STOP/Djvu Ransomware
April 26, 2023
Was ist STOP/Djvu Ransomware?
Ransomware ist das unangenehmste, was man im Cyberspace erleben kann. Sie verlangen oft nicht nur hohe Geldsummen, sondern selbst nach Zahlung des Lösegeldes ist es nur manchmal möglich, diese Dateien richtig zu entschlüsseln.
Familie | STOP/Djvu Ransomware |
Dateierweiterungen | hlas, qual, waqa, watz, veza, vehu, vepi, paaa, qeza, qehu, qepi, und andere. |
Lösegeldforderung | Von $490 bis $980 (in Bitcoins) |
Verschlüsselungsalgorithmus | Salsa20 |
Lösegeldforderungshinweis | _readme.txt |
Erkennung | Ransom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb |
Schaden |
|
Verteilung |
|
STOP/Djvu ist nur eine von vielen Bedrohungen, die gemeinsame Merkmale und Ursprünge mit STOP-Ransomware teilen, aber einige Methoden zur Beeinträchtigung von Dateitypen und zur Verschlüsselung von Dateierweiterungen unterscheiden sich. Der Name Ransomware kommt daher, weil eine der ersten Integrationen des Programms die *.djvu-Erweiterung zu verschlüsselten Dateien hinzugefügt hat. Es ist jedoch erwähnenswert, dass *.djvu ein legitimes Dateiformat ist, das von AT&T zur Speicherung gescannter Dokumente entwickelt wurde, ähnlich wie das Adobe *.pdf-Format.
Erhaltene STOP/Djvu-Beispiele
Wie funktioniert es?
Obwohl das ursprüngliche STOP-Ransomware im Februar 2018 entdeckt wurde, hat es sich seitdem weiterentwickelt und seine Familie von Klonen und Ablegern ist gewachsen. Die neuen DJVU-Varianten verwenden mehrere Verschleierungsebenen, die darauf abzielen, die Überprüfung durch Forscher sowie automatisierte Analysetools zu verlangsamen. STOP/DJVU verwendet RSA-Verschlüsselung, eine der am häufigsten verwendeten Ransomware-Gruppen, die sich auf Windows-Betriebssysteme konzentriert. Es gibt zwei wichtige Optionen: Offline- und Online-Schlüssel.
- OFFLINE-KEY - zeigt an, dass die Dateien im Offline-Modus verschlüsselt sind.
- ONLINE-KEY – wurde vom Ransomware-Server generiert. Das bedeutet, dass der Ransomware-Server einen zufälligen Satz von Schlüsseln generiert hat, die zur Verschlüsselung von Dateien verwendet werden. Eine Entschlüsselung solcher Dateien ist nicht möglich.
Wie bereits erwähnt, gibt es etwa 600 STOP/DJVU-Varianten. Daher sind die Erweiterungen, die den verschlüsselten Dateien hinzugefügt werden, unterschiedlich: .hlas, .qual, .waqa, .watz, .veza, .vehu, .vepi, .paaa, .qeza, .qehu, .qepi, und andere. Nachdem STOP/DJVU in das System eingedrungen ist, lädt es automatisch verschiedene Programme herunter, die der Ransomware helfen, alle Dateien ohne Unterbrechung zu verschlüsseln. Am Ende der Verschlüsselung bleibt eine Textdatei mit Anweisungen für das Opfer zurück, um sich an die Gruppe zu wenden, um das Lösegeld zu zahlen. Leider gibt es keine Garantie, dass Sie Ihre Dateien nach Zahlung des Lösegeldes wiederherstellen können.
STOP/Djvu Ransom Note: "_readme.txt"
Die Lösegeldforderung ist für die gesamte Ransomware-Familie gleich. Tatsächlich ist es eines der Hauptzeichen, anhand dessen man erkennt, zu welcher Familie die jeweilige Ransomware gehört. Hier ist die typische Notiz für die STOP/Djvu-Familie:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool.
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
[email protected]
Reserve e-mail address to contact us:
[email protected]
Your personal ID:
****************
Wie erfolgt die Infektion mit STOP/Djvu?
Da DJVU keine vorgegebene Infektionsmethode hat, kann der Infektionsvektor von DJVU variieren. Aus diesem Grund haben Angreifer einen recht flexiblen Ansatz, der es für Verteidiger schwierig macht, erste Anzeichen einer Kompromittierung vorherzusagen und zu erkennen. Zum Beispiel waren in der Vergangenheit Spam-E-Mails mit korrupten Anhängen die Hauptmethode der Verbreitung von Ransomware. STOP/Djvu kann sich jedoch auch als breites Spektrum von Dateitypen auf Piratentorrentseiten tarnen.
Piratensoftware und Torrents
Die häufigsten Methoden, um diese Art von Infektion zu bekommen, sind Versuche, gehackte Software mit deaktivierter Lizenzprüfung herunterzuladen. Da Antivirensoftware fast immer auf Keygens reagiert, heißt es in der Beschreibung solcher Programme normalerweise "Deaktivieren Sie die Antivirus-Software während der Installation". Auf diese Weise gibt der Benutzer selbst dem Ransomware die Erlaubnis.
Falsche .exe-Dateien
Eine weitere beliebte Infektionsroute ist über gefälschte Dateierweiterungen. Beispielsweise können unerfahrene Benutzer beim Versuch, eine Datei wie ein Word-Dokument herunterzuladen, auf eine Datei mit einer doppelten *.dox.exe-Erweiterung stoßen. In diesem Fall wird die letzte Erweiterung die tatsächliche sein, die der Benutzer höchstwahrscheinlich nicht einmal bemerken wird, da das Dateisymbol dem tatsächlichen .dox-Dateisymbol identisch sein wird. Daher ist es wichtig, die Erweiterungen im Auge zu behalten, die Sie auf Ihren Computer herunterladen.
Bösartige Skripte
STOP/Djvu-Ransomware kann auch über bösartige Skripte verbreitet werden. Solche Skripte findet man in der Regel auf verdächtigen Websites. Wenn Sie beispielsweise viele Pornoseiten auf unsicheren Netzwerken besuchen oder Dateien auf diesen Plattformen teilen, wird Ihr Computer früher oder später infiziert. Wenn Sie auf irreführende Pop-ups oder Banner auf diesen Plattformen klicken, kann dies zu häufigen Umleitungen Ihres Browsers auf die Site führen. Wenn Sie sich schließlich für Benachrichtigungen oder Push-Benachrichtigungen auf diesen Plattformen anmelden, wird die Malware Zugriff auf Ihren Computer erhalten.
Spam
Kriminelle versenden Spam-E-Mails mit gefälschten Informationen im Header, um das Opfer glauben zu lassen, dass sie von einem Versandunternehmen wie DHL oder FedEx gesendet wurden. Die E-Mail informiert das Opfer, dass eine Zustellung an sie erfolglos war. Manchmal behaupten die E-Mails, dass das Opfer eine Sendung aufgegeben hat. Allerdings enthält die E-Mail eine infizierte Datei im Anhang. Das Öffnen dieser Datei endet nicht gut.
Außerdem arbeitet DJVU oft mit anderen Malware-Familien wie Redline, Vidar, Amadey, DcRat usw. zusammen. Zum Beispiel kann es vor der Verschlüsselung Informationen von Stealern auf dem Gerät des Opfers abrufen. Diese Beziehung zu anderen Malware-Familien macht DJVU noch destruktiver. Zusätzlich kann DJVU selbst als Payload der Malware-Dropper-Familie SmokeLoader eingesetzt werden.
Schritt-für-Schritt-Ausführung von STOP/Djvu
STOP/Djvu-Ransomware beginnt seine Ausführungskette mit mehreren Ebenen der Verschleierung, die darauf abzielen, die Analyse seines Codes durch Bedrohungsanalysten und automatisierte Sandboxes zu verlangsamen. Die schädliche Aktivität von DJVU beginnt, wenn es den Heap-Bereich für die ausführbare Datei erneut schützt, um einen verschlüsselten Shellcode zu laden, der im startenden Portable Executable (PE) enthalten ist. Dies erste Stufe des Shellcodes ist mithilfe des Tiny Encryption Algorithmus (TEA) verschlüsselt. Die Malware-Autoren haben sich zusätzliche Mühe gegeben, die Verschlüsselungskonstanten zu verstecken, um sie als weitere Methode der Anti-Analyse zu verwenden. Dies wurde wahrscheinlich gemacht, um der Entdeckung zu entgehen, da Malware normalerweise den TEA-Algorithmus verwendet.
This first shellcode stage then unpacks the second, encrypted using a basic XOR algorithm, where the key is changed using a predictable pseudorandom number generation algorithm. It is then loaded into memory using the more usual Virtual Alloc method. The second step of the shell code starts a new process using the same binary. Finally, it uses a process cleanup to inject an untangled copy of the malware into the new process. This is where the payload finally starts to work.
Die bösartige Aktivität der Bedrohung beginnt damit, den geografischen Standort des Opfergeräts zu ermitteln. Hierzu überprüft es mithilfe des GeoIP-Suchdienstes den Standort des Geräts anhand des folgenden GET-Anforderungslinks an api.2ip.ua/geo.json.
Anschließend verbindet sich die Malware mit dieser Website mithilfe von InternetOpenUrlW und liest die Antwort der Datei geo.json mithilfe von InternetReadFile aus. Nach Erhalt der Antwort vergleicht die Malware sie mit der Liste der Ländercodes der Gemeinschaft unabhängiger Staaten (GUS). Wenn der Landescode des Opfers mit einem der folgenden Länder übereinstimmt, wird der Payload nicht ausgeführt, und die Malware hört auf zu existieren. Hier ist eine Liste der Länder*, in denen der Ransomware nicht funktioniert:
- RU - Russland
- BY - Belarus
- KZ - Kasachstan
- UZ - Usbekistan
- TJ - Tadschikistan
- KG - Kirgisistan
- AZ - Aserbaidschan
- UA - Ukraine
- AM - Armenien
- SY - Syrien
The authors of STOP/Djvu have Russian roots. The frauds use the Russian language and Russian words written in English and the domains registered through Russian domain-registration companies.
Die Malware erstellt einen Ordner im Verzeichnis %\AppData\Local\%. Die neue Datei wird unter Verwendung einer zufällig generierten Version4 UUID mit den Funktionen UuidCreate und UuidToStringW benannt. Wenn ein Ordner mit CreateDirectoryW erstellt wird, erstellt die Malware eine Kopie von sich selbst an diesem Speicherort.
Anschließend verwendet die Malware das Windows-Befehlszeilen-Dienstprogramm "icacls.exe", um diesen Ordner mit einem Befehl zu schützen, der versucht, DJVU mit erhöhten Berechtigungen auszuführen. Sie verwendet dann die ShellExecute-APIs mit dem Verb "runas", um zu versuchen, sich selbst mit Administratorrechten neu auszuführen. Abhängig von der Einrichtung des Computers des Opfers kann ein Dialogfeld für die Kontensteuerung (UAC) angezeigt werden, das das System auffordert, dem Prozess Administratorrechte zu gewähren. Wenn die Malware mit diesen Berechtigungen ausgeführt wird, kann sie mehr kritische Dateien auf dem System verschlüsseln.
Das Payload wird mit erhöhten Berechtigungen und den Argumenten "-Admin IsNotAutoStart IsNotTask" gestartet. STOP/Djvu-Ransomware erstellt dann durch die Verwendung des Aufgabenplaners Beharrlichkeit mit bekannten Methoden der Erstellung von Aufgaben, was bedeutet, dass sie wahrscheinlicher erkannt werden.
Der Payload extrahiert dann die MAC-Adresse der Netzwerkkarte und erstellt einen MD5-Hash dieser Adresse. Es verwendet diesen MD5-Hash, um über die URL hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true mit dem bösartigen C2-System zu verbinden. Die Antwort auf diese Nachricht wird in der Datei "Bowsakkdestx.txt" gespeichert, die sich im Verzeichnis %\AppData\Local\% befindet.
Der in dieser Datei gespeicherte Wert ist der öffentliche Schlüssel und der Identifikator. Die Bedrohung speichert den Identifikator auch in der neu erstellten Datei C:\SystemID\PersonalID.txt.
Sobald die Schlüssel gespeichert sind, bindet sich die Malware auch an zwei weitere Domains, von denen eine seit November 2022 als RedLine Infostealer identifiziert wurde. Diese URLs sind:
Zur weiteren Sicherung erstellt die Malware einen Registrierung-Startschlüssel namens "SysHelper" unter dem Registrierungspfad "HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run".
Dann, bevor der Verschlüsselungsprozess beginnt, erstellt die Malware einen Mutex mit dem Namen "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". Ransomware erstellt oft Mutexes, um eine doppelte Verschlüsselung zu vermeiden und die Datei unrettbar zu machen. Die Malware enthält auch einen fest codierten öffentlichen Schlüssel und Identifikator.
Während des Verschlüsselungsprozesses überspringt der Djvu-Ransomware die folgenden Dateien und Erweiterungen:
- ntuser.dat
- ntuser.dat.LOG1
- ntuser.dat.LOG2
- ntuser.pol
- *.regtrans-ms
- *.sys
- *.ini
- *.blf
- *.bat
- *.lnk
Der STOP/Djvu-Ransomware enthält auch eine Ausschlussliste, die sich auf primäre Ordner bezieht, die Teil des Windows-Betriebssystems sind. Darüber hinaus sucht die Malware nach einer hardcodierten Datei mit der Erweiterung .jpg. Allerdings muss der Zweck der Suche nach dieser Datei noch geklärt werden. Während des Verschlüsselungsprozesses speichert die Malware schließlich die Datei _readme.txt im Stammverzeichnis von C:\.
Wiederherstellen von durch STOP/Djvu verschlüsselten Dateien
Sie können natürlich das Lösegeld an die Betrüger zahlen, aber sie sind Betrüger, daher gibt es keine Garantie, dass Sie den Entschlüsselungsschlüssel erhalten. Darüber hinaus können Betrüger Sie nach der Zahlung ignorieren und nichts weiter tun, als nach einer alternativen Möglichkeit zur Wiederherstellung Ihrer Dateien zu suchen. Es gibt bestimmte Einschränkungen hinsichtlich der wiederherstellbaren Dateien. Sie können Informationen, die mit Offline-Schlüsseln verschlüsselt wurden, die von Entwicklern des Emsisoft Decryptor zur Verfügung gestellt werden, angemessen entschlüsseln. Sie können jedoch keine Dateien mit ONLINE ID und einigen neueren STOP/DJVU-Versionen entschlüsseln, die nach August 2019 entwickelt wurden. Bei älteren Versionen können Dateien auch mithilfe der verschlüsselten/Quelldatei-Paare entschlüsselt werden, die auf dem STOP Djvu Submission Portal bereitgestellt werden.
Wie Sie eine Infektion vermeiden können
Es gibt keine goldene Regel, um eine Ransomware-Infektion zu vermeiden, aber Sie sollten bestimmte Regeln befolgen, um Ihre Dateien sicher aufzubewahren und Ihr Computersystem sauber zu halten. Der Schutz vor Ransomware ist wichtig, da kryptobasierte Computerviren Ihre Dateien dauerhaft beschädigen können. Hier sind einige Tipps, um eine Ransomware-Infektion zu vermeiden oder die Auswirkungen zu minimieren:
Sichern Sie Ihre wertvollen Daten
Eine Sicherungskopie ist der beste Schutz für Ihre Daten. Sichern Sie Ihre Daten auf einem separaten Medium, das nicht mit Ihrem System verbunden wird. Natürlich müssen Sie nicht alles sichern - nur die wichtigsten Dateien. Ein externer Festplattenlaufwerk, das in einer Schublade liegt, ist beispielsweise die beste Option, da einige Ransomware-Viren Dateien beschädigen können, die in Online-Datenspeichern gespeichert sind.
Halten Sie Ihre Software und Ihr Betriebssystem immer auf dem neuesten Stand
Ein aktuelles System und aktuelle Software bedeuten, dass Sie jederzeit die bestmöglichen Versionen haben. Die Verwendung veralteter Software erhöht das Risiko, dass Ihr PC gehackt oder infiziert wird. Software-Entwickler veröffentlichen Updates, um Fehler, Schwachstellen und Bugs zu beheben, und deren Installation bedeutet, Schwächen in der Software zu verbessern und zu verhindern, dass Hacker sie ausnutzen.
Seien Sie online vorsichtig
Vorsichtiges Verhalten online hilft, Ransomware-Angriffe zu verhindern. Wir schlagen vor, diese Tipps zu befolgen, um gefährliche Inhalte online zu erkennen und zu vermeiden:
- Öffnen Sie keine E-Mails von Personen, von denen Sie nicht erwarten, dass sie Ihnen schreiben.
- Vermeiden Sie attraktive, aber verdächtige Links und Anzeigen.
- Nehmen Sie sich Zeit.
- Verwenden Sie starke Passwörter.
- Halten Sie sich von Torrents fern, die gehackte Software oder Keygens bewerben.
Verwenden Sie zuverlässige Sicherheitssoftware
Die Installation einer zuverlässigen Sicherheitssoftware ist der effektivste Weg, um Ransomware-Angriffe zu verhindern. Ebenso wichtig ist es, Ihre Sicherheitssoftware regelmäßig zu aktualisieren. Zusätzlich sollten Sie robuste Antivirus-Software wählen.