STOP Djvu Ransomware

Entro GoldSparrow nel Ransomware

Traduci in:

La famiglia di ransomware STOP, denominata anche famiglia di ransomware STOP Djvu, è un malware minaccioso. STOP Djvu è solo una delle molteplici minacce che condividono caratteristiche comuni e provengono dal ransomware STOP, anche se alcuni dei loro metodi per influenzare i tipi di file e crittografare le estensioni dei file differiscono.

L'originale STOP Ransomware è stato individuato dai ricercatori di sicurezza già nel febbraio 2018. Tuttavia, da allora si è evoluto e la sua famiglia di cloni e derivati è cresciuta. Il metodo principale di distribuzione del ransomware STOP era costituito dalle campagne di posta elettronica di spam che utilizzavano allegati danneggiati.

Il ransomware STOP Djvu si comporta in modo simile ad altre minacce ransomware del suo genere, crittografando e bloccando l'accesso ai file chiave che gli utenti potrebbero utilizzare nel proprio sistema. File personali, immagini, documenti e altro possono essere crittografati ed essenzialmente disabilitati per tutti gli utenti sulla macchina. STOP Djvu ransomware è stato individuato per la prima volta nel dicembre 2018 in quella che sembrava essere una campagna di infezione online di grande successo. I ricercatori non erano a conoscenza del modo in cui il ransomware si diffondeva, ma le vittime successive hanno riferito di aver scoperto infezioni dopo aver scaricato keygen o crack. Una volta avvenuta l'infiltrazione, STOP Djvu ransomware modifica le impostazioni di Windows, aggiungendo file con una serie di nomi, come .djvu, .djvus, .djvuu, .uudjvu, .udjvu o .djvuq e le recenti estensioni .promorad e .promock. Le versioni più recenti non hanno ancora un decryptor, ma quelle più vecchie possono essere decrittate usando STOPDecrypter. Si consiglia agli utenti di evitare di pagare qualsiasi riscatto, qualunque cosa accada.

Il metodo utilizzato per bloccare l'accesso ai file utilizza l'algoritmo di crittografia RSA. Sebbene la decrittografia dei file possa sembrare difficile per gli utenti inesperti, non è assolutamente necessario fare alcuno sforzo per pagare le persone dietro la minaccia. Le false promesse vengono solitamente date in tali situazioni, quindi gli utenti potrebbero scoprire rapidamente che vengono ignorate una volta effettuati i pagamenti.

Gli attacchi del ransomware STOP Djvu sono stati segnalati per la prima volta alla fine del 2018. Il metodo di distribuzione principale per STOP Djvu sono rimasti le e-mail di spam e le modifiche al nucleo del ransomware erano relativamente minori. La maggior parte degli allegati falsi e compromessi utilizzati nelle e-mail di spam erano documenti di Office abilitati per le macro o file PDF falsi che avrebbero eseguito il ransomware all'insaputa della vittima. Anche il comportamento di STOP Djvu non è cambiato molto: il ransomware continua a eliminare tutte le istantanee di Shadow Volume per sbarazzarsi dei backup, quindi inizia a crittografare i file della vittima.

Sono state apportate piccole modifiche alla richiesta di riscatto, che viene salvata come "_openme.txt" sul desktop della vittima. Il testo della richiesta di riscatto può essere trovato qui:

"[inizio richiesta di riscatto]
———————— TUTTI I TUOI FILE SONO CRITTOGRAFATI ————————

Non preoccuparti, puoi restituire tutti i tuoi file!
Tutti i tuoi file, documenti, foto, database e altri importanti sono crittografati con la crittografia più potente e la chiave univoca.
L'unico metodo per recuperare i file è acquistare lo strumento di decrittografia e la chiave univoca per te.
Questo software decrittograferà tutti i tuoi file crittografati.
Quali garanzie ti diamo?
Puoi inviare uno dei tuoi file crittografati dal tuo PC e noi lo decifriamo gratuitamente.
Ma possiamo decifrare solo 1 file gratuitamente. Il file non deve contenere informazioni preziose
Non provare a utilizzare strumenti di decrittografia di terze parti perché distruggerà i tuoi file.
Sconto del 50% disponibile se ci contatti per le prime 72 ore.

——————————————————————————————————-

Per ottenere questo software è necessario scrivere sulla nostra e-mail:
helphadow@india.com

Prenota l'indirizzo e-mail per contattarci:
helphadow@firemail.cc

Il tuo ID personale: [stringa]
[fine richiesta di riscatto] "

Il ransomware si limitava a rinominare i file crittografati con l'estensione .djvu originariamente, che era una scelta curiosa perché .djvu è in realtà un formato di file legittimo sviluppato da AT&T Labs e utilizzato per l'archiviazione di documenti scansionati, in qualche modo simile al .pdf di Adobe. Le versioni successive del ransomware hanno adottato una serie di altre estensioni per i file crittografati, tra cui ".chech", ".luceq," .kroput1, ".charck," .kropun, ".luces," .pulsar1, ".uudjvu," .djvur, ".tfude," .tfudeq "e" .tfudet ".

Alcuni ceppi del ransomware STOP Djvu possono essere decrittografati gratuitamente, utilizzando il cosiddetto "STOPDecrypter" sviluppato dal ricercatore di sicurezza Michael Gillespie ed è disponibile online come download gratuito.