STOP Djvu Ransomware

Von GoldSparrow in Ransomware

Übersetzen Sie in:

Die STOP-Ransomware-Familie, auch STOP Djvu Ransomware-Familie genannt, ist eine bedrohliche Malware. Das STOP Djvu ist nur eine der zahlreichen Bedrohungen, die gemeinsame Merkmale aufweisen und von der STOP-Ransomware stammen, obwohl einige ihrer Methoden zur Beeinflussung von Dateitypen und zur Verschlüsselung von Dateierweiterungen unterschiedlich sind.

Die ursprüngliche STOP Ransomware wurde bereits im Februar 2018 von Sicherheitsforschern entdeckt. Seitdem hat sie sich jedoch weiterentwickelt und ihre Familie von Klonen und Ablegern ist gewachsen. Die primäre Methode zur Verbreitung der STOP-Ransomware waren Spam-E-Mail-Kampagnen mit beschädigten Anhängen.

Die STOP Djvu-Ransomware verhält sich ähnlich wie andere Ransomware-Bedrohungen dieser Art und verschlüsselt und blockiert den Zugriff auf Schlüsseldateien, die Benutzer möglicherweise in ihrem System verwenden. Persönliche Dateien, Bilder, Dokumente und mehr können für alle Benutzer auf dem Computer verschlüsselt und im Wesentlichen deaktiviert werden. STOP Djvu Ransomware wurde erstmals im Dezember 2018 in einer anscheinend recht erfolgreichen Online-Infektionskampagne entdeckt. Die Forscher waren sich der Verbreitung der Ransomware nicht bewusst, aber spätere Opfer berichteten, dass sie Infektionen entdeckten, nachdem sie Keygens oder Risse heruntergeladen hatten. Sobald die Infiltration erfolgt ist, ändert STOP Djvu Ransomware die Windows-Einstellungen und hängt Dateien mit einer Reihe von Namen an, z. B. .djvu, .djvus, .djvuu, .uudjvu, .udjvu oder .djvuq sowie die aktuellen Erweiterungen .promorad und .promock. Die neueren Versionen haben noch keinen Entschlüsseler, aber die älteren können mit dem STOPDecrypter entschlüsselt werden. Benutzern wird empfohlen, kein Lösegeld zu zahlen, egal was passiert.

Die Methode zum Blockieren des Zugriffs auf die Dateien verwendet den RSA-Verschlüsselungsalgorithmus. Obwohl die Entschlüsselung der Dateien für unerfahrene Benutzer schwierig erscheinen mag, besteht definitiv keine Notwendigkeit, Anstrengungen zu unternehmen, um die Personen zu bezahlen, die hinter der Bedrohung stehen. In solchen Situationen werden normalerweise falsche Versprechungen gemacht, sodass Benutzer schnell feststellen können, dass sie nach erfolgter Zahlung ignoriert werden.

Angriffe auf die STOP Djvu-Ransomware wurden erstmals Ende 2018 gemeldet. Die Hauptverteilungsmethode für die STOP Djvu blieb Spam-E-Mails, und Änderungen am Kern der Ransomware waren relativ gering. Die meisten gefälschten, kompromittierten Anhänge, die in den Spam-E-Mails verwendet wurden, waren makrofähige Office-Dokumente oder gefälschte PDF-Dateien, auf denen die Ransomware ohne Wissen des Opfers ausgeführt wurde. Das Verhalten des STOP Djvu hat sich ebenfalls nicht wesentlich geändert. Die Ransomware löscht weiterhin alle Shadow Volume-Snapshots, um Backups zu entfernen, und beginnt dann mit der Verschlüsselung der Dateien des Opfers.

Es gibt geringfügige Änderungen an der Lösegeldnotiz, die als '_openme.txt' auf dem Desktop des Opfers gespeichert wird. Den Text der Lösegeldnotiz finden Sie hier:

'[Lösegeldschein starten]
———————— ALLE IHRE DATEIEN SIND EINGESCHRIEBEN ————————

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien werden mit der stärksten Verschlüsselung und einem eindeutigen Schlüssel verschlüsselt.
Die einzige Methode zum Wiederherstellen von Dateien besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software entschlüsselt alle Ihre verschlüsselten Dateien.
Welche Garantien geben wir Ihnen?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Wir können aber nur 1 Datei kostenlos entschlüsseln. Die Datei darf keine wertvollen Informationen enthalten
Versuchen Sie nicht, Entschlüsselungstools von Drittanbietern zu verwenden, da diese Ihre Dateien zerstören.
Rabatt 50% verfügbar, wenn Sie uns in den ersten 72 Stunden kontaktieren.

————————————————————————————————————

Um diese Software zu erhalten, müssen Sie in unsere E-Mail schreiben:
helpshadow@india.com

Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
helpshadow@firemail.cc

Ihre persönliche ID: [Zeichenfolge]
[Lösegeldscheinende] '

Die Ransomware beschränkte sich darauf, die verschlüsselten Dateien ursprünglich mit der Erweiterung .djvu umzubenennen. Dies war eine seltsame Wahl, da .djvu tatsächlich ein legitimes Dateiformat ist, das von den AT & T Labs entwickelt und zum Speichern gescannter Dokumente verwendet wurde, ähnlich dem PDF von Adobe. Spätere Versionen der Ransomware haben eine Reihe anderer Erweiterungen für verschlüsselte Dateien übernommen, darunter ".chech", ".luceq", ".kroput1", ".charck", ".kropun", ".luces", ".pulsar1". '' .uudjvu, '' .djvur, '' .tfude, '' .tfudeq 'und' .tfudet '.

Bestimmte Stämme der STOP Djvu Ransomware können mit dem sogenannten Sicherheits-STOPDecrypter, der vom Sicherheitsforscher Michael Gillespie entwickelt wurde und online als kostenloser Download verfügbar ist, kostenlos entschlüsselt werden.