STOP勒索软件

PC安全研究人员于2018年2月21日收到有关涉及勒索软件STOP勒索软件的威胁的勒索软件攻击的报告。STOP Ransomware基于开源勒索软件平台，并执行加密勒索软件攻击的典型版本。 STOP勒索软件是使用包含损坏的文件附件的垃圾邮件来分发的。这些文件附件采用带有嵌入式宏脚本的DOCX文件的形式，这些脚本将STOP Ransomware下载并安装到受害者的计算机上。学习如何识别网络钓鱼电子邮件并避免下载收到的任何未经请求的文件附件是避免这些攻击的方法之一。

如何识别STOP勒索软件感染

一旦将STOP Ransomware安装到受害者的计算机上，STOP Ransomware就会在受害者的驱动器中搜索各种文件类型，通常会寻找用户生成的文件，例如图像，媒体文件和许多其他文档类型。 STOP Ransomware似乎也针对目标Web服务器而设计，因为它查找通常包含在这些计算机中的数据库文件和类似文件类型。 STOP勒索软件将搜索并针对其攻击的文件类型包括：

.3dm，.3g2，.3gp，.7zip，.aaf，.accdb，.aep，.aepx，.aet，.ai，.aif，.as，.as3，.asf，.asp，.asx，.avi ，.bmp，.c，.class，.cpp，.cs，.csv，.dat，.db，.dbf，.doc，.docb，.docm，.docx，.dot，.dotm，.dotx 、. dwg，.dxf，.efx，.eps，.fla，.flv，.gif，.h，.idml，.iff，.indb，.indd，.indl，.indt，.inx，.jar，.java， .jpeg，.jpg，.js，.m3u，.m3u8，.m4u，.max，.mdb，.mid，.mkv，.mov，.mp3，.mp4，.mpa，.mpeg，.mpg，.msg ，.pdb，.pdf，.php，.plb，.pmd，.png，.pot，.potm，.potx，.ppam，.ppj，.pps，.ppsm，.ppsx，.ppt，.pptm 、. pptx，.prel，.prproj，.ps，.psd，.py，.ra，.rar，.raw，.rb，.rtf，.sdf，.sdf，.ses，.sldm，.sldx，.sql， .svg，.swf，.tif，.txt，.vcf，.vob，.wav，.wma，.wmv，.wpd，.wps，.xla，.xlam，.xll，.xlm，.xls，.xlsb ，.xlsm，.xlsx，.xlt，.xltm，.xltx，.xlw，.xml，.xqx，.xqx，.zip。

STOP勒索软件使用一种强大的加密算法来使每个受害者的文件都无法访问。 STOP Ransomware攻击将在其加密的文件中添加文件扩展名“ .SUSPENDED”，以标记受影响的文件。

STOP勒索软件的勒索笔记

STOP勒索软件通过向受害者的计算机提供赎金通知书要求赎金。该赎金记录以文本文件的形式显示在受害者桌面上。该文件名为'!!! YourDataRestore !!!。txt”，包含以下消息：

'您的所有重要文件均在此PC上加密。
所有扩展名为.STOP的文件均已加密. 加密是使用为此计算机生成的唯一私钥RSA-1024生成的。
要解密文件，您需要获取私钥+解密软件。
要检索私钥和解密软件，您需要通过电子邮件与我们联系stopfilesrestore@bitmessage.ch向我们发送电子邮件，您的!!! YourDataRestore !!!。txt文件，并等待进一步的说明。
为确保您可以解密我们的文件，您可以向我们发送1-3加密程度不高的文件，并以原始格式免费将其退还给我们。
如果您在72个小时内与我们联系，解密价格为600美元。
您的个人编号：
[随机字符]
与我们联系的电子邮件地址：
stopfilesrestoret@bitmessage.ch
保留电子邮件地址与我们联系：
stopfilesrestore@india.com'

STOP勒索软件的负责人要求在72小时内使用比特币向特定的比特币钱包地址支付600美元的赎金。但是，联系这些人或支付STOP Ransomware赎金可能不是最佳解决方案。

保护数据免受STOP勒索软件和其他勒索软件木马的侵害

防范STOP勒索软件和其他勒索软件木马的最佳保护是拥有文件备份。拥有文件备份副本的计算机用户可以在遭受攻击后轻松恢复这些文件，而不必诉诸赎金。推荐的安全程序还可以防止首先安装STOP勒索软件。

更新2018年12月6日—'helpshadow@india.com'勒索软件

“ helpshadow@india.com”勒索软件被归类为带有STOP Ransomware品牌的代码的较小更新。威胁作者似乎没有足够的时间来完善新变种，因为它的感染率很低。视音频供应商迅速使用了“ helpshadow@india.com”勒索软件，并且已经通过主要的社交平台和网络安全报告发布了警报。不幸的是，还没有免费解密的可能性。用户通常会通过电子邮件收到的损坏的文档而受到损害。已知该威胁会删除Windows创建的Shadow Volume快照，并将“ .shadow”扩展名附加到加密对象上。例如，“ C12-H22-O11.pptx”重命名为“ C12-H22-O11.pptx.shadow”，并且在桌面上出现了名为“！readme.txt”的赎金字样。 “ helpshadow@india.com”勒索软件可能会向受感染的用户显示以下消息：

'您的所有文件都已加密
不用担心，您可以返回所有文件！
您所有的文件文档，照片，数据库和其他重要文件均使用最强的加密和唯一密钥进行加密。
恢复文件的唯一方法是为您购买解密工具和唯一密钥。
该软件将解密您所有的加密文件。
我们为您提供什么保证？
您可以从PC发送加密文件之一，而我们将免费对其进行解密。
但是我们只能免费解密1个文件。文件中不得包含有价值的信息
不要尝试使用第三方解密工具，因为它会破坏您的文件。
如果您在72小时内与我们联系，可享受50％的折扣。
要获得此软件，您需要在我们的电子邮件中写信：
helpshadow@india.com
保留电子邮件地址与我们联系：
helpshadow@firemail.cc
您的个人ID：
[随机字符]

上面显示的文本供早于“ helpshadow@india.com”勒索软件发布的变体使用，唯一值得注意的变化是新的电子邮件配置. “ helpshadow@india.com”勒索软件以其中一个电子邮件联系人的名字命名，另一个以用户名相同但在不同电子邮件平台上的用户身份命名为“ helpshadow@firemail.cc”。在您收到本文时，这两个电子邮件帐户都可能被终止。考虑到勒索软件运营商使用代理，VPN服务和TOR网络来隐藏他们的控制设备，捕获在helpshadow@india.com勒索软件背后的人的机会并不大。因此，用户需要主动保护自己的数据。第一个步骤-在系统上安装备份程序；第二步-不要打开未知发件人的文件。请记住，将数据备份导出到可移动内存存储或文件托管服务。

更新2018年12月13日—“ .djvu文件扩展名”勒索软件

'.djvu文件扩展名'勒索软件是STOP Ransomware的新变体，已于2018年12月12日发布。计算机安全研究人员将'.djvu文件扩展名'勒索软件归类为STOP Ransomware和之前版本的一个小更新。警告该威胁仍主要通过垃圾邮件来分发。威胁参与者一直在使用启用宏的文档和伪造的PDF来诱骗用户静默安装程序。使用“ .djvu文件扩展名”勒索软件进行的攻击与2018年2月的第一波感染几乎相同。该威胁会删除Shadow Volume快照和连接到内存驱动器的映射，然后再加密用户数据。新的变体支持不同的文件扩展名，赎金记录略有更改。顾名思义，文件带有“ .djvu”后缀，并且类似“ Jonne-Kaiho.mp3”的名称被重命名为“ Jonne-Kaiho.mp3.djvu”。赎金记录可以在桌面上显示为“ _openme.txt”，并显示为：

'您的所有文件都已加密
不用担心，您可以返回所有文件！
您所有的文件文档，照片，数据库和其他重要文件均使用最强的加密和唯一密钥进行加密。
恢复文件的唯一方法是为您购买解密工具和唯一密钥。
该软件将解密您所有的加密文件。
我们为您提供什么保证？
您可以从PC发送加密文件之一，而我们将免费对其进行解密。
但是我们只能免费解密1个文件。文件中不得包含有价值的信息
不要尝试使用第三方解密工具，因为它会破坏您的文件。
如果您在72小时内与我们联系，可享受50％的折扣。
要获得此软件，您需要在我们的电子邮件中写信：
helpshadow@india.com

您的个人ID：
[随机字符]

威胁作者继续使用“ helpshadow@india.com”和“ helpshadow@firemail.cc”电子邮件帐户进行勒索软件活动。不要相信STOP Ransomware团队，请避免使用上述虚假的50％折扣。这里讨论的威胁参与者并不宽大处理。 PC用户应使用可信任的反恶意软件工具删除“ .djvu文件扩展名”勒索软件。最好使用备份映像和备份服务来恢复数据。

2019年1月11日更新—“ .tfude文件扩展名”勒索软件

'.tfude File Extension'勒索软件是STOP勒索软件的版本，它于2019年1月11日发布。该威胁被归类为与原始网络威胁相比具有最少修改的版本。 “ .tfude文件扩展名”勒索软件是以其损坏的代码中唯一值得注意的更改命名的. 该木马配置为将'.tfude'文件扩展名附加到加密数据。 “ .tfude文件扩展名”勒索软件继续使用标准加密技术和与Command服务器的安全连接，从而阻止安全专家为受到感染的用户提供免费解密。

当前的加密威胁使用了政府机构和Google Inc.等公司用来保护数据传输安全的加密技术。加密的文件在Windows资源管理器中显示为通用的白色图标，并且用户安装的程序仍然可以运行。但是，由于威胁会编码流行的数据库格式，因此某些数据库管理器可能无法正常工作。例如，“最近的sales.pdb”被重命名为“最近的sales.pdb.tfude”。勒索便笺从文件“ _openme.txt”加载到记事本中，该文件可以在桌面上找到。 “ .tfude File Extension”勒索软件提供与原始木马相同的消息，但这次威胁行动者正在使用“ pdfhelp@firemail.cc”电子邮件帐户与用户联系。用户没有免费的解密器，您将需要使用数据备份进行恢复。您将需要使用信誉良好的反恶意软件仪器运行完整的系统扫描，以清理受感染的设备。

2019年1月23日更新—'pausa@bitmessage.ch'勒索软件

“ pausa@bitmessage.ch”勒索软件是由STOP勒索软件生成器生成的文件编码器恶意软件。 “ pausa@bitmessage.ch”勒索软件已于2018年5月的第一周通过垃圾邮件发布给PC用户。快照阻碍恢复。众所周知，“ pausa@bitmessage.ch”勒索软件使用与其他成功的勒索软件（例如Cerber和Dharma）相同的加密技术。 “ pausa@bitmessage.ch”勒索软件经过编程，可从AppData目录下的Temp文件夹运行，并将安全的AES-256密码应用于文档，视频，音乐，数据库和电子书。编码后的数据以“ .PAUSA”为扩展名，“ Hartmann-Save me.mp3”之类的名称被重命名为“ Hartmann-Save me.mp3.pausa”。勒索通知将另存为“ !! RESTORE !!!。txt”到用户桌面，并显示为：

'您的所有重要文件均在此PC上加密。
所有扩展名为.PAUSA的文件都是加密的。
加密是使用为此计算机生成的唯一私钥RSA-1024生成的。
要解密文件，您需要获取私钥+解密软件。
要检索私钥和解密软件，您需要通过电子邮件与我们联系pausa@bitmessage.ch向我们发送您的!!! RESTORE !!!。txt文件，并等待进一步的说明。
为了确保您可以解密我们的文件-您可以向我们发送1-3个不是很大的加密文件，我们将以原始格式免费将其退还给您。
如果您在72个小时内与我们联系，解密价格为600美元。
您的个人编号：
[随机字符]
与我们联系的电子邮件地址：
pausa@bitmessage.ch
保留电子邮件地址与我们联系：
pausa@india.com'

我们建议您避免通过“ pausa@bitmessage.ch”和“ pausa@india.com”电子邮件帐户与威胁参与者进行谈判。借助著名的反恶意软件工具，引导数据备份和清理系统更加安全。即使您支付了600美元的荒唐赎金，也无法保证您将获得解密器。鼓励PC用户每月至少进行两次数据备份，并忽略可能导致安全性受损的垃圾邮件。. 视音频公司支持“ pausa@bitmessage.ch”勒索软件的检测规则，但是在编写本文时，没有免费的解密器可用。

2019年1月23日更新—'waiting@bitmessage.ch'勒索软件

“ waiting@bitmessage.ch”勒索软件是一种基于STOP勒索软件的加密木马。受感染的用户在2018年4月18日报告了``waiting@bitmessage.ch''勒索软件，它似乎已通过损坏的Microsoft Word文档入侵了计算机。记录了“ waiting@bitmessage.ch”勒索软件，以对受感染计算机上的照片，音频，视频和文本进行加密。不幸的是，恶意软件作者添加了一个命令，以删除Windows为保护您的数据而创建的卷快照。该特洛伊木马使用带有'.WAITING'扩展名且无法使用系统上的软件打开的文件覆盖目标数据。例如，将“ Hartmann-Like a River.mp3”重命名为“ Hartmann-River River.mp3.waiting”，然后将勒索消息放到桌面上。 “ waiting@bitmessage.ch”勒索软件将“ !!! INFO_RESTORE !!!。txt”写入桌面，并显示以下文本：

'您的所有重要文件均在此PC上加密。
所有扩展名为.WAITING的文件都是加密的。
加密是使用为此计算机生成的唯一私钥RSA-1024生成的。
要解密文件，您需要获取私钥+解密软件。
要检索私钥和解密软件，您需要通过电子邮件waiting@bitmessage.ch与我们联系。向我们发送您的!!! INFO_RESTORE !!!。txt文件，并等待进一步的说明。
为了确保您可以解密我们的文件-您可以向我们发送1-3个不是很大的加密文件，我们将以原始格式免费将其退还给您。
如果您在72个小时内与我们联系，解密价格为600美元。
您的个人编号：
[随机字符]
与我们联系的电子邮件地址：
等待@ bitmessage.ch
保留电子邮件地址与我们联系：
等待@ india.com'

该恶意软件不会干扰第三方备份工具，因此您应该能够启动数据备份。建议避免通过“ waiting@bitmessage.ch”和“ waiting@india.com”电子邮件地址与威胁参与者进行互动。如果您希望保护数据备份免受网络传输的网络威胁和大多数Ransomware变种（如“ waiting@bitmessage.ch” Ransomware）的侵害，则可能对探索文件托管服务感兴趣。

在2019年及以后停止勒索软件

在2019年晚些时候，STOP勒索软件仍在使用中，并且正在测试新的攻击媒介。 STOP勒索软件开始出现在包含其他形式恶意软件（主要是广告软件）的捆绑软件中，您可以在声称托管有游戏和软件的破解可执行文件的网站上找到这些捆绑软件。这样，许多勒索软件的新受害者被证明是充满希望的软件盗版者，他们寻找的是讨价还价者。

也有证据表明，STOP勒索软件正在安装密码窃取木马，这些木马能够抓取各种登录凭据。

勒索软件还扩展了它使用的加密文件扩展名的长长列表。通过STOP勒索软件加密的文件现在具有.rumba和.tro扩展名。到目前为止，几乎没有什么变化-赎金记录仍在名为“ _openme.txt”的文件中找到，但赎金总额增加到980美元，如果受害人在感染后的前72小时内付款，则赎金减少到490美元。

SpyHunter 检测并删除 STOP勒索软件

STOP勒索软件 截图

分析报告

一般信息

Family Name:	STOP/DJVU Ransomware
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: def8a7bfe5fe47d95a95085d8dbc7a53 SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6 SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192 文件大小: 6.29 MB, 6292105 bytes

MD5: a6b8c0cb178c31dd347554c3e5a0d5f8 SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C 文件大小: 3.47 MB, 3471869 bytes

MD5: 2336c9624d9a44c393d354206226f508 SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190 SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0 文件大小: 1.36 MB, 1359918 bytes

MD5: 42f32aa699bc45a3638ddeb325ebebc1 SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8 SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4 文件大小: 1.33 MB, 1328186 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have relocations information
• File doesn't have security information
• File has exports table
• File has TLS information
• File is 32-bit executable
• File is either console or GUI application
• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)

Show More

• File is Native application (NOT .NET application)
• File is not packed
• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

Windows PE Version Information

i

Windows PE Version Information

This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.

姓名	价值
Comments	This installation was built with Inno Setup.
Company Name	Alexander Roshal WinTools Software Engineering, Ltd.
File Description	Gestione archivi WinRAR RAM Saver Professional
File Version	26.0.1 25.7.1 6.20.2 1.00
Internal Name	TJprojMain WinRAR
Legal Copyright	Copyright © Alexander Roshal 1993-2022
Original Filename	TJprojMain.exe WinRAR.exe
Product Name	Project1 RAM Saver 25.7.1 Professional RAM Saver 26.0.1 Professional WinRAR
Product Version	26.0.1 25.7.1 6.20.2 1.00

File Traits

• 2+ executable sections
• big overlay
• HighEntropy
• Installer Manifest
• No Version Info
• RAR (In Overlay)
• RARinO
• SusSec
• vb6
• WinRAR SFX

Show More

• WRARSFX
• x86

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Other Suspicious	SetWindowsHookEx
Anti Debug	IsDebuggerPresent
User Data Access	GetUserObjectInformation
Process Manipulation Evasion	NtUnmapViewOfSection
Process Shell Execute	CreateProcess
Keyboard Access	GetKeyState

Shell Command Execution

i

Shell Command Execution

This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.

"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"

"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"