97cb23085479e9562332ae56eed070d3c9a001518066132ec5d24041336bcf98 Ransomware STOP/Djvu Malware-Analyse

Aktualisiert 1 year ago

Geprüft von Malware Check

97cb23085479e9562332ae56eed070d3c9a001518066132ec5d24041336bcf98

Technische Analyse

Dateiname	97cb23085479e9562332ae56eed070d3c9a001518066132ec5d24041336bcf98
Dateityp	PE32 executable (GUI) Intel 80386, for MS Windows
Scanner-Version	1.0.158.174
Datenbankversion	2024-02-05 08:00:28 UTC

⚠

Ransom.Win32.STOP.tr

Malware-Familie: STOP/Djvu

STOP/Djvu-Ransomware verschlüsselt Dateien auf Opfersystemen und fordert Lösegeldzahlungen für Entschlüsselungsschlüssel. Diese Ransomware-Familie hat über mehrere Jahre hinweg konsistente Aktivität aufrechterhalten und sowohl einzelne Benutzer als auch Organisationsnetzwerke durch verschiedene Verteilungsmethoden betroffen.

N/A

Erkennungsrate

793,088

Dateigröße (Bytes)

2024-02-05

Analysedatum

Weitere Datei scannen

Dateiidentifikation

Hash-Typ	Wert	Aktion
MD5	faf9bf89fd060a85d2fcc98e9d511a8b
SHA1	08d256665c3aa89eafa123cfb965c8c1b4b5f5d0
SHA256	97cb23085479e9562332ae56eed070d3c9a001518066132ec5d24041336bcf98
SHA512	318bb22a79f511421f209f0ee1a8367addfa4c7355f4000bce80b2d18beab450d927c2910eb3f4f2e6f7b5924c623f531eb9c46c80e11123298af721054c4ba1
ImpHash	ebe35e0085e613a421d4abea9476d495

PE-Analyse

Grundlegende Informationen

▼

Symbol	Hash: 48ed4901907c6101bbadd0dbada6f794 Unscharf: a601d18453d55868098ac1200c136d7e dHash: d2f0e4c4e4f9c6f9
Bildbasis	`0x00400000`
Einstiegspunkt	`0x004016ff`
Kompilierungszeit	2023-02-09 18:15:46
Prüfsumme	0x000c8b1a (Tatsächlich: 0x000c8b1a)
OS-Version	5.1
PEiD-Signaturen	`PE32 executable (GUI) Intel 80386, for MS Windows`
Digitale Signatur	The PE file does not contain a certificate table.
Importe	3 Bibliotheken KERNEL32, USER32, ADVAPI32
Exporte	0 Funktionen
Ressourcen	27 Ressourcen
Abschnitte	7 Abschnitte

Versionsinformationen

▼

FileVersion	67.89.5.53
ProductVersion	61.55.12.25
InternalName	Stupido
LegalCopyright	Silent news
CompanyName	Torque
Translation	0x179b 0x02fb

PE-Abschnitte

▼

Name	Virtuelle Adresse	Virtuelle Größe	Rohgröße	Entropie	Eigenschaften	MD5
`.text`	`0x00001000`	701,342 bytes	701,440 bytes	7.92 (Gepackt/Verschlüsselt)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`A2816F7BF4974A67A414947A178ED6AE`
`.rdata`	`0x000ad000`	13,836 bytes	14,336 bytes	4.99 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`191FD17513BF5AD31AEE17321515198E`
`.data`	`0x000b1000`	32,836 bytes	8,704 bytes	2.13 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`EF3FA80FE4162E0BBD662362E18980FA`
`.lubab`	`0x000ba000`	124 bytes	512 bytes	0.00 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`BF619EAC0CDF3F68D496EA9344137E8B`
`.tls`	`0x000bb000`	2,509 bytes	2,560 bytes	0.00 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`A371492F16C0940507435909603EFE88`
`.cimi`	`0x000bc000`	1,024 bytes	1,024 bytes	0.00 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`0F343B0931126A20F133D67C2B018A3B`
`.rsrc`	`0x000bd000`	63,064 bytes	63,488 bytes	5.97 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`3263639FE4E76189B15B337E889BADD3`

Entropie-Analyse-Warnung

1 Abschnitt(e) mit hoher Entropie (≥7.5) erkannt - mögliche Packung/Verschlüsselung

Ressourcenanalyse

▼

Gesamtressourcen: 27 (61,514 Bytes)

Ressourcentyp	Anzahl	Gesamtgröße	Prozentsatz
LEBUFIBIJAFILIXODA	1	1,548 Bytes	2.5%
RT_ICON	17	57,384 Bytes	93.3%
RT_STRING	3	1,788 Bytes	2.9%
RT_ACCELERATOR	1	32 Bytes	0.1%
RT_GROUP_ICON	3	256 Bytes	0.4%
RT_VERSION	1	496 Bytes	0.8%
None	1	10 Bytes	0%

Zertifikatsketten-Analyse

▼

Keine digitalen Signaturen

Diese Datei ist nicht digital signiert.

Sicherheitsauswirkungen:

Kann die Identität des Herausgebers nicht verifizieren
Erhöhtes Sicherheitsrisiko beim Ausführen dieser Datei
Kann Sicherheitswarnungen auf einigen Systemen auslösen

⚠ Diese Datei hat entweder keine digitale Signatur oder die Zertifikatskette konnte nicht verifiziert werden.
Seien Sie vorsichtig beim Ausführen unsignierter Dateien aus unbekannten Quellen.

Zertifikat-Verifizierungsstatus

The PE file does not contain a certificate table.

Empfehlung: Überprüfen Sie die Dateiquelle und stellen Sie sicher, dass sie von einem vertrauenswürdigen Herausgeber stammt.

Ransom.Win32.STOP.tr Entfernung

Gridinsoft hat die Fähigkeit, Ransom.Win32.STOP.tr zu identifizieren und ohne weitere Benutzereingriffe zu entfernen.

Anti-Malware herunterladen

Entfernungsanweisungen

Befolgen Sie diese Schritte, um die Bedrohung vollständig von Ihrem System zu entfernen

Beginnen Sie mit dem Herunterladen von Gridinsoft Anti-Malware auf Ihren Computer.
Doppelklicken Sie auf die Datei gsam-de-install.exe und folgen Sie den Anweisungen auf dem Bildschirm, um das Programm zu installieren.
Nach Abschluss der Installation von Gridinsoft Anti-Malware öffnet sich das Programm auf dem Scan-Bildschirm.
Klicken Sie auf die Schaltfläche "Standard-Scan", um mit dem Scannen Ihres Computers nach Bedrohungen zu beginnen.
Nachdem der Scanvorgang abgeschlossen ist, klicken Sie auf "Jetzt bereinigen", um alle erkannten Bedrohungen zu entfernen.
Wenn Sie dazu aufgefordert werden, starten Sie Ihr System neu, um den Entfernungsprozess abzuschließen und sicherzustellen, dass alle Bedrohungen beseitigt wurden.

Wichtig: Bevor Sie beginnen

Trennen Sie die Internetverbindung, um zu verhindern, dass sich die Malware ausbreitet oder zusätzliche Bedrohungen herunterlädt. Führen Sie den Scan im abgesicherten Modus durch, um hartnäckige Bedrohungen besser zu erkennen und zu entfernen.

Kommentar hinterlassen

Teilen Sie Ihre Gedanken oder Erkenntnisse zu dieser Datei. Stimmen Sie mit unserer Schlussfolgerung überein?

* Ihr Feedback könnte unsere Bewertung beeinflussen. Ihre E-Mail bleibt vertraulich und wird nur verwendet, um Sie bei Bedarf zu kontaktieren.

Ihre Bewertung für

5 4 3 2 1