Djvu

¿Qué es?

Djvu, también conocido como STOP ransomware y Keypass, es un malware de tipo ransomware que se enfoca en infectar dispositivos Windows para cifrar archivos y exigir el pago de un rescate a cambio de su supuesta recuperación.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Cifra archivos personales y documentos del sistema utilizando algoritmos criptográficos y bloquea el acceso a los datos del usuario.
• Añade nuevas extensiones a los archivos cifrados dependiendo de la variante utilizada, como por ejemplo .djvu, .djvuu, .uudjvu, .tro, .puma, .xaro, .ygvb y más.
• Crea notas de rescate, normalmente mediante archivos como _readme.txt, donde solicita un pago en criptomonedas para recuperar los archivos. Normalmente, suelen ser importes de 980 dólares, con una supuesta rebaja del 50% si la víctima contacta en las primeras 72 horas.
• Puede eliminar copias de seguridad y puntos de restauración del sistema para dificultar la recuperación de los datos.
• Modifica configuraciones del sistema y del Registro de Windows para mantener la persistencia tras reinicios.
• Puede descargar y ejecutar otros programas maliciosos adicionales, incluidos spyware, troyanos bancarios o herramientas de robo de información.
• Se comunica con servidores remotos de mando y control (C2) para obtener claves de cifrado y enviar información del sistema infectado.
• Utiliza identificadores únicos por víctima y distingue entre claves de cifrado online y offline dependiendo de la conectividad con sus servidores.
• En algunas campañas se distribuye junto con herramientas de activación ilegal de software, generadores de licencias (cracks) y aplicaciones pirateadas.

Sistemas afectados

Los principales dispositivos afectados son:

• Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos principalmente a través de descargas de software ilegal, herramientas de activación de licencias (cracks), generadores de claves, páginas web comprometidas, anuncios maliciosos (malvertising) y campañas de phishing con archivos adjuntos o enlaces fraudulentos.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• STOP/DJVU Employs Vidar Stealer Before Encrypting Files (K7 Labs)
• Djvu Ransomware (NHS)
• STOP/DJVU Ransomware: What You Need To Know (Ransomware)
• STOP Djvu decryptor (Emsisoft)
• Fake DJVU ransomware decryptor (Kaspersky)
• Ransomware STOP/DJVU/YGVB (Microsoft)
• La última variante de Djvu ransomware: Xaro (A3Sec)
• STOP (Malpedia)