El ransomware STOP/DJVU (Guía 2023)

by Brendan Smith
abril 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
El ransomware STOP (DJVU) codifica los datos de los usuarios con el algoritmo AES-256 (modo CFB). Sin embargo, no cifra el archivo completo, sino aproximadamente los primeros 5 MB. Posteriormente, pide un rescate de $980 en Bitcoin equivalente para restaurar los archivos.

Los autores del malware tienen raíces rusas. Utilizan el idioma ruso y palabras rusas escritas en inglés, y los dominios están registrados a través de compañías de registro de dominios rusas. Es muy probable que los estafadores tengan aliados en otros países.

Información técnica del ransomware DJVU

Muchos usuarios indican que el cryptoware se inyecta después de descargar instaladores repackaged e infectados de programas populares, activadores pirateados de MS Windows y MS Office (como KMSAuto Net, KMSPico, etc.) distribuidos por los estafadores a través de sitios web populares. Esto se refiere tanto a aplicaciones gratuitas legítimas como a software pirateado ilegal.

El cryptoware también puede propagarse a través de la piratería informática mediante la configuración RDP mal protegida a través de correo no deseado y archivos adjuntos maliciosos, descargas engañosas, exploits, inyectores web, actualizaciones defectuosas, instaladores repackaged e infectados, entre otros.

La lista de extensiones de archivo sujetas a encriptación:

  • Documentos de MS Office u OpenOffice
  • Archivos PDF y de texto
  • Bases de datos
  • Fotos, música, videos o archivos de imagen
  • Archivos de aplicaciones, etc.

El ransomware STOP/DJVU suelta archivos (notas de rescate) denominados !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt y !readme.txt. El .djvu* y las variantes más recientes: _openme.txt, _open_.txt o _readme.txt

Etapas de la infección por criptoware

  1. Una vez lanzado, el ejecutable del cryptoware se conecta al servidor de comando y control (C&C). Posteriormente, obtiene la clave de cifrado y el identificador de infección para la PC de la víctima. Los datos se transfieren mediante el protocolo HTTP en forma de JSON.
  2. Si el servidor C&C no está disponible (cuando la PC no está conectada a Internet o el servidor no responde), el cryptoware utiliza la clave de cifrado especificada directamente que está oculta en su código y realiza el cifrado de manera autónoma. En este caso, es posible descifrar los archivos sin pagar el rescate.
  3. El cryptoware utiliza rdpclip.exe para reemplazar el archivo legítimo de Windows e implementar el ataque en la red de la computadora.
  4. Después de cifrar correctamente los archivos, el cifrador es eliminado de manera autónoma mediante el archivo de comando del programa delself.bat.

Artículos asociados

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
Tareas: "Azure-Update-Task"
Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Tráfico de red

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

Detección antivirus

Crackithub.com, kmspico10.com, crackhomes.com y piratepc.net son algunos de los sitios de distribución del ransomware STOP. ¡Cualquier programa descargado desde allí puede estar infectado con este ransomware!

Además de cifrar los archivos de la víctima, la familia DJVU también instala el spyware Azorult para robar credenciales de cuentas, carteras de criptomonedas, archivos de escritorio y mucho más.

¿Cómo descifrar los archivos del ransomware STOP/DJVU?

Djvu Ransomware tiene esencialmente dos versiones.

  1. Versión Antigua: La mayoría de las extensiones antiguas (desde “.djvu” hasta “.carote (v154)”) eran previamente decodificadas por la herramienta STOPDecrypter en caso de archivos infectados con una clave offline. Ese mismo soporte se ha incorporado en el nuevo Emsisoft Decryptor para estas antiguas variantes de Djvu. El descifrador solo decodificará los archivos sin enviar pares de archivos si tiene una CLAVE OFFLINE.
  2. Versión Nueva: Las extensiones más recientes se lanzaron a finales de agosto de 2019 después de que se modificara el ransomware. Esto incluye .nury, nuis, tury, tuis, etc. … estas nuevas versiones solo fueron compatibles con Emsisoft Decryptor.

¿Qué es un “par de ficheros”?

Se trata de un par de archivos idénticos (es decir, con los mismos datos exactos), salvo que un duplicado está cifrado y el otro no.

¿Cómo identificar la clave offline u online?

El archivo SystemID/PersonalID.txt creado por STOP (DJVU) en su unidad C contiene todos los ID utilizados en el proceso de cifrado.

Casi todas las ID sin conexión terminan con “t1”. Se puede verificar la encriptación con una CLAVE SIN CONEXIÓN al ver la ID personal en la nota _readme.txt y en el archivo C:\SystemID\PersonalID.txt.

La forma más rápida de comprobar si se ha infectado con una LLAVE OFFLINE u ONLINE es:

  1. Encuentra el archivo PesonalID.txt ubicado en la carpeta C:\SystemID\ en la máquina infectada y verifica si hay una o varias IDs.
  2. Si la ID termina con “t1“, existe la posibilidad de que algunos de tus archivos hayan sido encriptados con una CLAVE SIN CONEXIÓN y se puedan recuperar.
  3. Si ninguna de las IDs enumeradas termina con “t1”, entonces es probable que todos tus archivos hayan sido encriptados con una CLAVE EN LÍNEA y no se puedan recuperar ahora.

Llaves online y offline – ¿Qué significa?

La CLAVE SIN CONEXIÓN indica que los archivos se encriptaron en modo sin conexión. Después de descubrir esta clave, se agregará al descifrador y los archivos podrán ser descifrados.

La CLAVE EN LÍNEA se genera en el servidor del ransomware. Significa que el servidor del ransomware generó un conjunto aleatorio de claves que se utilizaron para encriptar los archivos. No es posible descifrar dichos archivos.

La encriptación con el algoritmo RSA utilizado en las últimas variantes de DJVU no permite el uso de un par de archivos “encriptado + original” para entrenar el servicio de descifrado. Este tipo de encriptación es resistente a la piratería y es imposible descifrar los archivos sin una clave privada. Incluso una supercomputadora necesitaría 100.000 años para calcular dicha clave.

Extensión de archivos encriptados

I. Grupo STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. Grupo Puma

puma, pumax, pumas, shadow

III. Grupo Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. Grupo Gero (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

La lista de correos electrónicos DJVU conocidos:

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

La lista de los últimos STOP(DJVU) Ransomware

Sending
User Review
0 (0 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

Inglés Alemán Japonés Portugués, Brasil Francés Turco Chino tradicional Coreano Indonesio Hindi Italiano

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending