DJVU

باج‌گیر افزارهای خانواده DJVU یا STOP داده‌های کاربران را با الگوریتم AES-556 (حالت CFB) رمزگذاری می‌کنند. بااین‌وجود، کل فایل را رمزگذاری نکرده، بلکه در ابتدا تقریباً ۵ مگابایت از آن را رمز می‌کند. متعاقباً، برای بازگرداندن فایل‌ها باجی به مبلغ ۹۸۰ دلار (معادل بیت کوین) را درخواست می‌کنند.

نویسندگان این باج‌گیر افزار ریشه روسی دارند. این کلاه‌بردارها از زبان روسی و کلمات روسی نوشته‌شده به زبان انگلیسی و دامنه‌های ثبت‌شده از طریق شرکت‌های ثبت دامنه روسی استفاده می‌کنند. کلاه‌برداران به‌احتمال‌زیاد در کشورهای دیگر نیز متحد دارند.

مشخصات فنی DJVU یا STOP

بسیاری از کاربران گزارش دادند که پس از بارگیری و نصب برنامه‌های محبوب آلوده‌شده، فعال‌کننده‌های ویندوز و آفیس مانند KMSAuto Net ،KMSPico و غیره که توسط کلاه‌برداران از طریق وب‌سایت‌های معروف توزیع ‌شده‌اند، آلوده‌ شده‌اند. این موضوع مربوط به برنامه‌های رایگان قانونی و نرم‌افزارهای غیرقانونی فعال‌سازی است.

رمزنگاری ممکن است با استفاده از پیکربندی RDP که به‌طور ضعیف محافظت‌شده، از طریق پست‌های الکترونیک اسپم و پیوست‌های موذی، بارگیری‌های اشتباه، بهره‌بردارها، تزریق کننده‌های وب(۱)، به‌روزرسانی‌های معیوب، نصب مجدد(۲) و فایل‌های نصب آلوده پخش شوند.

لیست موضوعی پسوندهای فایل‌هایی که توسط این باج‌گیر افزارها رمزگذاری می‌شوند، در اینجا آورده شده است:

فایل‌های OpenOffice یا MS Office، فایل‌های PDF و متنی، پایگاه‌های داده‌، عکس‌ها، موسیقی، فایل‌های تصویری یا ویدیویی، بایگانی‌ها، فایل‌های برنامه و غیره

باج‌گیر افزار‌های STOP/DJVU یادداشت‌های باج‌خواهی خود را در یک فایل text به نام‌‌هایی که در زیر آمده است روی سیستم شما قرار می‌دهد:

!!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, !readme.txt

.djvu * و انواع جدیدتر: _openme.txt ، _open_.txt یا _readme.txt

همچنین نوع djvu از این باج‌گیر افزار یا انواع جدید این باج‌گیر افزار از نام‌هایی که در زیر آورده شده‌اند برای نام‌گذاری فایل text حاوی یادداشت باج‌خواهی استفاده می‌کنند:

_openme.txt, _open_.txt, _readme.txt

مراحل آلودگی توسط رمزنگاری:

  1. پس از راه‌اندازی، رمزنگار قابل‌اجرا(۳) به یک سرور فرمان و کنترل(۴) متصل می‌شود. درنتیجه، کلید رمزنگاری و شناسه آلودگی را برای رایانه قربانی به دست می‌آورد. داده‌ها تحت پروتکل HTTP به شکل JSON منتقل می‌شوند.
  2. اگر С&C در دسترس نباشد (در مواقعی که رایانه به اینترنت متصل نشده باشد و سرور پاسخ ندهد)، رمزنگار کلید رمزگذاری شده را که به‌طور مستقیم در کد آن پنهان شده است اعمال می‌کند و رمزنگاری مستقل را انجام می‌دهد. در این حالت، رمزگشایی پرونده‌ها بدون پرداخت باج امکان‌پذیر است.
  3. این رمزگذار از exe برای جایگزینی پرونده قانونی ویندوز و همچنین برای پیاده‌سازی حمله به شبکه رایانه استفاده می‌کند.
  4. پس از رمزگذاری موفقیت‌آمیز فایل‌ها، رمزگذار به‌صورت مستقل و با استفاده از فایل فرمانbat حذف می‌شود.

فایل‌های مرتبط:

%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\5.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task

ورودی‌های مرتبط با رجیستری:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

ترافیک شبکه:

api.2ip.ua
morgem.ru

تشخیص توسط آنتی‌ویروس‌ها:

باج‌گیر افزار‌های STOP/DJVU توسط نام‌هایی که در زیر آمده است توسط آنتی‌ویروس‌ها تشخیص داده می‌شوند:

BScope.Malware-Cryptor.7113
Trojan:Win32/Ymacco.AA68
BScope.Malware-Cryptor.Upatre
Ransom:Win32/Lolkek.PA!MTB
Ransom:Win32/Zudochka.AR!MTB
Trojan:Win32/Ymacco.AA4A
Ransom:MSIL/Filecoder.EI!MTB
Win32/Filecoder.FV
Trojan:Win32/Ymacco.AA9B
BScope.Trojan.Mamson

همچنین Crackithub.com ،kmspico10.com ،crackhomes.com ،piratepc.net برخی از سایت‌های توزیع باج‌گیرافزار STOP هستند. هر برنامه‌ای که از آنجا بارگیری شود می‌تواند به این باج‌افزار آلوده باشد!

علاوه بر رمزگذاری فایل‌های قربانی، خانواده DJVU همچنین Azyult Spyware را برای سرقت اطلاعات حساب‌های کاربری، کیف پول‌های ارزهای دیجیتال، فایل‌های دسکتاپ و موارد دیگر نصب می‌کنند.

چگونه می‌توان فایل‌های DJVU یا STOP رمزگشایی کرد؟

باجگیر افزارهای خانواده‌ی DJVU  یا STOP اساساً دارای دو نسخه هستند.

  1. نسخه قدیمی: رمزگشایی بیشتر پسوندهای قدیمی (از “.djvu” تا “.carote (v154)” برای بیشتر این نسخه ها قبلاً توسط ابزار STOPDecrypter پشتیبانی می شد، درصورتی که فایل‌ها را با یک کلید آفلاین آلوده شده باشند. همین پشتیبانی در رمزگشای جدید Emsisoft برای این نسخه های قدیمی Djvu گنجانده شده است. رمزگشایی فقط در صورت داشتن کلید آفلاین، فایل‌های شما را بدون ارسال جفت فایل رمزگشایی می کند.
  2. نسخه جدید: جدیدترین پسوندها در اواخر آگوست ۲۰۱۹ پس از تغییر این باجگیر افزار منتشر شدند. این پسوندها شامل .coharos ، .shariz ، .gero ، .hese ، .xoza ، .seto ، peta ، .moka ، .meds ، .kvag ، .domm ، .karl ، .nesa ، .boot و غیره هستند. این نسخه های جدید فقط با Emsisoft Decryptor پشتیبانی می شوند.

“جفت فایل” چیست؟
این نوع از فایل‌ها در حقیقت یکسان هستند (همان‌طور که داده‌های موحود در آن‌ها دقیق مشابه است)، به جز یک  داده که در یک فایل رمزگذاری شده است و در فایل دیگر نه.

کلیدهای آنلاین و آفلاین به چه معناست؟
کلید آفلاین نشان می دهد که فایل‌ها در حالت آفلاین رمزگذاری شده‌اند. پس از کشف شدن این کلید، به ابزار رمزگشایی اضافه می شود و می توان توسط آن فایل‌ها را رمزگشایی کرد.

کلید آنلاین توسط سرور باجگیر افزار تولید شده است. این بدان معنی است که سرور باجگیر افزار مجموعه‌ای تصادفی از کلیدها را برای رمزگذاری فایل‌ها ایجاد کرده است. رمزگشایی چنین فایل‌هایی به هیچ وجه امکان پذیر نیست.

رمزگذاری با الگوریتم RSA که در جدیدترین نسخه های DJVU استفاده شده است، اجازه نمی‌دهد از یک جفت فایل “رمزگذاری شده + اصلی” برای آموزش سرویس رمزگشایی استفاده کنید. این نوع رمزگذاری امن در برابر crack کردن مقاوم است و رمزگشایی فایل‌ها بدون داشتن کلید خصوصی غیرممکن است. حتی یک ابر رایانه برای محاسبه چنین کلیدی به ۱۰۰٫۰۰۰ سال زمان نیاز دارد.

چگونه کلید آفلاین یا آنلاین را شناسایی کنیم؟
فایل SystemID/PersonalID.txt ایجاد شده توسط STOP (DJVU) در درایو C شما شامل تمام شناسه‌های استفاده شده در فرآیند رمزگذاری است.

تقریباً هر شناسه آفلاین با “t1” خاتمه می یابد. رمزگذاری توسط یک کلید آفلاین با مشاهده شناسه شخصی در یادداشت _readme.txt و فایل C:\SystemID\PersonalID.txt قابل تأیید است.

سریع‌ترین راه برای بررسی اینکه آیا به کلید OFFLINE یا ONLINE آلوده شده اید دنبال کردن مراحل سه گانه‌ی زیر است:

  1. فایل PesonalID.txt واقع در پوشه C:\SystemID را بر روی دستگاه آلوده پیدا کرده و بررسی کنید که دارای یک شناسه است و یا اینکه چندین شناسه وجود دارد.
  2. اگر شناسه‌ای با “t1” به پایان برسد، این احتمال وجود دارد که برخی از فایل‌های شما توسط کلید آفلاین رمزگذاری شده و قابل بازیابی باشند.
  3. اگر هیچ یک از شناسه‌های ذکر شده با “t1” ختم نشود، به احتمال زیاد همه فایل‌های شما با کلید آنلاین رمزگذاری شده اند و در حال حاضر قابل بازیابی نیستند.

لیست کامل پسوندهایی که با استفاده از باج‌گیر افزارهای خانواده DJVU رمز می‌شوند در اینجا آورده شده است (به روز رسانی شده در دسامبر ۲۰۲۰):

۱) گروه STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

۲) گروه Puma

puma, pumax, pumas, shadow

۳) گروه Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

۴) گروه Gero یا RSA

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, ,boop, geno, kasp, .ogdo, .npph .kolz, nypg, copa, lyli, , moss, foqe, mmpa, efji, iiss, jdyi, vpsh, agho, vvoa, epor, sglh, lisp, weui, nobu, ,igdm, booa, igal, omfl, atek, qlkm, coos, wbxd, pola, plam, cosd, ygkz, cadq, ribd

همچنین در اینجا لیستی از پست‌های الکترونیک استفاده شده توسط مجرمان سایبری و قرار داده شده در یادداشت‌های باج‌خواهی این خانواده از باجگیر افزارها آورده شده است:

helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

لیست آخرین باج‌گیر افزارهای خانواده DJVU:

RIBD (.ribd File) Ransomware
CADQ (.wbxd File) Ransomware

YGKZ (.ygkz Files) Ransomware
COSD (.cosd File) Ransomware 
PLAM (.plam File) Ransomware
POLA (.pola File) Ransomware
WBXD (.wbxd File) Ransomware
COOS (.coos Files) Ransomware
QLKM (.qlkm Files) Ransomware
ATEK (.atek Files) Ransomware
OMFL (.omfl Files) Ransomware
IGAL (.igal Files) Ransomware
BOOA (.booa FILE) Ransomware
IGDM (.igdm FILE) Ransomware
NOBU (.nobu FILE) Ransomware

منبع

[۱] https://howtofix.guide/about-djvu-stop-ransomware


(۱) web injectors
(2) repackaged
(3) cryptoware executable
(4) Command and Control server (С&C)