“ djvu”（STOP）勒索软件以推动力进入2020年

• 研究人员警告说，djvu勒索软件仍在活跃，并随着新病毒不断发展。
• 大多数病毒仍然坚不可摧，而勒索软件现在也下载了信息窃取者。
• 演员要求支付980美元，这反映了djvu在所有时间之后的实力。

Quick Heal研究人员报告称，djvu勒索软件（也称为“ STOP”）在新的一年中仍然活跃且具有攻击性。到1月10日为止，这种流行的勒索软件数量已超过2万次，因此没有迹象表明存在威胁。简而言之，恶意参与者更喜欢使用难以或无法制止，易于获得或廉价的勒索软件。 djvu适合这双鞋，因为目前流通在网上的200个变体中约有30％保持坚不可摧。对于其他情况，人们总是可以放心使用Emsisoft的解密器。

来源：Quick Heal Blog

根据从最近的活动中获得的数据，参与者正在使用破解的软件，密钥生成器和应用程序激活器来感染受害者。也就是说，大多数感染来自可疑的种子文件。 djvu勒索软件的主要有效负载具有高级反仿真和反调试功能，这些功能是由盘点程序实现的。在许多情况下，标识受害者的国家并决定是否解密本地文件仍然是djvu的一项功能。在大多数变体中，除外的国家是俄罗斯，叙利亚，乌克兰，亚美尼亚，哈萨克斯坦，白俄罗斯和乌兹别克斯坦。

来源：Quick Heal Blog

最近的活动的另一个要素是djvu试图从其C2服务器获取其他有效负载。最常见的是Vidar信息窃取程序和Vilsel Trojan。 Vidar能够窃取浏览器登录数据，Cookie，缓存，消息传递和电子邮件数据，甚至是两因素身份验证数据。在文件加密货币开始之前，djvu向所有枚举的导演发送赎金记录，并创建RUN注册表项以实现持久性。加密货币是通过使用联机密钥或脱机密钥来完成的。在这两种情况下，原始文件的前5个字节均保持不变，其余部分则使用Salsa20算法加密货币。

来源：Quick Heal Blog

赎金通知书要求受害者支付980美元，如果在三天内付款，则要支付490美元。与参与者交易所的唯一方法是电子邮件，而每个受害者唯一的个人ID对于解密过程仍然至关重要。请记住，这只涉及白帽工具，而不涉及演员，因为付钱给后者并不能保证您仍然可以将文件取回来。为了避免djvu / STOP的危险，请避免从种子站点下载破解或盗版的软件，并定期将最重要的数据备份到脱机媒体上。