Новый вариант шифровальщика STOP появился в декабре; бесплатный декриптор для него еще не создан.
Эксперты фиксируют рост активности Djvu — модификации шифровальщика STOP, появившейся в декабре. На настоящий момент установлено, что зловред попадает на машину жертвы в результате загрузки взломанной программы («кряка») или ПО для показа рекламы.
Windows-вымогатель STOP известен ИБ-сообществу с конца 2017 года. За время своего существования он много раз обновлялся, изменяя расширение, добавляемое к зашифрованным файлам, и имя txt-файла с требованием выкупа.
Файлы, обработанные Djvu, в частности, можно отличить по расширению .djvu (возможны вариации: .uudjvu, .djvut и т. п.). На прошлой неделе появились также образцы, использующие расширения .pdff, .tro и .tfude.
Судя по частоте обращений на ID-Ransomware — бесплатный сервис идентификации шифровальщиков, новая вымогательская кампания вполне успешна. Так, 14 января услугами ИБ-сайта воспользовались более 280 жертв Djvu.
Проведенный в Bleeping Computer анализ показал, что загружаемый вместе с «кряком» или adware инсталлятор шифровальщика устанавливается под произвольным именем в папку %LocalAppData%\. При выполнении он туда же загружает четыре исполняемых файла: 1.exe, 2.exe, 3.exe и updatewin.exe. Первый из них отвечает за нейтрализацию Защитника Windows, второй — за блокировку доступа к ИБ-сайтам, функциональность 3.exe выяснить не удалось из-за отсутствия образца.
Файл updatewin.exe отображает фальшивое окно обновления Windows, призванное отвлечь внимание пользователя во время шифрования файлов и оправдать повышение активности в системе.
При соединении с командным сервером (в ru-домене) Djvu отправляет уникальный ID, сгенерированный на основе MAC-адреса зараженного утройства, и получает ключ для шифрования файлов. Список целевых расширений обширен и включает .exe. Завершив свое черное дело, зловред создает запланированное задание для регулярного повтора процедуры шифрования на случай появления новых файлов.
Имя файла с сообщением и контактами злоумышленников, оставляемого в каждой папке с зашифрованными файлами, для всех вариантов Djvu одинаково — _openme.txt. Сумма выкупа в этом тексте не указана, вымогатели лишь обещают 50%-скидку при обращении к ним в первые три дня после заражения. В качестве контактов для получения инструкций указаны два email-адреса (@india.com и @firemail.cc).
К сожалению, бесплатного способа расшифровки всех файлов после Djvu на настоящий момент не существует. На форуме Bleeping Computer создали отдельную тему в помощь жертвам заражения, но потом объединили ее с темой, посвященной вымогателю STOP.