STOP/DJVU Fidye Yazılımı (2023 Kılavuzu)

by Brendan Smith
Nisan 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
STOP (DJVU) fidye yazılımı, kullanıcıların verilerini AES-256 algoritması (CFB modu) kullanarak şifreler. Ancak, tüm dosyayı değil, sadece yaklaşık olarak ilk 5 MB’ını şifreler. Daha sonra dosyaların geri yüklenmesi için Bitcoin’e eşdeğer 980 dolarlık bir fidye talep eder.

Kötü amaçlı yazılımın yazarları Rus kökenlidir. Dolandırıcılar Rus dilini ve İngilizce olarak yazılan Rusça kelimeleri kullanır ve Rusya’da kaydedilmiş alan adlarını kullanırlar. Muhtemelen dolandırıcıların başka ülkelerde de işbirlikçileri bulunmaktadır.

DJVU Fidye Yazılımı Teknik Bilgi

Birçok kullanıcı, popüler programların yeniden paketlenmiş ve enfekte edilmiş yükleyicilerini indirdikten sonra, MS Windows ve MS Office’in korsan aktivatörleri (örn. KMSAuto Net, KMSPico, vb.) gibi, dolandırıcılar tarafından popüler web siteleri aracılığıyla dağıtılan korsan yazılımların yüklenmesi sonrasında cryptoware’in bulaştığını belirtmektedir. Bu, hem yasal ücretsiz uygulamaları hem de yasa dışı korsan yazılımı içerir.

Cryptoware ayrıca, kötü amaçlı e-posta ekleri, yanıltıcı indirmeler, exploit’ler, web enjektörleri, hatalı güncellemeler, yeniden paketlenmiş ve enfekte yükleyiciler aracılığıyla kötü amaçlı RDP yapılandırmasını kullanarak yayılabilir.

Şifrelemeye tabi dosya uzantılarının listesi:

  • MS Office veya OpenOffice belgeleri
  • PDF ve metin dosyaları
  • Veritabanları
  • Fotoğraflar, Müzik, Video veya Görüntü dosyaları
  • Arşivler
  • Uygulama dosyaları, vb.

STOP/DJVU Ransomware !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt ve !readme.txt. .djvu* ve daha yeni varyantları: _openme.txt, _open_.txt veya _readme.txt

Cryptoware bulaşma aşamaları

  1. Çalıştırıldığında, cryptoware yürütülebilir dosyası Komuta ve Kontrol sunucusuna (С & C) bağlanır. Sonuç olarak, kurbanın PC’si için şifreleme anahtarını ve enfeksiyon tanımlayıcısını alır. Veriler JSON formatında HTTP protokolü altında aktarılır.
  2. PC’nin sunucuya bağlı olmadığı durumlarda (Sunucu İnternet’e bağlı değilse yanıt vermez), cryptoware kodunda gizlenmiş doğrudan belirtilen şifreleme anahtarını uygular ve otonom şifreleme gerçekleştirir. Bu durumda, fidye ödemesi yapmadan dosyaların şifresi çözülebilir.
  3. Cryptoware, bilgisayar ağı saldırısını uygulamak için rdpclip.exe’yi değiştirmek ve meşru Windows dosyasını uygulamak için kullanır.
  4. Başarılı bir dosya şifrelemesinden sonra, şifreleyici, delself.bat komut dosyası kullanılarak otomatik olarak kaldırılır.

İlişkili Öğeler

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Görevler: "Azure-Update-Task"
Kayıt: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Ağ Trafiği

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Antivirüs algılama

Crackithub.com, kmspico10.com, crackhomes.com ve piratepc.net STOP Fidye Yazılımı dağıtım sitelerinden bazılarıdır. Buradan indirilen herhangi bir program bu fidye yazılımı ile enfekte olabilir!

DJVU ailesi kurbanın dosyalarını şifrelemenin yanı sıra hesap kimlik bilgilerini, kripto para cüzdanlarını, masaüstü dosyalarını ve daha fazlasını çalmak için Azorult Casus Yazılımını da yükledi.

STOP/DJVU Ransomware dosyalarının şifresi nasıl çözülür?

Djvu Ransomware essentially has two versions.

  1. Eski Sürüm: En eski uzantılar (“.djvu” ile başlayarak “.carote (v154)” kadar) için çoğu bu sürümler için STOPDecrypter aracıyla offline anahtar ile enfekte dosyaların şifre çözme önceden destekleniyordu. Bu destek, eski Djvu varyantları için yeni Emsisoft Decryptor‘a dahil edilmiştir. Dosyalarınızın şifresini çözecek olan decrypter, sadece OFFLINE KEY sahibiyseniz dosya çiftlerini sunmadan dosyalarınızı çözecektir.
  2. Yeni Sürüm: En yeni uzantılar ransomware değiştirildikten sonra Ağustos 2019’un sonuna doğru piyasaya sürüldü. Bunlar .nury, nuis, tury, tuis, vb. dahildir … bu yeni sürümler sadece Emsisoft Decryptor ile destekleniyordu.

“Dosya çifti” nedir?

Bu, bir kopyanın şifrelenmiş olması ve diğerinin şifrelenmemiş olması dışında aynı olan (aynı kesin veriler olduğu gibi) dosya çiftidir.

Çevrimdışı veya çevrimiçi anahtar nasıl belirlenir?

STOP (DJVU) tarafından C sürücünüzde oluşturulan SystemID/PersonalID.txt dosyası, şifreleme işleminde kullanılan tüm kimlik numaralarını içerir.

Neredeyse tüm çevrimdışı kimlik numaraları “t1” ile biter. ÇEVRİMDIŞI BİR ANAHTAR ile şifreleme yapılıp yapılmadığını öğrenmek için, _readme.txt notundaki Personal ID ve C:\SystemID\PersonalID.txt dosyasındaki kimlik numarasına bakabilirsiniz.

ÇEVRİMDIŞI veya ÇEVRİMİÇİ ANAHTAR ile enfekte olup olmadığınızı kontrol etmenin en hızlı yolu:

  1. Enfekte olan makinedeki C:\SystemID\ klasöründe yer alan PesonalID.txt dosyasını bulun ve tek bir kimlik numarası veya birden fazla kimlik numarası olup olmadığını kontrol edin.
  2. Eğer kimlik numarası “t1” ile bitiyorsa, bazı dosyalarınızın ÇEVRİMDIŞI ANAHTAR ile şifrelendiği ve kurtarılabilir olduğu bir ihtimaldir.
  3. Eğer listelenen hiçbir kimlik numarası “t1” ile bitmiyorsa, tüm dosyalarınızın büyük ihtimalle ÇEVRİMİÇİ ANAHTAR ile şifrelendiği ve şu anda kurtarılamayacağı anlamına gelir.

Çevrimiçi ve çevrimdışı anahtarlar – Bu ne anlama geliyor?

OFFLINE KEY indicates that the files are encrypted in offline mode. After discovering this key, it will be added to the decryptor and that files can be decrypted.

Çevrimiçi anahtar – fidye yazılımı sunucusu tarafından oluşturulmuştur. Bu, fidye yazılımı sunucusunun dosyaları şifrelemek için kullanılan rastgele bir anahtar kümesi oluşturduğu anlamına gelir. Böyle dosyaların şifreleri çözülemez.

En son DJVU varyantlarında kullanılan RSA algoritması ile şifreleme, şifre çözme hizmetini eğitmek için bir çift “şifreli + orijinal” dosyanın kullanılmasına izin vermez. Bu belirli şifreleme türü kırılmaya karşı dirençlidir ve özel bir anahtar olmadan dosyaların şifresini çözmek imkansızdır. Bir süper bilgisayarın bile böyle bir anahtarı hesaplaması için 100`000 yıla ihtiyacı olacaktır.

Şifrelenmiş dosya uzantısı

I. STOP grubu

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Puma grubu

puma, pumax, pumas, shadow

III. Djvu grubu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Gero grubu (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

Bilinen DJVU e-postalarının listesi:

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

En son STOP(DJVU) Fidye Yazılımlarının listesi

Sending
User Review
4.3 (10 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

İngilizce Almanca Japonca İspanyolca Portekizce, Brezilya Fransızca Klasik Çince Kore dili Endonezya dili Hintçe İtalyanca

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending