NoCryptolocker

Stop o DJVU è uno dei ransomware / malware più longevi essendo in circolazione dal 2017.

 

I files criptati da questa nuova versione posso avere tantissime estensioni, come descritto in alto nel titolo.

​

Il cryptovirus infetta i file degli utenti con una crittografia molto forte, utilizzando una chiave RSA a 2048bit ed una chiave AES a 128bit , rendendo la decriptazione diretta molto difficile per i programmatori e gli sviluppatori che devono cercare nel codice del virus una soluzione tecnica per recuperare la chiave, o tracce della stessa, per poter rendere nuovamente leggibili i files.

​

L'utente potrebbe trovarsi sul pc un file, che contiene un messaggio che indirizza a una pagina web per l'acquisto della chiave ed il successivo scaricamento di un decryptor.

​

Anche questo potrebbe avere tantissimi nomi, come ad esempio: !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt and !readme.txt

 

Spesso invece può anche lasciare un'indirizzo email nel nome del file: non consigliamo assolutamente di contattarlo in quanto l'hacker potrebbe avere ancora accesso al vostro PC/Server e voi gli darete come un "reminder" del fatto che ha accesso alla vostra rete. Come conseguenza potrete avere ulteriori accessi indesiderati e magari l'installazione di altre backdoor o rootkit molto difficili da rimuovere.

​

​

​

​

 

​​​​

​

​

​

​

Ho Windows Server e sono stato infettato, come è possibile? 

 

Questi malware molto avanzati vengono diffusi principalmente tramite attacchi diretti sulla porta RDP, solitamente su macchine che usano il sistema operativo:

 

Windows Server 2003 (Aprile 2003)
Windows Server 2003 R2 (Settembre 2005)
Windows Server 2008 (Aprile 2008)
Windows Server 2008 R2 (Luglio 2009)
Windows Server 2012 (Agosto 2012)

Windows Server 2012 R2 (Ottobre 2013)

Windows Server 2016  (Settembre 2016)

Windows Server 2019  (Ottobre 2018)

Windows Server 2022 (Agosto 2021)

​​

​

Cosa è consigliato fare a seguito dell'infezione?? 

​

E' consigliato scollegare dalla rete i pc/server infetti e contattare immediatamente un esperto per scoprire l'origine dell'infezione. Solitamente non viene danneggiato il sistema operativo ma è molto probabile la presenza di backdoor o rootkit nascoste all'interno del sistema. Provare tecniche di recupero "tradizionali" o altro metterà solamente ancora di più a rischio la probabilità, già bassa, di recuperare tutti i documenti.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

La mia password RDP era molto sicura, come hanno fatto a trovarla? 

​

Purtroppo anche con una password di 20 caratteri casuali, tipicamente molto sicura, non c'è nessuna protezione efficace in quanto vengono utilizzati degli exploit sulla porta RDP, permettendo di fatto un bypass della password.

​

​

L'account administrator era disattivato, cosa è successo? 

​

Spesso l'account "administrator" viene disattivato per motivi di sicurezza, eppure tutto il processo di criptazione è avvenuto da quell'account, come è stato possibile?

Il tutto avviene tramite una "escalation di privilegi", ovvero ci si connette tramite un utente "normale", vengono alzati i privilegi di questo utente il quale a sua volta crea o riattiva l'account di administrator, al quale ci si connetterà in seguito per eseguire la criptazione.  

​

​

Avevo limitato le connessioni che potevano accedere al servizio RDP, come hanno fatto a collegarsi? 

​

Nella tua rete ci sono dei client "aperti" su internet? Anche se il tuo server limita le connessioni da cui si può accedere (tramite firewall, VPN, ipfiltering, whitelisting ecc.) la connessione avviene tramite l'RDP del client connesso ad internet. 

Una volta preso il controllo di questo client ci si connette tramite lo stesso al server presente nella rete interna rendendo di fatto inutile il filtraggio di tutti gli ip esterni.

​

​

La porta del servizio RDP non era quella standard, come hanno trovato il servizio? 

​

Le porte standard per il servizio RDP sono la 445 e la 3389, eppure io avevo impostato il servizio sulla porta 5555, come lo hanno trovato? Semplicemente con un networks scanner, che analizza tutte le porte dalla 1 alla 65000​ in cerca del servizio RDP.

​

​

Quindi cosa posso fare per proteggermi da futuri attacchi di STOP/DJVU?​

​

I due consigli che diamo ai nostri clienti per proteggersi da eventuali infezioni sono:​

- chiudere immediatamente e su tutte le macchine locali e remote il servizio RDP 

- installare il nostro script di protezione contro i ransomware, maggiori info QUI

​

​

Dove sono finiti i miei backup? E le macchine virtuali?​

​

A seguito dell'infezione da Dharma vengono cancellati i files .backup e spesso anche eventuali macchine virtuali (VMware, Oracle VM VirtualBox ecc.), le quali vengono avviate e poi cancellate o criptate.​

​

Come decriptare file cifrati da STOP/DJVU? 

​

Potete recuperare i miei dati?

​

Si, per alcune versioni di dharma, possiamo recuperare tutti i tuoi files!! 

​

Scrivici un'email a info@recuperafiles.it allegando dei files criptati ed il tuo numero di cellulare;

 

ti risponderemo il prima possibile!

​

​

Che estensione possono avere i files infettati da STOP DJVU?​ E' vero che questo malware è in continuo aggiornamento?

​

Le estensioni possibili, e al momento scoperte, sono: .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss. .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .miis, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .futm, .utjg, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .sbpg, .xcmb, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .yber, .qqqw, .qqqe, .qqqr, .yoqs, .bbbw, .bbbe, .bbbr, .maiv, .avyu, .cuag, .iips, .qnty, .ccps, .ckae, .gcyi, .eucy, .ooii, .jjtt, .rtgf, .fgui, .fgnh, .sdjm, .iiof, .fopa, .qbba, .vyia, .vtym, .kqgs, .xcbg, .bpqd, .vlff, .eyrv, .rguy, .uigd, .hfgd, .kkia, .ssoi, .mmuz, .pphg, .wdlo, .kxde, .udla, .voom, .mpag, .gtys, .tuid, .uyjh, .ghas, .hajd, .qpps, .qall, .dwqs, .vomm, .ygvb, .nuhb, .msjd, .jhdd, .dmay, .jhbg, .jhgn, .dewd, .ttii, .hhjk, .mmob, .mine, .sijr, .xcvf, .bbnm, .egfg, .byya, .hruu , .kruu, .ifla, .errz, .dfwe, .fefg, .fdcv, .nnuz, .zpps, .qlln, .uihj,.zfdv, .ewdf, .rrbb, .rrcc, .rryy, .bnrs, .eegf, .bbyy, .bbii, .bbzz, .hkg, .eijy, .efvc, .lltt, .lloo, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjww, .jjll, ..hhye, .hhew, .hhyu, .hhwq, .hheo, .ggew, .ggyu, .ggwq, .ggeo, .oori, .ooxa, .vvew, .vvyu, .vvwq, .vveo, .cceq. .ccew, .ccyu, .ccwq, .cceo, .ccza, .qqmt, .qqri, .qqlo, .qqlc, .qqjj, .qqpp, .qqkk, .oopu, .oovb, .oodt, .mmpu, .mmvb, .mmdt, .eewt, .eeyu, .eemv, .eebn, .aawt, .aayu, .aamv, .aabn, .oflg, .ofoq, .ofww, .adlg, .adww, .tohj, .towz, .pohj, .powz, .tuis, .tuow, .tury, .nuis, .nury, .powd, .pozq, .bowd, .bozq .erqw .erop ESXiArgs .assm .mztu .vmdk.args .pouu .btos .mzqw .mzop .args .Z0V .pouu .poaz .rtg .popn .monochromebear .lockedbycrybaby .azhi .azqt .azop .NIGHT_CROW .mzhi .mzop .mzqt .meduza24 .rzkd .rzml .rzew .sb4 .hgml .hgkd .anontsugumi .ooza .oopl .elibe .oohu .mzre

​

​

​

Altri dubbi o necessiti di maggiori informazioni?​

 

Scrivici pure a info@recuperafiles.it e cercheremo di chiarire ogni tuo dubbio.