DJVU

باج‌گیر افزارهای خانواده DJVU داده‌های کاربران را با الگوریتم AES-556 (حالت CFB) رمزگذاری می‌کنند. بااین‌وجود، کل فایل را رمزگذاری نکرده، بلکه در ابتدا تقریباً ۵ مگابایت از آن را رمز می‌کند. متعاقباً، برای بازگرداندن فایل‌ها باجی به مبلغ ۹۸۰ دلار (معادل بیت کوین) را درخواست می‌کنند.

نویسندگان این باج‌گیر افزار ریشه روسی دارند. این کلاه‌بردارها از زبان روسی و کلمات روسی نوشته‌شده به زبان انگلیسی و دامنه‌های ثبت‌شده از طریق شرکت‌های ثبت دامنه روسی استفاده می‌کنند. کلاه‌برداران به‌احتمال‌زیاد در کشورهای دیگر نیز متحد دارند.

مشخصات فنی  DJVU

بسیاری از کاربران گزارش دادند که پس از بارگیری و نصب برنامه‌های محبوب آلوده‌شده، فعال‌کننده‌های ویندوز و آفیس مانند KMSAuto Net ،KMSPico و غیره که توسط کلاه‌برداران از طریق وب‌سایت‌های معروف توزیع ‌شده‌اند، آلوده‌ شده‌اند. این موضوع مربوط به برنامه‌های رایگان قانونی و نرم‌افزارهای غیرقانونی فعال‌سازی است.

رمزنگاری ممکن است با استفاده از پیکربندیRDP  که به‌طور ضعیف محافظت‌شده، از طریق پست‌های الکترونیک اسپم و پیوست‌های موذی، بارگیری‌های اشتباه، بهره‌بردارها، تزریق کننده‌های وب(۱)، به‌روزرسانی‌های معیوب، نصب مجدد(۲) و فایل‌های نصب آلوده پخش شوند.

لیست موضوعی پسوندهای فایل‌هایی که توسط این باج‌گیر افزارها رمزگذاری می‌شوند، در اینجا آورده شده است:

فایل‌های OpenOffice یا MS Office، فایل‌های PDF و متنی، پایگاه‌های داده‌، عکس‌ها، موسیقی، فایل‌های تصویری یا ویدیویی، بایگانی‌ها، فایل‌های برنامه و غیره

مراحل آلودگی توسط رمزنگاری:

  1. پس از راه‌اندازی، رمزنگار قابل‌اجرا(۳) به یک سرور فرمان و کنترل(۴) متصل می‌شود. درنتیجه، کلید رمزنگاری و شناسه آلودگی را برای رایانه قربانی به دست می‌آورد. داده‌ها تحت پروتکل HTTP به شکل JSON منتقل می‌شوند.
  2. اگر С&C در دسترس نباشد (در مواقعی که رایانه به اینترنت متصل نشده باشد و سرور پاسخ ندهد)، رمزنگار کلید رمزگذاری شده را که به‌طور مستقیم در کد آن پنهان شده است اعمال می‌کند و رمزنگاری مستقل را انجام می‌دهد. در این حالت، رمزگشایی پرونده‌ها بدون پرداخت باج امکان‌پذیر است.
  3. این رمزگذار ازexe برای جایگزینی پرونده قانونی ویندوز و همچنین برای پیاده‌سازی حمله به شبکه رایانه استفاده می‌کند.
  4. پس از رمزگذاری موفقیت‌آمیز فایل‌ها، رمزگذار به‌صورت مستقل و با استفاده از فایل فرمانbat حذف می‌شود.

فایل‌های مرتبط:

%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task

ورودی‌های مرتبط با رجیستری:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

ترافیک شبکه:

api.2ip.uamorgem.ru

علاوه بر رمزگذاری فایل‌های قربانی، خانواده DJVU همچنین Azyult Spyware را برای سرقت اطلاعات حساب‌های کاربری، کیف پول‌های ارزهای دیجیتال، فایل‌های دسکتاپ و موارد دیگر نصب می‌کنند.

چگونه می‌توان فایل‌های DJVU رمزگشایی کرد؟

Michael Gillespie، که متخصص تحقیقات رمزنگاری است، یک ابزار رمزگشایی را برای نسخه‌های خاص از این باج‌گیر افزار برای حالتی که رمزنگار از کلید رمزنگاری آفلاین برای رمز کردن فایل‌ها استفاده می‌کند، تهیه ‌کرده است.

Michael یک ابزار رمزگشایی رایگان را منتشر کرده است. نام این ابزار STOPDecrypter است. این ابزار شامل BruteForcer بوده و فقط برای انواع مختلفی از باج‌گیر افزارهاست است که از رمزگذاری XOR استفاده می‌کنند، یک رمزنگاری ساده متقارن که به‌راحتی قابل شکسته شدن است. این ابزار رمزگشایی به قربانیان نیاز دارد تا یک فایل اصلی و یک فایل رمزنگاری‌شده با حجم بیشتر از ۱۵۰کیلوبایت را به آن ارائه دهند.

به یاد داشته باشید: ابزار STOPDecrypter باید به‌صورت Administrator و از روی دسکتاپ اجرا شود.

لیست کامل پسوندهایی که با استفاده از باج‌گیر افزارهای خانواده DJVU رمز می‌شوند در اینجا آورده شده است (به روز رسانی شده در آوریل ۲۰۲۰):

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz, gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp

در اینجا نیز لیستی از آخرین باج‌گیر افزارهای خانواده DJVU آورده شده است:

LEZP Virus (.lezp File) – DECRYPT & REMOVAL TOOL
Lalo Virus File (.lalo) Removal and Recovery PC
Mpaj Virus. How to decrypt .mpaj files? (+ Restore PC)
JOPE Virus (.jope Files Ransomware) – DECRYPT & REMOVAL TOOL
MADO Virus (.mado Files Ransomware) – DECRYPT & REMOVAL TOOL
OPQZ Virus (.opqz Files Ransomware) – DECRYPT+REMOVAL TOOL
NPSK VIRUS (.npsk FILES) – HOW TO FIX & DECRYPT TOOL
REMK VIRUS (.remk FILES) – HOW TO FIX & DECRYPT DATA
FOOP VIRUS (.foop FILES) – HOW TO FIX & DECRYPT DATA
LOKD Virus (.lokd Files) – DECRYPT & REMOVAL

منبع

[۱] https://howtofix.guide/about-djvu-stop-ransomware


(۱) web injectors
(۲) repackaged
(۳) cryptoware executable
(۴) Command and Control server (С&C)