Le ransomware STOP djvu

Le ransomware STOP djvu existe depuis décembre 2017 et se distingue par les très nombreuses victimes qu'il a contaminé dans le monde entier et les multiples nouvelles extensions qu'il utilise (plus de 280 à ce jour).

A noter que, par souci de rapidité, ce ransomware ne crypte que moins de 5000 kilobyte de données par fichier. Le reste du document reste complètement inchangé. C'est intéressant à savoir car, même si cela suffit à rendre inexploitable de nombreux fichiers, certaines données dans d'autres documents volumineux seront récupérables sans effort. Vous trouverez dans les explications données plus bas les techniques à utiliser pour essayer de récupérer les données qui n'ont pas été chiffrées lors du cryptage.

Capture d'écran d'un fichier de demande de rançon laissé par ce ransomware sur l'ordinateur infecté :
demande de rançon (_readme.txt)

Les victimes ont rendu compte que ce rançongiciel s'installe souvent après téléchargement et installation de programmes informatiques piratés ou reconditionnés et infectés, ou bien lors de l'utilisation d'activateurs (cracks) pour installer des suites logiciels comme MS Windows, MS Office (KMSAuto Net, KMSPico, etc.) ou Adobe Photoshop, Acrobat Pro, etc..., que les cybercriminels distribuent sur de nombreux sites populaires.

Il existe un décrypteur gratuit pour le ransomware STOP djvu développé par l’éditeur en sécurité informatique EMSISOFT et le développeur Michael Gillespie (@demonslay335). Dès que la clé de cryptage de cette nouvelle variante aura été récupérée, elle sera ajoutée au décrypteur STOP djvu et vous pourrez l’utiliser pour récuperer vos fichiers.

Veuillez consulter ce site web au sujet du décrypteur STOP Djvu : https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu/fr

Si ce décrypteur ne vous aide pas, en attendant une solution, prenez soin de sauvegarder vos fichiers cryptés et la note de rançon et stockez-les dans un endroit sûr (un disque dur externe par exemple).

Le cryptage a probablement eu lieu suite à l'exécution d'un logiciel malveillant sur votre ordinateur.

Dans ce cadre, nous vous recommandons :

- de porter plainte auprès des autorités compétentes. Consultez les sites :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et https://www.nomoreransom.org/fr/report-a-crime.html
- de sauvegarder régulièrement vos données importantes sur un support externe afin d'éviter toute perte ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès RDP aux utilisateurs qui en ont réellement besoin) ;
- de changer vos mots de passe et de les renforcer pour les utilisateurs disposant d'un accès autorisé ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer la détection par votre antivirus des applications potentiellement dangereuses avant leur installation.

Actuellement en promotion, nous vous proposons d’acquérir les licences antivirus Kaspersky avec une réduction de 40 %
en cliquant ici : https://www.winrar-france.com/store/-c23908855.

Extensions utilisées par le ransomware STOP djvu

A ces début, l'algorithme de cryptage utilisé par ce ransomware était l'AES-256 (mode CFB) avec différents autres algorithmes.
Une fois en action le virus encoder crypte l'ensemble des fichiers personnels du poste infecté en rajoutant une des extensions ci-dessous après chacun d'eux.


1) Variantes .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA :
                                Emails de contact utilisés par les malfaiteurs :

Extension  : .STOP ››› stopfilesrestore@bitmessage.ch  et stopfilesrestore@india.com
Extension  : .SUSPENDED ››› suspendedfiles@bitmessage.ch et suspendedfiles@india.com
Extension  : .WAITING ››› waiting@bitmessage.ch et waiting@india.com
Extension  : .PAUSA ››› pausa@bitmessage.ch et pausa@india.com
Extension  : .CONTACTUS ››› decryption@bitmessage.ch et decryption@india.com
Extension  : .DATASTOP ››› decryptiondata@bitmessage.ch et decryptiondata@india.com
Extensions : .DATASTOP et .STOPDATA ››› decryptiondata@bitmessage.ch et decryptiondata@india.com
2) Variantes KEYPASS : .KEYPASS, .WHY, .SAVEfiles :
                                Emails de contact utilisés par les malfaiteurs :

Extension  : .KEYPASS ››› keypass@bitmessage.ch keypass@india.com et BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
Extension  : .WHY ››› decryptionwhy@india.com et BM-2cUm1HG5NFf9fYMhPzLhjoBdXqde26iBm2@bitmessage.ch
Extension  : .SAVEfiles ››› BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch et savefiles@india.com
3) Variantes DATAWAIT : .DATAWAIT, .INFOWAIT :
                                            Emails utilisés : 

Extensions  : .DATAWAIT et .INFOWAIT ››› kBM-2cxonzj9ovn5qdx2MrwMK4j3qCquXBKo4h@bitmessage.ch et savefiles@india.com

Extensions .puma, .pumax, .pumas, .shadow

Un décrypteur gratuit conçu par EMSISOFT existe.

Veuillez consulter ce site web au sujet du décrypteur STOP Djvu : https://www.emsisoft.com/ransomware-decryption-tools/stop-puma


Avec les extensions .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut, .djvup, .djvuu.

Puis les extensions .pdtf, .udetro .tfudeq, .tfudet, .rumba, .adobe, .adobee.

Et .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .kropun1, .klope, .kropun, .charcl,. doples, .luces, .luceq, .chech, .proden .

.drume, .tronas, .trosak, .grovas, grovat, roland, refols, raldug, .etols.

.guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, . codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .pidon, .poret, .heroset, .boston, .myskle, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak , .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access,. format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .coharos, .nacro, .pedro, .nuksus, .vesrato, .cetori, .masodas, .stare, .carote, .shariz.

Depuis fin août 2019 avec l'extension .gero le mode de cryptage utilisé par le ransomware a été renforcé. Désormais il n'existe plus aucun moyen de calculer la clé de décryptage. Ces clés sont uniques pour chaque victime et générées aléatoirement de manière totalement sécurisée.

Néanmoins, lorsque les fichiers ont été cryptés par l'une de ces nouvelles extensions sans que l'encodeur puisse accèder à internet, le ransomware utilise une CLÉ HORS LIGNE commune à tous les fichiers cryptés hors connexion. Si la clé de décryptage hors ligne de cette extension est communiquée au développeur du décrypteur, elle sera ajoutée et vous pourrez alors décrypter les fichiers cryptés hors ligne.

Avec les extensions .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .mike , .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg,. zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .kodc, .nosu, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp.

et .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .nypg, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .tirp, .ribd, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .moqs, .hhqa .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd,.tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .qdla, .qmak, .futm, .utjg, .iisa, .pqgs, .rigj, .robm, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .sbpg, .xcmb, -, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi (version 372).

Les fichiers cryptés de ce groupe sont indéchiffrables sauf ceux cryptés hors ligne.

Pour l’instant il n’est pas encore possible de récupérer les fichiers des extensions les plus récentes appartenant au groupe IV sauf ceux qui ont été cryptés hors connexion.

Un cryptage du ransomware hors connexion se reconnait par les deux derniers caractères de l’ID dans la demande de rançon qui se terminent par t1.
Exemple : ID: hZcC4PEfaqDNIXxy0ProMPOAk3JS3K1JoUqoq0t1

La CLÉ HORS LIGNE est une clé de chiffrement intégrée directement dans le logiciel malveillant qu'il utilise quand il est incapable de communiquer avec le serveur distant pour générer une CLÉ EN LIGNE pour crypter les documents et fichiers de l'ordinateur contaminé.

Exemples de fichiers de demande de rançon (ransom note)

All your important files were encrypted on this PC.

All files with .STOPDATA extension are encrypted.

Encryption was produced using unique private key RSA-1024 generated for this computer.

To decrypt your files, you need to obtain private key + decrypt software.

To retrieve the private key and decrypt software, you need to contact us by email datadecryption@bitmessage.ch send us an email your !!!RESTORE_DATA!!!. Txt file and wait for further instructions.

For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.

Price for decryption $ 200 if you contact us first 72 hours.

Your personal id:
pSRcFGQdBDYBZfaO5DLNLgmF9mFF5Rh84GyYTcW5

E-mail address to contact us:
datadecryption@bitmessage.ch

Reserve e-mail address to contact us:
datadecryption@india.com

Attention! All your files, documents, photos, databases and other important files are encrypted and have the extension: .KEYPASS 
The only method of recovering files is to purchase an decrypt software and unique private key. 
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data. 
Only we can give you this key and only we can recover your files. 
You need to contact us by e-mail keypass@bitmessage.ch send us your personal ID and wait for further instructions. 
For you to be sure,that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE. 
Price for decryption $300. 
This price avaliable if you contact us first 72 hours.



E-mail address to contact us: 
keypass@bitmessage.ch

Reserve e-mail address to contact us: 
keypass@india.com

Your personal id: 
6seORaIxXF9m7OzWmx7nL3bVRp691w4SNY8UCiro

WARNING! 
Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.



E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Reserve e-mail address to contact us:
savefiles@india.com

Your personal id:
aePcFQcJzLAT4TqcnBRHIgCtfbLJQtK0Hzdnpq7Z

==================================!ATTENTION PLEASE!======================================

Your databases, files, photos, documents and other important files are encrypted and have the extension: .pumax
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.

==========================================================================================

E-mail address to contact us:
pumarestore@india.com

Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Your personal id:
006mGjxjdQLMhXUEHhBXdwsiJtRQXB5TJ5mjHhOtX3T

ATTENTION!

Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-1aaC7npeV9
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
blower@india.com

Reserve e-mail address to contact us:
blower@firemail.cc

Your personal ID:
030GHsgdfT7878YsY9gsafHd9bJxsYi3jYDXucaWbCpA9PFT7fqKlD3B6jUCka

Comment récupérér les données non cryptées ?

Comme nous l'avons vu, pour gagner du temps, ce ransomware ne crypte que le début de chaque fichier soit environ 0x500000 bytes(~ 5 MB).
Quand le fichier est plus important que cette taille, le reste des données reste intacte.

De nombreux documents seront rendus inexploitables par le cryptage mais il existe parfois une possibilité de récupérer des données importantes.


Ouvrez le fichier crypté avec un éditeur de texte comme Notepad++ et passez le début des données chiffrées.
Si des données sont encore exploitables vous pourrez les retrouver directement en clair.

Vos fichiers ont été cryptés par le ransomware STOP djvu et vous avez besoin d'aide ?
Utilisez notre formulaire de contact ci-dessous et envoyer nous quelques fichiers cryptés et le fichier de demande de rançon
--
Formulaire de contact pour les ransomwares : https://adc-soft.com/decryptage/ransomware.php
ADC-Soft | 18bis, rue de l'Est - 92100 Boulogne-Billancourt (France)
Partenaire officiel de Dr.Web | Twitter: @Emm_ADC_Soft