ZATRZYMAJ Djvu Ransomware

Do GoldSparrow w Ransomware

Przetłumacz na:

Rodzina STOP Ransomware, określana również jako rodzina STOP Djvu Ransomware, jest groźnym złośliwym oprogramowaniem. STOP Djvu to tylko jedno z wielu zagrożeń, które mają wspólne cechy i pochodzą z ransomware STOP, mimo że niektóre z ich metod wpływania na typy plików i szyfrowania rozszerzeń plików różnią się.

Pierwotne oprogramowanie ransomware STOP zostało zauważone przez badaczy bezpieczeństwa już w lutym 2018 r. Jednak od tego czasu ewoluowało, a jego rodzina klonów i odgałęzień powiększyła się. Podstawową metodą dystrybucji ransomware STOP były kampanie spamowe e-mail wykorzystujące uszkodzone załączniki.

STOP Djvu Ransomware działa w sposób podobny do innych zagrożeń ransomware tego rodzaju, szyfrując i blokując dostęp do kluczowych plików, które użytkownicy mogą wykorzystywać w swoim systemie. Pliki osobiste, zdjęcia, dokumenty i nie tylko mogą być szyfrowane i zasadniczo wyłączone dla wszystkich użytkowników na komputerze. STOP Djvu Ransomware został po raz pierwszy zauważony w grudniu 2018 r. w dość udanej kampanii infekcji online. Badacze nie byli świadomi sposobu rozprzestrzeniania się ransomware, ale później ofiary zgłaszały, że odkrywały infekcje po pobraniu keygenów lub cracków. Po wystąpieniu infekcji ransomware STOP Djvu zmienia ustawienia systemu Windows, dołączając pliki o różnych nazwach, takich jak .djvu, .djvus, .djvuu, .uudjvu, .udjvu lub .djvuq oraz ostatnie rozszerzenia .promorad i .promock. Nowsze wersje nie mają jeszcze deszyfratora, ale starsze można odszyfrować za pomocą STOPDecrypter. Użytkownikom zaleca się unikanie płacenia okupu, bez względu na wszystko.

Metoda stosowana do blokowania dostępu do plików wykorzystuje algorytm szyfrowania RSA. Chociaż odszyfrowanie plików może wydawać się trudne dla niedoświadczonych użytkowników, zdecydowanie nie ma potrzeby podejmowania jakichkolwiek wysiłków, aby zapłacić osobom stojącym za zagrożeniem. W takich sytuacjach zwykle składane są fałszywe obietnice, więc użytkownicy mogą szybko dowiedzieć się, że są ignorowane po dokonaniu płatności.

Ataki ransomware STOP Djvu zostały po raz pierwszy zgłoszone pod koniec 2018 roku. Główną metodą dystrybucji STOP Djvu pozostały wiadomości spamowe, a poprawki w rdzeniu ransomware były stosunkowo niewielkie. Większość fałszywych, zhakowanych załączników wykorzystywanych w wiadomościach spamowych stanowiły dokumenty biurowe z obsługą makr lub fałszywe pliki PDF, które uruchamiałyby oprogramowanie ransomware bez wiedzy ofiary. Zachowanie STOP Djvu również się nie zmieniło - ransomware nadal usuwa wszystkie migawki Shadow Volume, aby pozbyć się kopii zapasowych, a następnie zaczyna szyfrować pliki ofiary.

W notatce dotyczącej okupu, która jest zapisywana jako „_openme.txt" na pulpicie ofiary, wprowadzono drobne zmiany. Tekst żądania okupu można znaleźć tutaj:

'[początek żądania okupu]
———————— WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE ————————

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, dokumenty, zdjęcia, bazy danych i inne ważne są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.
Jedyną metodą odzyskania plików jest zakup narzędzia do odszyfrowywania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie gwarancje Państwu dajemy?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji
Nie próbuj używać narzędzi odszyfrowywania innych firm, ponieważ zniszczy to twoje pliki.
Zniżka 50% dostępna, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.

———————————————————————————————————-

Aby otrzymać to oprogramowanie musisz napisać na nasz e-mail:
pomocshadow@india.com

Zarezerwuj adres e-mail, aby się z nami skontaktować:
helpshadow@firemail.cc

Twój dowód osobisty: [napis]
[koniec żądania okupu]'

Ransomware początkowo ograniczało się do zmiany nazwy zaszyfrowanych plików na rozszerzenie .djvu, co było ciekawym wyborem, ponieważ .djvu jest w rzeczywistości legalnym formatem plików opracowanym przez AT&T Labs i używanym do przechowywania zeskanowanych dokumentów, nieco podobnym do formatu .pdf firmy Adobe. Późniejsze wersje oprogramowania ransomware przyjęły szereg innych rozszerzeń dla zaszyfrowanych plików, w tym „.chech", „.luceq", „.kroput1," „.charck", „.kropun", „.luces", „.pulsar1". „.uudjvu", „.djvur", „.tfude", „.tfudeq" i „.tfudet".

Niektóre odmiany ransomware STOP Djvu można odszyfrować za darmo, korzystając z tak zwanego „STOPDecrypter", który został opracowany przez badacza bezpieczeństwa Michaela Gillespie i jest dostępny online do bezpłatnego pobrania.