ОСТАНОВИТЬ Djvu Ransomware

К GoldSparrow году в Ransomware году

Перевести на:

Семейство программ-вымогателей STOP, также называемое семейством программ-вымогателей STOP Djvu, представляет собой опасную вредоносную программу. STOP Djvu - лишь одна из множества угроз, которые имеют общие характеристики и исходят от программы-вымогателя STOP, хотя некоторые из их методов воздействия на типы файлов и шифрование расширений файлов различаются.

Первоначальная программа- вымогатель STOP была замечена исследователями безопасности еще в феврале 2018 года. Однако с тех пор она эволюционировала, и ее семейство клонов и ответвлений выросло. Основным методом распространения программы-вымогателя STOP были рассылки спама по электронной почте с использованием поврежденных вложений.

Программа-вымогатель STOP Djvu работает так же, как и другие подобные программы-вымогатели, шифруя и блокируя доступ к ключевым файлам, которые пользователи могут использовать в своей системе. Личные файлы, изображения, документы и многое другое можно зашифровать и отключить для всех пользователей машины. Программа-вымогатель STOP Djvu была впервые обнаружена еще в декабре 2018 года в ходе довольно успешной кампании заражения в Интернете. Исследователи не знали, как распространяется программа-вымогатель, но позже жертвы сообщали, что обнаруживали инфекции после того, как загружали кейгены или кряки. После заражения программа-вымогатель STOP Djvu изменяет настройки Windows, добавляя файлы с разными именами, например .djvu, .djvus, .djvuu, .uudjvu, .udjvu или .djvuq, а также недавние расширения .promorad и .promock. В более новых версиях еще нет дешифратора, но более старые версии можно расшифровать с помощью STOPDecrypter. Пользователям рекомендуется избегать уплаты выкупа, несмотря ни на что.

Метод, используемый для блокировки доступа к файлам, использует алгоритм шифрования RSA. Хотя расшифровка файлов может показаться сложной для неопытных пользователей, определенно нет необходимости прилагать какие-либо усилия, чтобы заплатить людям, стоящим за угрозой. В таких ситуациях обычно даются ложные обещания, поэтому пользователи могут быстро обнаружить, что они игнорируются после совершения платежей.

Об атаках вымогателя STOP Djvu впервые было сообщено в конце 2018 года. Основным методом распространения STOP Djvu оставались спам-письма, а изменения в ядре вымогателя были относительно незначительными. Большинство фальшивых, скомпрометированных вложений, используемых в спам-письмах, были офисными документами с поддержкой макросов или поддельными файлами PDF, которые запускали программу-вымогатель без ведома жертвы. Поведение STOP Djvu также не сильно изменилось - программа-вымогатель по-прежнему удаляет все моментальные снимки теневого тома, чтобы избавиться от резервных копий, а затем начинает шифрование файлов жертвы.

В записку с требованием выкупа внесены незначительные изменения, которые сохраняются на рабочем столе жертвы как _openme.txt. Текст записки о выкупе можно найти здесь:

'[начало записки о выкупе]
———————— ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ————————

Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, документы, фотографии, базы данных и другие важные данные зашифрованы с помощью самого надежного шифрования и уникального ключа.
Единственный способ восстановить файлы - это приобрести для вас инструмент дешифрования и уникальный ключ.
Это программное обеспечение расшифрует все ваши зашифрованные файлы.
Какие гарантии мы вам даем?
Вы можете отправить один из своих зашифрованных файлов со своего компьютера, и мы расшифруем его бесплатно.
Но мы можем бесплатно расшифровать только 1 файл. Файл не должен содержать ценной информации
Не пытайтесь использовать сторонние инструменты дешифрования, потому что они уничтожат ваши файлы.
Скидка 50% доступна, если вы свяжетесь с нами в первые 72 часа.

———————————————————————————————————-

Чтобы получить эту программу, вам необходимо написать на нашу электронную почту:
helphadow@india.com

Зарезервируйте адрес электронной почты, чтобы связаться с нами:
helphadow@firemail.cc

Ваш личный идентификатор: [строка]
[конец записки о выкупе] '

Программа-вымогатель изначально ограничивалась переименованием зашифрованных файлов с расширением .djvu, что было любопытным выбором, поскольку .djvu на самом деле является допустимым форматом файлов, разработанным лабораторией AT&T и используемым для хранения отсканированных документов, чем-то похожим на .pdf Adobe. Более поздние версии программы-вымогателя приняли ряд других расширений для зашифрованных файлов, в том числе '.chech', '' .luceq, '' .kroput1, '' .charck, '' .kropun, '.luces,' '.pulsar1, '' .uudjvu, '' .djvur, '' .tfude, '.tfudeq' и '.tfudet'.

Некоторые разновидности программы-вымогателя STOP Djvu можно бесплатно расшифровать с помощью так называемого STOPDecrypter, разработанного исследователем безопасности Майклом Гиллеспи и доступного для бесплатной загрузки в Интернете.