STOPP Djvu Ransomware

STOP Ransomware-familjen, även benämnd STOP Djvu Ransomware-familjen, är en hotfull del av skadlig kod. STOPP Djvu är bara ett av de flera hot som delar gemensamma egenskaper och härrör från STOP-ransomware, även om vissa av deras metoder för att påverka filtyper och kryptera filtillägg skiljer sig åt.

Den ursprungliga STOP Ransomware sågs av säkerhetsforskare så tidigt som i februari 2018. Sedan dess har den utvecklats och dess familj av kloner och offshoots har vuxit. Den främsta metoden för distribution av STOP-ransomware var skräppostkampanjer med skadade bilagor.

STOPP Djvu Ransomware utför på ett sätt som liknar andra ransomware-hot av sitt slag, kryptering och blockering av åtkomst till nyckelfiler som användare kan använda i sitt system. Personliga filer, bilder, dokument och mer kan krypteras och i princip inaktiveras för alla användare på maskinen. STOPP Djvu Ransomware sågs först i december 2018 i vad som tycktes vara en ganska framgångsrik infektionskampanj online. Forskare var inte medvetna om hur ransomware sprids, men senare rapporterade offren att de upptäckte infektioner efter att de laddade ner keygens eller sprickor. När infiltrationen inträffar ändrar STOPP Djvu ransomware Windows-inställningarna och lägger till filer med ett antal namn, till exempel .djvu, .djvus, .djvuu, .uudjvu, .udjvu eller .djvuq och de senaste .promorad och .promock-tilläggen. De nyare versionerna har inte en dekrypterare ännu, men de äldre kan dekrypteras med hjälp av STOPDecrypter. Användare rekommenderas att undvika att betala någon lösen, oavsett vad.

Metoden som används för att blockera åtkomst till filerna använder RSA-krypteringsalgoritmen. Även om dekryptering av filerna kan tyckas svårt för oerfarna användare, finns det definitivt inget behov av att göra några ansträngningar för att betala människorna bakom hotet. Falska löften ges vanligtvis i sådana situationer, så användare kan snabbt upptäcka att de ignoreras när betalningar gjordes.

Attacker av STOPP Djvu Ransomware rapporterades först i slutet av 2018. Den huvudsakliga distributionsmetoden för STOPP Djvu förblev skräppostmeddelanden och justeringar till kärnan i ransomware var relativt små. Majoriteten av falska, komprometterade bilagor som används i skräppostmeddelandena var makroaktiverade kontordokument eller falska PDF-filer som skulle köra ransomware utan offrets vetskap. STOPP Djvus beteende har inte förändrats mycket heller - ransomware tar fortfarande bort alla Shadow Volume-ögonblicksbilder för att bli av med säkerhetskopior och börjar sedan kryptera offrets filer.

Det finns mindre ändringar i lösensedeln, som sparas som '_openme.txt' på offrets skrivbord. Texten till lösensedeln finns här:

'[lösenbok start]
————————— ALLA DINA FILAR ÄR Krypterade —————————

Oroa dig inte, du kan returnera alla dina filer!
Alla dina dokument, foton, databaser och annat viktigt är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information
Försök inte använda dekrypteringsverktyg från tredje part eftersom det förstör dina filer.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna.

————————————————————————————————————-

För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpshadow@india.com

Boka e-postadress för att kontakta oss:
helpshadow@firemail.cc

Ditt personliga ID: [string]
[lösensedeln slut] '

Ransomware begränsade sig till att byta namn på de krypterade filerna med .djvu-förlängningen ursprungligen, vilket var ett märkligt val eftersom .djvu faktiskt är ett legitimt filformat utvecklat av AT&T Labs och används för att lagra skannade dokument, något som liknar Adobes .pdf. Senare versioner av ransomware antog en rad andra tillägg för krypterade filer, inklusive '.chech,' '.luceq,' '.kroput1,' '.charck,' '.kropun ,,' .luces, '' .pulsar1, '' .uudjvu, '' .djvur, '' .tfude, '' .tfudeq 'och' .tfudet '.

Vissa stammar av STOPP Djvu-ransomware kan dekrypteras gratis med hjälp av den så kallade 'STOPDecrypter' som utvecklades av säkerhetsforskaren Michael Gillespie och är tillgänglig online som gratis nedladdning.

Innehållsförteckning

Toggle

STOPP Djvu Ransomware Video

Tips: Slå PÅ ljudet och titta på videon i helskärmsläge .

STOPP Djvu Ransomware skärmdumpar

Analys rapport

Allmän information

Family Name:	STOP/DJVU Ransomware
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: def8a7bfe5fe47d95a95085d8dbc7a53 SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6 SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192 Filstorlek: 6.29 MB, 6292105 bytes

MD5: a6b8c0cb178c31dd347554c3e5a0d5f8 SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C Filstorlek: 3.47 MB, 3471869 bytes

MD5: 2336c9624d9a44c393d354206226f508 SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190 SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0 Filstorlek: 1.36 MB, 1359918 bytes

MD5: 42f32aa699bc45a3638ddeb325ebebc1 SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8 SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4 Filstorlek: 1.33 MB, 1328186 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have relocations information
• File doesn't have security information
• File has exports table
• File has TLS information
• File is 32-bit executable
• File is either console or GUI application
• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)

Show More

• File is Native application (NOT .NET application)
• File is not packed
• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

Windows PE Version Information

i

Windows PE Version Information

This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.

Namn	Värde
Comments	This installation was built with Inno Setup.
Company Name	Alexander Roshal WinTools Software Engineering, Ltd.
File Description	Gestione archivi WinRAR RAM Saver Professional
File Version	26.0.1 25.7.1 6.20.2 1.00
Internal Name	TJprojMain WinRAR
Legal Copyright	Copyright © Alexander Roshal 1993-2022
Original Filename	TJprojMain.exe WinRAR.exe
Product Name	Project1 RAM Saver 25.7.1 Professional RAM Saver 26.0.1 Professional WinRAR
Product Version	26.0.1 25.7.1 6.20.2 1.00

File Traits

• 2+ executable sections
• big overlay
• HighEntropy
• Installer Manifest
• No Version Info
• RAR (In Overlay)
• RARinO
• SusSec
• vb6
• WinRAR SFX

Show More

• WRARSFX
• x86

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Other Suspicious	SetWindowsHookEx
Anti Debug	IsDebuggerPresent
User Data Access	GetUserObjectInformation
Process Manipulation Evasion	NtUnmapViewOfSection
Process Shell Execute	CreateProcess
Keyboard Access	GetKeyState

Shell Command Execution

i

Shell Command Execution

This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.

"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"

"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"