STOP/Djvu Ransomware - Was ist das?

STOP/Djvu Ransomware verwendet den Salsa20-Verschl├╝sselungsalgorithmus. Diese Ransomware-Familie ist eine der beliebtesten Infektionen im Jahr 2023.

Sie k├Ânnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Free Online Checker.

Was ist STOP/Djvu Ransomware? - Sch├╝tzen Sie Ihre Privatsph├Ąre gut

STOP/Djvu Ransomware

April 26, 2023

Sie sind nicht allein, wenn Ihre JPEG-Bilder von STOP/Djvu-Ransomware verschl├╝sselt wurden. Viele Menschen haben diese Probleme mit ihren Fotos und Videos, und Opfer k├Ânnen nach Ransomware-Angriffen nicht mehr darauf zugreifen.

Was ist STOP/Djvu Ransomware?

Ransomware ist das unangenehmste, was man im Cyberspace erleben kann. Sie verlangen oft nicht nur hohe Geldsummen, sondern selbst nach Zahlung des L├Âsegeldes ist es nur manchmal m├Âglich, diese Dateien richtig zu entschl├╝sseln.

FamilieSTOP/Djvu Ransomware
Dateierweiterungen gycc, gyza, iicc, eqza, jzie, jzeq, yzoo, yzqe, yzaq, ppvt, ppvw, und andere.
L├ÂsegeldforderungVon $490 bis $980 (in Bitcoins)
Verschl├╝sselungsalgorithmusSalsa20
L├Âsegeldforderungshinweis_readme.txt
ErkennungRansom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb
Schaden
  1. Ô«× Verschl├╝sselt nur die ersten 150Kb der Dateien;
  2. Ô«× Kann Volume Shadow-Kopien l├Âschen, um die Versuche des Opfers, Daten wiederherzustellen, unm├Âglich zu machen;
  3. Ô«× Installiert Passwort-Stehl-Malware wie Redline, Vidar, Amadey, DcRat auf dem Ger├Ąt des Opfers vor der Verschl├╝sselung;
Verteilung
  1. Ô«× Raubkopierte Software und Torrents;
  2. Ô«× B├Âsartige Skripte;
  3. Ô«× Zwielichtige Websites, die anbieten, Videos herunterzuladen.

STOP/Djvu ist nur eine von vielen Bedrohungen, die gemeinsame Merkmale und Urspr├╝nge mit STOP-Ransomware teilen, aber einige Methoden zur Beeintr├Ąchtigung von Dateitypen und zur Verschl├╝sselung von Dateierweiterungen unterscheiden sich. Der Name Ransomware kommt daher, weil eine der ersten Integrationen des Programms die *.djvu-Erweiterung zu verschl├╝sselten Dateien hinzugef├╝gt hat. Es ist jedoch erw├Ąhnenswert, dass *.djvu ein legitimes Dateiformat ist, das von AT&T zur Speicherung gescannter Dokumente entwickelt wurde, ├Ąhnlich wie das Adobe *.pdf-Format.

Erhaltene STOP/Djvu-Beispiele

Wie funktioniert es?

Obwohl das urspr├╝ngliche STOP-Ransomware im Februar 2018 entdeckt wurde, hat es sich seitdem weiterentwickelt und seine Familie von Klonen und Ablegern ist gewachsen. Die neuen DJVU-Varianten verwenden mehrere Verschleierungsebenen, die darauf abzielen, die ├ťberpr├╝fung durch Forscher sowie automatisierte Analysetools zu verlangsamen. STOP/DJVU verwendet RSA-Verschl├╝sselung, eine der am h├Ąufigsten verwendeten Ransomware-Gruppen, die sich auf Windows-Betriebssysteme konzentriert. Es gibt zwei wichtige Optionen: Offline- und Online-Schl├╝ssel.

  • OFFLINE-KEY - zeigt an, dass die Dateien im Offline-Modus verschl├╝sselt sind.
  • ONLINE-KEY ÔÇô wurde vom Ransomware-Server generiert. Das bedeutet, dass der Ransomware-Server einen zuf├Ąlligen Satz von Schl├╝sseln generiert hat, die zur Verschl├╝sselung von Dateien verwendet werden. Eine Entschl├╝sselung solcher Dateien ist nicht m├Âglich.

Wie bereits erw├Ąhnt, gibt es etwa 600 STOP/DJVU-Varianten. Daher sind die Erweiterungen, die den verschl├╝sselten Dateien hinzugef├╝gt werden, unterschiedlich: .gycc, .gyza, .iicc, .eqza, .jzie, .jzeq, .yzoo, .yzqe, .yzaq, .ppvt, .ppvw, und andere. Nachdem STOP/DJVU in das System eingedrungen ist, l├Ądt es automatisch verschiedene Programme herunter, die der Ransomware helfen, alle Dateien ohne Unterbrechung zu verschl├╝sseln. Am Ende der Verschl├╝sselung bleibt eine Textdatei mit Anweisungen f├╝r das Opfer zur├╝ck, um sich an die Gruppe zu wenden, um das L├Âsegeld zu zahlen. Leider gibt es keine Garantie, dass Sie Ihre Dateien nach Zahlung des L├Âsegeldes wiederherstellen k├Ânnen.

STOP/Djvu Ransom Note: "_readme.txt"

Die L├Âsegeldforderung ist f├╝r die gesamte Ransomware-Familie gleich. Tats├Ąchlich ist es eines der Hauptzeichen, anhand dessen man erkennt, zu welcher Familie die jeweilige Ransomware geh├Ârt. Hier ist die typische Notiz f├╝r die STOP/Djvu-Familie:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-CDZ4hMgp2X
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelp@airmail.cc

Your personal ID:
****************

Wie erfolgt die Infektion mit STOP/Djvu?

Da DJVU keine vorgegebene Infektionsmethode hat, kann der Infektionsvektor von DJVU variieren. Aus diesem Grund haben Angreifer einen recht flexiblen Ansatz, der es f├╝r Verteidiger schwierig macht, erste Anzeichen einer Kompromittierung vorherzusagen und zu erkennen. Zum Beispiel waren in der Vergangenheit Spam-E-Mails mit korrupten Anh├Ąngen die Hauptmethode der Verbreitung von Ransomware. STOP/Djvu kann sich jedoch auch als breites Spektrum von Dateitypen auf Piratentorrentseiten tarnen.

Piratensoftware und Torrents

Die h├Ąufigsten Methoden, um diese Art von Infektion zu bekommen, sind Versuche, gehackte Software mit deaktivierter Lizenzpr├╝fung herunterzuladen. Da Antivirensoftware fast immer auf Keygens reagiert, hei├čt es in der Beschreibung solcher Programme normalerweise "Deaktivieren Sie die Antivirus-Software w├Ąhrend der Installation". Auf diese Weise gibt der Benutzer selbst dem Ransomware die Erlaubnis.

Falsche .exe-Dateien

Eine weitere beliebte Infektionsroute ist ├╝ber gef├Ąlschte Dateierweiterungen. Beispielsweise k├Ânnen unerfahrene Benutzer beim Versuch, eine Datei wie ein Word-Dokument herunterzuladen, auf eine Datei mit einer doppelten *.dox.exe-Erweiterung sto├čen. In diesem Fall wird die letzte Erweiterung die tats├Ąchliche sein, die der Benutzer h├Âchstwahrscheinlich nicht einmal bemerken wird, da das Dateisymbol dem tats├Ąchlichen .dox-Dateisymbol identisch sein wird. Daher ist es wichtig, die Erweiterungen im Auge zu behalten, die Sie auf Ihren Computer herunterladen.

B├Âsartige Skripte

STOP/Djvu-Ransomware kann auch ├╝ber b├Âsartige Skripte verbreitet werden. Solche Skripte findet man in der Regel auf verd├Ąchtigen Websites. Wenn Sie beispielsweise viele Pornoseiten auf unsicheren Netzwerken besuchen oder Dateien auf diesen Plattformen teilen, wird Ihr Computer fr├╝her oder sp├Ąter infiziert. Wenn Sie auf irref├╝hrende Pop-ups oder Banner auf diesen Plattformen klicken, kann dies zu h├Ąufigen Umleitungen Ihres Browsers auf die Site f├╝hren. Wenn Sie sich schlie├člich f├╝r Benachrichtigungen oder Push-Benachrichtigungen auf diesen Plattformen anmelden, wird die Malware Zugriff auf Ihren Computer erhalten.

Spam

Kriminelle versenden Spam-E-Mails mit gef├Ąlschten Informationen im Header, um das Opfer glauben zu lassen, dass sie von einem Versandunternehmen wie DHL oder FedEx gesendet wurden. Die E-Mail informiert das Opfer, dass eine Zustellung an sie erfolglos war. Manchmal behaupten die E-Mails, dass das Opfer eine Sendung aufgegeben hat. Allerdings enth├Ąlt die E-Mail eine infizierte Datei im Anhang. Das ├ľffnen dieser Datei endet nicht gut.

Au├čerdem arbeitet DJVU oft mit anderen Malware-Familien wie Redline, Vidar, Amadey, DcRat usw. zusammen. Zum Beispiel kann es vor der Verschl├╝sselung Informationen von Stealern auf dem Ger├Ąt des Opfers abrufen. Diese Beziehung zu anderen Malware-Familien macht DJVU noch destruktiver. Zus├Ątzlich kann DJVU selbst als Payload der Malware-Dropper-Familie SmokeLoader eingesetzt werden.

Schritt-f├╝r-Schritt-Ausf├╝hrung von STOP/Djvu

STOP/Djvu-Ransomware beginnt seine Ausf├╝hrungskette mit mehreren Ebenen der Verschleierung, die darauf abzielen, die Analyse seines Codes durch Bedrohungsanalysten und automatisierte Sandboxes zu verlangsamen. Die sch├Ądliche Aktivit├Ąt von DJVU beginnt, wenn es den Heap-Bereich f├╝r die ausf├╝hrbare Datei erneut sch├╝tzt, um einen verschl├╝sselten Shellcode zu laden, der im startenden Portable Executable (PE) enthalten ist. Dies erste Stufe des Shellcodes ist mithilfe des Tiny Encryption Algorithmus (TEA) verschl├╝sselt. Die Malware-Autoren haben sich zus├Ątzliche M├╝he gegeben, die Verschl├╝sselungskonstanten zu verstecken, um sie als weitere Methode der Anti-Analyse zu verwenden. Dies wurde wahrscheinlich gemacht, um der Entdeckung zu entgehen, da Malware normalerweise den TEA-Algorithmus verwendet.

This first shellcode stage then unpacks the second, encrypted using a basic XOR algorithm, where the key is changed using a predictable pseudorandom number generation algorithm. It is then loaded into memory using the more usual Virtual Alloc method. The second step of the shell code starts a new process using the same binary. Finally, it uses a process cleanup to inject an untangled copy of the malware into the new process. This is where the payload finally starts to work.

Die b├Âsartige Aktivit├Ąt der Bedrohung beginnt damit, den geografischen Standort des Opferger├Ąts zu ermitteln. Hierzu ├╝berpr├╝ft es mithilfe des GeoIP-Suchdienstes den Standort des Ger├Ąts anhand des folgenden GET-Anforderungslinks an api.2ip.ua/geo.json.

2ip-ua

Anschlie├čend verbindet sich die Malware mit dieser Website mithilfe von InternetOpenUrlW und liest die Antwort der Datei geo.json mithilfe von InternetReadFile aus. Nach Erhalt der Antwort vergleicht die Malware sie mit der Liste der L├Ąndercodes der Gemeinschaft unabh├Ąngiger Staaten (GUS). Wenn der Landescode des Opfers mit einem der folgenden L├Ąnder ├╝bereinstimmt, wird der Payload nicht ausgef├╝hrt, und die Malware h├Ârt auf zu existieren. Hier ist eine Liste der L├Ąnder*, in denen der Ransomware nicht funktioniert:

  • RU - Russland
  • BY - Belarus
  • KZ - Kasachstan
  • UZ - Usbekistan
  • TJ - Tadschikistan
  • KG - Kirgisistan
  • AZ - Aserbaidschan
  • UA - Ukraine
  • AM - Armenien
  • SY - Syrien
* die Ausf├╝hrung wird fortgesetzt, wenn das Land nicht mit den L├Ąndern auf dieser Liste ├╝bereinstimmt.
The authors of STOP/Djvu have Russian roots. The frauds use the Russian language and Russian words written in English and the domains registered through Russian domain-registration companies.

Die Malware erstellt einen Ordner im Verzeichnis %\AppData\Local\%. Die neue Datei wird unter Verwendung einer zuf├Ąllig generierten Version4 UUID mit den Funktionen UuidCreate und UuidToStringW benannt. Wenn ein Ordner mit CreateDirectoryW erstellt wird, erstellt die Malware eine Kopie von sich selbst an diesem Speicherort.

Sch├╝tzen Sie den Ordner, der versucht, DJVU mit erh├Âhten Berechtigungen auszuf├╝hren

Anschlie├čend verwendet die Malware das Windows-Befehlszeilen-Dienstprogramm "icacls.exe", um diesen Ordner mit einem Befehl zu sch├╝tzen, der versucht, DJVU mit erh├Âhten Berechtigungen auszuf├╝hren. Sie verwendet dann die ShellExecute-APIs mit dem Verb "runas", um zu versuchen, sich selbst mit Administratorrechten neu auszuf├╝hren. Abh├Ąngig von der Einrichtung des Computers des Opfers kann ein Dialogfeld f├╝r die Kontensteuerung (UAC) angezeigt werden, das das System auffordert, dem Prozess Administratorrechte zu gew├Ąhren. Wenn die Malware mit diesen Berechtigungen ausgef├╝hrt wird, kann sie mehr kritische Dateien auf dem System verschl├╝sseln.

Versuchen Sie, sich selbst mit Administratorrechten neu auszuf├╝hren

Das Payload wird mit erh├Âhten Berechtigungen und den Argumenten "-Admin IsNotAutoStart IsNotTask" gestartet. STOP/Djvu-Ransomware erstellt dann durch die Verwendung des Aufgabenplaners Beharrlichkeit mit bekannten Methoden der Erstellung von Aufgaben, was bedeutet, dass sie wahrscheinlicher erkannt werden.

Ausf├╝hrbare Schtasks.exe

Der Payload extrahiert dann die MAC-Adresse der Netzwerkkarte und erstellt einen MD5-Hash dieser Adresse. Es verwendet diesen MD5-Hash, um ├╝ber die URL hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true mit dem b├Âsartigen C2-System zu verbinden. Die Antwort auf diese Nachricht wird in der Datei "Bowsakkdestx.txt" gespeichert, die sich im Verzeichnis %\AppData\Local\% befindet.

Bowsakkdestx.txt

Der in dieser Datei gespeicherte Wert ist der ├Âffentliche Schl├╝ssel und der Identifikator. Die Bedrohung speichert den Identifikator auch in der neu erstellten Datei C:\SystemID\PersonalID.txt.

PersonalID.txt

Sobald die Schl├╝ssel gespeichert sind, bindet sich die Malware auch an zwei weitere Domains, von denen eine seit November 2022 als RedLine Infostealer identifiziert wurde. Diese URLs sind:

Redline infostealer

Zur weiteren Sicherung erstellt die Malware einen Registrierung-Startschl├╝ssel namens "SysHelper" unter dem Registrierungspfad "HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run".

SysHelper

Dann, bevor der Verschl├╝sselungsprozess beginnt, erstellt die Malware einen Mutex mit dem Namen "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". Ransomware erstellt oft Mutexes, um eine doppelte Verschl├╝sselung zu vermeiden und die Datei unrettbar zu machen. Die Malware enth├Ąlt auch einen fest codierten ├Âffentlichen Schl├╝ssel und Identifikator.

1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D

W├Ąhrend des Verschl├╝sselungsprozesses ├╝berspringt der Djvu-Ransomware die folgenden Dateien und Erweiterungen:
  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol
  • *.regtrans-ms
  • *.sys
  • *.ini
  • *.blf
  • *.bat
  • *.lnk

Der STOP/Djvu-Ransomware enth├Ąlt auch eine Ausschlussliste, die sich auf prim├Ąre Ordner bezieht, die Teil des Windows-Betriebssystems sind. Dar├╝ber hinaus sucht die Malware nach einer hardcodierten Datei mit der Erweiterung .jpg. Allerdings muss der Zweck der Suche nach dieser Datei noch gekl├Ąrt werden. W├Ąhrend des Verschl├╝sselungsprozesses speichert die Malware schlie├člich die Datei _readme.txt im Stammverzeichnis von C:\.

Wiederherstellen von durch STOP/Djvu verschl├╝sselten Dateien

Sie k├Ânnen nat├╝rlich das L├Âsegeld an die Betr├╝ger zahlen, aber sie sind Betr├╝ger, daher gibt es keine Garantie, dass Sie den Entschl├╝sselungsschl├╝ssel erhalten. Dar├╝ber hinaus k├Ânnen Betr├╝ger Sie nach der Zahlung ignorieren und nichts weiter tun, als nach einer alternativen M├Âglichkeit zur Wiederherstellung Ihrer Dateien zu suchen. Es gibt bestimmte Einschr├Ąnkungen hinsichtlich der wiederherstellbaren Dateien. Sie k├Ânnen Informationen, die mit Offline-Schl├╝sseln verschl├╝sselt wurden, die von Entwicklern des Emsisoft Decryptor zur Verf├╝gung gestellt werden, angemessen entschl├╝sseln. Sie k├Ânnen jedoch keine Dateien mit ONLINE ID und einigen neueren STOP/DJVU-Versionen entschl├╝sseln, die nach August 2019 entwickelt wurden. Bei ├Ąlteren Versionen k├Ânnen Dateien auch mithilfe der verschl├╝sselten/Quelldatei-Paare entschl├╝sselt werden, die auf dem STOP Djvu Submission Portal bereitgestellt werden.

Wie Sie eine Infektion vermeiden k├Ânnen

Es gibt keine goldene Regel, um eine Ransomware-Infektion zu vermeiden, aber Sie sollten bestimmte Regeln befolgen, um Ihre Dateien sicher aufzubewahren und Ihr Computersystem sauber zu halten. Der Schutz vor Ransomware ist wichtig, da kryptobasierte Computerviren Ihre Dateien dauerhaft besch├Ądigen k├Ânnen. Hier sind einige Tipps, um eine Ransomware-Infektion zu vermeiden oder die Auswirkungen zu minimieren:

Sichern Sie Ihre wertvollen Daten

Eine Sicherungskopie ist der beste Schutz f├╝r Ihre Daten. Sichern Sie Ihre Daten auf einem separaten Medium, das nicht mit Ihrem System verbunden wird. Nat├╝rlich m├╝ssen Sie nicht alles sichern - nur die wichtigsten Dateien. Ein externer Festplattenlaufwerk, das in einer Schublade liegt, ist beispielsweise die beste Option, da einige Ransomware-Viren Dateien besch├Ądigen k├Ânnen, die in Online-Datenspeichern gespeichert sind.

Halten Sie Ihre Software und Ihr Betriebssystem immer auf dem neuesten Stand

Ein aktuelles System und aktuelle Software bedeuten, dass Sie jederzeit die bestm├Âglichen Versionen haben. Die Verwendung veralteter Software erh├Âht das Risiko, dass Ihr PC gehackt oder infiziert wird. Software-Entwickler ver├Âffentlichen Updates, um Fehler, Schwachstellen und Bugs zu beheben, und deren Installation bedeutet, Schw├Ąchen in der Software zu verbessern und zu verhindern, dass Hacker sie ausnutzen.

Seien Sie online vorsichtig

Vorsichtiges Verhalten online hilft, Ransomware-Angriffe zu verhindern. Wir schlagen vor, diese Tipps zu befolgen, um gef├Ąhrliche Inhalte online zu erkennen und zu vermeiden:

  • ├ľffnen Sie keine E-Mails von Personen, von denen Sie nicht erwarten, dass sie Ihnen schreiben.
  • Vermeiden Sie attraktive, aber verd├Ąchtige Links und Anzeigen.
  • Nehmen Sie sich Zeit.
  • Verwenden Sie starke Passw├Ârter.
  • Halten Sie sich von Torrents fern, die gehackte Software oder Keygens bewerben.

Verwenden Sie zuverl├Ąssige Sicherheitssoftware

Die Installation einer zuverl├Ąssigen Sicherheitssoftware ist der effektivste Weg, um Ransomware-Angriffe zu verhindern. Ebenso wichtig ist es, Ihre Sicherheitssoftware regelm├Ą├čig zu aktualisieren. Zus├Ątzlich sollten Sie robuste Antivirus-Software w├Ąhlen.