通过广告软件传播新 .tro 变种的 Djvu 勒索软件

嘶吼RoarTalk 01-20

2018 年 12 月,一款名为 Djvu 的新勒索软件悄悄出现在了公众视野里。Djvu 疑似是 STOP 勒索病毒的一类变种,它主要通过隐藏在捆绑广告软件的各类破解版软件包中进行传播推广。起初,Djvu 中加密文件的后缀名为 .djvu,但最近检测到其当中的一个变体已经衍生出了 .tro 的文件后缀。

Djvu 刚出来那会儿,我们并不知道该软件的运作模式,也找不到主安装程序的示例。后来在与论坛和其他报告感染的众多受害者进行探讨后,我们注意到一个明确的线索:大多数受害者表示,他们是在下载了一个软件的破解版后感染上该病毒的。

从受害者的数量上来看,此次攻击行动是成功的,从受害者每天向 ID-Ransomware 上报的趋势上也能体现这一点。

上报数量趋势图

不幸的是,当前还没有能免费解密受害者的文件的解决方案,但研究人员正在努力分析 Djvu 的过程中。希望在不远的未来,能找到解决 Djvu 的办法。

如果您有任何问题或需要帮助,请在我们专门的Djvu 支持和帮助中心中尽情提问。

Djvu 勒索软件是如何加密您的电脑的

正如我们前面所述,某些软件的破解版和广告软件包会将 Djvu 勒索软件安装到受害者的计算机上,之后主安装程序将安装%LocalAppData% [ guid ] [ random ] .exe 并执行,该程序是 Djvu 最主要的组件,会优先将以下文件下载到同一文件夹中:

%LocalAppData% [ guid ] 1.exe %LocalAppData% [ guid ] 2.exe %LocalAppData% [ guid ] 3.exe %LocalAppData% [ guid ] updatewin.exe

程序执行时,1.exe 会删除 Windows Defender 的定义、禁用各类功能,并执行名为 Script.ps1 的 PowerShell 脚本,该脚本会使用以下命令禁用 Windows Defender 的实时监控:

Set-MpPreference   -DisableRealtimeMonitoring   $true

接着 Djvu 将执行 2.exe,它会将大量安全站点和下载站点添加到 Windows HOSTS 文件中,让受害者无法连接到它们以寻求帮助。BleepingComputer 也是添加到 HOSTS 文件的站点之一,如下所示。

HOSTS 中屏蔽的站点列表

接着 Djvu 再执行 3.exe 的文件,由于我们无法找到它的样本,当前还不能确定它的作用。

在此过程中,Djvu 勒索软件将为计算机生成一个唯一的 ID,根据 Michael Gillespie 的说法,它是系统 MAC 地址的 MD5,并通过 url:http://morgem [ . ] ru/test/get.php?pid= [ machine_id ] 连接到命令和控制服务器。然后,服务器将用于加密文件的加密密钥进行回应。

如果您在网络上使用的流量是 sflow,netflow 或嗅探流量,那么当 C2 服务器将加密秘钥发送到受害者的计算机时,可能秘钥并不会生效。

上述步骤执行完毕后,Djvu 将开始加密计算机上的文件,同时执行 updatewin.exe。Updatewin.exe 会显示一个伪造的 Windows Update 屏幕,以便在用户加密文件时分散用户的注意力,并使磁盘活动的增量看上去是正常的。

伪造的 Windows Update 界面

在加密期间,Djvu 将加密计算机上的包括可执行文件在内的几乎所有文件,而旧版本在加密文件时会将文件的重新命名为以 .djvu 为基础的后缀,比如 test.jpg 加密后会被重命名为 test.djvu,test.djvus 或 test.djvut。

而此次观测到的、较新的 Djvu 变体则是将 .tro 扩展名附加到加密文件的后缀,如下图所示。

加密后显示为 .tro 后缀的文件

最后,Djvu 将创建一个名为 " 时间触发任务 "(Time Trigger Task)的任务计划。此计划会在不同的事件间隔启动,以加密新建文件。

计划任务

在加密文件时,它会在文件加密的每个文件夹中,用名为 _openme.txt 的赎金票据提示用户,票据上有告知受害者所遭遇的信息以及他们为了赎回文件而需要联系的两个电子邮件地址。

Djvu 勒索票据

如前所述,除非你用的是嗅探流量,否则目前无法免费恢复文件。如果您有任何疑问或需要帮助,请及时在我们专门的Djvu 支持和帮助中心进行咨询。

IOC

hashes

主安装程序 : 5d294a14a491dc4e08593b2f6cdcaace1e894c449b05b4132b9ba5c005848c58

1.exe: 6966599b3a7786f81a960f012d540866ada63a1fef5be6d775946a47f6983cb7

2.exe: 91a1122ed7497815e96fdbb70ea31b381b5243e2b7d81750bf6f6c5ca12d3cee

updatewin.exe: 74949570d849338b3476ab699af78d89a5afa94c4529596cc0f68e4675a53c37

相关文件:

%LocalAppData% [ guid ] [ random_numbers ] tmp.exe

%LocalAppData% [ guid ] 1.exe

%LocalAppData% [ guid ] 2.exe

%LocalAppData% [ guid ] 3.exe

%LocalAppData% [ guid ] updatewin.exe

C:WindowsSystem32TasksTime Trigger Task

相关注册表条目:

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSysHelper

关联的电子邮件地址:

restoredjvu@india.com

restoredjvu@firemail.cc

helpshadow@india.com

helpshadow@firemail.cc

pdfhelp@india.com

pdfhelp@firemail.cc

网络流量:

api.2ip.ua

morgem.ru

勒索票据

————————————— - 你的所有文件都被加密了——————————— -

别担心,你可以挽回你的所有文件!

你的所有文件文档、照片、数据库,还有其他的重要文件都被我们用最强的加密和唯一密钥加密了。

恢复文件的唯一方法是为您购买解密工具和唯一密钥。

该软件将解密所有加密文件。

我们能给你什么保证?

你可以从 PC 发送一个加密文件,我们会免费解密。

但我们只能免费解密 1 个文件。文件不得包含有价值的信息。

你可以下载视频概述解密工具:

https://www.sendspace.com/file/1sg7f3

不要尝试使用第三方解密工具,因为它会破坏你的文件。

如果你在 72 小时之内联系我们,可享 50%折扣。

————————————————– ———————————————–

要获得此软件,您需要在我们的电子邮件中写下:

预订电子邮件地址与我们联系:

你的个人 ID:

[ ID ]

相关标签: windows 唯一

嘶吼RoarTalk
以上内容由“嘶吼RoarTalk”上传发布 查看原文
最新评论
分享 返回顶部