停止Djvu勒索軟件

Ransomware 年GoldSparrow年

翻譯為：

STOP勒索軟件家族（也稱為STOP Djvu Ransomware家族）是一種威脅很大的惡意軟件。儘管STOP Djvu的某些影響文件類型和加密文件擴展名的方法有所不同，但它們只是具有共同特徵並起源於STOP勒索軟件的多種威脅之一。

最初的STOP Ransomware早在2018年2月就被安全研究人員發現。但是，從那時起，它就得到了發展，其克隆和分支產品家族也不斷增加。分發STOP勒索軟件的主要方法是使用損壞的附件發送垃圾郵件活動。

STOP Djvu勒索軟件的執行方式類似於同類的其他勒索軟件威脅，對用戶可能在其係統中使用的關鍵文件進行加密和阻止訪問。可以對個人文件，圖片，文檔等進行加密，並且基本上禁止計算機上的所有用戶使用。 STOP Djvu勒索軟件最初於2018年12月被發現，這似乎是一個非常成功的在線感染活動。研究人員並未意識到勒索軟件的傳播方式，但後來的受害者報告說，他們在下載密鑰源或破解程序後發現了感染。一旦發生滲透，STOP Djvu勒索軟件會更改Windows設置，並在文件中附加一系列名稱，例如.djvu，.djvus，.djvuu，.uudjvu，.udjvu或.djvuq，以及最近的.promorad和.promock擴展名。較新的版本還沒有解密器，但是較舊的版本可以使用STOPDecrypter解密。建議用戶無論如何避免支付任何贖金。

用於阻止訪問文件的方法使用RSA加密算法。儘管對於沒有經驗的用戶來說，解密文件似乎很困難，但是絕對不需要付出任何努力來支付威脅背後的人員。在這種情況下通常會提供虛假承諾，因此用戶付款後很快就會發現它們被忽略了。

STOP Djvu勒索軟件的攻擊於2018年末首次報導。STOPDjvu的主要分發方法仍然是垃圾郵件，並且針對勒索軟件核心的調整相對較小。垃圾郵件中使用的大多數偽造的，受感染的附件都是啟用宏的辦公文檔或偽造的PDF文件，它們在受害者不知情的情況下運行勒索軟件。 STOP Djvu的行為也沒有太大變化-勒索軟件仍會刪除所有Shadow Volume快照以擺脫備份，然後開始加密受害者的文件。

贖金記錄有一些細微變化，該記錄另存為" _openme.txt"到受害者的桌面。贖金說明的文本可以在這裡找到：

'[贖金開始]
————————加密您的所有文件————————

不用擔心，您可以返回所有文件！
您所有的文件文檔，照片，數據庫和其他重要文件均使用最強的加密和唯一密鑰進行加密。
恢復文件的唯一方法是為您購買解密工具和唯一密鑰。
該軟件將解密您所有的加密文件。
我們為您提供什麼保證？
您可以從PC發送加密文件之一，而我們將免費對其進行解密。
但是我們只能免費解密1個文件. 文件中不得包含有價值的信息
不要嘗試使用第三方解密工具，因為它會破壞您的文件。
如果您在72小時內與我們聯繫，可享受50％的折扣。

——————————————————————————————————

要獲得此軟件，您需要在我們的電子郵件中寫信：
helpshadow@india.com

保留電子郵件地址與我們聯繫：
helpshadow@firemail.cc

您的個人ID：[字符串]
[贖金結束]'

勒索軟件將自身限制為最初以.djvu擴展名重命名加密的文件，這是一個很好的選擇，因為.djvu實際上是由AT＆T Labs開發的合法文件格式，用於存儲掃描的文檔，有點類似於Adobe的.pdf。更高版本的勒索軟件對加密文件採用了一系列其他擴展名，包括" .chech"，"。luceq"，"。kroput1"，"。charck"，"。kropun"，"。luces"，"。pulsar1"，"。 ''.uudjvu'，'。djvur，'。tfude，'。tfudeq'和'.tfudet'。

可以使用安全研究人員Michael Gillespie開發的所謂的" STOPDecrypter"來免費解密STOP Djvu勒索軟件的某些菌株，並可以在線免費下載。