Emsisoft lanza nuevo descifrador para STOP Djvu ransomware
Si bien STOP (Djvu) puede no ser tan conocido como Ryuk y Sodinokibi, con 160 variantes, más de 116,000 víctimas confirmadas y un total estimado de 460,000 víctimas, es de lejos el ransomware más activo y extendido en la actualidad. Pero hay buenas noticias. Acabamos de lanzar una herramienta de descifrado gratuita.
Romperemos el cifrado de STOP a través de un ataque de canal lateral en el flujo de claves del ransomware. Hasta donde sabemos, es la primera vez que este método se utiliza para recuperar archivos cifrados con ransomware a gran escala.
STOP se propaga casi exclusivamente a través de generadores y grietas clave, que son herramientas que afirman permitir a las personas activar software de pago de forma gratuita. Los niños y los estudiantes con problemas de liquidez suelen buscar este tipo de herramientas, lo que los pone en mayor riesgo de encontrar STOP y, por extensión, sus padres y cualquier otra persona que comparta un dispositivo con ellos.
Para empeorar las cosas, algunas versiones de STOP también incluyen malware adicional, como troyanos que roban contraseñas.
STOP Djvu ID Ransomware submission heatmap
Nuestra herramienta de descifrado gratuita ayuda a las víctimas a desbloquear sus archivos sin pagar el rescate, y se puede descargar desde la página de Herramientas de descifrado de Emsisoft que se encuentra a continuación.
Desafortunadamente, esta herramienta no funcionará para todas las víctimas, ya que solo puede recuperar archivos cifrados por 148 de las 160 variantes. Estimamos que esto permitirá que aproximadamente el 70% de las víctimas recuperen sus datos. Para las personas afectadas por las 12 variantes restantes, actualmente no existe una solución y no podemos ofrecer más asistencia en este momento. Recomendamos que quienes se encuentren en esta posición archiven los datos cifrados en caso de que una solución esté disponible en el futuro.
Emsisoft Decryptor for STOP Djvu
Detener variantes de ransomware
La familia STOP ransomware cubre más de 160 versiones conocidas actualmente, con cuatro variantes principales. Cada variante tiene diferentes niveles de descifrabilidad:
Variantes de MAYÚSCULAS (por ejemplo .DATAWAIT, .KEYPASS): el desencriptador STOP Puma puede descifrar algunas extensiones de esta variante proporcionando un único par de archivos cifrados / originales de más de 150 KB.
Variantes de Puma (por ejemplo .puma, .pumas, .pumax): todas las extensiones conocidas de esta variante se pueden descifrar mediante el descifrador STOP Puma al proporcionar un único par de archivos cifrados / originales de más de 150 KB.
Variantes antiguas de Djvu (por ejemplo .djvu, .roland, .verasto): la variante más prevalente. Los archivos cifrados siempre serán 78 bytes más grandes que el original. El desencriptador STOP Djvu (con advertencias) puede descifrar todas las extensiones conocidas de esta variante de dos maneras: claves fuera de línea y varios pares de archivos cifrados / originales de más de 150 KB.
Nuevas variantes de Djvu (por ejemplo, .gero, .meds, .boot): la última variante de esta familia de ransomware. Los archivos cifrados siempre serán 334 bytes más grandes que el original. Esta variante comenzó a extenderse a fines de agosto de 2019, por lo que es probable que se produzca cualquier infección "reciente". El desencriptador STOP Djvu puede descifrar algunas extensiones de esta variante de una sola manera: claves fuera de línea.
Últimas estadísticas
Los datos en nuestro último informe de estadísticas de Ransomware para el segundo y tercer trimestre de 2019 muestran que STOP representa más de la mitad de todos los envíos de ransomware en todo el mundo.
Top 10 ransomware submissions to ID Ransomware for Q2 & Q3 2019
Indonesia, India y los EE. UU. Encabezan la lista de los envíos más ransomware y representan casi la mitad de todos los envíos. Por cierto, Indonesia tiene una de las tasas más altas de piratería de software en el mundo.
Top 10 sources of ransomware submissions to ID Ransomware
La propagación de STOP
STOP se ha extendido rápidamente el año pasado. En octubre de 2018, ocupó el primer lugar y representó el 54,3 por ciento de las cinco principales cepas de ransomware detectadas por ID Ransomware. Para octubre de 2019, conserva su primer lugar y ahora representa el 70.7 por ciento de las cinco detecciones principales en los últimos 60 días (desde el momento de la publicación de esta publicación).
STOP Djvu detection – Past 60 days (at the time of publication)
STOP Djvu detection – Past year (at the time of publication)
Detecciones en todo el mundo.
STOP Djvu detection heatmap
STOP Djvu detection heatmap closer look: Europe, Middle East, Africa and Asia
Detalles técnicos
STOP encripta los archivos de la víctima con Salsa20 y agrega una de las docenas de extensiones a los nombres de archivo; por ejemplo, ".djvu", ".rumba", ".radman", ".gero", etc.
La nota de rescate "_readme.txt" contiene el siguiente texto:
ATTENTION!
Don’t worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-sTWdbjk1AY Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that’s price for you is $490. Please note that you’ll never restore your data without payment. Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail: gorentos@bitmessage.ch
Reserve e-mail address to contact us: gerentoshelp@firemail.cc
Your personal ID: [redacted]
Successful decryption of files locked by STOP Djvu using the Emsisoft STOP Djvu decryptor
Colaboración comunitaria
¡Los esfuerzos para ayudar a DETENER a las víctimas realmente han sido una colaboración comunitaria! La buena gente de Bleeping Computer, por ejemplo, ha ayudado a numerosas víctimas de DETENCIÓN guiándolas a través del proceso de descifrado, suministrando claves y muestras fuera de línea y más.
Debido a la gran cantidad de personas afectadas por STOP, no podemos proporcionar asistencia personalizada para esta herramienta. Si necesita ayuda para usar el descifrador, visite el tema de soporte STOP en Bleeping Computer. Los miembros de la comunidad estarán encantados de brindar asistencia y ofrecemos muchas gracias por su ayuda.
