ИССЛЕДОВАНИЕ ВИРУСА-ШИФРОВАЛЬЩИКА «DJVU»

В публикации рассмотрены пути распространения, активность и принципы работы вируса-вымогателя ”Djvu”. Более того,”Djvu” может быть известен как: «Djvus», «Djvuu», «Uudjvu», «Djvuq», «Udjvuq». Для более удобного восприятия текста публикация поделена на несколько частей: первая активность и разновидность вируса, статистический анализ, основные особенности и принципы работы вируса, способы заражения и удаление вируса и методы защиты от Djvu.

1. Первая активность и разновидности вируса

Djvu вирус был замечен в интернете в конце 2018 года. Исследователи вредоносных программ определили его как одну из версий STOP вымогателя. Однако вместе с новым годом вирус-вымогатель начал использовать новые файловые маркеры, чтобы помочь пользователям находить зашифрованные файлы среди нетронутых. Файл с запиской о выкупе по-прежнему называется _openme.txt и помещается в каждую папку с зашифрованными данными.

Различные версии вируса:

• Версия Djvus. Вымогательский файл Djvus вышел прямо перед новым годом. Разработчики вируса не сильно изменили вирус, сейчас мы можем видеть тот же адрес электронной почты restoredjvu @firemail.cc. Кроме того, вирус все еще предлагает 50% скидку тем, кто связывается с его разработчиками в течение 72 часов. К сожалению, люди сообщали о многочисленных случаях, когда они находили этот вирус в своей компьютерной системе, облачных сервисах и даже на жестких дисках, которые были подключены к скомпрометированной системе, не задумываясь. Хотя некоторые версии STOP вымогателя могут быть расшифрованы, к сожалению, это не относится к Djvus вирусу.
• Версия Djvuu. Djvuu вымогатель был обнаружен еще в декабре 2018 года. Как следует из названия, он добавляет ранее упомянутое расширение, чтобы повлиять на личные данные пользователей. Примечание о выкупе, отображаемое в текстовом файле, по-прежнему называется _openme.txt и отображает сообщение, побуждающее жертв связаться с преступниками по электронной почте и контактным адресам: restorejvu @india.com и restojvu @firemail.cc. Djvuu вирус не расшифровывается, поэтому вы должны использовать резервные копии ваших файлов для восстановления зашифрованных данных. Вирус использует метод шифрования RSA, чтобы сделать файлы бесполезными. Закрытые ключи хранятся на серверах хакеров.
• Версия Uudjvu. Немного другая версия того же самого Djvu вируса, который появляется в целевой системе с помощью общего окна настройки PirateBay, и таким образом пытается украсть учетные данные пользователя из различных учетных записей, чтобы использовать их в последующих мошенничествах. Разработчики создали этот вариант без требования выкупа, но файлы на компьютере по-прежнему шифруются с использованием смеси AES и RSA алгоритмов. Уязвимая часть файлов помечена .uudjvu расширением. Не рекомендуется связываться с хакерами для их требований, так как вы можете получить еще больше повреждений на ваш компьютер. Сначала следует удалить вирус, а затем продолжить восстановление ваших файлов. На этом этапе используйте резервные копии или стороннее программное обеспечение.
• Версия Djvuq. Djvuq вымогатель является одной из версий, которые больше похожи на первоначальный  Djvu вирус. Он также шифрует файлы с использованием алгоритма и помечает закодированные фотографии, документы или даже архивы с помощью .djvuq в конце имени. Примечание о выкупе, в этом случае, также помещается в файл _openme.txt со скидкой на выкуп и ранее использованными контактными эмейлами restorejvu @india.com и restorejvu @firemail.cc (рис.1).

Рисунок 1. Вымогающее сообщение

• Версия Udjvuq. Вымогательный файл Udjvuq появился также в декабре 2018 года после предыдущих идентичных версий. Киберпреступники, стоящие за угрозой, по-прежнему сосредоточены на процессе шифрования и маркировки файлов с целью вымогательства. Однако в записке с выкупом говорится о том, что единственный способ восстановить файлы — заплатить. По словам разработчиков, другие инструменты расшифровки не могут дать вам требуемых результатов, поэтому они дают вам половину выкупа, если вы свяжетесь с ними в первые 72 часа. Эти данные вместе с теми же адресами электронной почты доставляются в файле _openme.txt.

2. Статистический анализ

На диаграммах (рис.2) можно наблюдать следующее: вирус Djvu является самым распространенным в своем роде вирусом-вымогателем. Уже за последний год он показывает рекордные показатели и продолжает увеличивать количество зараженных устройств.

Рисунок 2. Общая статистика попыток заражения

3. Основные особенности и принципы работы вируса

Djvu вымогатель, также известный как .djvu вирус, является очень опасной компьютерной инфекцией, которая изменяет реестр Windows, добавляя в него сомнительные компоненты. Согласно многочисленным сообщениям, вирус связан с Stop вымогателем, поскольку он выполняет процесс шифрования и добавляет одно из следующих расширений: .djvu, .djvus, .djvuu, .uudjvu, .udjvu или .djvuq.

• -программное обеспечение, созданное на базе вируса STOP, попадая в компьютер, загружает четыре файла.

Один из них провоцирует появление поддельного сообщения об обновлениях системы Windows. Таким образом он усыпляет бдительность пользователя.

Жертва вируса получает файл с контактами хакеров-вымогателей. Киберпреступники не называют стоимость расшифровки, но обещают сделать скидку, если пользователь в ближайшее время обратится к ним за помощью.

Также Djvu способен шифровать новые файлы, создавая специальные «задания» для системы.

Если остановится чуть подробнее на алгоритме заражения, то получим следующее: в папке %localdata% создаются исполняемые файлы с названиями 1.exe, 2.exe, 3.exe и, вот неожиданность, updatewin.exe. Первый файл отключает активный модуль Защитника windows, путем команды Set-MpPreference -DisableRealtimeMonitoring $true

Второй файл 2.exe изменяет host файл, блокируя пользователю доступ к хорошим сайтам по компьютерной безопасности, преимущественно англоязычным.

В процессе, формируется уникальный ключ, основанный на MAC адресе компьютера, этот ключ и будет являться базой для шифрования. Возможно, его можно как-то использовать для дешифровки, но пока не получилось.

Следующим запускается файл updatewin.exe, который и шифрует файлы, изображая обновление системы. Отличительной чертой вируса, является шифрование в том числе exe файлов.

На этом вирус не останавливается и создает задание Time Trigger Task, которое с некоей периодичностью шифрует все новые файлы на компьютере. Так что при восстановление файлов через сторонние носители или из облака, убедитесь в том, что вы удалили вирус с компьютера, проверили системные задачи, папку автозапуска и host файл. И проверьте все компьютеры в сети.

4. Способы заражения  и удаление вируса

Чаще всего вирус попадает на компьютер при помощи популярных у пиратов crack'ов – небольших программ для взлома платных игр и программ таким образом, чтобы ими можно было пользоваться бесплатно. Скачав и запустив зараженный crack пользователь своими руками инфицирует систему, запустив трояна, который маскируясь под обновление операционной системы аккуратно шифрует пользовательские файлы.

Еще один из способов заражения - это спам сообщения. По словам специалистов по кибербезопасности из LosVirus.es, вымогатели могут появиться на компьютере из-за открытого спам-письма или его вложения. Некоторые сообщения электронной почты, которые отбрасываются мошенниками, могут содержать опасную ссылку, вставленную в само письмо, или сомнительное вложение, которое прикрепляется к письму. Будьте в курсе всех сомнительных электронных писем, и ни в коем случае не открывайте их, если они выглядят вредоносными или подозрительными каким-либо определенным образом.

Шаги для удаления вируса:

Шаг 1: Запустить систему в безопасном режиме.

• Нажмите «Пуск»
• Введите msconfig и нажмите «Enter»
• Выберите вкладку «Загрузка»
• Выберите «Безопасная загрузка» и нажмите «Ок»

Шаг 2: Показать все скрытые папки и файлы

• Нажмите «Пуск»
• Введите «Панель управления»
• Выберите «Оформление и персонализация»
• Нажмите на «Параметры папок»
• Перейдите во вкладку «Вид»
• Выберите «Показать скрытые файлы, папки и диски» и нажмите «Ок»

Шаг 3: Удалить файлы вируса

Проверьте следующие папки на предмет наличия в них файлов вируса

• %TEMP%
• %APPDATA%
• %ProgramData%

Шаг 4: Проверить систему специальным сканером

Можно воспользоваться любым средством, например, Dr. Web Cure It или Malwarebytes.

Рисунок 3. Проверка системы в сканере Dr.WebCureIt

Шаг 5: Очистить реестр

• Нажмите «Пуск
• Введите «Regedit.exe» и нажмите «Enter»
• Проверьте папки автозапуска на наличие подозрительных записей:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
• Аналогично для папки HKEY_CURRENT_USER
• Удалите из этих папок вредоносные файлы

5. Методы защиты от Djvu.

Одним из самых действенных методов защиты является резервное копирование.

Из реально работающих программ, можно попробовать Recuva и ShadwExplorer. У них не самый интуитивно понятный интерфейс, но разобраться можно быстро.

Если вам сильно повезло, то вирус не убил копии файлов из архива Windows, при условии, что архивирование было настроено. Восстановить можно при помощи стандартных средств Windows

Рисунок 4. Резервное копирование

В ходе выполнения исследования, изучены особенности семейства Djvu вирусов-вымогателей. Определены основные принципы заражения и действия вируса. Описаны основные методы предосторожности, а так же методы восстановления в случае заражения вирусом. Изучены статистические данные.

Список литературы:

1. Gabriel E. Hall «Удаление вируса Djvu (Инструкции по удалению)» 01.11.2019 [электронный ресурс] – Режим доступа. – URL: https://bedynet.ru/djvu-вымогатель/ (дата обращения 10.11.2019)
2. Маргарита Герасюкова 17.01.2019 [электронный ресурс] – Режим доступа. – URL: https://www.gazeta.ru/tech/2019/01/17/12131611/djvu.shtml (дата обращения 12.11.2019)
3. [Электронный ресурс] – Режим доступа. –  URL: https://informing.ru/2019/01/17/virus-vymogatel-rasprostranyaetsya-v-internete.html (дата обращения 12.11.2019)