STOP/Djvu Ransomware
April 26, 2023
O que é o ransomware STOP/Djvu?
O ransomware é a coisa mais desagradável que você pode encontrar no ciberespaço. Não só eles frequentemente pedem somas colossais de dinheiro, mas mesmo após pagar o resgate, às vezes só é possível descriptografar esses arquivos corretamente.
| Família | Ransomware STOP/Djvu |
| Extensões de arquivos | bgzq, bgjs, kaaa, uazq, uajs, looy, vook, kool, nood, wiaw, wisz, e etc. |
| Nota de resgate | _readme.txt |
| Algoritmo | Salsa20 |
| Resgate | De $ 490 a $ 980 (em Bitcoins) |
| Deteção | Ransom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb |
| Danos |
|
| Distribuição |
|
O STOP/Djvu é apenas uma das muitas ameaças que compartilham características e origens com o ransomware STOP, mas alguns métodos de afetar tipos de arquivo e criptografar extensões de arquivo diferem. O ransomware recebeu seu apelido porque uma das primeiras integrações do programa adicionou a extensão *.djvu aos arquivos criptografados. No entanto, vale ressaltar que o *.djvu é um formato de arquivo legítimo que a AT&T desenvolveu para armazenar documentos digitalizados, similar ao formato *.pdf da Adobe.
Amostras de STOP/Djvu Recebidas
Como funciona?
Embora o ransomware original STOP tenha sido descoberto em fevereiro de 2018, desde então ele evoluiu e sua família de clones e ramificações cresceu. As novas variantes DJVU incluem várias camadas de ofuscação, que visam retardar a verificação por pesquisadores, bem como ferramentas de análise automatizadas. O STOP/DJVU usa a criptografia RSA, um dos grupos de ransomware mais comumente usados, focando em sistemas operacionais Windows. Existem duas opções principais de chave, offline e online.
- CHAVE OFFLINE - indica que os arquivos estão criptografados em modo offline.
- CHAVE ONLINE – foi gerada pelo servidor do ransomware. Significa que o servidor do ransomware gerou um conjunto aleatório de chaves usadas para criptografar arquivos. Descriptografar esses arquivos não é possível.
Como mencionado anteriormente, existem cerca de 600 variantes de STOP/DJVU. Portanto, as extensões adicionadas aos arquivos criptografados são diferentes entre elas: .bgzq, .bgjs, .kaaa, .uazq, .uajs, .looy, .vook, .kool, .nood, .wiaw, .wisz, e outras. Depois que o STOP/DJVU invade o sistema, ele baixa automaticamente vários programas que ajudam o ransomware a criptografar todos os arquivos sem interrupção. No final da criptografia, um arquivo de texto é deixado com instruções para que a vítima entre em contato com o grupo para pagar o resgate. Infelizmente, não há garantia de que você possa restaurar seus arquivos após pagar o resgate.
Nota de resgate do STOP/Djvu: "_readme.txt"
A nota de resgate é a mesma para toda a família de ransomwares. Na verdade, é um dos principais sinais de qual família de ransomware pertence. Aqui está a nota típica da família STOP/Djvu:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool:
https://wetransfer.com/downloads/54cdfd152fe98eedb628a1f4ddb7076420240421150208/403a27
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
[email protected]
Reserve e-mail address to contact us:
[email protected]
Your personal ID:
****************
Como ocorre a infecção do STOP/Djvu?
Já que o DJVU não possui um método de infecção predeterminado, o vetor de infecção do DJVU pode variar. Por causa disso, os atacantes têm uma abordagem razoavelmente flexível, tornando difícil para os defensores prever e detectar sinais iniciais de comprometimento. Por exemplo, e-mails de spam usando anexos corrompidos eram o principal método de disseminação de ransomware. No entanto, o STOP/Djvu pode se disfarçar como uma ampla gama de tipos de arquivos em sites de torrent pirata.
Software pirata e torrents
As formas mais comuns de se infectar com essa praga são tentativas de baixar software hackeado com a verificação de licença desabilitada. No entanto, como os antivírus quase sempre reagem a keygens, a descrição de tais programas geralmente diz: "desabilite o software antivírus durante a instalação". Assim, o próprio usuário dá luz verde ao ransomware.
Arquivos falsos .exe
Outra forma popular de infecção é através de extensões de arquivos falsos. Por exemplo, usuários inexperientes tentando baixar um arquivo, como um documento do Word, podem encontrar um arquivo com uma extensão dupla *.dox.exe. Nesse caso, a última extensão será a real, que o usuário provavelmente nem perceberá, já que o ícone do arquivo será idêntico ao do arquivo .dox real. Portanto, ficar de olho nas extensões que você baixa para o seu computador é essencial.
Scripts maliciosos
O ransomware STOP/Djvu também pode se espalhar por meio de scripts maliciosos. Geralmente, esses scripts podem ser encontrados em sites suspeitos. Por exemplo, quando você visita muitos sites pornográficos em redes inseguras ou compartilha arquivos usando essas plataformas, mais cedo ou mais tarde ele infectará seu computador. Além disso, ao clicar em pop-ups ou banners enganosos nessas plataformas, pode levar a redirecionamentos frequentes do seu navegador para o site. Finalmente, ao se inscrever em alertas ou notificações push nessas plataformas, o malware ganhará acesso ao seu computador.
Spam
Os criminosos enviam e-mails de spam com informações falsas no cabeçalho, levando a vítima a acreditar que foi enviado por uma empresa de transporte, como a DHL ou a FedEx. O e-mail diz à vítima que eles tentaram entregar o pacote para você, mas não tiveram sucesso. Às vezes, os e-mails afirmam ser avisos de um envio que você fez. No entanto, o e-mail contém um arquivo infectado anexado. Abrir o arquivo não terá um final feliz.
Além disso, o DJVU frequentemente colabora com outros malwares: Redline, Vidar, Amadey, DcRat, etc. Por exemplo, ele pode implantar roubadores de informações no dispositivo da vítima antes de criptografá-lo. Essa relação com outras famílias de malwares torna o DJVU ainda mais destrutivo. Além disso, o próprio DJVU pode ser implantado como carga útil dos malwares droppers da família SmokeLoader.
Execução passo a passo do STOP/Djvu
O ransomware STOP/Djvu inicia sua cadeia de execução com vários níveis de ofuscação projetados para retardar a análise de seu código por analistas de ameaças e sandboxes automatizados. A atividade maliciosa do DJVU começa quando ele re-protege a seção heap do arquivo executável para carregar algum shellcode criptografado contido no início do Portable Executable (PE). Esta primeira etapa do shellcode é criptografada usando o algoritmo de criptografia Tiny Encryption Algorithm (TEA). Os autores do malware fizeram um esforço separado para ocultar as constantes de criptografia como um método adicional de anti-análise. Isso provavelmente foi feito para evitar detecção, já que o malware geralmente usa o algoritmo TEA.
Esta primeira etapa do shellcode, então, descompacta a segunda, criptografada usando um algoritmo básico XOR, onde a chave é alterada usando um algoritmo de geração de números pseudorandomicos previsíveis. Em seguida, é carregada na memória usando o método Virtual Alloc mais usual. A segunda etapa do shell code inicia um novo processo usando o mesmo binário. Por fim, usa uma limpeza de processo para injetar uma cópia desembaraçada do malware no novo processo. Aqui é onde a carga finalmente começa a funcionar.
A atividade maliciosa da ameaça começa descobrindo onde o dispositivo da vítima está territorialmente localizado. Para fazer isso, verifica a localização do dispositivo usando o serviço de busca GeoIP usando a seguinte solicitação GET para api.2ip.ua/geo.json.
Em seguida, o malware se conecta a este site usando InternetOpenUrlW e lê a resposta geo.json via InternetReadFile. Depois de receber a resposta, o malware a compara com a lista de códigos de país da Comunidade dos Estados Independentes (CEI). Se o código do país da vítima corresponder a um dos seguintes países, a carga útil não será executada, e o malware deixa de existir. Aqui está uma lista de países* onde o ransomware não funcionará:
- RU - Rússia
- BY - Bielorrússia
- KZ - Cazaquistão
- UZ - Uzbequistão
- TJ - Tadjiquistão
- KG - Quirguistão
- AZ - Azerbaijão
- UA - Ucrânia
- AM - Armênia
- SY - Síria
Os autores do STOP/Djvu têm raízes russas. Os fraudadores usam o idioma russo e palavras russas escritas em inglês, e os domínios são registrados por meio de empresas de registro de domínios russas.
O malware cria uma pasta dentro do diretório %\AppData\Local\%. O novo arquivo é nomeado usando um UUID Versão4 gerado aleatoriamente usando as funções UuidCreate e UuidToStringW. Quando uma pasta é criada usando CreateDirectoryW, o malware cria uma cópia de si mesmo dentro dessa localização.
Em seguida, o malware usa o "icacls.exe", uma ferramenta de linha de comando do Windows, para proteger essa pasta com um comando que tenta executar o DJVU com permissões elevadas. Em seguida, ele usa as APIs ShellExecute com o verbo "runas" para tentar se executar novamente com direitos de administrador. Dependendo da configuração da máquina da vítima, uma caixa de diálogo de controle de conta (UAC) pode ser exibida, pedindo ao sistema que conceda direitos de administrador ao processo. Se o malware rodar com esses privilégios, ele permite a criptografia de arquivos mais críticos no sistema.
A carga é iniciada com permissões elevadas com os argumentos "-Admin IsNotAutoStart IsNotTask". O ransomware STOP/Djvu, em seguida, cria persistência através do agendador de tarefas usando o schtasks.exe como métodos conhecidos de criação de tarefas, o que significa que eles são mais propensos a serem detectados.
Em seguida, a carga extrai o endereço MAC da placa de rede e cria um hash MD5 desse endereço. Em seguida, usa esse hash MD5 para se conectar ao sistema C2 malicioso através do URL: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. A resposta a esta mensagem é armazenada no arquivo "Bowsakkdestx.txt", localizado no diretório %\AppData\Local\%.
O valor armazenado neste arquivo é a chave pública e o identificador. A ameaça também salva o identificador no novo arquivo criado C:\SystemID\PersonalID.txt.
Depois que as chaves são salvas, o malware também se liga a dois domínios adicionais, um dos quais foi identificado como servindo o infostealer RedLine desde novembro de 2022. Esses URLs são:
Para continuar a salvar, o malware cria uma chave de inicialização de registro chamada "SysHelper" no caminho do registro "HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run".
Em seguida, antes que o processo de criptografia comece, o malware cria um mutex nomeado "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". Ransomware muitas vezes cria mutexes para evitar a criptografia dupla, tornando o arquivo irreparável. O malware também contém uma chave pública e identificador codificados.
Durante o processo de criptografia, o ransomware Djvu ignora os seguintes arquivos e extensões:
- ntuser.dat
- ntuser.dat.LOG1
- ntuser.dat.LOG2
- ntuser.pol
- *.regtrans-ms
- *.sys
- *.ini
- *.blf
- *.bat
- *.lnk
O ransomware STOP/Djvu também contém uma lista de exclusão que se refere a pastas principais que fazem parte do sistema operacional Windows. Além disso, o malware procura por um nome de arquivo codificado com um nome rígido com extensão .jpg. No entanto, o objetivo de procurar por esse arquivo precisa ser esclarecido. Por fim, durante o processo de criptografia, o malware salva o arquivo _readme.txt na raiz da unidade C:\.
Recuperar arquivos criptografados pelo STOP/Djvu
Você pode, é claro, pagar aos golpistas um resgate, mas eles são golpistas, então não há garantia de que você obterá a chave de descriptografia. Além disso, os fraudadores podem ignorá-lo após o pagamento e não ter nada a fazer a não ser procurar uma maneira alternativa de recuperar seus arquivos. Existem certas restrições sobre quais arquivos podem ser recuperados. Portanto, você pode adequadamente descriptografar informações criptografadas com chaves off-line que os desenvolvedores do Decryptor da Emsisoft possuem. No entanto, você não pode descriptografar arquivos com ID ONLINE, e algumas das últimas formas do STOP/DJVU desenvolvidas após agosto de 2019. Quanto às versões mais antigas, os arquivos também podem ser descriptografados usando pares de arquivos criptografados/fonte fornecidos no portal de envio STOP Djvu.
Como evitar ser infectado?
Embora não haja uma regra de ouro para evitar ransomware, você deve seguir regras específicas para manter seus arquivos seguros e o sistema do seu computador limpo. Proteger contra ransomware é importante porque os vírus de computador baseados em criptografia podem danificar permanentemente seus arquivos. A seguir estão algumas dicas para ajudar a prevenir uma infecção por ransomware ou para ajudar a mitigar seus efeitos:
Faça backup dos seus dados valiosos
Um backup é a melhor maneira de proteger seus dados. Portanto, faça backup dos seus dados em um meio separado que não esteja conectado ao seu sistema. Claro, você não precisa fazer backup de tudo - apenas dos arquivos mais essenciais. Por exemplo, alguns vírus de ransomware podem corromper arquivos armazenados em nuvens de dados online, portanto, um disco rígido externo guardado em uma gaveta será a melhor opção.
Mantenha sempre o seu software e SO atualizados
Ter um sistema e software atualizados significa ter as melhores versões possíveis no momento. O uso de software desatualizado aumenta as chances de seu PC ser hackeado ou infectado. Os desenvolvedores de software lançam atualizações para corrigir bugs, vulnerabilidades e falhas, e instalá-las significa melhorar as fraquezas no software e impedir que hackers as explorem.
Tenha cuidado online
Ter cautela online ajuda a evitar ataques de ransomware. Sugerimos seguir estas dicas para reconhecer e evitar conteúdo perigoso online:
- Não abra e-mails de pessoas das quais você não esperaria receber mensagens.
- Avoid links e anúncios atraentes, mas suspeitos.
- Tome o seu tempo.
- Use senhas fortes.
- Evite torrents que anunciam software hackeado ou keygens.
Use um software de segurança confiável
Instalar uma ferramenta de segurança confiável é a maneira mais eficaz de prevenir ataques de ransomware. Igualmente importante é atualizar regularmente seu software de segurança. Além disso, você deve escolher um software antivírus robusto.