DJVU, auch STOP genannt, ist eine der langlebigsten und gefürchtetsten Ransomware/Malware, die sich in diesen Wochen durch infizierte E-Mails, Remote-Desktop-Angriffe und Teamviewer verbreitet.

 

Den verschlüsselten Dateien wird eine Erweiterung wie eine der vielen im Titel aufgeführten   je nach Version der Malware hinzugefügt.

​

Die Malware infiziert fast alle Benutzerdateien mit sehr starker Verschlüsselung, insbesondere 2048-Bit-RSA- und 128-Bit-AES-Schlüssel, was die direkte Entschlüsselung für Programmierer und Entwickler sehr schwierig macht, die den Virencode nach einer technischen Lösung durchsuchen müssen, um den Schlüssel oder Spuren davon wiederherzustellen , um die Dateien wieder lesbar zu machen.

​

Der Benutzer könnte auf seinem PC eine Textdatei mit einem zufälligen Namen finden, die eine Nachricht enthält, die auf eine Webseite oder eine E-Mail für den Kauf des Schlüssels und den anschließenden Download eines Entschlüsselers verweist.

​

Die Textdatei kann auf viele Arten benannt werden, einschließlich: !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt , !!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt , !!!SAVE_FILES_INFO!!!.txt und !readme.txt

 

Wir empfehlen absolut nicht, die Webseite oder E-Mail zu kontaktieren, da der Hacker möglicherweise noch Zugriff auf Ihren PC/Server hat und Sie ihn daran erinnern, dass er Zugriff auf Ihr Netzwerk hat. Als Folge kann es zu weiteren unerwünschten Zugriffen und möglicherweise zur Installation anderer Backdoors oder Rootkits kommen, die sehr schwer zu entfernen sind.

​

​

​

​

 

​​​​

​

​

​

​

Ich habe Windows Server und wurde infiziert, wie ist das möglich? 

 

Diese hochentwickelte Malware wird hauptsächlich über direkte Angriffe auf den RDP-Port verbreitet, normalerweise auf Computern mit dem folgenden Betriebssystem:

 

Windows Server 2003 (April 2003)
Windows Server 2003 R2 (September 2005)
Windows Server 2008 (April 2008)
Windows Server 2008 R2 (Juli 2009)
Windows Server 2012 (August 2012)

Windows Server 2012 R2 (Oktober 2013)

Windows Server 2016   (September 2016)

Windows Server 2019  (Oktober 2018)

​Windows Server 2022 (August 2021)

​

Was wird nach der Infektion empfohlen?? 

​

Es ist ratsam, infizierte PCs/Server vom Netzwerk zu trennen und sofort einen Experten zu kontaktieren, um den Ursprung der Infektion herauszufinden. Normalerweise ist das Betriebssystem nicht beschädigt, aber es ist sehr wahrscheinlich, dass Malware-Hintertüren oder versteckte Rootkits im System vorhanden sind. Das Ausprobieren „herkömmlicher“ oder anderer Wiederherstellungstechniken wird die ohnehin geringe Wahrscheinlichkeit, alle Ihre Dokumente wiederherzustellen, nur noch mehr gefährden.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Mein RDP-Passwort war sehr sicher, wie haben sie es gefunden? 

​

Leider gibt es selbst mit einem Passwort aus 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen wirksamen Schutz, da auf dem RDP-Port Exploits verwendet werden, die eine Umgehung des Passworts effektiv ermöglichen.

​

​

Das Administratorkonto wurde deaktiviert, was ist passiert? 

​

Oft ist das "Administrator"-Konto aus Sicherheitsgründen deaktiviert, aber der gesamte Verschlüsselungsprozess fand von diesem Konto aus statt, wie war das möglich?

All dies geschieht durch eine „Privilegieneskalation“, d.h. Sie verbinden sich über einen „normalen“ Benutzer, die Privilegien dieses Benutzers werden erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, mit dem Sie sich später verbinden, um die Verschlüsselung durchzuführen.  

​

​

Ich hatte die Verbindungen eingeschränkt, die auf den RDP-Dienst zugreifen konnten. Wie haben sie sich verbunden? 

​

Gibt es in Ihrem Netzwerk "offene" Clients im Internet? Auch wenn Ihr Server die Verbindungen beschränkt, von denen aus auf ihn zugegriffen werden kann (über Firewall, VPN, IP-Filter, Whitelisting usw.), wird die Verbindung über das RDP des mit dem Internet verbundenen Clients hergestellt. 

Sobald Sie die Kontrolle über diesen Client übernommen haben, verbinden Sie sich über ihn mit dem Server im internen Netzwerk, wodurch das Filtern aller externen IPs effektiv nutzlos wird.

​

​

Der RDP-Dienstport war nicht der Standardport, wie haben sie den Dienst gefunden? 

​

Die Standardports für den RDP-Dienst sind 445 und 3389, aber ich hatte den Dienst auf Port 5555 eingestellt, wie haben sie ihn gefunden? Einfach mit einem Netzwerkscanner, der alle Ports von 1 bis 65000​ auf der Suche nach dem RDP-Dienst analysiert.

​

​

Was kann ich also tun, um mich vor zukünftigen STOP/DJVU-Angriffen zu schützen?​

​

Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​

- Schließen Sie sofort den Dienst RDP  auf allen lokalen und Remote-Computern

- Installieren Sie unser Ransomware-Schutzskript, mehr info HIER

​

​

Wo sind meine Backups geblieben? Was ist mit virtuellen Maschinen?​

​

Nach der Puma/Aurora-Infektion werden die .backup .save .vmx .vdmx-Dateien gelöscht und oft auch alle virtuellen Maschinen (VMware, Oracle VM VirtualBox etc.), die gestartet und dann gelöscht oder verschlüsselt werden._d04a07d8-9cd1 -3239- 9149-20813d6c673b_

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

So entschlüsseln Sie verschlüsselte DateienDJVU/STOP? 

Können Sie meine Daten wiederherstellen?

​

Ja, für einige Puma/Aurora-Versionen können wir alle Ihre Dateien wiederherstellen!! 

​

Schreiben Sie uns eine E-Mail aninfo@eliminacryptolocker.com Anhängen verschlüsselter Dateien und Ihrer Mobiltelefonnummer;

 

Wir werden Ihnen so schnell wie möglich antworten!

​​

Welche Erweiterung können die mit STOP DJVU infizierten Dateien haben?​ Stimmt es, dass diese Malware ständig aktualisiert wird?

Mögliche und derzeit entdeckte Erweiterungen sind: .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot , .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod , . mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .mäuse, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss. .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq , .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, . kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos , .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, . rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .miis, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc , .wiot, .koom, .rigd, .tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, . qdla, .qmak, .futm, .utjg, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .sbpg, .xcmb, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf , .maak, .yber, .qqqw, .qqqe, .qqqr, .yoqs, .bbbw, .bbbe, .bbbr, .maiv, .avyu, .cuag, .iips, .qnty, .ccps, .ckae, . gcyi, .eucy, .ooii, .jjtt, .rtgf, .fgui, .fgnh, .sdjm, .iiof, .fopa, .qbba, .vyia, .vtym, .kqgs, .xcbg, .bpqd, .vlff, .eyrv, .rguy, .uigd, .hfgd, .kkia, .ssoi, .mmuz, .pphg, .wdlo, .kxde, .udla, .voom, .mpag, .gtys, .tuid, .uyjh, .ghas , .hajd, .qpps, .qall, .dwqs, .vomm, .ygvb, .nuhb, .msjd, .jhdd, .dmay, .jhbg, .jhgn, .dewd, .ttii, .hhjk, .mmob, . mine, .sijr, .xcvf, .bbnm, .egfg, .byya, .hruu , .kruu, .ifla, .errz, .dfwe, .fefg, .fdcv, .nnuz, .zpps, .qlln, .uihj, .zfdv, .ewdf, .rrbb, .rrcc, .rryy, .bnrs, .eegf, .bbyy, .bbii, .bbzz, .hkg, .eijy, .efvc, .lltt, .lloo, .llee, .llqq , .dkrf, .eiur, .ghsd, .jjyy, .jjww, .jjll, ..hhye, .hhew, .hhyu, .hhwq, .hheo, .ggew, .ggyu, .ggwq, .ggeo, .oori, .ooxa, .vvew, .vvyu, .vvwq, .vveo, .cceq. .ccew, .ccyu, .ccwq, .cceo, .ccza, .qqmt, .qqri, .qqlo, .qqlc, .qqjj, .qqpp, .qqkk, .oopu, .oovb, .oodt, .mmpu, .mmvb , .mmdt, .eewt, .eeyu, .eemv, .eebn, .aawt, .aayu, .aamv, .aabn, .oflg, .ofoq, .ofww, .adlg, .adww, .tohj, .towz, . pohj, .powz, .tuis, .tuow, .tury, .nuis, .nury, .powd, .pozq, .bowd, .bozq .manw .maos .matu .hebem .lucknite .xllm .btnw .btos .bttu . zoqw .RYKCRYPT .KoRyA .zouu .znto .upsil0n .bpsm .bpws .bpto .hardbit2 .fatp .ZeRy .DRCRM .Anthraxbulletproof .mppn .mbtf .ety .uyro .uyit .iswr

​

Haben Sie weitere Fragen oder benötigen Sie weitere Informationen?​

 

Schreiben Sie uns an at info@recuperafiles.it und wir werden versuchen, alle Ihre Zweifel zu klären.

​