ストップ Djvu ランサムウェア

Ransomware年GoldSparrowまで

翻訳内容：

STOP Djvu ランサムウェアファミリとも呼ばれる STOP ランサムウェアファミリは、脅威となるマルウェアです。 STOP Djvu は、共通の特徴を共有し、STOP ランサムウェアを起源とする複数の脅威の 1 つにすぎません。ただし、ファイルタイプに影響を与え、ファイル拡張子を暗号化する方法の一部は異なります。

最初のSTOP ランサムウェアは、2018 年 2 月にセキュリティ研究者によって発見されました。しかし、それ以来、進化を続け、そのクローンと派生物のファミリーが拡大しています。 STOP ランサムウェアの主な配布方法は、破損した添付ファイルを使用したスパムメールキャンペーンでした。

STOP Djvu Ransomware は、この種の他のランサムウェアの脅威と同様の方法で動作し、ユーザーがシステムで使用している可能性のあるキーファイルへのアクセスを暗号化してブロックします。個人的なファイル、写真、ドキュメントなどを暗号化して、マシン上のすべてのユーザーに対して基本的に無効にすることができます。 STOP Djvu Ransomware が最初に発見されたのは 2018 年 12 月のことで、オンラインの感染キャンペーンはかなり成功したように見えました。研究者は、ランサムウェアがどのように拡散するかを認識していませんでしたが、その後、被害者は、keygens またはクラックをダウンロードした後に感染を発見したと報告しました。侵入が発生すると、STOP Djvu ランサムウェアは Windows の設定を変更し、.djvu、.djvus、.djvuu、.uudjvu、.udjvu、.djvuq などのさまざまな名前のファイルと、最近の .promorad および .promock 拡張子を追加します。新しいバージョンにはまだデクリプターがありませんが、古いバージョンは STOPDecrypter を使用して解読できます。ユーザーは、何があっても身代金を支払わないようにすることをお勧めします。

ファイルへのアクセスをブロックするために使用される方法は、RSA 暗号化アルゴリズムを使用します。経験の浅いユーザーにとってはファイルの復号化は難しいように見えるかもしれませんが、脅威の背後にいる人々に金銭を支払う努力をする必要はまったくありません。このような状況では通常、偽の約束が与えられるため、ユーザーは支払いが行われると、それらが無視されていることにすぐに気付く可能性があります。

STOP Djvu ランサムウェアの攻撃が最初に報告されたのは 2018 年後半でした。STOP Djvu の主な配布方法はスパムメールのままであり、ランサムウェアのコアへの微調整は比較的小規模でした。スパムメールで使用された偽の感染した添付ファイルの大部分は、マクロが有効化されたオフィス文書または偽の PDF ファイルで、被害者の知らないうちにランサムウェアを実行していました。 STOP Djvu の動作もあまり変わっていません。ランサムウェアは引き続きすべてのシャドウボリュームスナップショットを削除してバックアップを削除し、被害者のファイルの暗号化を開始します。

被害者のデスクトップに「_openme.txt」として保存される身代金メモに若干の変更が加えられています。身代金メモのテキストは次の場所にあります。

'[身代金メモ開始]
———————— すべてのファイルが暗号化されています ————————

心配しないで、すべてのファイルを返すことができます。
すべてのファイル、ドキュメント、写真、データベース、その他の重要なファイルは、最も強力な暗号化と一意のキーで暗号化されます。
ファイルを回復する唯一の方法は、復号化ツールと一意のキーを購入することです。
このソフトウェアは、暗号化されたすべてのファイルを復号化します。
私たちはあなたにどのような保証を提供しますか?
暗号化されたファイルの 1 つを PC から送信すると、無料で復号化できます。
ただし、無料で復号化できるファイルは 1 つだけです。ファイルには貴重な情報が含まれていてはいけません
ファイルを破壊するため、サードパーティの復号化ツールを使用しないでください。
最初の 72 時間にご連絡いただくと、50% の割引をご利用いただけます。

――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――――

このソフトウェアを入手するには、電子メールに次のように記入する必要があります。
helpshadow@india.com

お問い合わせ先のメールアドレスを予約してください:
helpshadow@firemail.cc

あなたの個人ID: [string]
[身代金注記終了]」

ランサムウェアは、暗号化されたファイルの名前を最初は .djvu 拡張子に変更することに制限されていましたが、.djvu は実際には AT&T Labs によって開発され、スキャンされたドキュメントの保存に使用される正当なファイル形式であり、Adobe の .pdf にいくらか似ているため、これは興味深い選択でした。ランサムウェアのその後のバージョンでは、「.chech」、「.luceq」、「.kroput1」、「.charck」、「.kropun」、「.luces」、「.pulsar1」などの一連の他の拡張子が暗号化されたファイルに採用されました。「.uudjvu」「.djvur」「.tfude」「.tfudeq」「.tfudet」。

STOP Djvu ランサムウェアの特定の株は、セキュリティ研究者の Michael Gillespie によって開発されたいわゆる「STOPDecrypter」を使用して無料で復号化でき、オンラインで無料ダウンロードできます。