😈 Phần mềm tống tiền STOP/Djvu là gì ? | #TEKCyber by TUNGTEK

Published by TUNGTEK Tùng 🌥️, April 8th, 2024

📌 Lưu trữ Evernote

ủ 📌 Lưu trữ TEKPost82

📌 Bài viết gốc Gridinsoft

🔴 Tuyên bố miễn trừ trách nhiệm khi dùng tài liệu này & nó được dịch bởi Google Dịch không chỉnh sửa.

STOP/Djvu Ransomware - Nó là gì?

STOP/Djvu Ransomware sử dụng thuật toán mã hóa Salsa20. Họ ransomware này là một trong những loại lây nhiễm phổ biến nhất vào năm 2024.

Bạn có thể quan tâm đến việc xem qua các công cụ chống vi rút khác của chúng tôi: Trojan Killer , Trojan Scanner và Online Virus Scanner .

Phần mềm tống tiền STOP/Djvu

Ngày 22 tháng 1 năm 2024

Bạn không đơn độc nếu hình ảnh JPEG của bạn bị mã hóa bởi ransomware STOP/Djvu. Nhiều người phải đối mặt với những vấn đề này với ảnh và video của họ và nạn nhân không thể truy cập chúng sau các cuộc tấn công bằng ransomware.

Phần mềm tống tiền STOP/Djvu là gì?

Ransomware là thứ khó chịu nhất mà bạn có thể gặp phải trong không gian mạng. Họ không chỉ thường xuyên yêu cầu những khoản tiền khổng lồ mà ngay cả sau khi trả tiền chuộc, đôi khi chỉ có thể giải mã chính xác những tập tin này.

Gia đình	Phần mềm tống tiền STOP/Djvu
Phần mở rộng tệp	kaaa, uazq, uajs, looy, vook, kool, nood, wiaw, wisz, lkfr, lkhy, v.v.
Thông báo tiền chuộc	_readme.txt
Thuật toán	Salsa20
tiền chuộc	Từ $999 đến $1999 (bằng Bitcoin)
Phát hiện	Tiền chuộc.Win32.STOP.bot, Tiền chuộc.Win32.STOP.gd, Tiền chuộc.Win32.STOP.dd, Tiền chuộc.Win32.STOP.vb
Hư hại	⮞ Chỉ mã hóa 150Kb tệp đầu tiên; ⮞ Có thể xóa các bản sao Volume Shadow để khiến nỗ lực khôi phục dữ liệu của nạn nhân không thể thực hiện được; ⮞ Cài đặt phần mềm độc hại đánh cắp mật khẩu Redline, Vidar, Amadey, DcRat trên thiết bị của nạn nhân trước khi mã hóa;
Phân bổ	⮞ Phần mềm lậu và torrent; ⮞ Tập lệnh độc hại; ⮞ Các trang web mờ ám cung cấp dịch vụ tải xuống video.

STOP/Djvu chỉ là một trong nhiều mối đe dọa có chung đặc điểm và nguồn gốc với ransomware STOP, nhưng một số phương pháp ảnh hưởng đến loại tệp và mã hóa phần mở rộng tệp lại khác nhau. Ransomware có biệt danh như vậy vì một trong những phần tích hợp đầu tiên của chương trình đã thêm phần mở rộng *.djvu vào các tệp được mã hóa. Tuy nhiên, điều đáng chú ý là *.djvu là định dạng tệp hợp pháp được AT&T phát triển để lưu trữ tài liệu được quét, tương tự như định dạng Adobe *.pdf.

Đã nhận được mẫu STOP/Djvu

Làm thế nào nó hoạt động?

Mặc dù phần mềm ransomware STOP ban đầu được phát hiện vào tháng 2 năm 2018, nhưng nó đã phát triển kể từ đó và các dòng bản sao và nhánh của nó cũng đã phát triển. Các biến thể DJVU mới bao gồm một số lớp che giấu, nhằm mục đích làm chậm quá trình xác minh của các nhà nghiên cứu cũng như các công cụ phân tích tự động. STOP/DJVU sử dụng mã hóa RSA, một trong những nhóm ransomware được sử dụng phổ biến nhất, tập trung vào hệ điều hành Windows. Có hai lựa chọn chính là khóa ngoại tuyến và trực tuyến.

KHÓA NGOẠI TUYẾN - cho biết các tệp được mã hóa ở chế độ ngoại tuyến.
KEY TRỰC TUYẾN – được tạo bởi máy chủ ransomware. Điều đó có nghĩa là máy chủ ransomware đã tạo một bộ khóa ngẫu nhiên dùng để mã hóa tệp. Không thể giải mã các tập tin như vậy.

Như đã đề cập trước đó, có khoảng 600 biến thể STOP/DJVU. Do đó, các tiện ích mở rộng được thêm vào các tệp được mã hóa là khác nhau: .kaaa , .uazq , .uajs , .looy , .vook , .kool , .nood , .wiaw , .wisz , .lkfr , .lkhy và các tiện ích mở rộng khác. Sau khi STOP/DJVU xâm chiếm hệ thống, nó sẽ tự động tải xuống nhiều chương trình khác nhau giúp ransomware mã hóa tất cả các tệp mà không bị gián đoạn. Khi kết thúc quá trình mã hóa, một tệp văn bản được để lại với hướng dẫn nạn nhân liên hệ với nhóm để trả tiền chuộc. Thật không may, không có gì đảm bảo rằng bạn có thể khôi phục các tập tin của mình sau khi trả tiền chuộc.

Lưu ý về tiền chuộc STOP/Djvu: "_readme.txt"

Thông báo đòi tiền chuộc là giống nhau đối với toàn bộ dòng ransomware. Trên thực tế, đây là một trong những dấu hiệu chính cho thấy loại ransomware nhất định thuộc họ nào. Đây là nốt điển hình của dòng STOP/Djvu:

CHÚ Ý!

Đừng lo lắng, bạn có thể trả lại tất cả các tập tin của mình!

Tất cả các tệp của bạn như hình ảnh, cơ sở dữ liệu, tài liệu và các tệp quan trọng khác đều được mã hóa bằng mã hóa mạnh nhất và khóa duy nhất.

Phương pháp khôi phục tập tin duy nhất là mua công cụ giải mã và khóa duy nhất cho bạn.

Phần mềm này sẽ giải mã tất cả các tập tin được mã hóa của bạn.

Bạn có những gì đảm bảo?

Bạn có thể gửi một trong các tệp được mã hóa từ PC của mình và chúng tôi giải mã nó miễn phí.

Nhưng chúng tôi chỉ có thể giải mã miễn phí 1 tệp. Tệp không được chứa thông tin có giá trị.

Đừng yêu cầu trợ lý từ youtube và các trang web khôi phục dữ liệu trợ giúp khôi phục dữ liệu của bạn.

Họ có thể sử dụng hạn ngạch giải mã miễn phí của bạn và lừa đảo bạn.

Liên hệ của chúng tôi chỉ là email trong tài liệu văn bản này.

Bạn có thể tải và xem video tổng quan về công cụ giải mã:

https://wetransfer.com/downloads/df01994dd8d37c2c33469922f8e7155a20240402134014/fd95b0

Giá của phần mềm giải mã và khóa riêng là $1999.

Giảm giá 50% nếu bạn liên hệ với chúng tôi trong 72 giờ đầu tiên, mức giá dành cho bạn là $999.

Xin lưu ý rằng bạn sẽ không bao giờ khôi phục dữ liệu của mình nếu không thanh toán.

Kiểm tra thư mục "Thư rác" hoặc "Thư rác" nếu bạn không nhận được câu trả lời sau hơn 6 giờ.

Để có được phần mềm này, bạn cần viết vào e-mail của chúng tôi:

support@freshingmail.top

Dự trữ địa chỉ e-mail để liên hệ với chúng tôi:

datarestorehelpyou@airmail.cc

ID cá nhân của bạn:

************* **

Nhiễm trùng STOP/Djvu xảy ra như thế nào?

Vì DJVU không có phương pháp lây nhiễm được xác định trước nên vectơ lây nhiễm của DJVU có thể khác nhau. Do đó, những kẻ tấn công có cách tiếp cận khá linh hoạt, khiến những người phòng thủ khó dự đoán và phát hiện các dấu hiệu xâm phạm ban đầu. Ví dụ: email spam sử dụng tệp đính kèm bị hỏng là phương thức lây lan ransomware chính. Tuy nhiên, STOP/Djvu có thể giả dạng nhiều loại tệp trên các trang web torrent lậu.

Phần mềm cướp biển và torrent

Cách phổ biến nhất để phát hiện sự lây lan này là cố gắng tải xuống phần mềm bị tấn công với chức năng kiểm tra giấy phép bị vô hiệu hóa . Tuy nhiên, vì phần mềm chống vi-rút hầu như luôn phản ứng với keygen nên mô tả của các chương trình như vậy thường nói: "tắt phần mềm chống vi-rút trong khi cài đặt". Vì vậy, chính người dùng đã bật đèn xanh cho ransomware.

.exe giả

Một con đường lây nhiễm phổ biến khác là thông qua phần mở rộng tệp giả mạo. Ví dụ: người dùng thiếu kinh nghiệm đang cố tải xuống một số tệp, chẳng hạn như tài liệu word, có thể gặp một tệp có phần mở rộng kép *.dox.exe. Trong trường hợp này, tiện ích mở rộng cuối cùng sẽ là tiện ích mở rộng thực mà người dùng rất có thể sẽ không nhận thấy vì biểu tượng tệp sẽ giống hệt với tệp .dox thực tế. Vì vậy, việc để mắt tới các tiện ích mở rộng mà bạn tải về máy là điều cần thiết.

Tập lệnh độc hại

Phần mềm ransomware STOP/Djvu cũng có thể lây lan qua các tập lệnh độc hại. Thông thường, những tập lệnh như vậy có thể được tìm thấy trên các trang web đáng ngờ. Ví dụ: khi bạn truy cập nhiều trang web khiêu dâm trên mạng không an toàn hoặc chia sẻ tệp bằng các nền tảng này, sớm hay muộn nó sẽ lây nhiễm vào máy tính của bạn. Ngoài ra, khi bạn nhấp vào các cửa sổ bật lên hoặc biểu ngữ gây hiểu lầm trên các nền tảng này, điều đó có thể dẫn đến việc trình duyệt của bạn thường xuyên bị chuyển hướng đến trang web. Cuối cùng, khi bạn đăng ký nhận cảnh báo hoặc thông báo đẩy trên các nền tảng này, phần mềm độc hại sẽ có quyền truy cập vào máy tính của bạn.

Thư rác

Tội phạm gửi email spam với thông tin giả mạo ở tiêu đề, khiến nạn nhân tin rằng nó được gửi bởi một công ty vận chuyển như DHL hoặc FedEx. Email cho nạn nhân biết rằng họ đã cố gắng giao gói hàng cho bạn nhưng không thành công. Đôi khi các email tuyên bố là thông báo về lô hàng bạn đã thực hiện. Tuy nhiên, email có chứa tệp bị nhiễm đính kèm. Mở nó sẽ không kết thúc tốt đẹp.

Ngoài ra, DJVU thường cộng tác với các phần mềm độc hại khác : Redline, Vidar, Amadey, DcRat, v.v. Ví dụ: nó có thể triển khai những kẻ đánh cắp thông tin trên thiết bị của nạn nhân trước khi mã hóa nó. Mối quan hệ này với các họ phần mềm độc hại khác khiến DJVU càng có sức tàn phá lớn hơn. Ngoài ra, bản thân DJVU có thể được triển khai dưới dạng tải trọng của dòng phần mềm độc hại SmokeLoader.

Thực hiện STOP/Djvu từng bước

Phần mềm ransomware STOP/Djvu bắt đầu chuỗi thực thi của nó với một số cấp độ che giấu được thiết kế để làm chậm quá trình phân tích mã của các nhà phân tích mối đe dọa và hộp cát tự động. Hoạt động độc hại của DJVU bắt đầu khi nó bảo vệ lại phần heap để tệp thực thi tải một số shellcode được mã hóa có trong Portable Executable (PE) đang khởi động. Giai đoạn đầu tiên của shellcode này được mã hóa bằng Thuật toán mã hóa nhỏ (TEA) . Các tác giả phần mềm độc hại đã nỗ lực riêng để ẩn các hằng số mã hóa như một phương pháp chống phân tích bổ sung. Điều này có thể được thực hiện để tránh bị phát hiện vì phần mềm độc hại thường sử dụng thuật toán TEA.

Giai đoạn shellcode đầu tiên này sau đó giải nén giai đoạn thứ hai, được mã hóa bằng thuật toán XOR cơ bản, trong đó khóa được thay đổi bằng thuật toán tạo số giả ngẫu nhiên có thể dự đoán được. Sau đó nó được tải vào bộ nhớ bằng phương pháp Virtual Alloc thông thường hơn. Bước thứ hai của mã shell bắt đầu một quy trình mới sử dụng cùng một tệp nhị phân. Cuối cùng, nó sử dụng quá trình dọn dẹp quy trình để đưa bản sao phần mềm độc hại chưa được xử lý vào quy trình mới. Đây là nơi tải trọng cuối cùng bắt đầu hoạt động.

Hoạt động độc hại của mối đe dọa bắt đầu bằng việc tìm ra vị trí lãnh thổ của thiết bị của nạn nhân. Để thực hiện việc này, nó sẽ kiểm tra vị trí của thiết bị bằng dịch vụ tìm kiếm GeoIP bằng cách sử dụng yêu cầu GET sau tới api.2ip.ua/geo.json .

Tiếp theo, phần mềm độc hại kết nối với trang web này bằng InternetOpenUrlW và đọc phản hồi geo.json qua InternetReadFile . Sau khi nhận được câu trả lời, phần mềm độc hại sẽ so sánh nó với danh sách mã quốc gia của Cộng đồng các Quốc gia Độc lập (CIS). Giả sử mã quốc gia của nạn nhân khớp với một trong các quốc gia sau. Trong trường hợp đó, tải trọng không được thực thi và phần mềm độc hại không còn tồn tại. Dưới đây là danh sách các quốc gia* nơi phần mềm tống tiền sẽ không hoạt động:

RU - Nga
BỞI - Belarus
KZ - Kazakhstan
UZ - Uzbekistan
TJ - Tajikistan
KG-Kyrgyzstan
AZ-Azerbaijan
UA - Ukraina**
AM - Armenia
VÀ - Syria

* việc thực thi tiếp tục nếu quốc gia không khớp với các quốc gia trong danh sách này. ** Sau cuộc chiến tranh của Nga ở Ukraine, tội phạm mạng đã loại các ip Ukraine khỏi danh sách không thể chạm tới.

Các tác giả của STOP/Djvu có nguồn gốc từ Nga . Những kẻ lừa đảo sử dụng tiếng Nga và các từ tiếng Nga được viết bằng tiếng Anh và các miền được đăng ký thông qua các công ty đăng ký tên miền của Nga.

Phần mềm độc hại tạo một thư mục bên trong thư mục %AppDataLocal% . Tệp mới được đặt tên bằng UUID Phiên bản4 được tạo ngẫu nhiên bằng cách sử dụng các hàm UuidCreate và UuidToStringW . Khi một thư mục được tạo bằng CreateDirectoryW , phần mềm độc hại sẽ tạo một bản sao của chính nó bên trong vị trí đó.

Tiếp theo, phần mềm độc hại sử dụng " icacls.exe ", một công cụ tiện ích dòng lệnh của Windows, để bảo vệ thư mục này bằng lệnh cố gắng chạy DJVU với các quyền nâng cao. Sau đó, nó sử dụng API ShellExecute với động từ "runas" để cố gắng tự chạy lại với quyền quản trị viên. Tùy thuộc vào thiết lập máy của nạn nhân, hộp thoại kiểm soát tài khoản (UAC) có thể được hiển thị, yêu cầu hệ thống cấp quyền quản trị viên cho quy trình. Nếu phần mềm độc hại chạy với các đặc quyền này, nó sẽ cho phép mã hóa các tệp quan trọng hơn trên hệ thống.

Tải trọng được khởi chạy với các quyền nâng cao với các đối số " -Admin IsNotAutoStart IsNotTask ". Sau đó, ransomware STOP/Djvu tạo ra tính bền vững thông qua bộ lập lịch công việc bằng cách sử dụng schtasks.exe như một phương pháp tạo tác vụ đã biết, nghĩa là chúng có nhiều khả năng bị phát hiện hơn.

Sau đó, tải trọng sẽ trích xuất địa chỉ MAC của card mạng và tạo hàm băm MD5 của địa chỉ đó. Sau đó, nó có sử dụng hàm băm MD5 đó để kết nối với hệ thống C2 độc hại thông qua URL: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC address_MD5}&first=true . Phản hồi cho thông báo này được lưu trữ trong tệp " Bowsakkdestx.txt ", nằm trong thư mục %AppDataLocal% .

Giá trị được lưu trữ trong tệp này là khóa chung và mã định danh. Mối đe dọa cũng lưu mã định danh trong tệp mới tạo C:SystemIDPersonalID.txt .

Sau khi khóa được lưu, phần mềm độc hại cũng liên kết với hai miền bổ sung, một trong số đó đã được xác định là phục vụ kẻ đánh cắp thông tin RedLine kể từ tháng 11 năm 2022. Các url này là:

Để tiết kiệm thêm, phần mềm độc hại tạo khóa khởi động sổ đăng ký có tên "SysHelper" trong đường dẫn đăng ký " HKEY_Current_UserSoftwareMicrosoftWindowsCurrentVersionRun ".

Sau đó, trước khi quá trình mã hóa bắt đầu, phần mềm độc hại tạo ra một mutex có tên " {1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D} ". Ransomware thường tạo các mutex để tránh mã hóa hai lần, khiến tập tin không thể phục hồi được. Phần mềm độc hại cũng chứa khóa công khai và mã nhận dạng được mã hóa cứng.

Trong quá trình mã hóa, Djvu Ransomware bỏ qua các tệp và tiện ích mở rộng sau:

ntuser.dat
ntuser.dat.LOG1
ntuser.dat.LOG2
ntuser.pol
*.regtrans-ms
*.sys
*.Cái này
*.blf
*.một
*.lnk

Phần mềm ransomware STOP/Djvu cũng chứa danh sách loại trừ đề cập đến các thư mục chính là một phần của hệ điều hành Windows. Ngoài ra, phần mềm độc hại còn tìm kiếm tên tệp được mã hóa cứng có phần mở rộng .jpg. Tuy nhiên, mục đích tìm kiếm file này cần phải được làm rõ. Cuối cùng, trong quá trình mã hóa, phần mềm độc hại lưu tệp _readme.txt vào thư mục gốc của ổ C: .

Khôi phục tập tin được mã hóa bởi STOP/Djvu

Tất nhiên, bạn có thể trả cho những kẻ lừa đảo một khoản tiền chuộc, nhưng họ là những kẻ lừa đảo nên không có gì đảm bảo rằng bạn sẽ nhận được khóa giải mã. Hơn nữa, những kẻ lừa đảo có thể phớt lờ bạn sau khi thanh toán và không phải làm gì ngoài việc tìm kiếm một cách khác để khôi phục tệp của bạn. Có một số hạn chế nhất định về những tập tin có thể được phục hồi. Vì vậy, bạn có thể giải mã đầy đủ thông tin được mã hóa bằng khóa ngoại tuyến mà các nhà phát triển Emsisoft Decryptor có . Tuy nhiên, bạn không thể giải mã các tập tin bằng ONLINE ID và một số dạng STOP/DJVU mới nhất được phát triển sau tháng 8 năm 2019 . Đối với các phiên bản cũ hơn, các tệp cũng có thể được giải mã bằng cách sử dụng cặp tệp nguồn/mã hóa được cung cấp trên cổng STOP Djvu Submission .

Làm thế nào để tránh bị nhiễm bệnh?

Mặc dù không có quy tắc vàng nào về việc tránh ransomware, nhưng bạn nên tuân theo các quy tắc cụ thể để giữ an toàn cho tệp của mình và hệ thống máy tính của bạn luôn sạch sẽ. Việc bảo vệ khỏi phần mềm tống tiền là rất quan trọng vì vi-rút máy tính dựa trên tiền điện tử có thể làm hỏng vĩnh viễn các tệp của bạn. Sau đây là một số mẹo giúp ngăn ngừa nhiễm ransomware hoặc giúp giảm thiểu tác động:

Sao lưu dữ liệu có giá trị của bạn

Sao lưu là cách tốt nhất để bảo vệ dữ liệu của bạn. Vì vậy, hãy sao lưu dữ liệu của bạn sang một phương tiện riêng biệt sẽ không được kết nối với hệ thống của bạn. Tất nhiên, bạn không cần sao lưu mọi thứ - chỉ cần sao lưu những tệp cần thiết nhất. Ví dụ: một số loại virus ransomware có thể làm hỏng các tập tin được lưu trữ trên đám mây dữ liệu trực tuyến, vì vậy một ổ cứng ngoài nằm trong ngăn kéo sẽ là lựa chọn tốt nhất.

Luôn cập nhật phần mềm và hệ điều hành của bạn

Có một hệ thống và phần mềm cập nhật có nghĩa là có những phiên bản tốt nhất có thể vào thời điểm đó. Sử dụng phần mềm lỗi thời sẽ làm tăng nguy cơ PC của bạn bị hack hoặc bị nhiễm virus. Các nhà phát triển phần mềm phát hành bản cập nhật để sửa lỗi, lỗ hổng, lỗi và cài đặt chúng đồng nghĩa với việc cải thiện các điểm yếu trong phần mềm và ngăn chặn tin tặc khai thác chúng.

Hãy cẩn thận trên mạng

Thận trọng khi trực tuyến giúp ngăn chặn các cuộc tấn công của ransomware. Chúng tôi khuyên bạn nên làm theo các mẹo sau để nhận biết và tránh nội dung nguy hiểm trực tuyến:

Đừng mở email từ những người mà bạn không mong đợi sẽ viết thư cho mình.
Tránh các liên kết và quảng cáo hấp dẫn nhưng đáng ngờ.
Hãy dành thời gian của bạn.
Sử dụng mật khẩu mạnh.
Tránh xa các torrent quảng cáo phần mềm hoặc keygen bị hack.

Sử dụng phần mềm bảo mật đáng tin cậy

Bảo vệ bạn khỏi ransomware bằng Gridinsoft, phần mềm chống ransomware tốt nhất hiện có. Giành lại quyền kiểm soát quyền riêng tư của bạn bằng trình quét, phát hiện và loại bỏ ransomware cực nhanh, nhẹ và mới — và hiệu quả 100%.

Cài đặt một công cụ bảo mật đáng tin cậy là cách hiệu quả nhất để ngăn chặn các cuộc tấn công của ransomware. Điều quan trọng không kém là cập nhật phần mềm bảo mật của bạn thường xuyên. Ngoài ra, bạn nên lựa chọn phần mềm diệt virus mạnh mẽ .

STOP/Djvu Ransomware IoC

Tiền chuộc.Win32.STOP.tr	9f24cff00ff55730e61d9fd9a182f92f272735ba6ce55bc93bdc7ea24424dc42
Tiền chuộc.Win32.STOP.tr!n	fe2090450e9761da52fcd037934553d061fd0b395ad260dff3b81c30c202a10c
Tiền chuộc.Win32.STOP.ca	e6c6ad948e9ad054f789500a6fda9485c861af7b48ae04001a8fc555ac0b3be5
Tiền chuộc.U.STOP.tr	e3683f1a58054c1166a94d5758848ed053777c7dc575a7af69c938b39f204eb5
Tiền chuộc.Win32.STOP.tr!n	2f7bc154ff7f15135f69a43f738760b3a45b677a36b734d3e9e0c1c7cd897849
Tiền chuộc.Win32.STOP.dg!se51856	4bd534e4e7aa468cda99bc33a82a58d7f36af31dba86db564f7f31925c36e6e0
Tiền chuộc.Win32.STOP.tr!n	9737047a6cf9c18ad4eb8eff4d7b090453dd69d1b64f0c2ffe7a5deab121e637
Tiền chuộc.U.STOP.bot	e18bc2317c31573d38c7c5efccee627f756d98ce13b635747a362dd7369f611d
Tiền chuộc.Win32.STOP.tr	235af59d3bc2171c77c0dabcb5add1ef12de8980cf1e700277288982e81eb47c
Tiền chuộc.Win32.STOP.tr	97cb23085479e9562332ae56eed070d3c9a001518066132ec5d24041336bcf98