Le ransomware STOP djvu

Le ransomware STOP djvu existe depuis décembre 2017. Il se distingue par les très nombreuses victimes contaminés à travers le monde et ses multiples extensions existantes (plus de 880 à ce jour).

Par souci de rapidité, il crypte moins de 5000 kilobyte de données par fichier. Le reste du document reste complètement inchangé. C'est intéressant à savoir car, même si cela suffit à rendre inexploitable de nombreux fichiers, certaines données des documents volumineux sont récupérables. Vous trouverez dans cette article des explications sur le moyen de récupérer les données qui n'ont pas été chiffrées lors du cryptage.

Capture d'écran d'un fichier de demande de rançon laissé par ce ransomware sur l'ordinateur infecté :

demande de rançon (_readme.txt)

L'attaque a souvent lieu après le téléchargement et l'installation de programmes informatiques piratés ou reconditionnés et infectés, ou bien lors de l'utilisation d'activateurs (cracks) pour utiliser sans payer des suites de logiciels comme Microsoft Windows, Office (KMSAuto Net, KMSPico, etc.) ou Adobe Photoshop, Acrobat Pro, etc... Les cybercriminels ont distribué sur de nombreuses plateformes de téléchargements plus ou moins illégales des versions contaminées de ces logiciels très populaires et cela fait encore de nombreuses victimes régulièrement.

Un décrypteur gratuit pour les fichiers cryptés par le ransomware STOP djvu a été développé par l’éditeur en sécurité informatique EMSISOFT et Michael Gillespie (@demonslay335). Dès que la clé de décryptage d'une nouvelle variante est récupérée, elle est ajoutée au décrypteur STOP djvu et vous pouvez alors l’utiliser pour récuperer les fichiers chiffrés avec cette clé de cryptage.

Veuillez consulter le site web www.emsisoft.com/ransomware-decryption-tools/stop-djvu/fr au sujet du décrypteur gratuit STOP Djvu.

Si ce décrypteur ne vous a pas aidé et dans l'attente d'une prochaine solution à venir, prenez soin de sauvegarder vos fichiers cryptés et la note de rançon et stockez-les dans un endroit sûr (un disque dur externe par exemple).

Le cryptage a très souvent lieu après l'exécution d'un logiciel malveillant sur votre ordinateur.

Dans ce cadre, nous vous recommandons :

- de porter plainte auprès des autorités compétentes. Consultez les sites :
www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et www.nomoreransom.org/fr/report-a-crime.html ;
- de sauvegarder régulièrement vos données importantes sur un support externe afin d'éviter toute perte ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès RDP aux utilisateurs qui en ont réellement besoin) ;
- de changer vos mots de passe et de les renforcer pour les utilisateurs disposant d'un accès autorisé ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer la détection par votre antivirus des applications potentiellement dangereuses avant leur installation.

Nous vous proposons d’acquérir une licence antivirus Kaspersky avec une réduction de 40 %
en ce moment en cliquant ici : www.winrar-france.com/store/-c23908855.

Extensions utilisées par le ransomware STOP djvu

A ces début, l'algorithme de cryptage utilisé par ce ransomware était l'AES-256 (mode CFB) avec différents autres algorithmes.
Une fois en action le virus encoder crypte l'ensemble des fichiers personnels du poste infecté en rajoutant une des extensions ci-dessous après chacun d'eux.


1) Variantes .STOP , .SUSPENDED , .WAITING , .PAUSA , .CONTACTUS , .DATASTOP , .STOPDATA :
                                Emails de contact utilisés par les malfaiteurs :

Extension  : .STOP ››› stopfilesrestore@bitmessage.ch  et stopfilesrestore@india.com
Extension  : .SUSPENDED ››› suspendedfiles@bitmessage.ch et suspendedfiles@india.com
Extension  : .WAITING ››› waiting@bitmessage.ch et waiting@india.com
Extension  : .PAUSA ››› pausa@bitmessage.ch et pausa@india.com
Extension  : .CONTACTUS ››› decryption@bitmessage.ch et decryption@india.com
Extension  : .DATASTOP ››› decryptiondata@bitmessage.ch et decryptiondata@india.com
Extensions : .DATASTOP et .STOPDATA ››› decryptiondata@bitmessage.ch et decryptiondata@india.com
2) Variantes KEYPASS : .KEYPASS , .WHY , .SAVEfiles :
                                Emails de contact utilisés par les malfaiteurs :

Extension  : .KEYPASS ››› keypass@bitmessage.ch keypass@india.com et BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
Extension  : .WHY ››› decryptionwhy@india.com et BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Extension  : .SAVEfiles ››› BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch et savefiles@india.com
3) Variantes DATAWAIT : .DATAWAIT , .INFOWAIT :
                                            Emails utilisés : 

Extensions  : .DATAWAIT et .INFOWAIT ››› kBM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch et savefiles@india.com

Extensions .puma, .pumax, .pumas, .shadow

Un décrypteur gratuit conçu par EMSISOFT existe.

Veuillez consulter ce site web au sujet du décrypteur STOP Djvu : www.emsisoft.com/ransomware-decryption-tools/stop-puma


Avec les extensions .djvu , .djvuu , .udjvu , .djvuq , .uudjvu , .djvus , .djvur , .djvut , .djvup , .djvuu.

Puis les extensions .pdtf , .udetro , .tfudeq, .tfudet , .rumba , .adobe , .adobee.

Et .blower , .promos , .promoz , .promock , .promoks , .promorad , .promok , .promorad2 , .kroput , .kroput1 , .charck , .pulsar1 , .kropun1 , .klope , .kropun , .charcl , . doples , .luces , .luceq , .chech , .proden.

.drume, .tronas, .trosak, .grovas, grovat, roland, refols, raldug, .etols.

.guvara , .browec , .norvas , .moresa , .verasto , .hrosas , .kiratos , .todarius , .hofos , .roldat , .dutan , .sarut , .fedasot , .berost , .forasom , .fordan , . codnat , .codnat1 , .bufas , .dotmap , .radman , .ferosas , .rectot , .skymap , .mogera , .rezuc , .stone , .redmat , .lanset , .davda , .pidon , .poret , .heroset , .boston , .myskle , .muslat , .gerosan , .vesad , .horon , .neras , .truke , .dalle , .lotep , .nusar , .litar , .besub , .cezor , .lokas , .godes , .budak , .vusad , .herad , .berosuce , .gehad , .gusau , .madek , .darus , .tocue , .lapoi , .todar , .dodoc , .bopador , .novasof , .ntuseg , .ndarod , .access , . format , .nelasod , .mogranos , .cosakos , .nvetud , .lotej , .kovasoh , .prandel , .zatrov , .masok , .brusaf , .londec , .krusop , .mtogas , .nasoh , .coharos , .nacro , .pedro , .nuksus , .vesrato , .cetori , .masodas , .stare , .carote , .shariz.

Depuis fin août 2019 et l'extension .gero le mode de cryptage utilisé par le ransomware a été renforcé : il n'existe plus aucun moyen de calculer la clé de décryptage. Ces clés sont uniques pour chaque victime et générées aléatoirement de manière totalement sécurisée.

Néanmoins, lorsque les fichiers ont été cryptés par l'une de ces nouvelles extensions sans que l'encodeur puisse accèder à internet, le ransomware utilise une CLÉ HORS LIGNE commune à tous les fichiers cryptés hors connexion. Si la clé de décryptage hors ligne de cette extension est communiquée au développeur du décrypteur, elle sera ajoutée et vous pourrez alors décrypter les fichiers cryptés hors ligne.

Avec les extensions .gero , .hese , .xoza , .seto , .peta , .moka , .meds , .kvag , .domn , .karl , .nesa , .boot , .noos , .kuub , .mike , .reco , .bora , .leto , .nols , .werd , .coot , .derp , .nakw , .meka , .toec , .mosk , .lokf , .peet , .grod , .mbed , .kodg , . zobm , .rote , .msop , .hets , .righ , .gesd , .merl , .mkos , .nbes , .piny , .redl , .kodc , .nosu , .reha , .topi , .npsg , .btos , .repp , .alka , .bboo , .rooe , .mmnn , .ooss , .mool , .nppp , .rezm , .lokd , .foop , .remk , .npsk , .opqz , .mado , .jope , .mpaj , .lalo , .lezp , .qewe , .mpal , .sqpc , .mzlq , .koti , .covm , .pezi , .nlah , .kkll , .zwer , .nypd , .usam , .tabe , .vawe , .moba , .pykw , .zida , .maas , .repl , .kuus , .erif , .kook , .nile , .oonn , .vari , .boop , .geno , .kasp

et .ogdo , .npph , .kolz , .copa , .lyli , .moss , .foqe , .mmpa , .efji , .nypg , .iiss , .jdyi , .vpsh , .agho , .vvoa , .epor , .sglh , .lisp , .weui , .nobu , .igdm , .booa , .omfl , .igal , .qlkm , .coos , .wbxd , .pola , .cosd , .plam , .ygkz , .cadq , .tirp , .ribd , .reig , .ekvf , .enfp , .ytbn , .fdcz , .urnb , .lmas , .wrui , .rejg , .pcqq , .igvm , .nusm , .ehiz , .paas , .pahd , .mppq , .qscx , .sspq , .iqll , .ddsg , .piiq , .neer , .leex , .zqqw , .pooe , .zzla , .wwka , .gujd , .moqs , .hhqa , .aeur , .guer , .nooa , .muuq , .reqg , .hoop , .orkf , .iwan , .lqqw , .efdc , .wiot , .koom , .rigd , .tisc , .mded , .nqsq , .irjg , .vtua , .maql , .zaps , .rugj , .rivd , .cool , .palq , .stax , .qdla , .qmak , .futm , .utjg , .iisa , .pqgs , .rigj , .robm , .moia , .yqal , .wnlu , .hgsh , .mljx , .yjqs , .shgv , .hudf , .nnqp , .sbpg , .xcmb, .miia , .loov , .dehd , .vgkf , .nqhd , .zaqi , .vfgj , .fhkf , .maak , .yber , .qqqw , .qqqe , .qqqr , .yoqs , .bbbw , .bbbe , .bbbr , .maiv , .avyu , .cuag , .iips , .qnty , .ccps , .ckae , .gcyi , .eucy , .ooii , .jjtt , .rtgf , .fgui , .fgnh , .sdjm , .iiof , .fopa , .qbba , .vyia , .vtym , .kqgs , .xcbg , .bpqd , .vlff , .eyrv , .rguy , .uigd , .hfgd , .kkia , .ssoi , .mmuz , .pphg , .wdlo , .kxde , .udla , .voom , .mpag , .gtys , .tuid , .uyjh , .ghas , .hajd , .qpps , .qall , .dwqs , .vomm , .ygvb , .nuhb , .msjd , .jhdd , .dmay , .jhbg , .jhgn , .dewd , .ttii , .hhjk , .mmob , .mine , .sijr , .xcvf , .bbnm , .egfg , .byya , .hruu , .kruu , .ifla , .errz , .dfwe , .fefg , .fdcv , .nnuz , .zpps , .qlln , .uihj ,.zfdv , .ewdf , .rrbb , .rrcc , .rryy , .bnrs , .eegf , .bbyy , .bbii , .bbzz , .hkg , .eijy , .efvc , .lltt , .lloo , .llee , .llqq , .dkrf , .eiur , .ghsd , .jjyy , .jjww , .jjll , ..hhye , .hhew , .hhyu , .hhwq , .hheo , .ggew , .ggyu , .ggwq , .ggeo , .oori , .ooxa , .vvew , .vvyu , .vvwq , .vveo , .cceq. .ccew , .ccyu , .ccwq , .cceo , .ccza , .qqmt , .qqri , .qqlo , .qqlc , .qqjj , .qqpp , .qqkk , .oopu , .oovb , .oodt , .mmpu , .mmvb , .mmdt , .eewt , .eeyu , .eemv , .eebn , .aawt , .aayu , .aamv , .aabn , .oflg , .ofoq , .ofww , .adlg , .adww , .tohj , .towz , .pohj , .powz , .tuis , .tuow , .tury , .nuis , .nury , .powd , .pozq , .bowd , .bozq , .zatp , .zate , .fatp , .fate , .tcvp , .tcbu , .kcvp , .kcbu , .uyro , .uyit , .mppn , .mbtf , .manw , .maos , .matu , .btnw , .btos , .bttu , .isal , .iswr , .isza , .znsm , .znws , .znto , .bpsm , .bpws , .bpto , .zoqw , .zouu , .poqw , .pouu , .mzqw , .mztu , .mzop , .assm , .erqw , .erop , .vvmm , .vvoo , .hhmm , .hhee , .hhoo , .iowd , .ioqa , .iotr , .qowd , .qoqa , .qotr , .gosw , .goaq , .goba , .cosw , .coaq , .coba , craa , .qazx , .qapo , .qarj , .dazx , .dapo , .darj , .tycx , .tywd , .typo , .tyos , .jycx , .jywd , .jypo , .jyos , .nifr , .nitz , .niwm , .kiop , .kifr , .kitz , .kiwm , .boty , .boza , .coty , .coza , .fofd , .foty .foza , .sato , .saba , .qopz , .qore , .gash , .gatz , .xash , .xatz , .xaro , .gaze , .gatq , .gapo , .vaze , .vatq , .vapo , .werz , .weqp , .weon , .nerz , .neqp , .neon , .ahtw , .ahgr , .ahui , .bhtw , .bhgr , .bhui , .tghz , .tgpo , .tgvv , .aghz , .agpo , .agvv , .wazp , .waqq , .wayn , .gazp , .gaqq , .gayn , .miza , .mitu , .miqe , .kizu , .kitu , .kiqu , .wsaz , .wspn , .wsuu , .poaz , .popn , .pouu , .yyza , .yytw , .yyza , .tasa , .taqw , .taoy , .jasa , .jaqw , .jaoy , .wzqw , .wzer , .wzoq , .wztt , .nzqw , .nzer , .nzoq , .nztt , .teza , .rzkd , .rzfu , .rzew , .rzml , .hgkd , .hgfu , .hgew , .hgml , .oopl , .ooty , .oohu , .ooza , .wwpl , .wwty , .wwhu , .wwza , .azqt , .azre , .azop , .azhi , .mzqt , .mzre , .mzop , .mzhi , .ttwq , .ttza , .ttap , .ttrd , .mlwq , .mlza , .mlap , .mlrd , .ptqw , .ptrz , .pthh , .itqw , .itrz , .ithh , .zpas , .zpww , .zput , .ppvs , .ppvw , .ppvt , .yzaq , .yzqe , .yzoo , jzeq , .jzie , .eqew , .eqza , .iicc , .gyew , .gyca , .gycc , .jazi , .jawr , .nbzi , .nbwr , .hhuy , .hhaz , .ljuy , .ljaz , .loqw , .lomz , .cdqw , .cdmx , .cdwe , .cdaz , .cdpo , .cdtt , .cdcc , .cdxx , .ldhy , .lkhy , .lkfr , .wisz , .wiaw , .nood , .kool , .vook , .looy , .uajs , .uazq , .kaaa , .bgjs , .bgzq , .baaa , .qepi , .qehu , .geza , .paaa , .vepi , .vehu , .veza , .watz , .waqa , .qual , .hlas.

Les fichiers cryptés de ce groupe sont indéchiffrables sauf ceux cryptés hors ligne.

Il n’est pas encore possible de récupérer les fichiers des extensions les plus récentes appartenant au groupe IV sauf ceux qui ont été cryptés hors connexion.

Un cryptage hors connexion se reconnait par les deux derniers caractères de l’ID dans la demande de rançon qui se terminent par t1.
Exemple : ID: hZcC4PEfaqDNIXxy0ProMPOAk3JS3K1JoUqoq0t1

La CLÉ HORS LIGNE est une clé de chiffrement intégrée directement dans le logiciel malveillant qu'il utilise quand il est incapable de communiquer avec le serveur distant pour générer une CLÉ EN LIGNE pour crypter les documents et fichiers de l'ordinateur contaminé.

Exemples de fichiers de demande de rançon (ransom note)

All your important files were encrypted on this PC.

All files with .STOPDATA extension are encrypted.

Encryption was produced using unique private key RSA-1024 generated for this computer.

To decrypt your files, you need to obtain private key + decrypt software.

To retrieve the private key and decrypt software, you need to contact us by email datadecryption@bitmessage.ch send us an email your !!!RESTORE_DATA!!!. Txt file and wait for further instructions.

For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.

Price for decryption $ 200 if you contact us first 72 hours.

Your personal id:
pSRcFGQdBDYBZfaO5DLNLgmF9mFF5Rh84GyYTcW5

E-mail address to contact us:
datadecryption@bitmessage.ch

Reserve e-mail address to contact us:
datadecryption@india.com

Attention! All your files, documents, photos, databases and other important files are encrypted and have the extension: .KEYPASS 
The only method of recovering files is to purchase an decrypt software and unique private key. 
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data. 
Only we can give you this key and only we can recover your files. 
You need to contact us by e-mail keypass@bitmessage.ch send us your personal ID and wait for further instructions. 
For you to be sure,that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE. 
Price for decryption $300. 
This price avaliable if you contact us first 72 hours.



E-mail address to contact us: 
keypass@bitmessage.ch

Reserve e-mail address to contact us: 
keypass@india.com

Your personal id: 
6seORaIxXF9m7OzWmx7nL3bVRp691w4SNY8UCiro

WARNING! 
Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.



E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Reserve e-mail address to contact us:
savefiles@india.com

Your personal id:
aePcFQcJzLAT4TqcnBRHIgCtfbLJQtK0Hzdnpq7Z

==================================!ATTENTION PLEASE!======================================

Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumax
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.

==========================================================================================

E-mail address to contact us:
pumarestore@india.com

Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Your personal id:
006mGjxjdQLMhXUEHhBXdwsiJtRQXB5TJ5mjHhOtX3T

ATTENTION!

Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-1aaC7npeV9
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
blower@india.com

Reserve e-mail address to contact us:
blower@firemail.cc

Your personal ID:
030GHsgdfT7878YsY9gsafHd9bJxsYi3jYDXucaWbCpA9PFT7fqKlD3B6jUCka

Comment récupérér les données non cryptées ?

Comme nous l'avons vu, pour gagner du temps, ce ransomware ne crypte que le début de chaque fichier soit environ 0x500000 bytes(~ 5 MB).
Quand le fichier est plus important que cette taille, le reste des données reste intacte.

De nombreux documents seront rendus inexploitables par le cryptage mais il existe parfois une possibilité de récupérer des données importantes.


Ouvrez le fichier crypté avec un éditeur de texte comme Notepad++ et passez le début des données chiffrées.
Si des données sont encore exploitables vous pourrez les retrouver directement en clair.

Vos fichiers ont été cryptés par le ransomware STOP djvu et vous avez besoin d'aide ?
Utilisez le formulaire de contact ci-dessous et envoyer nous quelques fichiers cryptés et le fichier de demande de rançon :

Formulaire de contact pour les ransomwares : www.adc-soft.com/decryptage/ransomware.php.
ADC-Soft | 3, rue Paul Bert - 92100 Boulogne-Billancourt (France)
Partenaire officiel de Dr.Web | Twitter X : @Emm_ADC_Soft.