“ djvu”(STOP)勒索软件以推动力进入2020年
- 研究人员警告说,djvu勒索软件仍在活跃,并随着新病毒不断发展。
- 大多数病毒仍然坚不可摧,而勒索软件现在也下载了信息窃取者。
- 演员要求支付980美元,这反映了djvu在所有时间之后的实力。
Quick Heal研究人员报告称,djvu勒索软件(也称为“ STOP”)在新的一年中仍然活跃且具有攻击性。到1月10日为止,这种流行的勒索软件数量已超过2万次,因此没有迹象表明存在威胁。简而言之,恶意参与者更喜欢使用难以或无法制止,易于获得或廉价的勒索软件。 djvu适合这双鞋,因为目前流通在网上的200个变体中约有30%保持坚不可摧。对于其他情况,人们总是可以放心使用Emsisoft的解密器。
来源:Quick Heal Blog
根据从最近的活动中获得的数据,参与者正在使用破解的软件,密钥生成器和应用程序激活器来感染受害者。也就是说,大多数感染来自可疑的种子文件。 djvu勒索软件的主要有效负载具有高级反仿真和反调试功能,这些功能是由盘点程序实现的。在许多情况下,标识受害者的国家并决定是否解密本地文件仍然是djvu的一项功能。在大多数变体中,除外的国家是俄罗斯,叙利亚,乌克兰,亚美尼亚,哈萨克斯坦,白俄罗斯和乌兹别克斯坦。
来源:Quick Heal Blog
最近的活动的另一个要素是djvu试图从其C2服务器获取其他有效负载。最常见的是Vidar信息窃取程序和Vilsel Trojan。 Vidar能够窃取浏览器登录数据,Cookie,缓存,消息传递和电子邮件数据,甚至是两因素身份验证数据。在文件加密货币开始之前,djvu向所有枚举的导演发送赎金记录,并创建RUN注册表项以实现持久性。加密货币是通过使用联机密钥或脱机密钥来完成的。在这两种情况下,原始文件的前5个字节均保持不变,其余部分则使用Salsa20算法加密货币。
来源:Quick Heal Blog
赎金通知书要求受害者支付980美元,如果在三天内付款,则要支付490美元。与参与者交易所的唯一方法是电子邮件,而每个受害者唯一的个人ID对于解密过程仍然至关重要。请记住,这只涉及白帽工具,而不涉及演员,因为付钱给后者并不能保证您仍然可以将文件取回来。为了避免djvu / STOP的危险,请避免从种子站点下载破解或盗版的软件,并定期将最重要的数据备份到脱机媒体上。