通过广告软件传播新.tro变种的Djvu勒索软件
2018年12月,一款名为Djvu的新勒索软件悄悄出现在了公众视野里。Djvu疑似是STOP勒索病毒的一类变种,它主要通过隐藏在捆绑广告软件的各类破解版软件包中进行传播推广。起初,Djvu中加密文件的后缀名为.djvu,但最近检测到其当中的一个变体已经衍生出了.tro的文件后缀。
Djvu刚出来那会儿,我们并不知道该软件的运作模式,也找不到主安装程序的示例。后来在与论坛和其他报告感染的众多受害者进行探讨后,我们注意到一个明确的线索:大多数受害者表示,他们是在下载了一个软件的破解版后感染上该病毒的。
从受害者的数量上来看,此次攻击行动是成功的,从受害者每天向ID-Ransomware上报的趋势上也能体现这一点。
上报数量趋势图
不幸的是,当前还没有能免费解密受害者的文件的解决方案,但研究人员正在努力分析Djvu的过程中。希望在不远的未来,能找到解决Djvu的办法。
如果您有任何问题或需要帮助,请在我们专门的Djvu支持和帮助中心中尽情提问。
Djvu勒索软件是如何加密您的电脑的
正如我们前面所述,某些软件的破解版和广告软件包会将Djvu勒索软件安装到受害者的计算机上,之后主安装程序将安装%LocalAppData%\ [guid] \ [random] .exe并执行,该程序是Djvu最主要的组件,会优先将以下文件下载到同一文件夹中:
%LocalAppData%\[guid]\1.exe %LocalAppData%\[guid]\2.exe %LocalAppData%\[guid]\3.exe %LocalAppData%\[guid]\updatewin.exe
程序执行时,1.exe会删除Windows Defender的定义、禁用各类功能,并执行名为Script.ps1的PowerShell脚本,该脚本会使用以下命令禁用Windows Defender的实时监控:
Set-MpPreference -DisableRealtimeMonitoring $true
接着Djvu将执行2.exe,它会将大量安全站点和下载站点添加到Windows HOSTS文件中,让受害者无法连接到它们以寻求帮助。BleepingComputer也是添加到HOSTS文件的站点之一,如下所示。
HOSTS中屏蔽的站点列表
接着Djvu再执行3.exe的文件,由于我们无法找到它的样本,当前还不能确定它的作用。
在此过程中,Djvu勒索软件将为计算机生成一个唯一的ID,根据Michael Gillespie的说法,它是系统MAC地址的MD5,并通过url:http://morgem[.]ru/test/get.php?pid=[machine_id]连接到命令和控制服务器。然后,服务器将用于加密文件的加密密钥进行回应。
如果您在网络上使用的流量是sflow,netflow或嗅探流量,那么当C2服务器将加密秘钥发送到受害者的计算机时,可能秘钥并不会生效。
上述步骤执行完毕后,Djvu将开始加密计算机上的文件,同时执行updatewin.exe。Updatewin.exe会显示一个伪造的Windows Update屏幕,以便在用户加密文件时分散用户的注意力,并使磁盘活动的增量看上去是正常的。
伪造的Windows Update界面
在加密期间,Djvu将加密计算机上的包括可执行文件在内的几乎所有文件,而旧版本在加密文件时会将文件的重新命名为以.djvu为基础的后缀,比如test.jpg加密后会被重命名为test.djvu,test.djvus或test.djvut。
而此次观测到的、较新的Djvu变体则是将.tro扩展名附加到加密文件的后缀,如下图所示。
加密后显示为.tro后缀的文件
最后,Djvu将创建一个名为“时间触发任务”(Time Trigger Task)的任务计划。此计划会在不同的事件间隔启动,以加密新建文件。
计划任务
在加密文件时,它会在文件加密的每个文件夹中,用名为_openme.txt的赎金票据提示用户,票据上有告知受害者所遭遇的信息以及他们为了赎回文件而需要联系的两个电子邮件地址。
Djvu勒索票据
如前所述,除非你用的是嗅探流量,否则目前无法免费恢复文件。如果您有任何疑问或需要帮助,请及时在我们专门的Djvu支持和帮助中心进行咨询。
IOC
hashes
主安装程序: 5d294a14a491dc4e08593b2f6cdcaace1e894c449b05b4132b9ba5c005848c58
1.exe: 6966599b3a7786f81a960f012d540866ada63a1fef5be6d775946a47f6983cb7
2.exe: 91a1122ed7497815e96fdbb70ea31b381b5243e2b7d81750bf6f6c5ca12d3cee
updatewin.exe: 74949570d849338b3476ab699af78d89a5afa94c4529596cc0f68e4675a53c37
相关文件:
%LocalAppData%\[guid]\[random_numbers]tmp.exe
%LocalAppData%\[guid]\1.exe
%LocalAppData%\[guid]\2.exe
%LocalAppData%\[guid]\3.exe
%LocalAppData%\[guid]\updatewin.exe
C:\Windows\System32\Tasks\Time Trigger Task
相关注册表条目:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper
关联的电子邮件地址:
网络流量:
api.2ip.ua
morgem.ru
勒索票据
—————————————-你的所有文件都被加密了———————————-
别担心,你可以挽回你的所有文件!
你的所有文件文档、照片、数据库,还有其他的重要文件都被我们用最强的加密和唯一密钥加密了。
恢复文件的唯一方法是为您购买解密工具和唯一密钥。
该软件将解密所有加密文件。
我们能给你什么保证?
你可以从PC发送一个加密文件,我们会免费解密。
但我们只能免费解密1个文件。文件不得包含有价值的信息。
你可以下载视频概述解密工具:
https://www.sendspace.com/file/1sg7f3
不要尝试使用第三方解密工具,因为它会破坏你的文件。
如果你在72小时之内联系我们,可享50%折扣。
————————————————– ———————————————–
要获得此软件,您需要在我们的电子邮件中写下:
预订电子邮件地址与我们联系:
你的个人ID:
[ID]