Gridinsoft Logo

Ransomware STOP/Djvu - Qu'est-ce que c'est?

Le ransomware STOP/Djvu utilise l'algorithme de chiffrement Salsa20. Cette famille de ransomwares est l'une des infections les plus populaires en 2024 année.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, and Online Virus Scanner.

Qu'est-ce que le ransomware STOP/Djvu? - Protégez votre vie privée

Ransomware STOP/Djvu

February 08, 2024

Vous n'êtes pas seul si vos images JPEG sont cryptées par le ransomware STOP/Djvu. De nombreuses personnes sont confrontées à ces problèmes avec leurs photos et vidéos, et les victimes ne peuvent pas y accéder après une attaque de ransomware.

Qu'est-ce que le ransomware STOP/Djvu?

Les ransomwares sont les menaces les plus désagréables que l'on puisse rencontrer sur Internet. Non seulement ils demandent souvent des sommes colossales d'argent, mais même après avoir payé la rançon, il n'est parfois possible de déchiffrer correctement ces fichiers.

FamilleRansomware STOP/Djvu
Extensions de fichier hlas, qual, waqa, watz, veza, vehu, vepi, paaa, qeza, qehu, qepi, et autres.
Message de rançon_readme.txt
AlgorithmeSalsa20
RançonDe $490 à $980 (en Bitcoins)
DétectionRansom.Win32.STOP.bot, Ransom.Win32.STOP.gd, Ransom.Win32.STOP.dd, Ransom.Win32.STOP.vb
Dommages
  1. ⮞ Crypte seulement les premiers 150 Ko des fichiers;
  2. ⮞ Peut supprimer les copies de l'ombre du volume pour rendre les tentatives de restauration des données impossibles pour la victime;
  3. ⮞ Installe des logiciels malveillants volant des mots de passe tels que Redline, Vidar, Amadey, DcRat sur l'appareil de la victime avant le chiffrement;
Propagation
  1. ⮞ Logiciels piratés et torrents;
  2. ⮞ Scripts malveillants;
  3. ⮞ Sites douteux proposant le téléchargement de vidéos.

STOP/Djvu n'est qu'une des nombreuses menaces qui partagent des caractéristiques et des origines communes avec le ransomware STOP, mais certaines méthodes d'affectation des types de fichiers et de chiffrement des extensions de fichiers diffèrent. Le ransomware a été surnommé ainsi parce que l'une des premières versions du programme ajoutait l'extension *.djvu aux fichiers chiffrés. Cependant, il est bon de noter que *.djvu est un format de fichier légitime développé par AT&T pour stocker des documents numérisés, similaire au format *.pdf d'Adobe.

Échantillons de STOP/Djvu

Comment ça fonctionne?

Malgré la découverte du ransomware STOP original en février 2018, il a évolué depuis, et sa famille de clones et de variantes a grandi. Les nouvelles variantes DJVU incluent plusieurs couches d'obfuscation, visant à ralentir la vérification par les chercheurs et les outils d'analyse automatisés. STOP/DJVU utilise le chiffrement RSA, l'un des groupes de ransomwares les plus couramment utilisés, en se concentrant sur les systèmes d'exploitation Windows. Il existe deux options clés, les clés hors ligne et les clés en ligne.

  • CLÉ HORS LIGNE - indique que les fichiers sont chiffrés en mode hors ligne.
  • CLÉ EN LIGNE – a été générée par le serveur de ransomware. Cela signifie que le serveur de ransomware a généré un ensemble aléatoire de clés utilisées pour chiffrer les fichiers. Il n'est pas possible de décrypter de tels fichiers.

Comme mentionné précédemment, il existe environ 600 variantes de STOP/DJVU. Par conséquent, les extensions ajoutées aux fichiers chiffrés diffèrent entre elles: .hlas, .qual, .waqa, .watz, .veza, .vehu, .vepi, .paaa, .qeza, .qehu, .qepi, et d'autres. Après l'intrusion de STOP/DJVU dans le système, il télécharge automatiquement divers programmes qui aident le ransomware à chiffrer tous les fichiers sans interruption. À la fin du chiffrement, un fichier texte est laissé avec des instructions pour que la victime contacte le groupe et paie la rançon. Malheureusement, il n'y a aucune garantie que vous pourrez restaurer vos fichiers après avoir payé la rançon.

Message de rançon STOP/Djvu: "_readme.txt"

Le message de rançon est le même pour toute la famille de ransomwares. En fait, c'est l'un des principaux signes permettant de déterminer à quelle famille de ransomwares appartient le ransomware en question. Voici le message typique de la famille STOP/Djvu:

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
Do not ask assistants from youtube and recovery data sites for help in recovering your data.
They can use your free decryption quota and scam you.
Our contact is emails in this text document only.
You can get and look video overview decrypt tool.
Price of private key and decrypt software is $999.
Discount 50% available if you contact us first 72 hours, that's price for you is $499.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
[email protected]

Reserve e-mail address to contact us:
[email protected]

Your personal ID:
****************

Comment se produit l'infection STOP/Djvu?

Comme DJVU n'a pas de méthode d'infection prédéterminée, le vecteur d'infection de DJVU peut varier. En raison de cela, les attaquants adoptent une approche raisonnablement flexible, ce qui rend difficile pour les défenseurs de prévoir et de détecter les signes initiaux de compromission. Par exemple, les courriels indésirables utilisant des pièces jointes corrompues étaient la principale méthode de diffusion des ransomwares. Cependant, STOP/Djvu peut se faire passer pour divers types de fichiers sur des sites torrent pirates.

Logiciels piratés et torrents

Les moyens les plus courants de contracter cette infection sont les tentatives de télécharger des logiciels piratés avec la vérification de licence désactivée. Cependant, étant donné que les antivirus réagissent presque toujours aux keygens, la description de ces programmes dit généralement "désactiver le logiciel antivirus pendant l'installation". Ainsi, l'utilisateur donne lui-même le feu vert au ransomware.

Faux fichiers .exe

Une autre route d'infection populaire passe par de fausses extensions de fichiers. Par exemple, les utilisateurs inexpérimentés qui tentent de télécharger un fichier, tel qu'un document Word, peuvent tomber sur un fichier avec une double extension *.dox.exe. Dans ce cas, la dernière extension sera la vraie, que l'utilisateur ne remarquera probablement même pas, car l'icône du fichier sera identique à celle du fichier .dox réel. Par conséquent, il est essentiel de vérifier les extensions des fichiers que vous téléchargez sur votre ordinateur.

Scripts malveillants

Le ransomware STOP/Djvu peut également se propager via des scripts malveillants. Généralement, de tels scripts se trouvent sur des sites suspects. Par exemple, lorsque vous visitez de nombreux sites pour adultes sur des réseaux non sécurisés ou que vous partagez des fichiers en utilisant ces plates-formes, tôt ou tard, il infectera votre ordinateur. De plus, lorsque vous cliquez sur des pop-ups ou des bannières trompeuses sur ces plates-formes, cela peut entraîner des redirections fréquentes de votre navigateur vers le site. Enfin, lorsque vous vous abonnez aux alertes ou aux notifications push sur ces plates-formes, le malware obtiendra un accès à votre ordinateur.

Spam

Les criminels envoient des courriels indésirables avec de fausses informations dans l'en-tête, faisant croire à la victime qu'ils ont été envoyés par une société de livraison telle que DHL ou FedEx. Le courriel indique à la victime qu'ils ont tenté de livrer le colis, mais en vain. Parfois, les courriels prétendent être des avis d'expédition que vous avez effectuée. Cependant, le courriel contient une pièce jointe infectée. L'ouvrir ne se terminera pas bien.

En outre, DJVU collabore souvent avec d'autres logiciels malveillants tels que Redline, Vidar, Amadey, DcRat, etc. Par exemple, il peut déployer des voleurs d'informations sur l'appareil de la victime avant de le chiffrer. Cette relation avec d'autres familles de logiciels malveillants rend DJVU encore plus destructeur. De plus, DJVU lui-même peut être déployé comme une charge utile des droppers de malwares de la famille SmokeLoader.

Exécution étape par étape de STOP/Djvu

Le ransomware STOP/Djvu commence son processus d'exécution avec plusieurs niveaux d'obfuscation conçus pour ralentir l'analyse de son code par les analystes des menaces et les systèmes d'analyse automatisés. L'activité malveillante de DJVU commence lorsque le ransomware ré-protège la section du tas de mémoire pour le fichier exécutable afin de charger un shellcode chiffré contenu dans le fichier Portable Executable (PE) de démarrage. La première étape de ce shellcode est chiffrée à l'aide de l' algorithme de chiffrement Tiny Encryption (TEA). Les auteurs du malware ont fait un effort distinct pour masquer les constantes de chiffrement comme une méthode supplémentaire de lutte contre l'analyse. Cela a probablement été fait pour éviter la détection, car les logiciels malveillants utilisent généralement l'algorithme TEA.

Cette première étape du shellcode décompresse ensuite la deuxième étape, chiffrée à l'aide d'un algorithme XOR de base, où la clé est modifiée à l'aide d'un algorithme de génération de nombres pseudo-aléatoires prévisible. Elle est ensuite chargée en mémoire à l'aide de la méthode Virtual Alloc plus courante. La deuxième étape du shellcode démarre un nouveau processus en utilisant le même binaire. Enfin, elle utilise un nettoyage du processus pour injecter une copie du malware dans le nouveau processus. C'est là que la charge utile commence enfin à fonctionner.

L'activité malveillante de la menace commence par déterminer où se trouve territorialement l'appareil de la victime. Pour ce faire, il vérifie la position de l'appareil en utilisant le service de recherche GeoIP à l'aide de la requête GET suivante vers api.2ip.ua/geo.json.

2ip-ua

Ensuite, le malware se connecte à ce site en utilisant InternetOpenUrlW et lit la réponse geo.json via InternetReadFile. Après avoir reçu la réponse, le malware la compare à la liste des codes de pays de la Communauté des États indépendants (CEI). Si le code du pays de la victime correspond à l'un des pays suivants, la charge utile ne s'exécute pas et le malware cesse d'exister. Voici la liste des pays* où le ransomware ne fonctionnera pas:

  • RU - Russie
  • BY - Biélorussie
  • KZ - Kazakhstan
  • UZ - Ouzbékistan
  • TJ - Tadjikistan
  • KG - Kirghizistan
  • AZ - Azerbaïdjan
  • UA - Ukraine
  • AM - Arménie
  • SY - Syrie
* l'exécution se poursuit si le pays ne correspond pas aux pays de cette liste.
Les auteurs de STOP/Djvu ont des racines russes. Les escrocs utilisent la langue russe et des mots russes écrits en anglais, ainsi que des domaines enregistrés auprès de sociétés russes d'enregistrement de domaines.

Le malware crée un dossier à l'intérieur du répertoire %\AppData\Local\%. Le nouveau fichier est nommé à l'aide d'un UUID Version4 généré de manière aléatoire à l'aide des fonctions UuidCreate et UuidToStringW. Lorsqu'un dossier est créé à l'aide de CreateDirectoryW, le malware crée une copie de lui-même à cet emplacement.

Protéger le dossier qui tente de lancer DJVU avec des permissions élevées

Ensuite, le malware utilise "icacls.exe," un outil d'utilitaire en ligne de commande Windows, pour protéger ce dossier avec une commande qui tente de lancer DJVU avec des autorisations élevées. Il utilise ensuite les API ShellExecute avec le verbe "runas" pour tenter de se relancer avec des droits d'administrateur. Selon la configuration de la machine de la victime, une boîte de dialogue de contrôle de compte (UAC) peut être affichée, demandant au système d'accorder des droits d'administrateur au processus. Si le malware s'exécute avec ces privilèges, il permet de chiffrer davantage de fichiers critiques sur le système.

Tentative de se relancer avec des droits d'administrateur

La charge utile est lancée avec des autorisations élevées avec les arguments "-Admin IsNotAutoStart IsNotTask". Le ransomware STOP/Djvu crée ensuite une persistance grâce au planificateur de tâches en utilisant schtasks.exe comme méthodes connues de création de tâches, ce qui les rend plus susceptibles d'être détectées.

Exécutable Schtasks.exe

Ensuite, avant que le processus de chiffrement ne commence, le malware crée un mutex nommé "{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}". Les ransomwares créent souvent des mutex pour éviter un double chiffrement, rendant le fichier irrécupérable. Le malware contient également une clé publique et un identifiant codés en dur.

1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D

Pendant le processus de chiffrement, le ransomware Djvu ignore les fichiers et extensions suivants:
  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol
  • *.regtrans-ms
  • *.sys
  • *.ini
  • *.blf
  • *.bat
  • *.lnk

Les fichiers .mp3, .mp4, .mkv, .ogg, .avi, .docx, .jpg et .txt sont la cible principale de DJVU. En ce qui concerne les fichiers, le ransomware cible principalement les fichiers .mp3, .mp4, .mkv, .ogg, .avi, .docx, .jpg et .txt. Une fois le chiffrement terminé, le fichier .djvu est placé dans chaque dossier contenant des fichiers chiffrés.

Enfin, un fichier texte de rançon, "_readme.txt," est déposé dans chaque dossier contenant des fichiers chiffrés, offrant aux victimes des instructions pour payer la rançon et obtenir la clé de déchiffrement. Les attaquants demandent généralement des sommes allant de 490 à 980 dollars (en Bitcoins) pour décrypter les fichiers, bien que payer la rançon ne garantisse pas que les fichiers seront restaurés avec succès.

Comment récupérer les fichiers chiffrés par STOP/Djvu?

La récupération des fichiers chiffrés par le ransomware STOP/Djvu peut être une tâche difficile. Cependant, voici quelques étapes que vous pouvez suivre pour tenter de récupérer vos fichiers sans payer la rançon:

  1. Tout d'abord, assurez-vous que le ransomware a été complètement supprimé de votre système. Utilisez un logiciel antivirus réputé pour scanner et nettoyer votre ordinateur.
  2. Essayez d'utiliser des outils de décryptage gratuits disponibles en ligne. Parfois, des chercheurs en sécurité publient des outils de décryptage pour des ransomwares spécifiques, mais cela dépend de la variante exacte du ransomware.
  3. Si vos fichiers étaient stockés sur un lecteur cloud, vérifiez s'ils sont disponibles dans votre sauvegarde en ligne. Certains ransomwares ne ciblent que les fichiers locaux.
  4. Contactez un professionnel de la récupération de données. Parfois, ils peuvent être en mesure de récupérer vos fichiers chiffrés, bien que cela puisse être coûteux.

Il est essentiel de noter que payer la rançon n'est généralement pas recommandé, car cela n'offre aucune garantie que vous récupérerez réellement vos fichiers, et cela encourage les criminels à continuer leurs activités malveillantes.

Comment éviter les ransomwares?

La meilleure façon de se protéger contre les ransomwares tels que STOP/Djvu est de prendre des mesures préventives pour réduire les risques d'infection. Voici quelques conseils pour éviter de devenir une victime de ransomware:

  1. Assurez-vous que votre système d'exploitation, vos logiciels et vos antivirus sont toujours à jour avec les dernières mises à jour de sécurité.
  2. Évitez de télécharger des logiciels piratés ou des fichiers à partir de sources non fiables. Utilisez uniquement des sites Web et des services de téléchargement légitimes.
  3. Ne cliquez pas sur des liens ou des pièces jointes provenant d'e-mails non sollicités ou suspects. Méfiez-vous des courriels qui vous demandent de télécharger des fichiers ou de fournir des informations personnelles.
  4. Utilisez un logiciel de sécurité de qualité qui peut détecter et bloquer les menaces de ransomware.
  5. Effectuez régulièrement des sauvegardes de vos fichiers importants sur un lecteur externe ou dans le cloud. Assurez-vous que vos sauvegardes sont à jour et fonctionnent correctement.
  6. Éduquez-vous sur les dernières tactiques des ransomwares et soyez vigilant en ligne.

En suivant ces conseils et en restant informé des menaces de sécurité actuelles, vous pouvez réduire considérablement le risque d'infection par des ransomwares comme STOP/Djvu.

Conclusion

Le ransomware STOP/Djvu est une menace malveillante qui peut causer d'importants problèmes en cryptant les fichiers de ses victimes et en demandant des rançons élevées. Les victimes de ce ransomware doivent prendre des mesures pour éliminer l'infection de leur système, tenter de récupérer leurs fichiers de manière sécurisée et mettre en place des mesures de sécurité pour éviter de futures infections. La prévention et la sensibilisation sont essentielles pour se protéger contre ce type de menace.

Si vous êtes victime d'une attaque par le ransomware STOP/Djvu, il est recommandé de signaler l'incident aux autorités locales et aux agences de cybersécurité pour contribuer à la lutte contre ces criminels.