Kötü amaçlı yazılımın yazarları Rus kökenlidir. Dolandırıcılar Rus dilini ve İngilizce olarak yazılan Rusça kelimeleri kullanır ve Rusya’da kaydedilmiş alan adlarını kullanırlar. Muhtemelen dolandırıcıların başka ülkelerde de işbirlikçileri bulunmaktadır.
DJVU Fidye Yazılımı Teknik Bilgi
Birçok kullanıcı, popüler programların yeniden paketlenmiş ve enfekte edilmiş yükleyicilerini indirdikten sonra, MS Windows ve MS Office’in korsan aktivatörleri (örn. KMSAuto Net, KMSPico, vb.) gibi, dolandırıcılar tarafından popüler web siteleri aracılığıyla dağıtılan korsan yazılımların yüklenmesi sonrasında cryptoware’in bulaştığını belirtmektedir. Bu, hem yasal ücretsiz uygulamaları hem de yasa dışı korsan yazılımı içerir.
Cryptoware ayrıca, kötü amaçlı e-posta ekleri, yanıltıcı indirmeler, exploit’ler, web enjektörleri, hatalı güncellemeler, yeniden paketlenmiş ve enfekte yükleyiciler aracılığıyla kötü amaçlı RDP yapılandırmasını kullanarak yayılabilir.
Şifrelemeye tabi dosya uzantılarının listesi:
- MS Office veya OpenOffice belgeleri
- PDF ve metin dosyaları
- Veritabanları
- Fotoğraflar, Müzik, Video veya Görüntü dosyaları
- Arşivler
- Uygulama dosyaları, vb.
STOP/DJVU Ransomware !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!!RESTORE!!!.txt, !!!!RESTORE_FILES! !!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt ve !readme.txt. .djvu* ve daha yeni varyantları: _openme.txt, _open_.txt veya _readme.txt
Cryptoware bulaşma aşamaları
- Çalıştırıldığında, cryptoware yürütülebilir dosyası Komuta ve Kontrol sunucusuna (С & C) bağlanır. Sonuç olarak, kurbanın PC’si için şifreleme anahtarını ve enfeksiyon tanımlayıcısını alır. Veriler JSON formatında HTTP protokolü altında aktarılır.
- PC’nin sunucuya bağlı olmadığı durumlarda (Sunucu İnternet’e bağlı değilse yanıt vermez), cryptoware kodunda gizlenmiş doğrudan belirtilen şifreleme anahtarını uygular ve otonom şifreleme gerçekleştirir. Bu durumda, fidye ödemesi yapmadan dosyaların şifresi çözülebilir.
- Cryptoware, bilgisayar ağı saldırısını uygulamak için rdpclip.exe’yi değiştirmek ve meşru Windows dosyasını uygulamak için kullanır.
- Başarılı bir dosya şifrelemesinden sonra, şifreleyici, delself.bat komut dosyası kullanılarak otomatik olarak kaldırılır.
İlişkili Öğeler
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe Görevler: "Azure-Update-Task" Kayıt: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
Ağ Trafiği
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
Antivirüs algılama
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
DJVU ailesi kurbanın dosyalarını şifrelemenin yanı sıra hesap kimlik bilgilerini, kripto para cüzdanlarını, masaüstü dosyalarını ve daha fazlasını çalmak için Azorult Casus Yazılımını da yükledi.
STOP/DJVU Ransomware dosyalarının şifresi nasıl çözülür?
Djvu Ransomware essentially has two versions.
- Eski Sürüm: En eski uzantılar (“.djvu” ile başlayarak “.carote (v154)” kadar) için çoğu bu sürümler için STOPDecrypter aracıyla offline anahtar ile enfekte dosyaların şifre çözme önceden destekleniyordu. Bu destek, eski Djvu varyantları için yeni Emsisoft Decryptor‘a dahil edilmiştir. Dosyalarınızın şifresini çözecek olan decrypter, sadece OFFLINE KEY sahibiyseniz dosya çiftlerini sunmadan dosyalarınızı çözecektir.
- Yeni Sürüm: En yeni uzantılar ransomware değiştirildikten sonra Ağustos 2019’un sonuna doğru piyasaya sürüldü. Bunlar .nury, nuis, tury, tuis, vb. dahildir … bu yeni sürümler sadece Emsisoft Decryptor ile destekleniyordu.
“Dosya çifti” nedir?
Bu, bir kopyanın şifrelenmiş olması ve diğerinin şifrelenmemiş olması dışında aynı olan (aynı kesin veriler olduğu gibi) dosya çiftidir.
Çevrimdışı veya çevrimiçi anahtar nasıl belirlenir?
STOP (DJVU) tarafından C sürücünüzde oluşturulan SystemID/PersonalID.txt dosyası, şifreleme işleminde kullanılan tüm kimlik numaralarını içerir.
Neredeyse tüm çevrimdışı kimlik numaraları “t1” ile biter. ÇEVRİMDIŞI BİR ANAHTAR ile şifreleme yapılıp yapılmadığını öğrenmek için, _readme.txt notundaki Personal ID ve C:\SystemID\PersonalID.txt dosyasındaki kimlik numarasına bakabilirsiniz.
ÇEVRİMDIŞI veya ÇEVRİMİÇİ ANAHTAR ile enfekte olup olmadığınızı kontrol etmenin en hızlı yolu:
- Enfekte olan makinedeki C:\SystemID\ klasöründe yer alan PesonalID.txt dosyasını bulun ve tek bir kimlik numarası veya birden fazla kimlik numarası olup olmadığını kontrol edin.
- Eğer kimlik numarası “t1” ile bitiyorsa, bazı dosyalarınızın ÇEVRİMDIŞI ANAHTAR ile şifrelendiği ve kurtarılabilir olduğu bir ihtimaldir.
- Eğer listelenen hiçbir kimlik numarası “t1” ile bitmiyorsa, tüm dosyalarınızın büyük ihtimalle ÇEVRİMİÇİ ANAHTAR ile şifrelendiği ve şu anda kurtarılamayacağı anlamına gelir.
Çevrimiçi ve çevrimdışı anahtarlar – Bu ne anlama geliyor?
OFFLINE KEY indicates that the files are encrypted in offline mode. After discovering this key, it will be added to the decryptor and that files can be decrypted.
Çevrimiçi anahtar – fidye yazılımı sunucusu tarafından oluşturulmuştur. Bu, fidye yazılımı sunucusunun dosyaları şifrelemek için kullanılan rastgele bir anahtar kümesi oluşturduğu anlamına gelir. Böyle dosyaların şifreleri çözülemez.
En son DJVU varyantlarında kullanılan RSA algoritması ile şifreleme, şifre çözme hizmetini eğitmek için bir çift “şifreli + orijinal” dosyanın kullanılmasına izin vermez. Bu belirli şifreleme türü kırılmaya karşı dirençlidir ve özel bir anahtar olmadan dosyaların şifresini çözmek imkansızdır. Bir süper bilgisayarın bile böyle bir anahtarı hesaplaması için 100`000 yıla ihtiyacı olacaktır.
Şifrelenmiş dosya uzantısı
I. STOP grubu
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
II. Puma grubu
puma, pumax, pumas, shadow
III. Djvu grubu
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
IV. Gero grubu (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
Bilinen DJVU e-postalarının listesi:
[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
En son STOP(DJVU) Fidye Yazılımlarının listesi
- KAAA Virüsü (.kaaa Files) — Nasıl + PC 💻 Kurtar
- UAZQ Virüsü (.uazq Dosyaları) — Şifre Çözme ve Kaldırma Kılavuzu
- UAJS Virüsü (.uajs Dosyaları) — Şifre Çözme ve Kaldırma Kılavuzu
- VOOK Virüsü (.vook Dosyaları) — Şifre Çözme ve Kaldırma Kılavuzu
- LOOY Virüsü (.looy Dosyaları) — Şifre Çözme ve Kaldırma Kılavuzu
- KOOL Virüsü (.kool Dosyası) — şifresini çözme ve SÖKME ARACI
- NOOD Virüsü (.nood Dosyası) — şifresini çözme ve SÖKME ARACI
- WIAW Virüsü (.wiaw Files) — Nasıl + PC 💻 Kurtar
- WISZ Virüsü (.wisz Dosyaları) — Şifre Çözme ve Kaldırma Kılavuzu
- LKFR Virüsü (.lkfr Files) — Nasıl + PC 💻 Kurtar
User Review
( votes)
İngilizce 
Almanca 
Japonca 
İspanyolca 
Portekizce, Brezilya 
Fransızca 
Klasik Çince 
Kore dili 
Endonezya dili 
Hintçe 
İtalyanca
