Fidye Yazılımını DURDUR
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
| Popularity Rank: | 3,003 |
| Tehlike seviyesi: | 100 % (Yüksek) |
| Etkilenen Bilgisayarlar: | 363,455 |
| İlk görüş: | November 29, 2018 |
| Son görülen: | January 28, 2026 |
| Etkilenen İşletim Sistemleri: | Windows |
PC güvenlik araştırmacıları, 21 Şubat 2018'de STOP Ransomware olarak bilinen bir tehdidi içeren fidye yazılımı saldırılarına ilişkin raporlar aldı. STOP Ransomware, açık kaynaklı bir fidye yazılımı platformuna dayanır ve şifreleme fidye yazılımı saldırısının tipik bir sürümünü gerçekleştirir. STOP Fidye Yazılımı, bozuk dosya ekleri içeren istenmeyen e-posta iletileri kullanılarak dağıtılır. Bu dosya ekleri, STOP Fidye Yazılımını kurbanın bilgisayarına indiren ve yükleyen gömülü makro komut dosyalarına sahip DOCX dosyaları biçimini alır. Kimlik avı e-postalarının nasıl tanınacağını öğrenmek ve alınan istenmeyen dosya eklerini indirmekten kaçınmak, bu saldırılardan kaçınmanın yollarından biridir.
İçindekiler
DUR Fidye Yazılımı Enfeksiyonu Nasıl Tespit Edilir
STOP Fidye Yazılımı kurbanın bilgisayarına yüklendikten sonra, STOP Fidye Yazılımı kurbanın sürücülerinde çok çeşitli dosya türleri için arama yapar ve genellikle görüntüler, medya dosyaları ve çok sayıda başka belge türü gibi kullanıcı tarafından oluşturulan dosyaları arar. STOP Ransomware, genellikle bu makinelerde açıkça bulunan veritabanı dosyalarını ve benzer dosya türlerini aradığından, Web sunucularını hedef alacak şekilde tasarlanmış gibi görünüyor. STOP Ransomware'in saldırısında arayacağı ve hedef alacağı dosya türleri şunları içerir:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
Kötü Amaçlı Yazılım Bölüm 10'da Bu Hafta: DUR & Zorab Fidye Yazılımı, Fake Decryptor ile Kurbanları Sömürüyor
STOP Fidye Yazılımı, kurbanın dosyalarının her birine erişilemez hale getirmek için güçlü bir şifreleme algoritması kullanır. Fidye Yazılımını DURDUR saldırısı, etkilenen dosyaları işaretlemenin bir yolu olarak şifrelediği dosyalara '.SUSPENDED' dosya uzantısını ekler.
STOP Ransomware’in Fidye Notu
STOP Fidye Yazılımı, kurbanın bilgisayarına bir fidye notu göndererek bir fidye ödemesi talep eder. Bu fidye notu, kurbanın masaüstüne bırakılan bir metin dosyasında görüntülenir. Dosya '!!! YourDataRestore !!!.txt,' şu mesajı içerir:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.STOP uzantılı tüm dosyalar şifrelenir. Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, stopfilesrestore@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!YourDataRestore!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli bir 1-3 bize gönderebilir, orijinal bir biçimde ÜCRETSİZ olarak geri gönderebilirsiniz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[RANDOM KARAKTERLER]
Bize ulaşmak için e-posta adresi:
stopfilesrestoret@bitmessage.ch
Bize ulaşmak için e-posta adresini rezerve edin:
stopfilesrestore@india.com'
STOP Fidye Yazılımından sorumlu kişiler, Bitcoin kullanılarak belirli bir Bitcoin cüzdan adresine ve 72 saat içinde ödenmek üzere 600 USD fidye ödemesi talep ediyor. Ancak, bu kişilerle iletişime geçmek veya Fidye Yazılımı DURDUR fidyesini ödemek en iyi çözüm olmayabilir.
Verilerinizi STOP Fidye Yazılımlarından ve Diğer Fidye Yazılım Truva Atlarından Koruma
DUR Fidye Yazılımına ve diğer fidye yazılımı Truva Atlarına karşı en iyi koruma, dosya yedeklemelerine sahip olmaktır. Dosyalarının yedek kopyalarına sahip bilgisayar kullanıcıları, bir saldırıdan sonra fidye ödemeye başvurmadan bu dosyaları kolayca kurtarabilirler. Önerilen bir güvenlik programı, aynı zamanda, Fidye Yazılımını DURDUR'un ilk etapta yüklenmesini de önleyebilir.
6 Aralık 2018 Güncellemesi — 'helpshadow@india.com' Fidye Yazılımı
'helpshadow@india.com' Fidye Yazılımı, STOP Ransomware markasını taşıyan kod için nispeten küçük bir güncelleme olarak sınıflandırılmıştır. Tehdit yazarları, düşük bir enfeksiyon oranı elde ettiği için yeni varyantı cilalamak için yeterli zaman ayırmamış görünüyor. 'helpshadow@india.com' Fidye Yazılımı, AV satıcıları tarafından hızla alındı ve büyük sosyal platformlar ve siber güvenlik raporları aracılığıyla uyarılar yayınlandı. Ne yazık ki, henüz ücretsiz şifre çözme imkanı yoktur. Kullanıcılar genellikle e-posta ile alınan bozuk bir belge aracılığıyla tehlikeye girer. Tehdidin, Windows tarafından oluşturulan Gölge Birimi anlık görüntülerini sildiği ve şifrelenmiş nesnelere '.shadow' uzantısını eklediği bilinmektedir. Örneğin, 'C12-H22-O11.pptx', 'C12-H22-O11.pptx.shadow' olarak yeniden adlandırılır ve masaüstünde '!readme.txt' adlı bir fidye notu görünür. 'helpshadow@india.com' Fidye Yazılımının, virüslü kullanıcılara aşağıdaki mesajı göstermesi muhtemeldir:
'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc
Kişisel kimliğiniz:
[rastgele karakterler]'
Yukarıda gösterilen metin, 'helpshadow@india.com' Fidye Yazılımından daha önce yayınlanan varyantlar tarafından kullanılmaktadır ve kayda değer tek değişiklik, yeni e-posta yapılandırmasıdır. 'helpshadow@india.com' Fidye Yazılımı, e-posta bağlantılarından birinin adını alır ve diğeri, kullanıcıları aynı kullanıcı adına ancak farklı bir e-posta platformuna yönlendirir - 'helpshadow@firemail.cc'. Bu makale size ulaşana kadar her iki e-posta hesabının da feshedilmesi muhtemeldir. Fidye yazılımı operatörlerinin kontrol cihazlarını gizlemek için proxy'ler, VPN hizmetleri ve TOR Ağı kullandığı düşünüldüğünde, helpshadow@india.com'un Fidye Yazılımının arkasındaki kişiyi yakalama şansı çok yüksek değil. Bu nedenle, kullanıcıların verilerini savunmada proaktif olmaları gerekir. Birinci adım — sisteminize bir yedekleme programı kurun; ikinci adım — bilinmeyen göndericilerden gelen dosyaları açmayın. Veri yedeklerinizi çıkarılabilir bir bellek deposuna veya bir dosya barındırma hizmetine aktarmayı unutmayın.
13 Aralık 2018 Güncellemesi — '.djvu Dosya Uzantısı' Fidye Yazılımı
'.djvu Dosya Uzantısı' Fidye Yazılımı, 12 Aralık 2018'de bildirilen STOP Fidye Yazılımının yeni bir çeşididir. Bilgisayar güvenlik araştırmacıları, '.djvu Dosya Uzantısı' Fidye Yazılımını STOP Fidye Yazılımının önceki sürümlerine yönelik küçük bir güncelleme olarak sınıflandırır ve tehdidin öncelikle spam e-postalar yoluyla dağıtıldığı konusunda uyarın. Tehdit aktörleri, kullanıcıları programlarını sessizce yüklemeleri için kandırmak için makro özellikli belgeler ve sahte PDF'ler kullanıyor. '.djvu Dosya Uzantısı' Fidye Yazılımına yönelik saldırılar, Şubat 2018'deki ilk enfeksiyon dalgasıyla neredeyse aynı. Tehdit, kullanıcının verilerini şifrelemeden önce Gölge Birimi anlık görüntülerini ve bellek sürücülerine bağlı haritaları siler. Yeni varyant, farklı bir dosya uzantısını destekler ve fidye notu biraz değiştirilir. Adından da anlaşılacağı gibi, dosyalar '.djvu' son ekini alır ve 'Jonne-Kaiho.mp3' gibi bir şey 'Jonne-Kaiho.mp3.djvu' olarak yeniden adlandırılır. Fidye notu masaüstünde '_openme.txt' olarak görülebilir ve şöyledir:
'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc
Kişisel kimliğiniz:
[rastgele karakterler]'
Tehdit yazarları, fidye yazılımı kampanyaları için 'helpshadow@india.com' ve 'helpshadow@firemail.cc' e-posta hesaplarını kullanmaya devam ediyor. STOP Ransomware ekibine güvenmeyin ve yukarıda bahsedilen sahte %50 indirimi kullanmaktan kaçının. Burada tartışılan tehdit aktörleri, hoşgörüleriyle tanınmazlar. PC kullanıcıları, güvenilir bir kötü amaçlı yazılımdan koruma aracı kullanarak '.djvu Dosya Uzantısı' Fidye Yazılımını kaldırmalıdır. Verilerinizi kurtarmak için yedek imajları ve yedekleme hizmetlerini kullanmak en iyisidir.
11 Ocak 2019 Güncellemesi — '.tfude Dosya Uzantısı' Fidye Yazılımı
'.tfude Dosya Uzantısı' Fidye Yazılımı, 11 Ocak 2019'da çıkan STOP Fidye Yazılımının bir sürümüdür. Tehdit, orijinal siber tehdide kıyasla minimum değişiklik gösteren bir sürüm olarak sınıflandırılır. '.tfude Dosya Uzantısı' Fidye Yazılımı, bozuk kodundaki tek dikkate değer değişiklikten sonra adlandırılmıştır. Truva atı, '.tfude' dosya uzantısını şifrelenmiş verilere ekleyecek şekilde yapılandırılmıştır. '.tfude Dosya Uzantısı' Fidye Yazılımı, güvenlik uzmanlarının güvenliği ihlal edilmiş kullanıcılara ücretsiz şifre çözme sunmasını engelleyen standart şifreleme teknolojilerini ve Komut sunucularına güvenli bağlantılar kullanmaya devam ediyor.
Eldeki kripto tehdidi, devlet kurumlarının ve Google Inc. gibi şirketlerin veri iletimlerini güvence altına almak için kullandığı şifreleme teknolojilerini kullanır. Şifrelenmiş dosyalar, Windows gezgininde genel beyaz simgeler olarak görüntülenir ve kullanıcının yüklediği programlar işlevsel kalır. Ancak, tehdit popüler veritabanı biçimlerini kodladığı için bazı veritabanı yöneticileri düzgün çalışmayabilir. Örneğin, 'Son satışlar.pdb', 'Son satışlar.pdb.tfude' olarak yeniden adlandırılmıştır. Fidye notu, masaüstünde bulunabilen '_openme.txt' dosyasından Not Defteri'ne yüklenir. '.tfude Dosya Uzantısı' Fidye Yazılımı, orijinal Truva Atı ile aynı mesajı sunar, ancak bu sefer tehdit aktörleri, kullanıcılara ulaşmak için 'pdfhelp@firemail.cc' e-posta hesabını kullanıyor. Kullanıcılar için ücretsiz bir şifre çözücü yoktur ve kurtarmak için veri yedeklemelerini kullanmanız gerekecektir. Saygın bir kötü amaçlı yazılımdan koruma aracıyla tam bir sistem taraması yaparak virüslü cihazları temizlemeniz gerekecektir.
23 Ocak 2019 Güncellemesi — 'pausa@bitmessage.ch' Fidye Yazılımı
'pausa@bitmessage.ch' Fidye Yazılımı, STOP Ransomware Builder ile üretilen bir dosya kodlayıcı kötü amaçlı yazılımdır. 'pausa@bitmessage.ch' Fidye Yazılımı, Mayıs 2018'in ilk haftasında istenmeyen e-postalar aracılığıyla PC kullanıcılarına sunuldu. 'pausa@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki verilerin üzerine yazan ve hacmi silen genel bir şifreleme Truva Atı olarak algılanır. kurtarmayı engellemek için anlık görüntüler. 'pausa@bitmessage.ch' Fidye Yazılımının Cerber ve Dharma gibi diğer başarılı Fidye Yazılımlarıyla aynı şifreleme teknolojilerini kullandığı bilinmektedir. 'pausa@bitmessage.ch' Fidye Yazılımı, AppData dizini altındaki Temp klasöründen çalışacak ve belgelere, videoya, müziğe, veritabanlarına ve e-kitaplara güvenli bir AES-256 şifresi uygulayacak şekilde programlanmıştır. Kodlanmış veriler '.PAUSA' uzantısını alır ve 'Hartmann-Save me.mp3' gibi bir şeyin adı 'Hartmann-Save me.mp3.pausa' olarak değiştirilir. Fidye bildirimi, kullanıcının masaüstüne '!!RESTORE!!!.txt' olarak kaydedilir ve şunları okur:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.PAUSA uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, pausa@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
pausa@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
pausa@india.com'
'pausa@bitmessage.ch' ve 'pausa@india.com' e-posta hesapları aracılığıyla tehdit aktörleriyle pazarlık yapmaktan kaçınmanızı öneririz. Saygın bir kötü amaçlı yazılımdan koruma aracının yardımıyla veri yedeklemelerini başlatmak ve sisteminizi temizlemek daha güvenlidir. 600 dolarlık saçma fidyeyi ödeseniz bile, bir şifre çözücü alacağınızın garantisi yoktur. PC kullanıcılarının ayda en az iki kez veri yedeklemesi yapmaları ve güvenlikten ödün verilmesine yol açabilecek istenmeyen iletileri görmezden gelmeleri önerilir. AV şirketleri, 'pausa@bitmessage.ch' Fidye Yazılımı için algılama kurallarını destekler, ancak bu yazının yazıldığı sırada ücretsiz bir şifre çözücü mevcut değildir.
23 Ocak 2019 Güncellemesi — 'waiting@bitmessage.ch' Fidye Yazılımı
'waiting@bitmessage.ch' Fidye Yazılımı, STOP Fidye Yazılımına dayalı bir şifreleme Truva Atı'dır. 'waiting@bitmessage.ch' Fidye Yazılımı, güvenliği ihlal edilmiş kullanıcılar tarafından 18 Nisan 2018'de bildirildi ve bilgisayarları bozuk Microsoft Word belgeleri aracılığıyla istila ediyor gibi görünüyor. 'waiting@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki fotoğrafları, sesleri, videoları ve metinleri şifrelemek için kaydedilir. Ne yazık ki, kötü amaçlı yazılım yazarları, Windows'un verilerinizi korumak için yaptığı birim anlık görüntülerini silmek için bir komut ekledi. Truva Atı, hedeflenen verilerin üzerine '.WAITING' uzantısını taşıyan ve sisteminizde yazılımla açılamayan dosyalarla yazar. Örneğin, 'Hartmann-Like a River.mp3', 'Hartmann-Like a River.mp3.waiting' olarak yeniden adlandırılır ve masaüstünüze bir fidye mesajı düşer. 'waiting@bitmessage.ch' Fidye Yazılımı masaüstüne '!!!INFO_RESTORE!!!.txt' yazar ve aşağıdaki metni gösterir:
'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.WAITING uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, wait@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!INFO_RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
bekliyor@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
bekliyor@india.com'
Kötü amaçlı yazılım, üçüncü taraf yedekleme araçlarına müdahale etmez ve veri yedeklemelerini önyükleyebilmeniz gerekir. 'waiting@bitmessage.ch' ve 'waiting@india.com' e-posta adresleri aracılığıyla tehdit aktörleriyle etkileşimden kaçınılması önerilir. Veri yedeklemelerinizi ağdan bulaşan siber tehditlere ve 'waiting@bitmessage.ch' Fidye Yazılımı gibi çoğu Fidye Yazılımı türevine karşı korumak istiyorsanız, dosya barındırma hizmetlerini keşfetmek ilginizi çekebilir.
Güncelleme 25 Kasım inci 2019 - .zobm ve .rote Uzantıları
Güvenlik araştırmacıları, 24 Kasım ve 25 Kasım 2019'da STOP Ransomware'in birkaç yeni çeşidiyle karşılaştı. Fidye yazılımı çeşitleri, .zobm ve .rote uzantılı şifrelenmiş dosyalar ekledi, ancak _readme.txt adlı aynı bir fidye notuna sahipti. Tehdit aktörlerine ulaşılabilecek e-postalar da aynıydı – datarestorehelp@firemail.cc ve datahelp@iran.ir.
DİKKAT!
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t-4NWUGZxdHc
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla yanıt alamazsanız, e-postanızın "Spam" veya "Önemsiz" klasörünü kontrol edin.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
datarestorehelp@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
datahelp@iran.ir
Kişisel kimliğiniz:
[rastgele karakterler]
2019 ve Ötesinde Fidye Yazılımlarını DURDURUN
2019 yılının sonlarında, STOP fidye yazılımı hala kullanılıyor ve yeni saldırı vektörleri test ediliyordu. STOP fidye yazılımı, oyunlar ve yazılımlar için kırılmış yürütülebilir dosyaları barındırdığını iddia eden web sitelerinde bulabileceğiniz, başta reklam yazılımı olmak üzere diğer kötü amaçlı yazılım türlerini içeren paketler halinde görünmeye başladı. Bu şekilde, fidye yazılımının yeni kurbanlarının çoğu, kimin umduklarından fazlasını elde ettiğini arayan umutlu yazılım korsanları olduğu ortaya çıktı.
Ayrıca, STOP fidye yazılımının, çeşitli oturum açma kimlik bilgilerini sıyırabilen parola çalan Truva atları yüklediğine dair kanıtlar da var.
Fidye yazılımı, kullandığı şifreli dosya uzantılarının uzun listesini de genişletti. STOP fidye yazılımı tarafından şifrelenen dosyalar artık .rumba ve .tro uzantılarını aldı. Şimdiye kadar çok az şey değişti - fidye notu hala "_openme.txt" adlı bir dosyada bulundu, ancak fidye tutarı 980 dolara çıktı ve kurban enfeksiyondan sonraki ilk 72 saat içinde ödeme yaparsa 490 dolara düştü .
24 Mart 2020 Güncellemesi – Yeni Varyantlar
STOP Fidye Yazılımının arkasındaki tehdit aktörleri, 2019'da olduğu gibi 2020'de de, kurbanların dosyalarını şifreleyen ve bunlara çeşitli yeni uzantılar ekleyen yeni varyantlarla yorulmadan çalışıyorlar. STOP Ransomware'in yeni uzantılarından bazıları .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd ve .foop'u içerir.
.lokd varyantıyla birlikte gelen bir fidye notu örneği aşağıdaki metni içeriyordu:
DİKKAT!
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t7m8Wr997Sf
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla cevap alamazsanız, e-postanızın ''Spam'' veya ''Önemsiz'' klasörünü kontrol ediniz.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpdatarestore@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpmanager@mail.ch
Kişisel kimliğiniz:
[rastgele karakterler]
Tehdit aktörlerinin bu yeni varyantlarla birlikte kullandığı diğer e-postalar helpmanager@iran.ir ve helpmanager@firemail.cc'dir.
SpyHunter Fidye Yazılımını DURDUR'u Algılar ve Kaldırır
Fidye Yazılımını DURDUR Ekran Görüntüsü
Dosya Sistemi Detayları
| # | Dosya adı | MD5 |
Tespitler
Tespitler: SpyHunter tarafından bildirildiği üzere, virüs bulaşmış bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
|
|---|---|---|---|
| 1. | BB30.exe | f8ef98bbaff6ac82dacde20ee90bfa55 | 4,207 |
| 2. | 5F1F.exe | b5b59a34192343da2c0fc84fb3bb6b2e | 3,154 |
| 3. | 3ffa.exe | a0192bd5d8164e61819890e908fa0e7d | 1,890 |
| 4. | 97DE.tmp.exe | 4e8f1415dd3366f81fa3960db4cf70f9 | 1,772 |
| 5. | 1368.tmp.exe | 8cebee5086592386fa86f3ee5bacc0d2 | 1,647 |
| 6. | 9686685955.exe | 5c71f8c3bb000d163fc2e63c089b35a1 | 1,631 |
| 7. | a395.tmp.exe | 536f955ae69e666b44aac54c7619b9b1 | 1,589 |
| 8. | 3823.TMP.EXE.WPT | d4fceee0f4fe0f1b50a5c957eab5151b | 1,500 |
| 9. | 512B.tmp.exe | 89b1b4f3f6ec190865abaa7f61046ee5 | 1,255 |
| 10. | 3344.exe | 6a4d9e0ad2a5361dd947537182f5692d | 1,240 |
| 11. | d5e2.tmp.exe | 4c1b9a14dda6a74b7abff708758d98f6 | 1,038 |
| 12. | B117.tmp.exe | 283bf952e656763a94626cac01d7bc85 | 979 |
| 13. | 25b9.tmp.exe | 9bd737b220a4040dbcaf17f48be54a98 | 825 |
| 14. | 3A93.tmp.exe | d5995275a4d96672ed08cc6188143a7a | 773 |
| 15. | 2c6b.tmp.exe | ac2dffb783aed99d77ecc2006a29d971 | 744 |
| 16. | 618.tmp.exe | 99ba307185c56cfb6d9ea965fcfef083 | 719 |
| 17. | 160f.tmp.exe | 3a1a3c4b4b3de474b574f48198d6e41e | 647 |
| 18. | 1df7.tmp.exe | ad5a82caee53510fafcdfcddfa74daae | 54 |
| 19. | 5cd3.tmp.exe | 1569c3b648b4c63ae39ddc2d2d91b7d5 | 14 |
| 20. | e5cb.tmp.exe | 031ff93d3e55a84f475cf0b563fe7f65 | 14 |
| 21. | 5dcc.tmp.exe | e3b973420daf30a4180f60337a2eaf90 | 14 |
| 22. | 6fa4.tmp.exe | 67e8f528b4db3443a74718443a2fc788 | 12 |
| 23. | cc0.tmp.exe | 0564489cff6c549ca82b7a470b305346 | 11 |
| 24. | c11d.tmp.exe | a0eb1e740d92c51576ed117d8b6de3c5 | 11 |
| 25. | ransomware.exe | fdc340769c3ca364f6cc7ca1be99762b | 0 |
Kayıt defteri detayları
dizinler
Fidye Yazılımını DURDUR, aşağıdaki dizini veya dizinleri oluşturabilir:
| %ALLUSERSPROFILE%\tzjajmmqgl |
| %PROGRAMFILES%\3DMarkproed |
| %PROGRAMFILES%\3DMarkproediot |
| %PROGRAMFILES%\3DMarkproedit |
| %PROGRAMFILES%\3Dmarkproa |
| %PROGRAMFILES%\Blubnerg |
| %PROGRAMFILES%\Cry\Cryp |
| %PROGRAMFILES%\Davai |
| %PROGRAMFILES%\Glary\Utilities\Settings |
| %PROGRAMFILES%\Hyps |
| %PROGRAMFILES%\Innovativ\ddd |
| %PROGRAMFILES%\Ivp\bin |
| %PROGRAMFILES%\Laertseer |
| %PROGRAMFILES%\Lawer\Xor |
| %PROGRAMFILES%\Marg\Cr |
| %PROGRAMFILES%\Mup\Cr |
| %PROGRAMFILES%\Opute |
| %PROGRAMFILES%\Rondom |
| %PROGRAMFILES%\Sir\Air |
| %PROGRAMFILES%\Tryhd |
| %PROGRAMFILES%\cedfs |
| %PROGRAMFILES%\chrum\xon\note |
| %PROGRAMFILES%\company\3dmarkssdf |
| %PROGRAMFILES%\company\64Product |
| %PROGRAMFILES%\crights\file\xml |
| %PROGRAMFILES%\cryptoss |
| %PROGRAMFILES%\crys\cry |
| %PROGRAMFILES%\crysp\cryq |
| %PROGRAMFILES%\der\supr |
| %PROGRAMFILES%\dera\kii |
| %PROGRAMFILES%\ferr\seda\sx\bin |
| %PROGRAMFILES%\hop |
| %PROGRAMFILES%\inner\win\bin |
| %PROGRAMFILES%\krontal |
| %PROGRAMFILES%\laert |
| %PROGRAMFILES%\laerts |
| %PROGRAMFILES%\lass\inst |
| %PROGRAMFILES%\lastpass\bur\tronfiles |
| %PROGRAMFILES%\lawop |
| %PROGRAMFILES%\lawops |
| %PROGRAMFILES%\margin\marg |
| %PROGRAMFILES%\opur |
| %PROGRAMFILES%\sccsd |
| %PROGRAMFILES%\sir\xd |
| %PROGRAMFILES%\virtka |
| %PROGRAMFILES%\xery |
| %PROGRAMFILES%\youtubedown |
| %PROGRAMFILES(x86)%\3DMarkproed |
| %PROGRAMFILES(x86)%\3DMarkproediot |
| %PROGRAMFILES(x86)%\3DMarkproedit |
| %PROGRAMFILES(x86)%\3Dmarkproa |
| %PROGRAMFILES(x86)%\Blubnerg |
| %PROGRAMFILES(x86)%\Cry\Cryp |
| %PROGRAMFILES(x86)%\Davai |
| %PROGRAMFILES(x86)%\Hyps |
| %PROGRAMFILES(x86)%\Innovativ\ddd |
| %PROGRAMFILES(x86)%\Laertseer |
| %PROGRAMFILES(x86)%\Lawer\Xor |
| %PROGRAMFILES(x86)%\Marg\Cr |
| %PROGRAMFILES(x86)%\Mup\Cr |
| %PROGRAMFILES(x86)%\Opute |
| %PROGRAMFILES(x86)%\Rondom |
| %PROGRAMFILES(x86)%\Sir\Air |
| %PROGRAMFILES(x86)%\Tryhd |
| %PROGRAMFILES(x86)%\cedfs |
| %PROGRAMFILES(x86)%\chrum\xon\note |
| %PROGRAMFILES(x86)%\company\3dmarkssdf |
| %PROGRAMFILES(x86)%\company\64Product |
| %PROGRAMFILES(x86)%\crights\file\xml |
| %PROGRAMFILES(x86)%\cryptoss |
| %PROGRAMFILES(x86)%\crys\cry |
| %PROGRAMFILES(x86)%\crysp\cryq |
| %PROGRAMFILES(x86)%\der\supr |
| %PROGRAMFILES(x86)%\dera\kii |
| %PROGRAMFILES(x86)%\ferr\seda\sx\bin |
| %PROGRAMFILES(x86)%\hop |
| %PROGRAMFILES(x86)%\inner\win\bin |
| %PROGRAMFILES(x86)%\krontal |
| %PROGRAMFILES(x86)%\laert |
| %PROGRAMFILES(x86)%\laerts |
| %PROGRAMFILES(x86)%\lass\inst |
| %PROGRAMFILES(x86)%\lastpass\bur\tronfiles |
| %PROGRAMFILES(x86)%\lawop |
| %PROGRAMFILES(x86)%\lawops |
| %PROGRAMFILES(x86)%\margin\marg |
| %PROGRAMFILES(x86)%\opur |
| %PROGRAMFILES(x86)%\sccsd |
| %PROGRAMFILES(x86)%\sir\xd |
| %PROGRAMFILES(x86)%\virtka |
| %PROGRAMFILES(x86)%\xery |
| %PROGRAMFILES(x86)%\youtubedown |
| %ProgramFiles%\kiss\me |
| %ProgramFiles%\mroz\new\trunk |
| %ProgramFiles(x86)%\kiss\me |
| %ProgramFiles(x86)%\mroz\new\trunk |
Analiz raporu
Genel bilgi
| Family Name: | STOP/DJVU Ransomware |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
def8a7bfe5fe47d95a95085d8dbc7a53
SHA1:
7182d4b2f55a560d83edf0824e119f71fa8422b6
SHA256:
B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192
Dosya boyutu:
6.29 MB, 6292105 bytes
|
|
MD5:
a6b8c0cb178c31dd347554c3e5a0d5f8
SHA1:
91864f269d696ee80869cfeb3c9a204f8031a3bb
SHA256:
4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C
Dosya boyutu:
3.47 MB, 3471869 bytes
|
|
MD5:
2336c9624d9a44c393d354206226f508
SHA1:
ea7edc388ad62990f52b9ed40df26d20f4e20190
SHA256:
CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0
Dosya boyutu:
1.36 MB, 1359918 bytes
|
|
MD5:
42f32aa699bc45a3638ddeb325ebebc1
SHA1:
508cea3ba2bf04cc6851295f92bf0e752071f6b8
SHA256:
16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4
Dosya boyutu:
1.33 MB, 1328186 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have security information
- File has exports table
- File has TLS information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
Show More
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| isim | Değer |
|---|---|
| Comments | This installation was built with Inno Setup. |
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright | Copyright © Alexander Roshal 1993-2022 |
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- 2+ executable sections
- big overlay
- HighEntropy
- Installer Manifest
- No Version Info
- RAR (In Overlay)
- RARinO
- SusSec
- vb6
- WinRAR SFX
Show More
- WRARSFX
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp | Generic Read,Write Data,Write Attributes,Write extended,Append data |
| c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp | Generic Read,Write Data,Write Attributes,Write extended,Append data |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Other Suspicious |
|
| Anti Debug |
|
| User Data Access |
|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| Keyboard Access |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"
|
"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"
|
