DJVU (STOP) Ransomware

Šta je DJVU (STOP) Ransomware? Šta znaci DJVU (STOP) Ransomware?

DJVU virus kriptor kodifikuje podatke korisnika pomoću algoritma AES-256 (CFB režim). Međutim, ne šifruje celokupnu datoteku, već je samo zaključava. Nakon toga, hakeri traže otkupninu koja iznosi 980 američkih dolara u ekvivalentu Bitcoin-a za vraćanje datoteka.

Autori zlonamernog softvera DJVU Ransomware-a imaju ruske korene. Prevaranti koriste ruski jezik i ruske reči napisane na engleskom jeziku, prevodeći ih preko google translate-a, kao i domene registrovane preko ruskih kompanija za registraciju domena. Lopovi najverovatnije imaju saveznike u drugim zemljama.

DJVU Ransomware tehnički detalji

Mnogi korisnici navode da se kriptoverza – kriptor ubrizgava u sistem nakon preuzimanja prepakivanih i zaraženih instalacija popularnih programa, piratskih aktivatora MS Windows i MS Office (poput KMSAuto Net, KMSPico itd.). Preporuka je da imate instaliran antivirus i da vodite računa o vašim preuzimanjima sa Torrenta. Hakeri ovu vrstu prevare distribuiraju putem popularnih web lokacija.

Ovo se odnosi i na legitimne besplatne aplikacije, ali i na ilegalni piratski softver. Kripter se može širiti i putem hakovanja, pomoću slabo zaštićene konfiguracije RDP-a, putem e-pošte bez neželjene pošte i zlonamernih priloga, neproverenih preuzimanja, eksploatacija, web injektora, neispravnih ažuriranja, prepakovanog i zaraženog instalacionog programa.

Lista ekstenzija datoteka za šifrovanje:

• MS Office ili OpenOffice dokumenti,
• PDF i tekstualne datoteke,
• baze podataka,
• fotografije, muzika, video ili slike,
• arhive, datoteke aplikacija itd…

Stadijumi zaraze DJVU (STOP) Ransomware-om:

1. Jednom pokrenut, izvršni kripter se povezuje na Command i Control server (C&C). Samim tim, on dobija ključ za šifrovanje i identifikator infekcije za PC žrtve. Podaci se prenose po HTTP protokolu u obliku JSON.
2. Ako C&C nije dostupan (u periodima kada računar nije povezan na Internet ne reaguje), zlonamerni kripto softver primenjuje direktno navedeni ključ za šifrovanje, skriven u svom kodu, te vrši autonomnu enkripciju svih fajlova na vašem računaru. U ovom slučaju je moguće dešifrovati datoteke bez plaćanja otkupnine.
3. Kripter koristi rdpclip.exe za zamenu legitimne Windows datoteke i za sprovođenje zlonamernog napada na računarskoj mreži.
4. Nakon uspešne enkripcije datoteke, šifra se automatski uklanja pomoću komandne datoteke delself.bat.

Datoteke koje stradaju:

%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\5.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task 

Registry Entries:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

Mrežni promet:

api.2ip.ua
morgem.ru

Pored šifrovanja datoteka žrtvama, porodica DJVU je takođe instalirala špijunski softver Azorult za krađu podataka računa, novčanika kripto valute, datoteka za radnu površinu i još mnogo toga.

Potpuna lista poznatih kripto ekstenzija DJVU Ransomware datoteka:

.djvuu .uudjvu .blower .tfudet .promok .djvut .djvur .klope .charcl .doples .luces .luceq .chech .proden .drume .tronas .trosak .grovas .grovat .roland .refols .raldug .etols .guvara .browec .norvas .moresa .verasto .hrosas .kiratos .todarius .hofos .roldat .dutan .sarut .fedasot .forasom .berost .fordan .codnat .codnat1 .bufas .dotmap .radman .ferosas .rectot .skymap .mogera .rezuc .stone .redmat .lanset .davda .poret .pidon .heroset .myskle .boston .muslat .gerosan .vesad .horon .neras .truke .dalle .lotep .nusar .litar .besub .cezor .lokas .godes .budak .vusad .herad .berosuce .gehad .gusau .madek .tocue .darus .lapoi .todar .dodoc .novasof .bopador .ntuseg .ndarod .access .format .nelasod .mogranos .nvetud .cosakos .kovasoh .lotej .prandel .zatrov .masok .brusaf .londec .kropun .londec .krusop .mtogas .nasoh .coharos .nacro .pedro .nuksus .vesrato .cetori .masodas .stare .carote .shariz .gero .hese .xoza .seto .peta .moka .meds .kvag .domn .karl .nesa .boot .noos .kuub .mike .reco .bora .leto .nols .werd .coot .derp .nakw .meka .toec .mosk .lokf .peet .grod .mbed .kodg .zobm .rote .msop .hets .righ .gesd .merl .mkos .nbes .piny .redl .kodc .nosu .reha .topi .npsg .btos .repp .alka .bboo .rooe .mmnn .ooss .mool .nppp .rezm .lokd .foop .remk .npsk .opqz .mado .jope .mpaj .lalo .lezp .repl

Kako identifikovati ključ offline ili online – van mreže ili na udaljenom serveru?

 SystemID/PersonalID.txt datoteka kreirana od strane STOP (DJVU) na vašem C disku sadrži sve ID-ove koji se koriste u procesu šifrovanja.

Skoro svaki identitet van mreže – offline ID završava se s „t1“. Šifrovanje preko OFFLINE KEY-a može se proveriti pregledom ličnog ID-a u poruci _readme.txt  na C:\SystemID\PersonalID.txt . Najbrži način da proverite da li ste zaraženi OFFLINE ili ONLINE ključem jeste:

1. Pronađite datoteku PesonalID.txt koja se nalazi u fascikli C:\ SystemID\ na zaraženoj mašini i proverite da li postoji samo jedan ili više ID-ova.
2. Ako se ID završi sa “t1”, postoji šansa da su vaše datoteke šifrovane preko OFFLINE KEY-a i da se mogu povratiti podaci.
3. Ako se nijedan od navedenih ID-ova ne završava sa “t1”, sve vaše datoteke su najverovatnije šifrovane ONLINE KEY – online ključem koji se nalazi na hakerskom serveru i podaci se trenutno ne mogu vratiti.

Online & offline keys – ključevi na udaljenoj lokaciji i ključevi na kompjuteru korisnika, šta to znači?

OFFLINE KEY – označava da su datoteke šifrovane u offline režimu. Nakon što otkrijete ovaj ključ, on će biti dodat u dešifrator – dekriptor i datoteke se mogu dešifrovati i nad njima se izvršiti uspešna dekripcija.

ONLINE KEY – generisao je Ransomware server. To znači da je Ransomware server generisao slučajni skup ključeva koji su korišćeni za šifrovanje datoteka. Taj ključ se nalazi na udaljenom hakerskom serveru kome nažalost nemate pristup.

Fajlovi i podaci koji su šifrovani i čiji se ključ nalazi online je najopasniji oblik. Dešifrovanje takvih datoteka nije moguće. Šifrovanje RSA algoritmom korišćenim u najnovijim varijantama DJVU-a ne dozvoljava da se koristi par „šifrovanih + originalnih“ datoteka za obuku učenja usluge dešifrovanja. Ova sigurna vrsta šifrovanja otporna je na pucanje i nemoguće je dešifrovati datoteke bez privatnog ključa. Čak će i super-računaru trebati 100.000 godina da izračuna takav ključ.

Jedini način da dođete do pravog ključa je da čekate svetsku policiju koja se bavi hapšenjem hakera. Samo ukoliko oni pronađu lozinke na računarima i serverima hakera i postave ih kao javne, možemo se nadati otključavanju velikog broja zaključanih računara i milionima virusom zahvaćenih fajlova širom sveta.