Los autores del malware tienen raíces rusas. Utilizan el idioma ruso y palabras rusas escritas en inglés, y los dominios están registrados a través de compañías de registro de dominios rusas. Es muy probable que los estafadores tengan aliados en otros países.
Información técnica del ransomware DJVU
Muchos usuarios indican que el cryptoware se inyecta después de descargar instaladores repackaged e infectados de programas populares, activadores pirateados de MS Windows y MS Office (como KMSAuto Net, KMSPico, etc.) distribuidos por los estafadores a través de sitios web populares. Esto se refiere tanto a aplicaciones gratuitas legítimas como a software pirateado ilegal.
El cryptoware también puede propagarse a través de la piratería informática mediante la configuración RDP mal protegida a través de correo no deseado y archivos adjuntos maliciosos, descargas engañosas, exploits, inyectores web, actualizaciones defectuosas, instaladores repackaged e infectados, entre otros.
La lista de extensiones de archivo sujetas a encriptación:
- Documentos de MS Office u OpenOffice
- Archivos PDF y de texto
- Bases de datos
- Fotos, música, videos o archivos de imagen
- Archivos de aplicaciones, etc.
El ransomware STOP/DJVU suelta archivos (notas de rescate) denominados !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt y !readme.txt. El .djvu* y las variantes más recientes: _openme.txt, _open_.txt o _readme.txt
Etapas de la infección por criptoware
- Una vez lanzado, el ejecutable del cryptoware se conecta al servidor de comando y control (C&C). Posteriormente, obtiene la clave de cifrado y el identificador de infección para la PC de la víctima. Los datos se transfieren mediante el protocolo HTTP en forma de JSON.
- Si el servidor C&C no está disponible (cuando la PC no está conectada a Internet o el servidor no responde), el cryptoware utiliza la clave de cifrado especificada directamente que está oculta en su código y realiza el cifrado de manera autónoma. En este caso, es posible descifrar los archivos sin pagar el rescate.
- El cryptoware utiliza rdpclip.exe para reemplazar el archivo legítimo de Windows e implementar el ataque en la red de la computadora.
- Después de cifrar correctamente los archivos, el cifrador es eliminado de manera autónoma mediante el archivo de comando del programa delself.bat.
Artículos asociados
C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe C:\Users\Admin\AppData\Local\Temp\C1D2.dll C:\Users\Admin\AppData\Local\Temp\19B7.exe C:\Users\Admin\AppData\Local\Temp\2560.exe Tareas: "Azure-Update-Task" Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
Tráfico de red
clsomos.com.br o36fafs3sn6xou.com rgyui.top starvestitibo.org pelegisr.com furubujjul.net api.2ip.ua morgem.ru winnlinne.com
Detección antivirus
- Win32:Wauchos-AC(Trj)
- Trojan-Ransom.Win32.Polyransom
- Trojan.Buzus
- Trojan:Win32/Rhadamanthys.GHU!MTB
- Trojan:Win32/Smokeloader.GHN!MTB
- Trojan:Win32/RedLine.LD!MTB
- Ransom:MSIL/TankixCrypt.PA!MTB
- Trojan:MSIL/RedLineStealer.EM!MTB
- Ransom.FileCryptor.VMP
- VHO.Trojan.MSIL.Agent
Además de cifrar los archivos de la víctima, la familia DJVU también instala el spyware Azorult para robar credenciales de cuentas, carteras de criptomonedas, archivos de escritorio y mucho más.
¿Cómo descifrar los archivos del ransomware STOP/DJVU?
Djvu Ransomware tiene esencialmente dos versiones.
- Versión Antigua: La mayoría de las extensiones antiguas (desde “.djvu” hasta “.carote (v154)”) eran previamente decodificadas por la herramienta STOPDecrypter en caso de archivos infectados con una clave offline. Ese mismo soporte se ha incorporado en el nuevo Emsisoft Decryptor para estas antiguas variantes de Djvu. El descifrador solo decodificará los archivos sin enviar pares de archivos si tiene una CLAVE OFFLINE.
- Versión Nueva: Las extensiones más recientes se lanzaron a finales de agosto de 2019 después de que se modificara el ransomware. Esto incluye .nury, nuis, tury, tuis, etc. … estas nuevas versiones solo fueron compatibles con Emsisoft Decryptor.
¿Qué es un “par de ficheros”?
Se trata de un par de archivos idénticos (es decir, con los mismos datos exactos), salvo que un duplicado está cifrado y el otro no.
¿Cómo identificar la clave offline u online?
El archivo SystemID/PersonalID.txt creado por STOP (DJVU) en su unidad C contiene todos los ID utilizados en el proceso de cifrado.
Casi todas las ID sin conexión terminan con “t1”. Se puede verificar la encriptación con una CLAVE SIN CONEXIÓN al ver la ID personal en la nota _readme.txt y en el archivo C:\SystemID\PersonalID.txt.
La forma más rápida de comprobar si se ha infectado con una LLAVE OFFLINE u ONLINE es:
- Encuentra el archivo PesonalID.txt ubicado en la carpeta C:\SystemID\ en la máquina infectada y verifica si hay una o varias IDs.
- Si la ID termina con “t1“, existe la posibilidad de que algunos de tus archivos hayan sido encriptados con una CLAVE SIN CONEXIÓN y se puedan recuperar.
- Si ninguna de las IDs enumeradas termina con “t1”, entonces es probable que todos tus archivos hayan sido encriptados con una CLAVE EN LÍNEA y no se puedan recuperar ahora.
Llaves online y offline – ¿Qué significa?
La CLAVE SIN CONEXIÓN indica que los archivos se encriptaron en modo sin conexión. Después de descubrir esta clave, se agregará al descifrador y los archivos podrán ser descifrados.
La CLAVE EN LÍNEA se genera en el servidor del ransomware. Significa que el servidor del ransomware generó un conjunto aleatorio de claves que se utilizaron para encriptar los archivos. No es posible descifrar dichos archivos.
La encriptación con el algoritmo RSA utilizado en las últimas variantes de DJVU no permite el uso de un par de archivos “encriptado + original” para entrenar el servicio de descifrado. Este tipo de encriptación es resistente a la piratería y es imposible descifrar los archivos sin una clave privada. Incluso una supercomputadora necesitaría 100.000 años para calcular dicha clave.
Extensión de archivos encriptados
I. Grupo STOP
STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT
II. Grupo Puma
puma, pumax, pumas, shadow
III. Grupo Djvu
djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,
IV. Grupo Gero (RSA)
gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.
La lista de correos electrónicos DJVU conocidos:
[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
La lista de los últimos STOP(DJVU) Ransomware
- KAAA Virus (.kaaa Archivo) Ransomware Descifrar y restaurar archivos
- UAJS Virus (.uajs Archivo) Ransomware Descifrar y restaurar archivos
- UAZQ Virus (.uazq Archivo) Ransomware Descifrar y restaurar archivos
- VOOK Virus (.vook Archivo) Ransomware Descifrar y restaurar archivos
- LOOY Virus (.looy Archivo) Ransomware Descifrar y restaurar archivos
- KOOL Virus (.kool Archivo) Ransomware Descifrar y restaurar archivos
- NOOD Virus (.nood Archivo) Ransomware Descifrar y restaurar archivos
- WIAW Virus (.wiaw Archivo) Ransomware Descifrar y restaurar archivos
- WISZ Virus (.wisz Archivo) Ransomware Descifrar y restaurar archivos
- LKFR Virus (.lkfr Archivo) Ransomware Descifrar y restaurar archivos
User Review
( votes)
Inglés 
Alemán 
Japonés 
Portugués, Brasil 
Francés 
Turco 
Chino tradicional 
Coreano 
Indonesio 
Hindi 
Italiano
