STOP/Djvu Ransomware
April 26, 2023
¿Qué es el Ransomware STOP/Djvu?
El ransomware es lo más desagradable que puedes encontrar en el ciberespacio. No solo piden sumas de dinero colosales, sino que incluso después de pagar el rescate, solo a veces es posible descifrar correctamente estos archivos.
Familia | STOP/Djvu Ransomware |
Extensiones de archivo | hlas, qual, waqa, watz, veza, vehu, vepi, paaa, qeza, qehu, qepi, y otros. |
Nota de rescate | _readme.txt |
Algoritmo | Salsa20 |
Rescate | Desde $490 hasta $980 (en Bitcoins) |
Detección | Ransom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb |
Daño |
|
Distribución |
|
STOP/Djvu es solo una de las muchas amenazas que comparten características y orígenes comunes con el ransomware STOP, pero algunos métodos de afectación de tipos de archivo y encriptación de extensiones de archivo difieren. El ransomware obtuvo su apodo porque una de las primeras integraciones del programa agregó la extensión *.djvu a los archivos encriptados. Sin embargo, vale la pena señalar que *.djvu es un formato de archivo legítimo que desarrolló AT&T para almacenar documentos escaneados, similar al formato *.pdf de Adobe.
Muestras recibidas de STOP/Djvu
¿Cómo funciona?
Aunque el ransomware STOP original se descubrió en febrero de 2018, desde entonces ha evolucionado y su familia de clones y derivados ha crecido. Las nuevas variantes DJVU incluyen varias capas de ofuscación que buscan ralentizar la verificación por parte de investigadores y herramientas de análisis automatizadas. STOP/DJVU utiliza el cifrado RSA, uno de los grupos de ransomware más comúnmente utilizados, centrándose en los sistemas operativos Windows. Existen dos opciones clave: claves offline y online.
- CLAVE OFFLINE - indica que los archivos están cifrados en modo offline.
- CLAVE ONLINE - fue generada por el servidor de ransomware. Significa que el servidor de ransomware generó un conjunto aleatorio de claves utilizadas para cifrar los archivos. No es posible descifrar dichos archivos.
Como se mencionó anteriormente, existen alrededor de 600 variantes de STOP/DJVU. Por lo tanto, las extensiones que se agregan a los archivos cifrados son diferentes entre ellas: .hlas, .qual, .waqa, .watz, .veza, .vehu, .vepi, .paaa, .qeza, .qehu, .qepi, y otras. Después de que STOP/DJVU invade el sistema, descarga automáticamente varios programas que ayudan al ransomware a cifrar todos los archivos sin interrupción. Al final del cifrado, se deja un archivo de texto con instrucciones para que la víctima contacte al grupo y pague el rescate. Desafortunadamente, no hay garantía de que se puedan restaurar los archivos después de pagar el rescate.
Nota de rescate de STOP/Djvu: "_readme.txt"
La nota de rescate es la misma para toda la familia de ransomware. De hecho, es una de las principales señales para determinar a qué familia pertenece un determinado ransomware. Aquí está la nota típica para la familia STOP/Djvu:
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool.
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
[email protected]
Reserve e-mail address to contact us:
[email protected]
Your personal ID:
****************
¿Cómo ocurre la infección de STOP/Djvu?
Dado que DJVU no tiene un método de infección predeterminado, el vector de infección de DJVU puede variar. Debido a esto, los atacantes tienen un enfoque bastante flexible, lo que dificulta que los defensores predigan y detecten los signos iniciales de compromiso. Por ejemplo, los correos electrónicos no deseados que utilizan archivos adjuntos corruptos solían ser el método principal de propagación del ransomware. Sin embargo, STOP/Djvu puede disfrazarse como una amplia gama de tipos de archivos en sitios web de torrents piratas.
Software pirata y torrents
Las formas más comunes de contraer esta infección son los intentos de descargar software pirateado con la verificación de licencia desactivada. Sin embargo, dado que el antivirus casi siempre reacciona a los keygens, la descripción de dichos programas generalmente dice "desactivar el software antivirus durante la instalación". Por lo tanto, el usuario da luz verde al ransomware.
Falsos archivos .exe
Otra ruta de infección popular es a través de extensiones de archivo falsas. Por ejemplo, los usuarios inexpertos que intentan descargar algún archivo, como un documento de Word, pueden encontrar un archivo con una doble extensión *.dox.exe. En este caso, la última extensión será la real, que el usuario probablemente ni siquiera notará, ya que el icono del archivo será idéntico al del archivo .dox real. Por lo tanto, es esencial prestar atención a las extensiones que se descargan en la computadora.
Scripts maliciosos
El ransomware STOP/Djvu también puede propagarse a través de scripts maliciosos. Por lo general, dichos scripts se pueden encontrar en sitios sospechosos. Por ejemplo, al visitar muchos sitios web pornográficos en redes inseguras o compartir archivos utilizando estas plataformas, tarde o temprano infectará su computadora. Además, al hacer clic en pop-ups o banners engañosos en estas plataformas, puede provocar redireccionamientos frecuentes de su navegador al sitio. Finalmente, al registrarse en alertas o notificaciones push en estas plataformas, el malware obtendrá acceso a su computadora.
Spam
Los criminales envían correos electrónicos no deseados con información falsa en el encabezado, haciendo que la víctima crea que fue enviado por una empresa de envíos como DHL o FedEx. El correo electrónico le dice a la víctima que intentaron entregar el paquete, pero no tuvieron éxito. A veces, los correos electrónicos afirman ser avisos de un envío que realizaste. Sin embargo, el correo electrónico contiene un archivo adjunto infectado. Abrirlo no terminará bien.
Además, DJVU a menudo colabora con otros tipos de malware: Redline, Vidar, Amadey, DcRat, etc. Por ejemplo, puede desplegar robo de información en los dispositivos de las víctimas antes de cifrarlos. Esta relación con otras familias de malware hace que DJVU sea aún más destructivo. Además, DJVU en sí mismo puede ser desplegado como una carga útil de la familia de distribuidores de malware SmokeLoader.
Ejecución paso a paso de STOP/Djvu
El ransomware STOP/Djvu comienza su cadena de ejecución con varios niveles de ofuscación diseñados para ralentizar el análisis de su código por parte de los analistas de amenazas y de las cajas de arena automatizadas. La actividad maliciosa de DJVU comienza cuando se vuelve a proteger la sección de montón para que el archivo ejecutable cargue algún shellcode cifrado contenido en el archivo Portable Executable (PE) de inicio. Esta primera etapa del shellcode está cifrada utilizando el Tiny Encryption Algorithm (TEA). Los autores del malware hicieron un esfuerzo separado para ocultar las constantes de cifrado como un método adicional de anti-análisis. Esto probablemente se hizo para evitar la detección ya que el malware suele utilizar el algoritmo TEA.
Esta primera etapa del shellcode luego desempaqueta la segunda, cifrada con un algoritmo XOR básico, donde la clave se cambia usando un algoritmo de generación de números pseudorandom predecible. Luego se carga en memoria utilizando el método Virtual Alloc más habitual. El segundo paso del shellcode inicia un nuevo proceso utilizando el mismo binario. Finalmente, utiliza una limpieza del proceso para inyectar una copia desenredada del malware en el nuevo proceso. Aquí es donde finalmente comienza la carga útil.
La actividad maliciosa de la amenaza comienza determinando dónde se encuentra territorialmente el dispositivo de la víctima. Para hacerlo, verifica la ubicación del dispositivo utilizando el servicio de búsqueda de GeoIP mediante la siguiente solicitud GET a api.2ip.ua/geo.json.
A continuación, el malware se conecta a este sitio utilizando InternetOpenUrlW y lee la respuesta geo.json a través de InternetReadFile. Después de recibir la respuesta, el malware la compara con la lista de códigos de país de la Comunidad de Estados Independientes (CEI). Si el código del país de la víctima coincide con uno de los siguientes países, la carga útil no se ejecutará, y el malware dejará de existir. Aquí hay una lista de países* donde el ransomware no funcionará:
- RU - Rusia
- BY - Bielorrusia
- KZ - Kazajistán
- UZ - Uzbekistán
- TJ - Tayikistán
- KG - Kirguistán
- AZ - Azerbaiyán
- UA - Ucrania
- AM - Armenia
- SY - Siria
Los autores de STOP/Djvu tienen raíces rusas. Los estafadores usan el idioma ruso y palabras rusas escritas en inglés y los dominios registrados a través de empresas de registro de dominios rusas.
El malware crea una carpeta dentro del directorio %\AppData\Local\%. El nuevo archivo se nombra utilizando un UUID Versión4 generado aleatoriamente usando las funciones UuidCreate y UuidToStringW. Cuando se crea una carpeta utilizando CreateDirectoryW, el malware crea una copia de sí mismo dentro de esa ubicación.
A continuación, el malware utiliza "icacls.exe", una herramienta de línea de comandos de Windows, para proteger esta carpeta con un comando que intenta ejecutar DJVU con permisos elevados. Luego utiliza las APIs de ShellExecute con el verbo "runas" para intentar volver a ejecutarse con derechos de administrador. Dependiendo de la configuración de la máquina de la víctima, puede aparecer una ventana de control de cuenta de usuario (UAC), solicitando al sistema que conceda derechos de administrador al proceso. Si el malware se ejecuta con estos privilegios, permite cifrar archivos más críticos en el sistema.
La carga útil se ejecuta con permisos elevados con los argumentos "-Admin IsNotAutoStart IsNotTask". Luego, el ransomware STOP/Djvu crea persistencia a través del programador de tareas utilizando schtasks.exe como método conocido de creación de tareas, lo que significa que es más probable que se detecten.
Luego, la carga útil extrae la dirección MAC de la tarjeta de red y crea un hash MD5 de esa dirección. Luego usa ese hash MD5 para conectarse al sistema malicioso C2 a través de la URL: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. La respuesta a este mensaje se almacena en el archivo "Bowsakkdestx.txt", ubicado en el directorio %\AppData\Local\%.
El valor almacenado en este archivo es la clave pública e identificador. La amenaza también guarda el identificador en el archivo recién creado C:\SystemID\PersonalID.txt.
Una vez que se guardan las claves, el malware también se vincula a dos dominios adicionales, uno de los cuales se ha identificado como que sirve al infostealer RedLine desde noviembre de 2022. Estas URL son:
Para ahondar en la persistencia, el malware crea una clave de inicio de registro llamada "SysHelper" bajo la ruta de registro "HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run".
Luego, antes de que comience el proceso de cifrado, el malware crea un mutex llamado "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". El ransomware a menudo crea mutexes para evitar el doble cifrado, lo que hace que el archivo sea irrecoverable. El malware también contiene una clave pública e identificador codificados.
Durante el proceso de cifrado, el Ransomware Djvu omite los siguientes archivos y extensiones:
- ntuser.dat
- ntuser.dat.LOG1
- ntuser.dat.LOG2
- ntuser.pol
- *.regtrans-ms
- *.sys
- *.ini
- *.blf
- *.bat
- *.lnk
El ransomware STOP/Djvu también contiene una lista de exclusión que se refiere a las carpetas principales que forman parte del sistema operativo Windows. Además, el malware busca un nombre de archivo codificado en duro con extensión .jpg. Sin embargo, es necesario aclarar el propósito de buscar este archivo. Finalmente, durante el proceso de cifrado, el malware guarda el archivo _readme.txt en la raíz de la unidad C:\.
Recuperar archivos cifrados por STOP/Djvu
Puedes, por supuesto, pagar el rescate a los estafadores, pero son estafadores, así que no hay garantía de que obtendrás la clave de descifrado. Además, los estafadores pueden ignorarte después del pago y no tienen más que buscar una forma alternativa de recuperar tus archivos. Existen ciertas restricciones sobre qué archivos se pueden recuperar. Por lo tanto, puedes descifrar adecuadamente la información cifrada con claves offline que tienen los desarrolladores de Emsisoft Decryptor. Sin embargo, no puedes descifrar archivos con ID ONLINE y algunas formas más recientes de STOP/DJVU desarrolladas después de agosto de 2019. En cuanto a las versiones antiguas, los archivos también se pueden descifrar usando los pares de archivo cifrado/fuente proporcionados en el portal de envío de STOP Djvu de Emsisoft Decryptor.
¿Cómo evitar ser infectado?
Aunque no hay una regla de oro para evitar el ransomware, debes seguir ciertas reglas para mantener tus archivos seguros y tu sistema informático limpio. La protección contra el ransomware es importante porque los virus informáticos basados en criptografía pueden dañar permanentemente tus archivos. A continuación, se presentan algunos consejos para ayudar a prevenir una infección de ransomware o para ayudar a mitigar los efectos:
Haga una copia de seguridad de sus datos valiosos
Una copia de seguridad es la mejor manera de proteger sus datos. Así que haga una copia de seguridad de sus datos en un medio separado que no esté conectado a su sistema. Por supuesto, no necesita hacer una copia de seguridad de todo, solo de los archivos más importantes. Por ejemplo, algunos virus de ransomware pueden corromper los archivos almacenados en la nube de datos en línea, por lo que un disco duro externo guardado en un cajón será la mejor opción.
Mantenga siempre su software y sistema operativo actualizados
Tener un sistema y software actualizado significa tener las mejores versiones posibles en ese momento. El uso de software obsoleto aumenta las posibilidades de que su PC sea pirateada o infectada. Los desarrolladores de software lanzan actualizaciones para corregir errores, vulnerabilidades y fallas, e instalarlas significa mejorar las debilidades del software y evitar que los piratas informáticos las exploten.
Tenga cuidado en línea
Tener precaución en línea ayuda a prevenir ataques de ransomware. Sugerimos seguir estos consejos para reconocer y evitar contenido peligroso en línea:
- No abra correos electrónicos de personas que no esperaría que le escribieran.
- Evite enlaces y anuncios atractivos pero sospechosos.
- Tómese su tiempo.
- Use contraseñas seguras.
- Manténgase alejado de torrents que anuncian software pirateado o keygens.
Use software de seguridad confiable
Instalar una herramienta de seguridad confiable es la forma más efectiva de prevenir ataques de ransomware. Igualmente importante es actualizar su software de seguridad regularmente. Además, debe elegir un software antivirus robusto.