STOP/Djvu Ransomware - ¬ŅQu√© es?

STOP/Djvu Ransomware utiliza el algoritmo de cifrado Salsa20. Esta familia de ransomware es una de las infecciones m√°s populares en el a√Īo 2023.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

STOP/Djvu Ransomware - ¬ŅQu√© necesitas saber?

STOP/Djvu Ransomware

April 26, 2023

No estás solo si tus imágenes JPEG están cifradas por el ransomware STOP/Djvu. Muchas personas enfrentan estos problemas con sus fotos y videos y las víctimas no pueden acceder a ellos después de los ataques de ransomware.

¬ŅQu√© es el Ransomware STOP/Djvu?

El ransomware es lo más desagradable que puedes encontrar en el ciberespacio. No solo piden sumas de dinero colosales, sino que incluso después de pagar el rescate, solo a veces es posible descifrar correctamente estos archivos.

FamiliaSTOP/Djvu Ransomware
Extensiones de archivo ttrd, ttap, ttza, ttwq, mzhi, mzop, mzre, mzqt, azhi, azop, azqt, y otros.
Nota de rescate_readme.txt
AlgoritmoSalsa20
RescateDesde $490 hasta $980 (en Bitcoins)
DetecciónRansom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb
Da√Īo
  1. ‚ģě Solo cifra los primeros 150 Kb de los archivos;
  2. ‚ģě Puede eliminar las copias de sombra del volumen para que los intentos del usuario de restaurar los datos sean imposibles;
  3. ‚ģě Instala el malware de robo de contrase√Īas Redline, Vidar, Amadey, DcRat en el dispositivo de la v√≠ctima antes del cifrado;
Distribución
  1. ‚ģě Software y torrents piratas;
  2. ‚ģě Scripts maliciosos;
  3. ‚ģě Sitios sospechosos que ofrecen descargar videos.

STOP/Djvu es solo una de las muchas amenazas que comparten caracter√≠sticas y or√≠genes comunes con el ransomware STOP, pero algunos m√©todos de afectaci√≥n de tipos de archivo y encriptaci√≥n de extensiones de archivo difieren. El ransomware obtuvo su apodo porque una de las primeras integraciones del programa agreg√≥ la extensi√≥n *.djvu a los archivos encriptados. Sin embargo, vale la pena se√Īalar que *.djvu es un formato de archivo leg√≠timo que desarroll√≥ AT&T para almacenar documentos escaneados, similar al formato *.pdf de Adobe.

Muestras recibidas de STOP/Djvu

¬ŅC√≥mo funciona?

Aunque el ransomware STOP original se descubri√≥ en febrero de 2018, desde entonces ha evolucionado y su familia de clones y derivados ha crecido. Las nuevas variantes DJVU incluyen varias capas de ofuscaci√≥n que buscan ralentizar la verificaci√≥n por parte de investigadores y herramientas de an√°lisis automatizadas. STOP/DJVU utiliza el cifrado RSA, uno de los grupos de ransomware m√°s com√ļnmente utilizados, centr√°ndose en los sistemas operativos Windows. Existen dos opciones clave: claves offline y online.

  • CLAVE OFFLINE - indica que los archivos est√°n cifrados en modo offline.
  • CLAVE ONLINE - fue generada por el servidor de ransomware. Significa que el servidor de ransomware gener√≥ un conjunto aleatorio de claves utilizadas para cifrar los archivos. No es posible descifrar dichos archivos.

Como se mencionó anteriormente, existen alrededor de 600 variantes de STOP/DJVU. Por lo tanto, las extensiones que se agregan a los archivos cifrados son diferentes entre ellas: .ttrd, .ttap, .ttza, .ttwq, .mzhi, .mzop, .mzre, .mzqt, .azhi, .azop, .azqt, y otras. Después de que STOP/DJVU invade el sistema, descarga automáticamente varios programas que ayudan al ransomware a cifrar todos los archivos sin interrupción. Al final del cifrado, se deja un archivo de texto con instrucciones para que la víctima contacte al grupo y pague el rescate. Desafortunadamente, no hay garantía de que se puedan restaurar los archivos después de pagar el rescate.

Nota de rescate de STOP/Djvu: "_readme.txt"

La nota de rescate es la misma para toda la familia de ransomware. De hecho, es una de las principales se√Īales para determinar a qu√© familia pertenece un determinado ransomware. Aqu√≠ est√° la nota t√≠pica para la familia STOP/Djvu:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-4vhLUot4Kz
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
support@freshmail.top

Reserve e-mail address to contact us:
datarestorehelp@airmail.cc

Your personal ID:
****************

¬ŅC√≥mo ocurre la infecci√≥n de STOP/Djvu?

Dado que DJVU no tiene un método de infección predeterminado, el vector de infección de DJVU puede variar. Debido a esto, los atacantes tienen un enfoque bastante flexible, lo que dificulta que los defensores predigan y detecten los signos iniciales de compromiso. Por ejemplo, los correos electrónicos no deseados que utilizan archivos adjuntos corruptos solían ser el método principal de propagación del ransomware. Sin embargo, STOP/Djvu puede disfrazarse como una amplia gama de tipos de archivos en sitios web de torrents piratas.

Software pirata y torrents

Las formas más comunes de contraer esta infección son los intentos de descargar software pirateado con la verificación de licencia desactivada. Sin embargo, dado que el antivirus casi siempre reacciona a los keygens, la descripción de dichos programas generalmente dice "desactivar el software antivirus durante la instalación". Por lo tanto, el usuario da luz verde al ransomware.

Falsos archivos .exe

Otra ruta de infecci√≥n popular es a trav√©s de extensiones de archivo falsas. Por ejemplo, los usuarios inexpertos que intentan descargar alg√ļn archivo, como un documento de Word, pueden encontrar un archivo con una doble extensi√≥n *.dox.exe. En este caso, la √ļltima extensi√≥n ser√° la real, que el usuario probablemente ni siquiera notar√°, ya que el icono del archivo ser√° id√©ntico al del archivo .dox real. Por lo tanto, es esencial prestar atenci√≥n a las extensiones que se descargan en la computadora.

Scripts maliciosos

El ransomware STOP/Djvu tambi√©n puede propagarse a trav√©s de scripts maliciosos. Por lo general, dichos scripts se pueden encontrar en sitios sospechosos. Por ejemplo, al visitar muchos sitios web pornogr√°ficos en redes inseguras o compartir archivos utilizando estas plataformas, tarde o temprano infectar√° su computadora. Adem√°s, al hacer clic en pop-ups o banners enga√Īosos en estas plataformas, puede provocar redireccionamientos frecuentes de su navegador al sitio. Finalmente, al registrarse en alertas o notificaciones push en estas plataformas, el malware obtendr√° acceso a su computadora.

Spam

Los criminales envían correos electrónicos no deseados con información falsa en el encabezado, haciendo que la víctima crea que fue enviado por una empresa de envíos como DHL o FedEx. El correo electrónico le dice a la víctima que intentaron entregar el paquete, pero no tuvieron éxito. A veces, los correos electrónicos afirman ser avisos de un envío que realizaste. Sin embargo, el correo electrónico contiene un archivo adjunto infectado. Abrirlo no terminará bien.

Adem√°s, DJVU a menudo colabora con otros tipos de malware: Redline, Vidar, Amadey, DcRat, etc. Por ejemplo, puede desplegar robo de informaci√≥n en los dispositivos de las v√≠ctimas antes de cifrarlos. Esta relaci√≥n con otras familias de malware hace que DJVU sea a√ļn m√°s destructivo. Adem√°s, DJVU en s√≠ mismo puede ser desplegado como una carga √ļtil de la familia de distribuidores de malware SmokeLoader.

Ejecución paso a paso de STOP/Djvu

El ransomware STOP/Djvu comienza su cadena de ejecuci√≥n con varios niveles de ofuscaci√≥n dise√Īados para ralentizar el an√°lisis de su c√≥digo por parte de los analistas de amenazas y de las cajas de arena automatizadas. La actividad maliciosa de DJVU comienza cuando se vuelve a proteger la secci√≥n de mont√≥n para que el archivo ejecutable cargue alg√ļn shellcode cifrado contenido en el archivo Portable Executable (PE) de inicio. Esta primera etapa del shellcode est√° cifrada utilizando el Tiny Encryption Algorithm (TEA). Los autores del malware hicieron un esfuerzo separado para ocultar las constantes de cifrado como un m√©todo adicional de anti-an√°lisis. Esto probablemente se hizo para evitar la detecci√≥n ya que el malware suele utilizar el algoritmo TEA.

Esta primera etapa del shellcode luego desempaqueta la segunda, cifrada con un algoritmo XOR b√°sico, donde la clave se cambia usando un algoritmo de generaci√≥n de n√ļmeros pseudorandom predecible. Luego se carga en memoria utilizando el m√©todo Virtual Alloc m√°s habitual. El segundo paso del shellcode inicia un nuevo proceso utilizando el mismo binario. Finalmente, utiliza una limpieza del proceso para inyectar una copia desenredada del malware en el nuevo proceso. Aqu√≠ es donde finalmente comienza la carga √ļtil.

La actividad maliciosa de la amenaza comienza determinando d√≥nde se encuentra territorialmente el dispositivo de la v√≠ctima. Para hacerlo, verifica la ubicaci√≥n del dispositivo utilizando el servicio de b√ļsqueda de GeoIP mediante la siguiente solicitud GET a api.2ip.ua/geo.json.

2ip-ua

A continuaci√≥n, el malware se conecta a este sitio utilizando InternetOpenUrlW y lee la respuesta geo.json a trav√©s de InternetReadFile. Despu√©s de recibir la respuesta, el malware la compara con la lista de c√≥digos de pa√≠s de la Comunidad de Estados Independientes (CEI). Si el c√≥digo del pa√≠s de la v√≠ctima coincide con uno de los siguientes pa√≠ses, la carga √ļtil no se ejecutar√°, y el malware dejar√° de existir. Aqu√≠ hay una lista de pa√≠ses* donde el ransomware no funcionar√°:

  • RU - Rusia
  • BY - Bielorrusia
  • KZ - Kazajist√°n
  • UZ - Uzbekist√°n
  • TJ - Tayikist√°n
  • KG - Kirguist√°n
  • AZ - Azerbaiy√°n
  • UA - Ucrania
  • AM - Armenia
  • SY - Siria
* la ejecuci√≥n contin√ļa si el pa√≠s no coincide con los pa√≠ses de esta lista.
Los autores de STOP/Djvu tienen raíces rusas. Los estafadores usan el idioma ruso y palabras rusas escritas en inglés y los dominios registrados a través de empresas de registro de dominios rusas.

El malware crea una carpeta dentro del directorio %\AppData\Local\%. El nuevo archivo se nombra utilizando un UUID Versión4 generado aleatoriamente usando las funciones UuidCreate y UuidToStringW. Cuando se crea una carpeta utilizando CreateDirectoryW, el malware crea una copia de sí mismo dentro de esa ubicación.

Proteger carpeta que intenta ejecutar DJVU con permisos elevados

A continuación, el malware utiliza "icacls.exe", una herramienta de línea de comandos de Windows, para proteger esta carpeta con un comando que intenta ejecutar DJVU con permisos elevados. Luego utiliza las APIs de ShellExecute con el verbo "runas" para intentar volver a ejecutarse con derechos de administrador. Dependiendo de la configuración de la máquina de la víctima, puede aparecer una ventana de control de cuenta de usuario (UAC), solicitando al sistema que conceda derechos de administrador al proceso. Si el malware se ejecuta con estos privilegios, permite cifrar archivos más críticos en el sistema.

intenta ejecutarse a sí mismo con permisos de administrador

La carga √ļtil se ejecuta con permisos elevados con los argumentos "-Admin IsNotAutoStart IsNotTask". Luego, el ransomware STOP/Djvu crea persistencia a trav√©s del programador de tareas utilizando schtasks.exe como m√©todo conocido de creaci√≥n de tareas, lo que significa que es m√°s probable que se detecten.

ejecutable Schtasks.exe

Luego, la carga √ļtil extrae la direcci√≥n MAC de la tarjeta de red y crea un hash MD5 de esa direcci√≥n. Luego usa ese hash MD5 para conectarse al sistema malicioso C2 a trav√©s de la URL: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. La respuesta a este mensaje se almacena en el archivo "Bowsakkdestx.txt", ubicado en el directorio %\AppData\Local\%.

Bowsakkdestx.txt

El valor almacenado en este archivo es la clave p√ļblica e identificador. La amenaza tambi√©n guarda el identificador en el archivo reci√©n creado C:\SystemID\PersonalID.txt.

PersonalID.txt

Una vez que se guardan las claves, el malware también se vincula a dos dominios adicionales, uno de los cuales se ha identificado como que sirve al infostealer RedLine desde noviembre de 2022. Estas URL son:

Redline infostealer

Para ahondar en la persistencia, el malware crea una clave de inicio de registro llamada "SysHelper" bajo la ruta de registro "HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run".

SysHelper

Luego, antes de que comience el proceso de cifrado, el malware crea un mutex llamado "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". El ransomware a menudo crea mutexes para evitar el doble cifrado, lo que hace que el archivo sea irrecoverable. El malware tambi√©n contiene una clave p√ļblica e identificador codificados.

1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D

Durante el proceso de cifrado, el Ransomware Djvu omite los siguientes archivos y extensiones:
  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol
  • *.regtrans-ms
  • *.sys
  • *.ini
  • *.blf
  • *.bat
  • *.lnk

El ransomware STOP/Djvu también contiene una lista de exclusión que se refiere a las carpetas principales que forman parte del sistema operativo Windows. Además, el malware busca un nombre de archivo codificado en duro con extensión .jpg. Sin embargo, es necesario aclarar el propósito de buscar este archivo. Finalmente, durante el proceso de cifrado, el malware guarda el archivo _readme.txt en la raíz de la unidad C:\.

Recuperar archivos cifrados por STOP/Djvu

Puedes, por supuesto, pagar el rescate a los estafadores, pero son estafadores, así que no hay garantía de que obtendrás la clave de descifrado. Además, los estafadores pueden ignorarte después del pago y no tienen más que buscar una forma alternativa de recuperar tus archivos. Existen ciertas restricciones sobre qué archivos se pueden recuperar. Por lo tanto, puedes descifrar adecuadamente la información cifrada con claves offline que tienen los desarrolladores de Emsisoft Decryptor. Sin embargo, no puedes descifrar archivos con ID ONLINE y algunas formas más recientes de STOP/DJVU desarrolladas después de agosto de 2019. En cuanto a las versiones antiguas, los archivos también se pueden descifrar usando los pares de archivo cifrado/fuente proporcionados en el portal de envío de STOP Djvu de Emsisoft Decryptor.

¬ŅC√≥mo evitar ser infectado?

Aunque no hay una regla de oro para evitar el ransomware, debes seguir ciertas reglas para mantener tus archivos seguros y tu sistema inform√°tico limpio. La protecci√≥n contra el ransomware es importante porque los virus inform√°ticos basados en criptograf√≠a pueden da√Īar permanentemente tus archivos. A continuaci√≥n, se presentan algunos consejos para ayudar a prevenir una infecci√≥n de ransomware o para ayudar a mitigar los efectos:

Haga una copia de seguridad de sus datos valiosos

Una copia de seguridad es la mejor manera de proteger sus datos. Así que haga una copia de seguridad de sus datos en un medio separado que no esté conectado a su sistema. Por supuesto, no necesita hacer una copia de seguridad de todo, solo de los archivos más importantes. Por ejemplo, algunos virus de ransomware pueden corromper los archivos almacenados en la nube de datos en línea, por lo que un disco duro externo guardado en un cajón será la mejor opción.

Mantenga siempre su software y sistema operativo actualizados

Tener un sistema y software actualizado significa tener las mejores versiones posibles en ese momento. El uso de software obsoleto aumenta las posibilidades de que su PC sea pirateada o infectada. Los desarrolladores de software lanzan actualizaciones para corregir errores, vulnerabilidades y fallas, e instalarlas significa mejorar las debilidades del software y evitar que los piratas inform√°ticos las exploten.

Tenga cuidado en línea

Tener precaución en línea ayuda a prevenir ataques de ransomware. Sugerimos seguir estos consejos para reconocer y evitar contenido peligroso en línea:

  • No abra correos electr√≥nicos de personas que no esperar√≠a que le escribieran.
  • Evite enlaces y anuncios atractivos pero sospechosos.
  • T√≥mese su tiempo.
  • Use contrase√Īas seguras.
  • Mant√©ngase alejado de torrents que anuncian software pirateado o keygens.

Use software de seguridad confiable

Instalar una herramienta de seguridad confiable es la forma m√°s efectiva de prevenir ataques de ransomware. Igualmente importante es actualizar su software de seguridad regularmente. Adem√°s, debe elegir un software antivirus robusto.