De personer, der er ansvarlige for STOP Ransomware, kræver en løsesumbetaling på 600 USD, der skal betales ved hjælp af Bitcoin til en bestemt Bitcoin-tegnebogadresse og inden for 72 timer. At kontakte disse mennesker eller betale STOP Ransomware-løsepenge er muligvis ikke den bedste løsning.

Beskyttelse af dine data fra STOP Ransomware og andre Ransomware Trojans

Den bedste beskyttelse mod STOP Ransomware og andre ransomware trojanske heste er at have sikkerhedskopier af filer. Computerbrugere, der har sikkerhedskopier af deres filer, kan nemt gendanne disse filer efter et angreb uden at skulle ty til at betale løsesummen. Et anbefalet sikkerhedsprogram kan også forhindre, at STOP Ransomware installeres i første omgang.

Opdater 6. december 2018 - 'helpshadow@india.com' Ransomware

Ransomware 'helpshadow@india.com' er kategoriseret som en forholdsvis lille opdatering af koden, der bærer STOP Ransomware-mærket. Trusselforfatterne ser ikke ud til at have afsat nok tid til at polere den nye variant, da den fik et lavt infektionsforhold. 'Helpshadow@india.com' Ransomware blev hurtigt hentet af AV-leverandører, og alarmer er blevet udsendt gennem større sociale platforme og cybersikkerhedsrapporter. Desværre er der endnu ingen mulighed for gratis dekryptering. Brugere kompromitteres typisk gennem et beskadiget dokument modtaget via e-mail. Truslen er kendt for at slette Shadow Volume-snapshots oprettet af Windows og vedhæfte udvidelsen '.shadow' til de krypterede objekter. For eksempel omdøbes 'C12-H22-O11.pptx' til 'C12-H22-O11.pptx.shadow', og en løsesumnote kaldet '! Readme.txt' vises på skrivebordet. Ransomware'en 'helpshadow@india.com' viser sandsynligvis følgende meddelelse til de inficerede brugere:

'ALLE DINE FILER ER Krypteret
Bare rolig, du kan returnere alle dine filer!
Alle dine filer dokumenter, fotos, databaser og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier giver vi dig?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger
Forsøg ikke at bruge tredjeparts dekrypteringsværktøjer, fordi det ødelægger dine filer.
Rabat på 50%, hvis du kontakter os de første 72 timer.
For at få denne software skal du skrive på vores e-mail:
helpshadow@india.com
Reserver e-mail-adresse for at kontakte os:
helpshadow@firemail.cc
Dit personlige id:
[tilfældige tegn] '

Teksten vist ovenfor bruges af varianter, der er frigivet tidligere end 'helpshadow@india.com' Ransomware, og den eneste ændring, der er værd at bemærke, er den nye e-mail-konfiguration. Ransomware 'helpshadow@india.com' er opkaldt efter en af e-mail-kontakterne, og den anden henviser brugerne til det samme brugernavn, men på en anden e-mail-platform - 'helpshadow@firemail.cc.' Begge e-mail-konti vil sandsynligvis blive lukket, når denne artikel når dig. Chancerne for at fange den, der står bag helpshadow@india.com 'Ransomware, er ikke store i betragtning af at ransomware-operatørerne bruger proxyer, VPN-tjenester og TOR-netværket til at skjule deres kontrolenheder. Derfor skal brugerne være proaktive i forsvaret af deres data. Trin nummer et - installer et sikkerhedskopiprogram på dit system; trin nummer to - åbn ikke filer fra ukendte afsendere. Husk at eksportere dine sikkerhedskopier til en flytbar hukommelseslager eller en filhostingtjeneste.

Opdater 13. december 2018 - '.djvu File Extension' Ransomware

'.Djvu File Extension' Ransomware er en ny variant af STOP Ransomware, der blev rapporteret den 12. december 2018. Computersikkerhedsforskere kategoriserer '.djvu File Extension' Ransomware som en lille opdatering til de tidligere udgivelser af STOP Ransomware og advare om, at truslen stadig distribueres primært via spam-e-mails. Trusselsaktørerne har brugt makroaktiverede dokumenter og falske PDF-filer til at narre brugerne til at installere deres program lydløst. Angrebene med '.djvu File Extension' Ransomware er næsten de samme som den første bølge af infektioner i februar 2018. Truslen sletter Shadow Volume snapshots og kort forbundet til hukommelsesdrev, før den krypterer brugerens data. Den nye variant understøtter en anden filtypenavn, og løsesumnoten ændres lidt. Som navnet antyder, modtager filerne suffikset '.djvu', og noget lignende 'Jonne-Kaiho.mp3' omdøbes til 'Jonne-Kaiho.mp3.djvu.' Løsepenge noten kan ses på skrivebordet som '_openme.txt' og lyder:

'ALLE DINE FILER ER Krypteret
Bare rolig, du kan returnere alle dine filer!
Alle dine filer dokumenter, fotos, databaser og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier giver vi dig?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger
Forsøg ikke at bruge tredjeparts dekrypteringsværktøjer, fordi det ødelægger dine filer.
Rabat på 50%, hvis du kontakter os de første 72 timer.
For at få denne software skal du skrive på vores e-mail:
helpshadow@india.com

Reserver e-mail-adresse for at kontakte os:
helpshadow@firemail.cc

Dit personlige id:
[tilfældige tegn] '

Trusselforfatterne fortsætter med at bruge 'helpshadow@india.com' og 'helpshadow@firemail.cc' e-mail-konti til deres ransomware-kampagne. Stol ikke på STOP Ransomware-teamet og undgå at bruge den falske 50% rabat, der er nævnt ovenfor. De trusselsaktører, der diskuteres her, er ikke kendt for deres lempelighed. PC-brugere skal fjerne '.djvu File Extension' Ransomware ved hjælp af et pålideligt anti-malware-instrument. Det er bedst at bruge backup-billeder og backup-tjenester til at gendanne dine data.

Opdater 11. januar 2019 - '.tfude File Extension' Ransomware

'.Tfude File Extension' Ransomware er en version af STOP Ransomware, der kom ud den 11. januar 2019. Truslen er klassificeret som en version, der udviser minimale ændringer i forhold til den oprindelige cybertrussel. '.Tfude File Extension' Ransomware er opkaldt efter den eneste bemærkelsesværdige ændring i dens beskadigede kode. Trojanen er konfigureret til at vedhæfte filtypenavnet '.tfude' til krypterede data. Ransomware '.tfude File Extension' bruger fortsat standardkrypteringsteknologier og sikre forbindelser til Command-serverne, der forhindrer sikkerhedsspecialister i at tilbyde gratis dekryptering til kompromitterede brugere.

Kryptotruslen ved hånden bruger krypteringsteknologier, som offentlige agenturer og virksomheder som Google Inc. anvender for at sikre datatransmission. De krypterede filer vises i Windows Explorer som generiske hvide ikoner, og de programmer, brugeren har installeret, forbliver funktionelle. Visse databaseadministratorer fungerer muligvis ikke korrekt, da truslen koder for populære databaseformater. For eksempel omdøbes 'Recent sales.pdb' til 'Recent sales.pdb.tfude.' Løsepenge noten er indlæst i notesblokken fra filen '_openme.txt', som kan findes på skrivebordet. '.Tfude File Extension' Ransomware tilbyder den samme besked som den originale Trojan, men denne gang bruger trusselsaktørerne e-mail-kontoen 'pdfhelp@firemail.cc' til at nå ud til brugerne. Der er ingen gratis decryptor tilgængelig for brugerne, og du bliver nødt til at bruge sikkerhedskopier af data for at gendanne. Du bliver nødt til at rense de inficerede enheder ved at køre en komplet systemscanning med et velrenommeret anti-malware-instrument.

Opdater 23. januar 2019 - 'pausa@bitmessage.ch' Ransomware

Ransomware 'pausa@bitmessage.ch' er en filkodermalware, der produceres med STOP Ransomware Builder. Ransomware 'pausa@bitmessage.ch' blev frigivet til pc-brugere via spam-e-mails i den første uge i maj 2018. Ransomware 'pausa@bitmessage.ch' opfattes som en generisk krypteringstrojan, der overskriver data på inficerede computere og sletter volumen snapshots for at forhindre genopretning. Den 'pausa@bitmessage.ch' Ransomware er kendt for at bruge de samme krypteringsteknologier som andre vellykkede Ransomware som Cerber og Dharma for at nævne nogle få. Ransomware 'pausa@bitmessage.ch' er programmeret til at køre fra Temp-mappen under AppData-biblioteket og anvende en sikker AES-256-kryptering til dokumenter, video, musik, databaser og e-bøger. Kodede data modtager udvidelsen '.PAUSA', og noget lignende 'Hartmann-Save me.mp3' omdøbes til 'Hartmann-Save me.mp3.pausa.' Genløsemeddelelsen gemmes som '!! Gendan !!!. Txt' på brugerens skrivebord og lyder:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .PAUSA udvidelse er krypteret.
Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere software skal du kontakte os via e-mail pausa@bitmessage.ch send os en e-mail din !!! RESTORE !!!. Txt-fil og vent på yderligere instruktioner.
For at du er sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 ikke meget store krypterede filer, og vi sender dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[tilfældige tegn]
E-mail-adresse for at kontakte os:
pausa@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
pausa@india.com '

Vi anbefaler, at du undgår forhandlinger med trusselsaktørerne via 'pausa@bitmessage.ch' og 'pausa@india.com' e-mail-konti. Det er sikrere at starte sikkerhedskopier af data og rense dit system ved hjælp af et velrenommeret anti-malware-værktøj. Selvom du betaler det absurde løsesum på $ 600, er der ingen garanti for, at du vil modtage en decryptor. PC-brugere opfordres til at tage sikkerhedskopier af data mindst to gange om måneden og ignorere spam-beskeder, der kan føre til et sikkerhedskompromis. AV-virksomheder understøtter detektionsregler for 'pausa@bitmessage.ch' Ransomware, men der er ingen gratis dekryptering tilgængelig i skrivende stund.

Opdater 23. januar 2019 - 'waiting@bitmessage.ch' Ransomware

Den 'waiting@bitmessage.ch' Ransomware er en kryptering Trojan, der er baseret på STOP Ransomware. Ransomware fra 'waiting@bitmessage.ch' blev rapporteret af kompromitterede brugere den 18. april 2018, og det ser ud til at invadere computere via beskadigede Microsoft Word-dokumenter. 'Waiting@bitmessage.ch' Ransomware optages for at kryptere fotos, lyd, video og tekst på de inficerede computere. Desværre tilføjede malwareforfatterne en kommando til at slette de volumen-snapshots, som Windows laver for at beskytte dine data. Trojanen overskriver målrettede data med filer, der bærer udvidelsen '.WAITING' og kan ikke åbnes med software på dit system. For eksempel omdøbes 'Hartmann-Like a River.mp3' til 'Hartmann-Like a River.mp3.waiting', og en løsesummeddelelse sendes til dit skrivebord. Den 'waiting@bitmessage.ch' Ransomware skriver '!!! INFO_RESTORE !!!. Txt' til skrivebordet og viser følgende tekst:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .WAITING udvidelse er krypteret.
Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere softwaren skal du kontakte os via e-mail waiting@bitmessage.ch send os en e-mail din !!! INFO_RESTORE !!!. Txt-fil og vent på yderligere instruktioner.
For at du er sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 ikke meget store krypterede filer, og vi sender dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[tilfældige tegn]
E-mail-adresse for at kontakte os:
waiting@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
waiting@india.com '

Malware interfererer ikke med tredjeparts sikkerhedskopieringsværktøjer, og du skal kunne starte sikkerhedskopier af data. Det anbefales at undgå interaktion med trusselsaktørerne via e-mail-adresserne 'waiting@bitmessage.ch' og 'waiting@india.com'. Du kan være interesseret i at udforske filhostingtjenester, hvis du ønsker at beskytte dine datasikkerhedskopier mod netværksoverførte cybertrusler og de fleste Ransomware-varianter som 'waiting@bitmessage.ch' Ransomware.

Opdateringen fra november ^25. 2019 - .zobm og .rote udvidelser

Sikkerhedsforskere stødte på et par nye varianter af STOP Ransomware den 24. november og den 25. november 2019. Ransomware-varianterne tilføjede de krypterede filer med .zobm- og .rote-udvidelser, men havde en identisk løsesumnote, der hedder _readme.txt. De e-mails, hvorigennem trusselsaktørerne kunne nås, var også de samme - datarestorehelp@firemail.cc og datahelp@iran.ir.

OPMÆRKSOMHED!
Bare rolig, du kan returnere alle dine filer!
Alle dine filer som fotos, databaser, dokumenter og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier har du?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger.
Du kan få og se videooversigts dekrypteringsværktøj:
https://we.tl/t-4NWUGZxdHc
Prisen på den private nøgle og dekrypteringssoftware er $ 980.
Rabat på 50% til rådighed, hvis du kontakter os de første 72 timer, den pris for dig er $ 490.
Bemærk, at du aldrig gendanner dine data uden betaling.
Tjek din e-mail "Spam" eller "Junk" mappe, hvis du ikke får svar mere end 6 timer.

For at få denne software skal du skrive på vores e-mail:
datarestorehelp@firemail.cc
Reserver e-mail-adresse for at kontakte os:
datahelp@iran.ir
Dit personlige id:
[tilfældige tegn]

STOP Ransomware i 2019 og videre

Senere i 2019 blev STOP-ransomware stadig brugt, og nye angrebsvektorer blev testet. STOP-ransomware begyndte at vises i bundter, der indeholder andre former for malware, primært adware, som du kan finde på websteder, der hævder at være vært for krakket eksekverbar software og spil. På denne måde viste mange af ransomwares nye ofre sig at være håbefulde softwarepirater, der så ud, hvem der fik mere, end de forhandlede om.

Der har også været beviser for, at STOP-ransomware installerer Trojans, der stjæler password, der er i stand til at skrabe forskellige loginoplysninger.

Ransomware udvidede også den lange liste over krypterede filtypenavne, den bruger. Filer krypteret af STOP ransomware modtog nu .rumba og .tro udvidelser. Indtil videre har lidt andet ændret sig - løsepenge noten blev stadig fundet i en fil med navnet "_openme.txt", men løsesummen blev bumpet op til $ 980 med en reduktion til $ 490, hvis offeret betaler inden for de første 72 timer efter infektionen .

Opdatering 24. marts 2020 - Nye varianter

Trusselaktørerne bag STOP Ransomware har arbejdet så utrætteligt i 2020, som de gjorde i 2019, med nye varianter, der krypterede ofres filer og tilføjede dem med en række nye udvidelser. Nogle af de nye udvidelser af STOP Ransomware inkluderer .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd og .foop.

En prøve af en løsesumnote, der fulgte med .lokd-varianten, indeholdt følgende tekst:

OPMÆRKSOMHED!

Bare rolig, du kan returnere alle dine filer!
Alle dine filer som fotos, databaser, dokumenter og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier har du?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger.
Du kan få og se videooversigts dekrypteringsværktøj:
https://we.tl/t7m8Wr997Sf
Prisen på den private nøgle og dekrypteringssoftware er $ 980.
Rabat på 50% til rådighed, hvis du kontakter os de første 72 timer, den pris for dig er $ 490.
Bemærk, at du aldrig gendanner dine data uden betaling.
Tjek din e-mail '' Spam '' eller '' Uønsket '' mappe, hvis du ikke får svar mere end 6 timer.

For at få denne software skal du skrive på vores e-mail:
helpdatarestore@firemail.cc
Reserver e-mail-adresse for at kontakte os:
helpmanager@mail.ch
Dit personlige id:
[tilfældige tegn]

Andre e-mails, som trusselsaktørerne har brugt med disse nye varianter, inkluderer helpmanager@iran.ir og helpmanager@firemail.cc.

SpyHunter registrerer og fjerner STOP Ransomware

STOP Ransomware Skærmbilleder