DJVU

باج‌گیر افزارهای خانواده DJVU یا STOP داده‌های کاربران را با الگوریتم AES-556 (حالت CFB) رمزگذاری می‌کنند. بااین‌وجود، کل فایل را رمزگذاری نکرده، بلکه در ابتدا تقریباً ۵ مگابایت از آن را رمز می‌کند. متعاقباً، برای بازگرداندن فایل‌ها باجی به مبلغ ۹۸۰ دلار (معادل بیت کوین) را درخواست می‌کنند.

نویسندگان این باج‌گیر افزار ریشه روسی دارند. این کلاه‌بردارها از زبان روسی و کلمات روسی نوشته‌شده به زبان انگلیسی و دامنه‌های ثبت‌شده از طریق شرکت‌های ثبت دامنه روسی استفاده می‌کنند. کلاه‌برداران به‌احتمال‌زیاد در کشورهای دیگر نیز متحد دارند.

مشخصات فنی DJVU یا STOP

بسیاری از کاربران گزارش دادند که پس از بارگیری و نصب برنامه‌های محبوب آلوده‌شده، فعال‌کننده‌های ویندوز و آفیس مانند KMSAuto Net ،KMSPico و غیره که توسط کلاه‌برداران از طریق وب‌سایت‌های معروف توزیع ‌شده‌اند، آلوده‌ شده‌اند. این موضوع مربوط به برنامه‌های رایگان قانونی و نرم‌افزارهای غیرقانونی فعال‌سازی است.

رمزنگاری ممکن است با استفاده از پیکربندی RDP که به‌طور ضعیف محافظت‌شده، از طریق پست‌های الکترونیک اسپم و پیوست‌های موذی، بارگیری‌های اشتباه، بهره‌بردارها، تزریق کننده‌های وب(۱)، به‌روزرسانی‌های معیوب، نصب مجدد(۲) و فایل‌های نصب آلوده پخش شوند.

لیست موضوعی پسوندهای فایل‌هایی که توسط این باج‌گیر افزارها رمزگذاری می‌شوند، در اینجا آورده شده است:

فایل‌های OpenOffice یا MS Office، فایل‌های PDF و متنی، پایگاه‌های داده‌، عکس‌ها، موسیقی، فایل‌های تصویری یا ویدیویی، بایگانی‌ها، فایل‌های برنامه و غیره

باج‌گیر افزار‌های STOP/DJVU یادداشت‌های باج‌خواهی (شکل زیر) خود را در یک فایل text به نام‌‌هایی که در زیر آمده است روی سیستم شما قرار می‌دهد:

!!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, !readme.txt

.djvu * و انواع جدیدتر: _openme.txt ، _open_.txt یا _readme.txt

همچنین نوع djvu از این باج‌گیر افزار یا انواع جدید این باج‌گیر افزار از نام‌هایی که در زیر آورده شده‌اند برای نام‌گذاری فایل text حاوی یادداشت باج‌خواهی استفاده می‌کنند:

_openme.txt, _open_.txt, _readme.txt

مراحل آلودگی توسط رمزنگاری:

  1. پس از راه‌اندازی، رمزنگار قابل‌اجرا(۳) به یک سرور فرمان و کنترل(۴) متصل می‌شود. درنتیجه، کلید رمزنگاری و شناسه آلودگی را برای رایانه قربانی به دست می‌آورد. داده‌ها تحت پروتکل HTTP به شکل JSON منتقل می‌شوند.
  2. اگر С&C در دسترس نباشد (در مواقعی که رایانه به اینترنت متصل نشده باشد و سرور پاسخ ندهد)، رمزنگار کلید رمزگذاری شده را که به‌طور مستقیم در کد آن پنهان شده است اعمال می‌کند و رمزنگاری مستقل را انجام می‌دهد. در این حالت، رمزگشایی پرونده‌ها بدون پرداخت باج امکان‌پذیر است.
  3. این رمزگذار از exe برای جایگزینی پرونده قانونی ویندوز و همچنین برای پیاده‌سازی حمله به شبکه رایانه استفاده می‌کند.
  4. پس از رمزگذاری موفقیت‌آمیز فایل‌ها، رمزگذار به‌صورت مستقل و با استفاده از فایل فرمانbat حذف می‌شود.

فایل‌های مرتبط:

%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\5.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task

ورودی‌های مرتبط با رجیستری:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

ترافیک شبکه:

api.2ip.ua
morgem.ru

تشخیص توسط آنتی‌ویروس‌ها:

باج‌گیر افزار‌های STOP/DJVU توسط نام‌هایی که در زیر آمده است توسط آنتی‌ویروس‌ها تشخیص داده می‌شوند:

Trojan-Ransom.Win32.Encoder.jvp
Win32/Injector.YRQ
Generik.ILALFJZ
Win32/Fynloski.AM
Win32/Rozena.AXP
Generic PUA AG (PUA)
Win32/Injector.AYAE
Win32/Kryptik.GCTN
Win32/Spy.Agent.PNC
Trojan:Win32/Occamy.CA9

همچنین Crackithub.com ،kmspico10.com ،crackhomes.com ،piratepc.net برخی از سایت‌های توزیع باج‌گیرافزار STOP هستند. هر برنامه‌ای که از آنجا بارگیری شود می‌تواند به این باج‌افزار آلوده باشد!

علاوه بر رمزگذاری فایل‌های قربانی، خانواده DJVU همچنین Azyult Spyware را برای سرقت اطلاعات حساب‌های کاربری، کیف پول‌های ارزهای دیجیتال، فایل‌های دسکتاپ و موارد دیگر نصب می‌کنند.

چگونه می‌توان فایل‌های DJVU یا STOP رمزگشایی کرد؟

باجگیر افزارهای خانواده‌ی DJVU  یا STOP اساساً دارای دو نسخه هستند.

  1. نسخه قدیمی: رمزگشایی بیشتر پسوندهای قدیمی (از “.djvu” تا “.carote (v154)” برای بیشتر این نسخه ها قبلاً توسط ابزار STOPDecrypter پشتیبانی می شد، درصورتی که فایل‌ها را با یک کلید آفلاین آلوده شده باشند. همین پشتیبانی در رمزگشای جدید Emsisoft برای این نسخه های قدیمی Djvu گنجانده شده است. رمزگشایی فقط در صورت داشتن کلید آفلاین، فایل‌های شما را بدون ارسال جفت فایل رمزگشایی می کند.
  2. نسخه جدید: جدیدترین پسوندها در اواخر آگوست ۲۰۱۹ پس از تغییر این باجگیر افزار منتشر شدند. این پسوندها شامل .coharos ، .shariz ، .gero ، .hese ، .xoza ، .seto ، peta ، .moka ، .meds ، .kvag ، .domm ، .karl ، .nesa ، .boot و غیره هستند. این نسخه های جدید فقط با Emsisoft Decryptor پشتیبانی می شوند.

“جفت فایل” چیست؟
این نوع از فایل‌ها در حقیقت یکسان هستند (همان‌طور که داده‌های موحود در آن‌ها دقیق مشابه است)، به جز یک  داده که در یک فایل رمزگذاری شده است و در فایل دیگر نه.

کلیدهای آنلاین و آفلاین به چه معناست؟
کلید آفلاین نشان می دهد که فایل‌ها در حالت آفلاین رمزگذاری شده‌اند. پس از کشف شدن این کلید، به ابزار رمزگشایی اضافه می شود و می توان توسط آن فایل‌ها را رمزگشایی کرد.

کلید آنلاین توسط سرور باجگیر افزار تولید شده است. این بدان معنی است که سرور باجگیر افزار مجموعه‌ای تصادفی از کلیدها را برای رمزگذاری فایل‌ها ایجاد کرده است. رمزگشایی چنین فایل‌هایی به هیچ وجه امکان پذیر نیست.

رمزگذاری با الگوریتم RSA که در جدیدترین نسخه های DJVU استفاده شده است، اجازه نمی‌دهد از یک جفت فایل “رمزگذاری شده + اصلی” برای آموزش سرویس رمزگشایی استفاده کنید. این نوع رمزگذاری امن در برابر crack کردن مقاوم است و رمزگشایی فایل‌ها بدون داشتن کلید خصوصی غیرممکن است. حتی یک ابر رایانه برای محاسبه چنین کلیدی به ۱۰۰٫۰۰۰ سال زمان نیاز دارد.

چگونه کلید آفلاین یا آنلاین را شناسایی کنیم؟
فایل SystemID/PersonalID.txt ایجاد شده توسط STOP (DJVU) در درایو C شما شامل تمام شناسه‌های استفاده شده در فرآیند رمزگذاری است.

تقریباً هر شناسه آفلاین با “t1” خاتمه می یابد. رمزگذاری توسط یک کلید آفلاین با مشاهده شناسه شخصی در یادداشت _readme.txt و فایل C:\SystemID\PersonalID.txt قابل تأیید است.

سریع‌ترین راه برای بررسی اینکه آیا به کلید OFFLINE یا ONLINE آلوده شده اید دنبال کردن مراحل سه گانه‌ی زیر است:

  1. فایل PesonalID.txt واقع در پوشه C:\SystemID را بر روی دستگاه آلوده پیدا کرده و بررسی کنید که دارای یک شناسه است و یا اینکه چندین شناسه وجود دارد.
  2. اگر شناسه‌ای با “t1” به پایان برسد، این احتمال وجود دارد که برخی از فایل‌های شما توسط کلید آفلاین رمزگذاری شده و قابل بازیابی باشند.
  3. اگر هیچ یک از شناسه‌های ذکر شده با “t1” ختم نشود، به احتمال زیاد همه فایل‌های شما با کلید آنلاین رمزگذاری شده اند و در حال حاضر قابل بازیابی نیستند.

لیست کامل پسوندهایی که با استفاده از باج‌گیر افزارهای خانواده DJVU رمز می‌شوند در اینجا آورده شده است (به روز رسانی شده در ژوئن ۲۰۲۱):

۱) گروه STOP

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

۲) گروه Puma

puma, pumax, pumas, shadow

۳) گروه Djvu

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz

۴) گروه Gero یا RSA

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, ,boop, geno, kasp, .ogdo, .npph .kolz, nypg, copa, lyli, , moss, foqe, mmpa, efji, iiss, jdyi, vpsh, agho, vvoa, epor, sglh, lisp, weui, nobu, ,igdm, booa, igal, omfl, atek, qlkm, coos, wbxd, pola, plam, cosd, ygkz, cadq, ribd, tirp, reig, ekvf, enfp, ytbn, fdcz, urnb, lmas, wrui, rejg, pcqq, igvm, nusm, ehiz, paas, pahd, mppq, qscx, sspq, iqll, ddsg, piiq, neer, miis, leex, lssr, pooe, zqqw, zzla, wwka, gujd, ufwj, moqs, hhqa, aeur, guer, nooa, muuq, reqg, hoop, orkf, iwan, lqqw, efdc

همچنین در اینجا لیستی از پست‌های الکترونیک استفاده شده توسط مجرمان سایبری و قرار داده شده در یادداشت‌های باج‌خواهی این خانواده از باجگیر افزارها آورده شده است:

helpdatarestore@firemail.cc, helpmanager@mail.ch, helpmanager@firemail.cc, helpmanager@iran.ir, datarestorehelp@firemail.cc, datahelp@iran.ir, restorefiles@firemail.cc, salesrestoresoftware@firemail.cc, salesrestoresoftware@gmail.com, amundas@firemail.cc, gerentosrestore@firemail.cc, gerentoshelp@firemail.cc

لیست آخرین باج‌گیر افزارهای خانواده DJVU:

EFDC Ransomware (.efdc FILE)
LQQW Ransomware (.lqqw FILE)
IWAN Ransomware (.iwan FILE)
ORKF Ransomware (.orkf FILE)
HOOP Ransomware (.hoop FILE)
REQG Ransomware (.reqg FILE)
MUUQ Ransomware (.muuq FILE)
NOOA Ransomware (.nooa FILE)
GUER Ransomware (.guer FILE)
AEUR Ransomware (.aeur FILE)
HHQA Ransomware (.hhqa FILE)
MOQS Ransomware (.moqs FILE)
UFWJ Ransomware (.ufwj FILE)
GUJD Ransomware (.gujd FILE)

WWKA Ransomware (.wwka FILE)
ZZLA Ransomware (.zzla FILE)
ZQQW Ransomware (.zqqw FILE)

منبع

[۱] https://howtofix.guide/about-djvu-stop-ransomware


(۱) web injectors
(2) repackaged
(3) cryptoware executable
(4) Command and Control server (С&C)