STOP/DJVU 랜섬웨어(2023 가이드)

by Brendan Smith
4월 27, 2023
STOP/DJVU Ransomware
STOP/DJVU Ransomware
Written by Brendan Smith
STOP (DJVU) 랜섬웨어는 AES-256 알고리즘(CFB 모드)를 사용하여 사용자의 데이터를 암호화합니다. 그러나 전체 파일을 암호화하는 것이 아니라 약 5MB 정도의 앞부분만 암호화합니다. 이후 파일을 복원하려면 비트코인으로 $980에 해당하는 랜섬금을 요구합니다.

해당 악성 코드의 저자는 러시아 출신입니다. 이들은 러시아어를 사용하며, 영어로 표기된 러시아어 단어와 러시아 도메인 등을 사용합니다. 이들은 다른 국가에서의 공범이 있을 가능성이 큽니다.

DJVU 랜섬웨어 기술 정보

많은 사용자들은 유명한 프로그램들의 다시 패키징 및 감염된 설치 파일, MS Windows 및 MS Office의 불법적인 활성화 도구(KMSAuto Net, KMSPico 등)를 다양한 웹사이트를 통해 유포되는 불법 소프트웨어를 다운로드하면서 이 랜섬웨어에 감염되는 경우가 많습니다. 이는 합법적인 무료 프로그램과 불법적인 무료 소프트웨어 모두에 해당합니다.

또한, 이 악성 코드는 약한 RDP 구성을 통한 해킹, 이메일 스팸 및 악성 첨부 파일, 잘못된 다운로드, 익스플로잇, 웹 인젝터, 잘못된 업데이트, 다시 패키징 및 감염된 설치 파일을 통해 전파될 수 있습니다.

암호화 대상 파일 확장자 목록입니다:

  • MS Office 또는 OpenOffice 문서
  • PDF 및 텍스트 파일
  • 데이터베이스
  • 사진, 음악, 비디오 또는 이미지 파일
  • 아카이브 파일
  • 응용 프로그램 파일 등

STOP/DJVU 랜섬웨어 드롭 파일(랜섬노트) 이름 !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES! !!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt 및 !README.txt. .djvu* 및 최신 변종: _openme.txt, _open_.txt 또는 _readme.txt

크립토웨어 감염 단계

  1. 실행될 때, 암호화 악성 코드는 명령 및 제어 서버(C&C)에 연결됩니다. 따라서 희생자의 PC에 대한 암호화 키와 감염 식별자를 얻습니다. 이러한 데이터는 JSON 형식으로 HTTP 프로토콜을 통해 전송됩니다.
  2. 만약 C&C가 사용 불가능한 경우(PC가 서버의 인터넷에 연결되어 있지 않거나 응답하지 않는 경우), 암호화 악성 코드는 직접 지정된 암호화 키를 사용하여 자체적으로 암호화를 수행합니다. 이 경우, 랜섬웨어를 지불하지 않고도 파일을 복호화할 수 있습니다.
  3. 암호화 악성 코드는 컴퓨터 네트워크 공격을 수행하기 위해 윈도우의 정품 파일을 대체하는 rdpclip.exe를 사용합니다.
  4. 파일 암호화가 성공하면, 자동으로 삭제되는 delself.bat 명령 파일을 사용하여 자동으로 삭제됩니다.

관련 항목

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
작업: "Azure-Update-Task"
레지스트리: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

네트워크 트래픽

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

안티바이러스 탐지

Crackithub.com, kmspico10.com, crackhomes.com 및 piratepc.net은 STOP 랜섬웨어 배포 사이트 중 일부입니다. 여기에서 다운로드한 모든 프로그램은 이 랜섬웨어에 감염될 수 있습니다!

피해자의 파일을 암호화하는 것 외에도, DJVU 패밀리는 계정 자격 증명, 암호화폐 지갑, 데스크톱 파일 등을 탈취하기 위해 Azorult 스파이웨어를 설치합니다.

STOP/DJVU 랜섬웨어 파일을 해독하는 방법?

Djvu 랜섬웨어는 기본적으로 두 가지 버전이 있습니다.

  1. 이전 버전: 이전 확장자(“.djvu”에서 “.carote (v154)”까지) 대부분은 STOPDecrypter 도구를 통해 복호화될 수 있었습니다. 단, 이는 오프라인 키로 감염된 파일의 경우에만 해당됩니다. 이와 같은 지원은 이전 Djvu 변종을 위해 새로운 Emsisoft Decryptor에 통합되었습니다. 복호화 도구는 오프라인 키가 있는 경우에만 파일을 해독합니다.
  2. 새 버전: 최신 확장자는 2019년 8월 말 랜섬웨어가 변경된 후에 출시되었습니다. 이는 .nury, nuis, tury, tuis 등을 포함합니다. 이러한 새로운 버전은 Emsisoft Decryptor로만 지원됩니다.

What is a “file pair”?

This is pair of files that are identical (as in they are the same precise data), except one duplicate is encrypted, and the other is not.

오프라인 키 또는 온라인 키를 식별하는 방법은 무엇인가요?

SystemID/PersonalID.txt 파일은 STOP(DJVU)이 C 드라이브에 생성한 파일로, 암호화 프로세스에서 사용된 모든 ID가 포함되어 있습니다.

거의 모든 오프라인 ID는 “t1″로 끝납니다. 오프라인 키를 사용한 암호화는 _readme.txt 노트와 C:\SystemID\PersonalID.txt 파일에서 개인 ID를 확인하여 확인할 수 있습니다.

오프라인 키 또는 온라인 키에 감염되었는지 확인하는 가장 빠른 방법은 다음과 같습니다:

  1. 감염된 기기의 C:\SystemID\ 폴더에 위치한 PesonalID.txt 파일을 찾아보고, 하나 이상의 ID가 있는지 확인합니다.
  2. ID가 “t1“로 끝나면, 일부 파일이 오프라인 키로 암호화되어 복구 가능할 수 있습니다.
  3. 나열된 모든 ID가 “t1″로 끝나지 않으면, 모든 파일이 온라인 키로 암호화되어 지금은 복구할 수 없습니다.

온라인 및 오프라인 키 – 무슨 뜻인가요?

오프라인 키는 파일이 오프라인 모드에서 암호화되었음을 나타냅니다. 이 키를 발견한 후, 복호화 도구에 추가하여 해당 파일을 복호화 할 수 있습니다.

온라인 키는 랜섬웨어 서버에서 생성된 것입니다. 이것은 랜섬웨어 서버에서 파일을 암호화하기 위해 사용되는 무작위 키 집합을 생성했음을 의미합니다. 이러한 파일을 복호화하는 것은 불가능합니다.

최신 DJVU 변종에 사용되는 RSA 알고리즘을 사용한 암호화는 복호화 서비스를 훈련하기 위해 “암호화된 + 원본” 파일 쌍을 사용하는 것을 허용하지 않습니다. 이러한 특정 유형의 암호화는 크래킹에 강하며, 개인 키 없이는 파일을 해독할 수 없습니다. 슈퍼 컴퓨터조차도 이러한 키를 계산하는 데 100`000 년이 필요합니다.

암호화된 파일 확장자

I. STOP 그룹

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

II. 푸마 그룹

puma, pumax, pumas, shadow

III. Djvu 그룹

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

IV. 게로 그룹(RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.

알려진 DJVU 이메일 목록입니다:

support@fishmail.top, datarestorehelp@airmail.cc, manager@mailtemp.ch, helprestoremanager@airmail.cc, helpteam@mail.ch, helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

최신 STOP(DJVU) 랜섬웨어 목록

Sending
User Review
4.3 (10 votes)
Comments Rating 5 (5 reviews)
About DJVU/STOP Ransomware
Article
About DJVU/STOP Ransomware
Description
DJVU codifies the users' data with the AES-556. However, it does not encrypt the entire file, but rather approximately 5 MB in its beginning.
Author
Copyright
HowToFix.Guide
 

영어 독어 일어 스페인어 브라질 포르투갈어 불어 터어키어 중국어 번체 인도네시아어 힌두어 이태리어

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending