授業deえっち？_chs.exe Ransomware STOP/Djvu Análise

Atualizado 1 year ago

Verificado por Malware Check

授業deえっち？_chs.exe

Análise Técnica

Nome do Arquivo	授業deえっち？_chs.exe
Tipo de Arquivo	PE32 executable (GUI) Intel 80386, for MS Windows
Versão do Scanner	1.0.165.174
Versão do Banco de Dados	2024-02-17 12:00:15 UTC

⚠

Ransom.Win32.STOP.dg!se51856

Família de malware: STOP/Djvu

O ransomware STOP/Djvu criptografa arquivos em sistemas vítima e demanda pagamentos de resgate por chaves de descriptografia. Esta família de ransomware manteve atividade consistente por vários anos, afetando tanto usuários individuais quanto redes organizacionais através de vários métodos de distribuição.

N/A

Taxa de Detecção

6,094,848

Tamanho do Arquivo (bytes)

2024-02-17

Data de Análise

Verificar Outro Arquivo

Identificação do Arquivo

Tipo de Hash	Valor	Ação
MD5	c02fb5958ee0f83d5d4e03285dcbfb4c
SHA1	9504fc0a48505573efe6727f972551739780695b
SHA256	4bd534e4e7aa468cda99bc33a82a58d7f36af31dba86db564f7f31925c36e6e0
SHA512	b7f19545538aecbc9e12c3b6000b0321ab7fca268c1dbb7034e5b16a4551fc713f26b80f81d7ff15f276b7bd533b4108a88364c7e1a363d4862fe092c2cc02c9
ImpHash	2f727a975c44a2925ace416e4a5ad2d8

Análise PE

Informações Básicas

▼

Ícone	Hash: 843c789cffd4754ba8e00062d3092cb2 Fuzzy: 829bcb0afdb95882b0ccb82856de13cd dHash: fe5a9a929a9a8ec0
Base da Imagem	`0x00400000`
Ponto de Entrada	`0x00464c9a`
Tempo de Compilação	2011-07-15 12:47:38
Soma de Verificação	0x000d9703 (Real: 0x005d73ef)
Versão do SO	4.0
Assinaturas PEiD	`PE32 executable (GUI) Intel 80386, for MS Windows`
Assinatura Digital	The PE file does not contain a certificate table.
Importações	8 bibliotecas kernel32, user32, advapi32, oleaut32, ole32, ntdll, SHFolder, shlwapi
Exportações	0 funções
Recursos	40 Recursos
Seções	6 Seções

Seções PE

▼

Nome	Endereço Virtual	Tamanho Virtual	Tamanho Bruto	Entropia	Características	MD5
`.text`	`0x00001000`	644,266 bytes	647,168 bytes	6.73 (Comprimido)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ`	`0FAC66CC26DD8A708DFA1A65912C180D`
`.rdata`	`0x0009f000`	29,218 bytes	32,768 bytes	6.30 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`C98A4BEEAC7B84A3CAADC7E553A36372`
`.data`	`0x000a7000`	1,114,936 bytes	114,688 bytes	6.03 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`F0DB64E1F22887EC54D642A453020E97`
`.rsrc`	`0x001b8000`	31,476 bytes	32,768 bytes	5.19 (Normal)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_READ`	`9C372FCE5DB3F57953B024D3238EA398`
`.enigma1`	`0x001c0000`	4,096 bytes	4,972,544 bytes	6.82 (Comprimido)	`IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`4DDD0E7D8D5AB326D899B2F8CA8FFA2C`
`.enigma2`	`0x001c1000`	290,816 bytes	290,816 bytes	5.86 (Normal)	`IMAGE_SCN_CNT_CODE\|IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_CNT_UNINITIALIZED_DATA\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE`	`FC7440D07BCE52CC856FF210C4BA8AD3`

Alerta de Análise de Entropia

2 seção(ões) com entropia elevada (≥6.5) - possível compressão

Análise de Recursos

▼

Total de Recursos: 40 (28,276 bytes)

Tipo de Recurso	Quantidade	Tamanho Total	Porcentagem
RT_CURSOR	1	308 bytes	1.1%
RT_ICON	3	7,352 bytes	26%
RT_MENU	9	7,250 bytes	25.6%
RT_DIALOG	23	12,724 bytes	45%
RT_STRING	1	104 bytes	0.4%
RT_GROUP_CURSOR	1	20 bytes	0.1%
RT_GROUP_ICON	1	48 bytes	0.2%
RT_MANIFEST	1	470 bytes	1.7%

Análise da Cadeia de Certificados

▼

Sem Assinaturas Digitais

Este arquivo não está assinado digitalmente.

Implicações de Segurança:

Não é possível verificar a identidade do editor
Maior risco de segurança ao executar este arquivo
Pode acionar avisos de segurança em alguns sistemas

⚠ Este arquivo não possui assinatura digital ou a cadeia de certificados não pôde ser verificada.
Tenha cuidado ao executar arquivos não assinados de fontes desconhecidas.

Status de Verificação do Certificado

The PE file does not contain a certificate table.

Recomendação: Verifique a fonte do arquivo e certifique-se de que venha de um editor confiável.

Remoção de Ransom.Win32.STOP.dg!se51856

O Gridinsoft tem a capacidade de identificar e eliminar Ransom.Win32.STOP.dg!se51856 sem requerer intervenção adicional do usuário.

Baixar Anti-Malware

Instruções de Remoção

Siga estas etapas para remover completamente a ameaça do seu sistema

Comece baixando o Gridinsoft Anti-Malware para o seu computador.
Clique duas vezes no arquivo gsam-pt-install.exe e siga as instruções na tela para instalar o programa.
Após a conclusão da instalação do Gridinsoft Anti-Malware, o programa será aberto na tela de Verificação.
Clique no botão "Verificação Padrão" para começar a verificar seu computador em busca de ameaças.
Após o término do processo de verificação, clique em "Limpar Agora" para remover quaisquer ameaças detectadas.
Se solicitado, reinicie seu sistema para concluir o processo de remoção e garantir que todas as ameaças sejam eliminadas.

Importante: Antes de Começar

Desconecte-se da internet para evitar que o malware se espalhe ou baixe ameaças adicionais. Execute a verificação em Modo de Segurança para melhor detecção e remoção de ameaças persistentes.

Deixar um Comentário

Compartilhe seus pensamentos ou insights sobre este arquivo. Você concorda com nossa conclusão?

* Seu feedback pode influenciar nossa classificação, e tenha certeza de que seu e-mail permanecerá confidencial e será usado apenas para entrar em contato com você, se necessário.

Sua Pontuação para

5 4 3 2 1