2024-03-18_132534.jpg
STEALER ET RANSOMWARE
STOP DJVU - STOPCYPT - DJVU
Comme on a pu le voir dans les articles précédents sur le sujet
viewtopic.php?t=71178 un stealer "peut" être accompagné d'un ransomware (double effet kisskool)
En effet la vente des données volées peut être hasardeuse, (surtout si il n'y a rien d'intéressant) et surtout peut permettre au vendeur de se faire repérer, donc de se faire arrêter
Il n'y a rien de plus simple (surtout avec les kits vendus ou loués prêts à l'emploi) que d'y associer un ransomware qui permet, si l'utilisateur paye, d'avoir une .. "seconde source de revenus" par les malfaisants
C'est pour cela qu'on voit par ex un certain ransomware, connu sous les noms de
STOP ( StopCrypt, Stop Djvu, Djvu) en accompagnement des stealers
Il faut savoir qu'il est le ransomware le plus largement distribué dont on entend rarement parler....
Les raisons sont simples :
- Il vise les particuliers et non les entreprises
- Et pour les particuliers, le ransomware est généralement distribué via des sites de publicités malveillantes et ..".louches" distribuant des ensembles de logiciels publicitaires vérolés déguisés en logiciels gratuits, mais pour certains habituellement payants, en astuces de jeu pas légales pour avoir le dessus sur les adversaires, de cheats, et cracks de logiciels et jeux
Ces particuliers ne vont pas déposer plainte puisqu'à la base, par bêtise, appât du gain, etc ils ont voulu enfreindre la loi et de façon volontaire, et "'pas à l'insu de leur plein gré"
En général on les retrouve dans les forums de désinfections avec comme sujet principal,
" Mon PC est lent depuis quelques temps je ne comprends pas"
en occultant le fait que leur PC est pourri de programmes et jeux crackés, lorsque ce n'est pas Windows ou d'une suite Office, qui a été activée via un KMSpico,
viewtopic.php?t=69838
ou pire comme déjà vu sur le forum l'usage d'anti virus .. crackés
Le service d’identification des ransomwares ID Ransomware,
viewtopic.php?t=54794 recevait environ 2 500 soumissions de ransomwares par jour.
Parmi ceux-ci, entre 60 et 70 % sont des soumissions de ransomwares STOP.
Cela donne une idée...
En fait il était la base première de l'infection et était accompagné d'un Stealer
Maintenant on à le stealer, qui est devenu très sophistiqué pour échapper aux protections sur le PC, et qui ensuite installe le ransomware comme si de rien n'était
Il faut se rappeler que ces malwares sont capables de désactiver la majorité des antivirus, jouent à cache cache lors d'une analyse, se neutralisent si on essaie de savoir dans une sandbox ou VM si le jeu, programme etc cracké est infecté ou pas, balancent des "fausses" .dll infectées pour amuser l'anti virus, qui détectera avec fierté une infection trojan, mais pendant ce temps là les scripts powershell auront fait leur travail
Mieux, l'antivirus aura bloqué ce qu'il considère être le trojan (avec raison le plus souvent) mais le mal est déjà fait
Les données sont parties dans la nature, et l'infection véritable s' est auto détruite ne laissant aucune trace (ou presque) de son passage, ou gardant quand même (pafois/souvent) en place des taches programmées dont pour un keylogger, un voleur de crypto par ex
A une époque on avait l'outil d'Emisoft pour décrypter ce ransomware et ses variants, mais depuis 2019 il ne fonctionne plus pour les nouvelles souches
https://www.emsisoft.com/en/ransomware- ... /stop-djvu
Sur le forum, sur le sujet des "Decrypteurs" c'est du reste sa dernière apparition pour le STOP-DJVU qui traitait quand même environ 148 variants
viewtopic.php?p=475415#p475415
Exemple :
.
Code : Tout sélectionner
shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .moka, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora
Comme on le voit, il y a de nombreux variants (et il y en a toujours 2 ou 3 par mois en 2024)
Sur le forum de Bleeping Computer il est indiqué
https://www.bleepingcomputer.com/forums ... ort-topic/
STOP (Djvu) Ransomware a deux versions .
1. Ancienne version : La plupart des anciennes extensions, commençant par .djvu (v013) jusqu'à .carote (v154)... le décryptage de la plupart de ces versions était auparavant pris en charge par STOPDecrypter en cas d'infection par une CLÉ HORS LIGNE (et quelques CLÉS EN LIGNE) . Ce même support a été incorporé dans la nouvelle méthode Emsisoft Decryptor/soumission pour ces anciennes variantes de Djvu... le décrypteur ne déchiffrera vos fichiers sans soumettre de paires de fichiers que si vous disposez d'une CLÉ HORS LIGNE. Pour l’infection ONLINE KEY, lisez les instructions d’utilisation du portail de soumission.
2. Nouvelle version : Les extensions les plus récentes publiées vers la fin août 2019 APRÈS que les criminels aient apporté des modifications ... commençant par .coharos (v146) n'ont jamais été prises en charge par STOPDecrypter. Cependant, les ID/CLÉS HORS LIGNE pour certaines variantes plus récentes ont été obtenus par Emsisoft et téléchargés sur leur serveur.
Cela est possible après qu'une victime a payé la rançon, a reçu une clé privée des criminels et a partagé (fait don) cette clé avec l'équipe Emsisoft .
LES CLÉS EN LIGNE sont UNIQUES pour chaque victime et tout comme les anciennes versions, elles sont générées aléatoirement de manière sécurisée et sont impossibles à déchiffrer sans payer la rançon, ce qui n'est pas conseillé. Les CLÉS EN LIGNE étant uniques et aléatoires pour chaque victime, elles ne peuvent pas être partagées ou réutilisées par d'autres victimes.
En raison des modifications apportées par les criminels, STOPDecrypter n'est plus pris en charge... il a été interrompu ET remplacé le 18 octobre 2019 par Emsisoft STOP Djvu Decryptor développé par Emsisoft et Demonslay335 (Michael Gillespie) .
Cependant, le même support STOPDecrypter a été incorporé dans la nouvelle méthode de décryptage/soumission d'Emsisoft pour la plupart des anciennes variantes de Djvu.
Pour résumer, il est impossible de décrypter ce qui est postérieur à 2019 puisque la majorité des clés qui permettent le déchiffreement sont UNIQUES et en plus ALEATOIRES
POURTANT LORS D'UNE RECHERCHE SUR UN MOTEUR DE RECHERCHES DES LABOS, DES SITES OU PROGRAMMES INDIQUENT QUE C'EST FAISABLE
Comme le rappelle Bleeping Computer sur son forum
Les victimes de ransomwares devraient ignorer toutes les recherches sur Internet qui fournissent de nombreux liens vers des guides de suppression de ransomwares faux et peu fiables , y compris des vidéos Facebook et YouTube , dont beaucoup prétendent à tort disposer de solutions de décryptage .
Après que des chercheurs experts ont écrit sur un nouveau ransomware ou de nouvelles variantes, des articles indésirables contenant des informations erronées sont rapidement rédigés afin d'effrayer, d'inciter ou de tromper les victimes désespérées pour qu'elles utilisent ou achètent principalement des logiciels de suppression et de décryptage factices .
Les victimes sont généralement invitées à télécharger une multitude d’outils inutiles et inutiles.
Dans certains cas, des victimes sans méfiance peuvent en fait télécharger un faux décrypteur, ce qui entraîne des cryptages doubles (multiples) , ce qui rend la situation encore pire.
De plus, vos informations personnelles et financières sont également menacées lorsque vous traitez avec des fraudeurs.
Utilisez uniquement des sources fiables lorsque vous recherchez des informations .
Bleeping Computer ne peut pas se porter garant de ceux qui prétendent pouvoir décrypter les données ou aider d'une autre manière.
Nos experts ont constaté que beaucoup de ceux qui prétendent pouvoir décrypter vos fichiers représentent en réalité des services de récupération de données qui agissent comme des « intermédiaires » … dont beaucoup sont des escrocs.
Ensuite utiliser un décrypteur (légal et gratuit) au hasard peut etre dangereux, car l''utilisation d'un décrypteur défectueux ou incorrect (destiné à un autre type spécifique de ransomware) provoque généralement des dommages supplémentaires qui corrompent encore plus les fichiers cryptés .
Détails ici
https://www.bleepingcomputer.com/forums ... ?p=5579605
et là
https://www.bleepingcomputer.com/forums ... try4841045
------
Pour l 'instant l'affaire doit être éclaircie, car la souche analysée est ancienne (2022 en version 0455), l'histoire de la .dll msimg32.dll était déjà connue, mais l'analyse en ce mois de mars 2024, synthétise bien la chose même si cela existe depuis 2022
le STOPCRYPT dispose désormais un mécanisme d'exécution en plusieurs étapes.
- Initialement, le malware charge un fichier DLL apparemment sans rapport (msim32.dll),
éventuellement à titre de diversion. Il implémente également une série de longues boucles à temporisation qui peuvent aider à contourner les mesures de sécurité liées au temps.
- Ensuite, il utilise des appels API construits dynamiquement sur la pile pour allouer l'espace mémoire nécessaire aux autorisations de lecture/écriture et d'exécution, ce qui rend la détection plus difficile.
- StopCrypt utilise des appels API pour diverses opérations, notamment la prise d'instantanés des processus en cours d'exécution afin de comprendre l'environnement dans lequel il fonctionne.
- L'étape suivante consiste à creuser les processus, où StopCrypt détourne les processus légitimes et injecte sa charge utile pour une exécution discrète en mémoire. Cela se fait via une série d’appels API soigneusement orchestrés qui manipulent la mémoire du processus et contrôlent le flux.
Une fois la charge utile finale exécutée, une série d'actions a lieu pour garantir la persistance du ransomware, modifier les listes de contrôle d'accès (ACL) pour refuser aux utilisateurs l'autorisation de supprimer les fichiers et répertoires de logiciels malveillants importants, et une tâche planifiée est créée pour exécuter la charge utile chaque cinq minutes.
Les fichiers sont cryptés et une extension « .msjd » est ajoutée à leurs nouveaux noms. Cependant, il convient de noter qu'il existe des centaines d'extensions liées au ransomware STOP car elles les changent souvent.
Exemple juste pour ce mois de mars 2024 (et l'on n'est que le 18 mars 2024)
Code : Tout sélectionner
extension .wisz (V0853)
extension .wiaw (V0854)
extension .nood (V0855)
extension .kool (V0856)
extension .vook (V0857)
extension .looy (V0858)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
.”