DETENER Djvu Ransomware
La familia STOP ransomware, también denominada familia STOP Djvu Ransomware, es una pieza de malware amenazante. STOP Djvu es solo una de las múltiples amenazas que comparten características comunes y se originan a partir del ransomware STOP, aunque algunos de sus métodos para afectar los tipos de archivos y cifrar las extensiones de archivos difieren.
El STOP Ransomware original fue descubierto por investigadores de seguridad en febrero de 2018. Sin embargo, desde entonces ha evolucionado y su familia de clones y ramificaciones ha crecido. El método principal de distribución del ransomware STOP fueron las campañas de correo electrónico no deseado que utilizaban archivos adjuntos corruptos.
El ransomware STOP Djvu funciona de manera similar a otras amenazas de ransomware de este tipo, cifrando y bloqueando el acceso a los archivos clave que los usuarios pueden estar utilizando en su sistema. Los archivos personales, imágenes, documentos y más se pueden cifrar y básicamente desactivar para todos los usuarios de la máquina. STOP Djvu ransomware se detectó por primera vez en diciembre de 2018 en lo que pareció ser una campaña de infección en línea bastante exitosa. Los investigadores desconocían la forma en que se propagaba el ransomware, pero las víctimas posteriores informaron que estaban descubriendo infecciones después de descargar keygen o cracks. Una vez que se produce la infiltración, STOP Djvu ransomware cambia la configuración de Windows, agregando archivos con una variedad de nombres, como .djvu, .djvus, .djvuu, .uudjvu, .udjvu o .djvuq y las extensiones .promorad y .promock recientes. Las versiones más nuevas aún no tienen un descifrador, pero las más antiguas se pueden descifrar usando STOPDecrypter. Se aconseja a los usuarios que eviten pagar cualquier rescate, pase lo que pase.
El método utilizado para bloquear el acceso a los archivos utiliza el algoritmo de cifrado RSA. Aunque el descifrado de los archivos puede parecer difícil para los usuarios sin experiencia, definitivamente no hay necesidad de hacer ningún esfuerzo para pagar a las personas que están detrás de la amenaza. Las promesas falsas generalmente se dan en tales situaciones, por lo que los usuarios pueden descubrir rápidamente que se ignoran una vez que se realizan los pagos.
Los ataques del ransomware STOP Djvu se informaron por primera vez a finales de 2018. El principal método de distribución para STOP Djvu siguieron siendo los correos electrónicos no deseados y los ajustes al núcleo del ransomware fueron relativamente menores. La mayoría de los archivos adjuntos falsos y comprometidos utilizados en los correos electrónicos no deseados eran documentos de Office habilitados para macros o archivos PDF falsos que ejecutarían el ransomware sin el conocimiento de la víctima. El comportamiento de STOP Djvu tampoco ha cambiado mucho: el ransomware sigue eliminando todas las instantáneas de Shadow Volume para deshacerse de las copias de seguridad y luego comienza a cifrar los archivos de la víctima.
Hay cambios menores en la nota de rescate, que se guarda como '_openme.txt' en el escritorio de la víctima. El texto de la nota de rescate se puede encontrar aquí:
'[inicio de la nota de rescate]
———————— TODOS SUS ARCHIVOS ESTÁN ENCRIPTADOS ————————
¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos, documentos, fotos, bases de datos y otros importantes están cifrados con el cifrado más fuerte y la clave única.
El único método para recuperar archivos es comprar una herramienta de descifrado y una clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías te damos?
Puede enviar uno de sus archivos cifrados desde su PC y lo desciframos gratis.
Pero podemos descifrar solo 1 archivo de forma gratuita. El archivo no debe contener información valiosa
No intente utilizar herramientas de descifrado de terceros porque destruirá sus archivos.
Descuento del 50% disponible si se comunica con nosotros las primeras 72 horas.
—————————————————————————————————-
Para obtener este software, debe escribir en nuestro correo electrónico:
helphadow@india.com
Reserve la dirección de correo electrónico para contactarnos:
helphadow@firemail.cc
Su identificación personal: [cadena]
[final de la nota de rescate] '
El ransomware se limitó a cambiar el nombre de los archivos cifrados con la extensión .djvu originalmente, lo cual fue una elección curiosa porque .djvu es en realidad un formato de archivo legítimo desarrollado por AT&T Labs y utilizado para almacenar documentos escaneados, algo similar al .pdf de Adobe. Las versiones posteriores del ransomware adoptaron una serie de otras extensiones para archivos encriptados, incluyendo '.chech', '.luceq', '.kroput1,' '.charck,' '.kropun ,,' .luces, '' .pulsar1, ".uudjvu", ".djvur", ".tfude", ".tfudeq" y ".tfudet".
Ciertas cepas del ransomware STOP Djvu se pueden descifrar de forma gratuita, utilizando el llamado 'STOPDecrypter' que fue desarrollado por el investigador de seguridad Michael Gillespie y está disponible en línea como descarga gratuita.
Video DETENER Djvu Ransomware
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
DETENER Djvu Ransomware capturas de pantalla
