STOP/DJVU ランサムウェア (2023年版ガイド)

by Brendan Smith
4月 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
STOP (DJVU) ransomwareは、AES-256アルゴリズム(CFBモード)を使用してユーザーのデータを暗号化します。ただし、ファイル全体を暗号化するのではなく、先頭の約5 MBを暗号化します。その後、ファイルを復元するために980ドル相当のビットコインで身代金を要求します。

このマルウェアの作者はロシアのルーツを持ちます。詐欺師はロシア語を使用し、英語で書かれたロシア語の単語や、ロシアのドメイン登録会社を通じて登録されたドメインを使用しています。犯罪者たちはおそらく他の国々の協力者を持っているでしょう。

DJVU Ransomwareの技術情報

多くのユーザーは、人気のあるプログラムの改変された感染したインストーラーや、不正なMS WindowsおよびMS Officeのアクティベーター(KMSAuto Net、KMSPicoなど)を詐欺師が人気のあるウェブサイトを通じて配布することで、この暗号化ウイルスが注入されたことを報告しています。これは合法的な無料アプリケーションと違法な海賊版ソフトウェアの両方に関連しています。

この暗号化ウイルスは、電子メールスパムや悪意のある添付ファイル、誤解を招くダウンロード、エクスプロイト、Webインジェクター、誤った更新、改変された感染したインストーラーを介して、保護が不十分なRDP構成をハッキングして広まることもあります。

暗号化の対象となるファイル拡張子の一覧です:

  • MS OfficeまたはOpenOfficeドキュメント
  • PDFおよびテキストファイル
  • データベース
  • 写真、音楽、ビデオ、または画像ファイル
  • アーカイブ
  • アプリケーションファイルなど

STOP/DJVU Ransomwareのドロップファイル(ランサムノート)という名前のファイルです。 !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt と !readme.txt. .djvu*と新しい亜種です: _openme.txt、_open_.txt または _readme.txt です。

クリプトウェアの感染ステージ

  1. クリプトウェアの実行ファイルが起動されると、Command and Control サーバー (С&C) に接続します。その後、被害者の PC の暗号化キーと感染識別子を取得します。データは、JSON 形式で HTTP プロトコルで転送されます。
  2. С&C が利用できない場合 (PC がサーバーに接続されていないか、インターネットに反応しない場合)、クリプトウェアは直接指定された暗号化キーをコードに隠して適用し、自律的に暗号化を実行します。この場合、身代金を支払わずにファイルを復号化することができます。
  3. クリプトウェアは、rdpclip.exe を使用して、合法的な Windows ファイルを置き換え、コンピュータネットワーク攻撃を実行します。
  4. ファイルの暗号化に成功したら、暗号化ソフトウェアは delself.bat コマンドファイル を使用して自律的に削除されます。

関連項目

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
タスク: "Azure-Update-Task"
レジストリ: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

ネットワークトラフィック

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

アンチウイルス検出

Crackithub.com、kmspico10.com、crackhomes.com、piratepc.netは、STOP Ransomwareの配布サイトの一部である。そこからダウンロードされたプログラムは、このランサムウェアに感染する可能性があります!

DJVUファミリーは、被害者のファイルを暗号化するだけでなく、Azorultスパイウェアをインストールして、アカウント認証情報、暗号通貨ウォレット、デスクトップファイルなどを盗んでいます。

STOP/DJVU Ransomwareのファイルを復号化する方法とは?

Djvu Ransomwareは、基本的に2つのバージョンを持っています。

  1. 旧バージョン: 古い拡張子 (“.djvu” から “.carote (v154)” まで) の復号化については、STOPDecrypter ツールによってオフラインキーで感染したファイルの大部分が以前にサポートされていました。この同じサポートは、古い Djvu 変種用の新しい Emsisoft Decryptor に統合されました。オフラインキーがある場合、ファイルペアを提出せずにファイルを復号化することができます。
  2. 新しいバージョン: 最新の拡張子は、ランサムウェアが変更された2019年8月末頃にリリースされました。これには、.nury、nuis、tury、tuis などが含まれます。これらの新しいバージョンは、Emsisoft Decryptor でのみサポートされています。

    3. ファイルペア」とは何ですか?

    同一のファイル(正確には同じデータ)でありながら、片方が暗号化され、もう片方が暗号化されていないファイルのペアです。

    オフラインキーとオンラインキーの識別方法は?

    SystemID/PersonalID.txt ファイルは、あなたの C ドライブに STOP (DJVU) によって作成され、暗号化プロセスで使用されるすべて

    ほとんどのオフラインIDは “t1” で終わります。 オフラインキー による暗号化は、_readme.txt ノートと C:\SystemID\PersonalID.txt ファイルで個人IDを確認することで検証できます。

    オフラインキーとオンラインキーのどちらに感染したかを確認する最も簡単な方法は、次のとおりです:

    1. 感染したマシンのフォルダ C:\SystemID\ にある PesonalID.txt ファイルを検索し、1つしかないか、複数あるかを確認します。
    2. もしIDが “t1” で終わっている場合、ファイルの一部が オフラインキー で暗号化され、回復可能な可能性があります。
    3. リストされているIDのいずれもが “t1” で終わっていない場合、すべてのファイルが オンラインキー で暗号化されており、現在回復できない可能性が高いです。

    オンラインキーとオフラインキー – その意味するところは?

    オフライン キーは、ファイルがオフラインモードで暗号化されていることを示します。この鍵を発見すると、復号化装置に追加され、ファイルを復号化することができます。

    オンラインキー – ランサムウェアサーバーによって生成されたものです。ランサムウェアサーバーが、ファイルの暗号化に使用するランダムな鍵のセットを生成したことを意味します。このようなファイルを復号化することは不可能です。

    最新のDJVUで使用されているRSAアルゴリズムによる暗号化では、復号化サービスの訓練に「暗号化+オリジナル」ファイルのペアを使用することができません。この種の暗号はクラッキングに強く、秘密鍵がなければファイルを復号化することは不可能です。スーパーコンピューターで計算しても100万年かかると言われています。

    暗号化されたファイルの拡張子

    I. STOPグループ

    STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

    II. プーマグループ

    puma, pumax, pumas, shadow

    III. Djvuグループ

    djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

    IV Geroグループ(RSA)

    gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

    既知のDJVUメールのリストです:

    support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

    最新のSTOP(DJVU) Ransomwareの一覧です。

    Sending
    User Review
    4.3 (10 votes)
    Comments Rating 5 (5 reviews)
    About DJVU/STOP Ransomware
    Article
    About DJVU/STOP Ransomware
    Description
    DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
    Author
    Copyright
    HowToFix.Guide
     

    英語 ドイツ語 スペイン語 ポルトガル語(ブラジル) フランス語 トルコ語 繁体中国語 韓国語 インドネシア語 ヒンディー語 イタリア語

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending