STOP Ransomware

PC-säkerhetsforskare fick rapporter om ransomware-attacker som involverade ett hot som kallas STOP Ransomware den 21 februari 2018. STOP Ransomware bygger på en öppen källkod ransomware-plattform och utför en typisk version av en kryptering ransomware-attack. STOP Ransomware distribueras med skräppostmeddelanden som innehåller skadade filbilagor. Dessa filbilagor har formen av DOCX-filer med inbäddade makroskript som laddar ner och installerar STOP Ransomware på offrets dator. Att lära sig att känna igen phishing-e-postmeddelanden och undvika att ladda ner eventuella mottagna bifogade filer är ett av sätten att undvika dessa attacker.

Hur man känner igen en STOP Ransomware-infektion

När STOP Ransomware har installerats på offrets dator kommer STOP Ransomware att söka på offrets enheter för ett brett utbud av filtyper, i allmänhet letar efter användargenererade filer som bilder, mediefiler och många andra dokumenttyper. STOP Ransomware verkar också vara konstruerat för att rikta sig mot webbservrar eftersom det letar efter databasfiler och liknande filtyper som vanligtvis finns i dessa maskiner uttryckligen. De filtyper som STOP Ransomware kommer att söka efter och rikta in i sin attack inkluderar:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Denna vecka i Malware Ep 10: STOP & Zorab Ransomware utnyttjar offer med falsk avkrypterare

STOP Ransomware använder en stark krypteringsalgoritm för att göra var och en av offrets filer otillgängliga. STOP Ransomware-attacken kommer att lägga till filtillägget '.SUSPENDED' i filerna det kodar för, som ett sätt att markera de drabbade filerna.

STOP Ransomware's Ransom Note

STOP Ransomware kräver en lösenbetalning genom att leverera en lösensedel till offrets dator. Denna lösensedel visas i en textfil som släppts på offrets skrivbord. Filen heter '!!! YourDataRestore !!!. Txt, 'innehåller meddelandet:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .STOP-förlängning är krypterade. Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post stopfilesrestore@bitmessage.ch skicka ett e-postmeddelande med din! YourDataRestore !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka oss en 1-3 alla inte särskilt stora krypterade skicka tillbaka den i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[RANDOM CHARCTERS]
E-postadress för att kontakta oss:
stopfilesrestoret@bitmessage.ch
Boka e-postadress för att kontakta oss:
stopfilesrestore@india.com '

De personer som ansvarar för STOP Ransomware kräver en lösenbetalning på 600 USD som ska betalas med Bitcoin till en specifik Bitcoin-plånbokadress och inom 72 timmar. Det kan dock inte vara den bästa lösningen att kontakta dessa personer eller betala STOPP Ransomware-lösensumman.

Skydda dina data från STOP Ransomware och andra trojaner med Ransomware

Det bästa skyddet mot STOP Ransomware och andra ransomware-trojaner är att ha säkerhetskopior av filer. Datoranvändare som har säkerhetskopior av sina filer kan enkelt återställa dessa filer efter en attack utan att behöva tillgripa lösen. Ett rekommenderat säkerhetsprogram kan också förhindra att STOP Ransomware installeras i första hand.

Uppdatera den 6 december 2018 - 'helpshadow@india.com' Ransomware

Ransomware 'helpshadow@india.com' kategoriseras som en relativt liten uppdatering av koden som bär STOP Ransomware-varumärket. Hotförfattarna verkar inte ha avsatt tillräckligt med tid för att polera den nya varianten eftersom den fick ett lågt infektionsförhållande. Ransomware '' helpshadow@india.com '' plockades upp snabbt av AV-leverantörer och varningar har utfärdats via stora sociala plattformar och cybersäkerhetsrapporter. Tyvärr finns det ingen möjlighet för gratis dekryptering ännu. Användare äventyras vanligtvis genom ett skadat dokument som tas emot via e-post. Det är känt att hotet raderar Shadow Volume-ögonblicksbilder som skapats av Windows och fäster tillägget '.shadow' till de krypterade objekten. Till exempel byts namn på 'C12-H22-O11.pptx' till 'C12-H22-O11.pptx.shadow' och en lösensedel som heter '! Readme.txt' visas på skrivbordet. Ransomware '' helpshadow@india.com '' kommer sannolikt att visa följande meddelande till de infekterade användarna:

'ALLA Dina filer är krypterade
Oroa dig inte, du kan returnera alla dina filer!
Alla dina dokument, foton, databaser och andra viktiga filer är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information
Försök inte använda dekrypteringsverktyg från tredje part eftersom det förstör dina filer.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna.
För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpshadow@india.com
Boka e-postadress för att kontakta oss:
helpshadow@firemail.cc
Ditt personliga ID:
[slumpmässiga tecken] '

Texten som visas ovan används av varianter som släppts tidigare än "helpshadow@india.com" Ransomware och den enda ändringen som är värt att notera är den nya e-postkonfigurationen. Ransomware 'helpshadow@india.com' är uppkallat efter en av e-postkontakterna, och den andra hänvisar användarna till samma användarnamn men på en annan e-postplattform - 'helpshadow@firemail.cc.' Båda e-postkontona kommer sannolikt att avslutas när den här artikeln når dig. Chanserna att fånga den som står bakom helpshadow@india.com Ransomware är inte stora med tanke på att ransomware-operatörerna använder proxyservrar, VPN-tjänster och TOR-nätverket för att dölja sina kontrollenheter. Därför måste användarna vara proaktiva när det gäller att försvara sina data. Steg nummer ett - installera ett säkerhetskopieringsprogram på ditt system; steg nummer två - öppna inte filer från okända avsändare. Kom ihåg att exportera dina säkerhetskopior till ett flyttbart minneslagring eller en filtjänst.

Uppdatera 13 december 2018 - '.djvu File Extension' Ransomware

Ransomware '.djvu File Extension' är en ny variant av STOP Ransomware som rapporterades den 12 december 2018. Datorsäkerhetsforskare kategoriserar '.djvu File Extension' Ransomware som en liten uppdatering av tidigare versioner av STOP Ransomware och varna att hotet fortfarande distribueras via skräppostmeddelanden främst. Hotaktörerna har använt makroaktiverade dokument och falska PDF-filer för att lura användarna att installera sitt program tyst. Attacken med '.djvu File Extension' Ransomware är nästan densamma som den första infektionsvågen i februari 2018. Hotet raderar ögonblicksbilder och kartor som är anslutna till minnesenheter innan de krypterar användarens data. Den nya varianten stöder ett annat filtillägg och lösenordet ändras något. Som namnet antyder får filerna suffixet '.djvu' och något som 'Jonne-Kaiho.mp3' byts namn till 'Jonne-Kaiho.mp3.djvu.' Ransommentet kan ses på skrivbordet som '_openme.txt' och lyder:

'ALLA Dina filer är krypterade
Oroa dig inte, du kan returnera alla dina filer!
Alla dina dokument, foton, databaser och andra viktiga filer är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information
Försök inte använda dekrypteringsverktyg från tredje part eftersom det förstör dina filer.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna.
För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpshadow@india.com

Boka e-postadress för att kontakta oss:
helpshadow@firemail.cc

Ditt personliga ID:
[slumpmässiga tecken] '

Hotförfattarna fortsätter att använda e-postkontona "helpshadow@india.com" och "helpshadow@firemail.cc" för sin ransomwarekampanj. Lita inte på STOP Ransomware-teamet och undvik att använda den falska 50% -rabatten som nämns ovan. De hotaktörer som diskuteras här är inte kända för sin smidighet. Datoranvändare bör ta bort Ransomware '.djvu File Extension' med ett pålitligt anti-malware-instrument. Det är bäst att använda säkerhetskopieringsbilder och säkerhetskopieringstjänster för att återställa dina data.

Uppdatera 11 januari 2019 - '.tfude File Extension' Ransomware

Ransomware '.tfude File Extension' är en version av STOP Ransomware som kom ut den 11 januari 2019. Hotet klassificeras som en version som uppvisar minimala ändringar jämfört med det ursprungliga cyberhotet. Ransomware '.tfude File Extension' är uppkallat efter den enda anmärkningsvärda ändringen i dess skadade kod. Trojanen är konfigurerad för att bifoga filtillägget '.tfude' till krypterad data. Ransomware '.tfude File Extension' fortsätter att använda standardkrypteringsteknik och säkra anslutningar till kommandoservrarna som förhindrar säkerhetsspecialister från att erbjuda gratis dekryptering till komprometterade användare.

Kryptohotet till hands använder krypteringsteknik som myndigheter och företag som Google Inc. använder för att säkra dataöverföringar. De krypterade filerna visas i Windows Explorer som generiska vita ikoner och programmen som användaren har installerat förblir funktionella. Men vissa databashanterare kanske inte fungerar ordentligt eftersom hotet kodar populära databasformat. Till exempel har 'Senaste försäljning.pdb' bytt namn till 'Senaste försäljning.pdb.tfude.' Lösenprisnoten laddas i anteckningsblocket från filen '_openme.txt', som finns på skrivbordet. Ransomware '.tfude File Extension' erbjuder samma meddelande som den ursprungliga Trojan, men den här gången använder hotaktörerna e-postkontot 'pdfhelp@firemail.cc' för att nå ut till användare. Det finns ingen gratis dekrypterare tillgänglig för användarna, och du måste använda säkerhetskopior av data för att återställa. Du måste rengöra de infekterade enheterna genom att köra en fullständig systemsökning med ett ansedd anti-malware-instrument.

Uppdatera 23 januari 2019 - 'pausa@bitmessage.ch' Ransomware

Ransomware 'pausa@bitmessage.ch' är en skadlig filkodare som produceras med STOPP Ransomware Builder. Ransomware 'pausa@bitmessage.ch' släpptes till PC-användare via skräppost under den första veckan i maj 2018. Ransomware 'pausa@bitmessage.ch' uppfattas som en generisk krypteringstrojan som skriver över data på infekterade datorer och raderar volymen ögonblicksbilder för att hindra återhämtning. Ransomware 'pausa@bitmessage.ch' är känt för att använda samma krypteringsteknik som andra framgångsrika Ransomware som Cerber och Dharma för att nämna några. Ransomware 'pausa@bitmessage.ch' är programmerat att köra från Temp-mappen under AppData-katalogen och tillämpa en säker AES-256-chiffer på dokument, video, musik, databaser och e-böcker. Kodad data tar emot ".PAUSA" -tillägget och något som "Hartmann-Save me.mp3" byter namn till "Hartmann-Save me.mp3.pausa." Lösenmeddelandet sparas som '!! RESTORE !!!. Txt' på användarens skrivbord och läser:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .PAUSA-tillägget är krypterade.
Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post pausa@bitmessage.ch skicka ett e-postmeddelande med din !!! RESTORE !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka 1-3 1-3 inte särskilt stora krypterade filer och vi skickar tillbaka dem i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[slumpmässiga tecken]
E-postadress för att kontakta oss:
pausa@bitmessage.ch
Boka e-postadress för att kontakta oss:
pausa@india.com '

Vi rekommenderar att du undviker förhandlingar med hotaktörerna via e-postkontona 'pausa@bitmessage.ch' och 'pausa@india.com'. Det är säkrare att starta säkerhetskopior av data och städa ditt system med hjälp av ett ansedd anti-malware-verktyg. Även om du betalar den absurda lösensumman på $ 600, finns det ingen garanti för att du kommer att få en dekrypterare. PC-användare uppmuntras att säkerhetskopiera data minst två gånger i månaden och ignorera skräppostmeddelanden som kan leda till en säkerhetskompromiss. AV-företag stöder identifieringsregler för 'pausa@bitmessage.ch' Ransomware, men det finns ingen gratis dekrypterare tillgänglig vid skrivningstidpunkten.

Uppdatera 23 januari 2019 - 'waiting@bitmessage.ch' Ransomware

Ransomware 'waiting@bitmessage.ch' är en krypteringstrojan som är baserad på STOP Ransomware. Ransomware 'waiting@bitmessage.ch' rapporterades av komprometterade användare den 18 april 2018 och det verkar invadera datorer via skadade Microsoft Word-dokument. Ransomware '' waiting@bitmessage.ch '' spelas in för att kryptera foton, ljud, video och text på de infekterade datorerna. Tyvärr lade skadeförfattarna till ett kommando för att radera de ögonblicksbilder som Windows gör för att skydda dina data. Trojanen skriver över riktad data med filer som har tillägget '.WAITING' och kan inte öppnas med programvara på ditt system. Till exempel byts namn på "Hartmann-Like a River.mp3" till "Hartmann-Like a River.mp3.waiting" och ett lösenmeddelande släpps till skrivbordet. Ransomware 'waiting@bitmessage.ch' skriver '!!! INFO_RESTORE !!!. Txt' till skrivbordet och visar följande text:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .WAITING-tillägget är krypterade.
Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post waiting@bitmessage.ch skicka ett e-postmeddelande med din !!! INFO_RESTORE !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka 1-3 1-3 inte särskilt stora krypterade filer och vi skickar tillbaka dem i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[slumpmässiga tecken]
E-postadress för att kontakta oss:
waiting@bitmessage.ch
Boka e-postadress för att kontakta oss:
waiting@india.com '

Skadlig programvara stör inte säkerhetskopieringsverktyg från tredje part, och du bör kunna starta säkerhetskopior av data. Vi rekommenderar att du undviker interaktion med hotaktörerna via e-postadresserna 'waiting@bitmessage.ch' och 'waiting@india.com'. Du kanske är intresserad av att utforska filhanteringstjänster om du vill skydda dina säkerhetskopior av data mot nätverksöverförda cyberhot och de flesta Ransomware-varianter som 'waiting@bitmessage.ch' Ransomware.

Update 25 ^november, 2019 - .zobm och .rote Extensions

Säkerhetsforskare stötte på ett par nya varianter av STOP Ransomware den 24 november och 25 november 2019. Ransomware-varianterna bifogade de krypterade filerna med .zobm- och .rote-tillägg, men hade en identisk lösenord, namnet _readme.txt. E-postmeddelandena genom vilka hotaktörerna kunde nås var också desamma - datarestorehelp@firemail.cc och datahelp@iran.ir.

UPPMÄRKSAMHET!
Oroa dig inte, du kan returnera alla dina filer!
Alla dina filer som foton, databaser, dokument och annat viktigt är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier har du?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information.
Du kan hämta och titta på dekrypteringsverktyget för videoöversikt:
https://we.tl/t-4NWUGZxdHc
Priset på privat nyckel och dekrypteringsprogram är 980 dollar.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna, det är priset för dig 490 $.
Observera att du aldrig kommer att återställa dina data utan betalning.
Kontrollera din e-postmapp "Skräppost" eller "Skräp" om du inte får svar mer än 6 timmar.

För att få den här programvaran måste du skriva på vårt e-postmeddelande:
datarestorehelp@firemail.cc
Boka e-postadress för att kontakta oss:
datahelp@iran.ir
Ditt personliga ID:
[slumpmässiga tecken]

STOPP Ransomware 2019 och därefter

Senare under 2019 användes fortfarande STOP-ransomware och nya attackvektorer testades. STOP-ransomware började visas i buntar som innehåller andra former av skadlig kod, främst adware, som du kan hitta på webbplatser som hävdar att de är värd för spruckna körbara filer för spel och programvara. På det här sättet visade sig många av ransomwarens nya offer vara hoppfulla mjukvarupirater som letade efter vem som fick mer än de förhandlade om.

Det har också funnits bevis för att STOP-ransomware installerar trojans med lösenordsstjälare som kan skrapa olika inloggningsuppgifter.

Ransomware utvidgade också den långa listan över krypterade filtillägg som den använder. Filer krypterade av STOP-ransomware fick nu tilläggen .rumba och .tro. Hittills har lite annat förändrats - lösensedeln hittades fortfarande i en fil med namnet "_openme.txt", men lösenbeloppet stötte upp till $ 980, med en minskning till $ 490 om offret betalar inom de första 72 timmarna efter infektionen .

Uppdatering 24 mars 2020 - Nya varianter

Hotaktörerna bakom STOP Ransomware har arbetat lika outtröttligt 2020 som de gjorde 2019, med nya varianter som krypterade offrens filer och bifogade dem med en mängd nya tillägg. Några av de nya tilläggen av STOP Ransomware inkluderar .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd och .foop.

Ett urval av en lösensedel som följde med .lokd-varianten innehöll följande text:

UPPMÄRKSAMHET!

Oroa dig inte, du kan returnera alla dina filer!
Alla dina filer som foton, databaser, dokument och annat viktigt är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier har du?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information.
Du kan hämta och titta på dekrypteringsverktyget för videoöversikt:
https://we.tl/t7m8Wr997Sf
Priset på privat nyckel och dekrypteringsprogram är 980 dollar.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna, det är priset för dig 490 $.
Observera att du aldrig kommer att återställa dina data utan betalning.
Kontrollera din e-postmapp '' Skräppost '' eller '' Skräp '' om du inte får svar mer än 6 timmar.

För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpdatarestore@firemail.cc
Boka e-postadress för att kontakta oss:
helpmanager@mail.ch
Ditt personliga ID:
[slumpmässiga tecken]

Andra e-postmeddelanden som hotaktörerna har använt med dessa nya varianter inkluderar helpmanager@iran.ir och helpmanager@firemail.cc.

SpyHunter upptäcker och tar bort STOP Ransomware

STOP Ransomware skärmdumpar