通過廣告軟體傳播新.tro變種的Djvu勒索軟體

2018年12月，一款名為Djvu的新勒索軟體悄悄出現在了公眾視野里。Djvu疑似是STOP勒索病毒的一類變種，它主要通過隱藏在捆綁廣告軟體的各類破解版軟體包中進行傳播推廣。起初，Djvu中加密文件的後綴名為.djvu，但最近檢測到其當中的一個變體已經衍生出了.tro的文件後綴。

Djvu剛出來那會兒，我們並不知道該軟體的運作模式，也找不到主安裝程序的示例。後來在與論壇和其他報告感染的眾多受害者進行探討後，我們注意到一個明確的線索：大多數受害者表示，他們是在下載了一個軟體的破解版後感染上該病毒的。

從受害者的數量上來看，此次攻擊行動是成功的，從受害者每天向ID-Ransomware上報的趨勢上也能體現這一點。

上報數量趨勢圖

不幸的是，當前還沒有能免費解密受害者的文件的解決方案，但研究人員正在努力分析Djvu的過程中。希望在不遠的未來，能找到解決Djvu的辦法。

如果您有任何問題或需要幫助，請在我們專門的Djvu支持和幫助中心中盡情提問。

Djvu勒索軟體是如何加密您的電腦的

正如我們前面所述，某些軟體的破解版和廣告軟體包會將Djvu勒索軟體安裝到受害者的計算機上，之後主安裝程序將安裝％LocalAppData％ [guid] [random] .exe並執行，該程序是Djvu最主要的組件，會優先將以下文件下載到同一文件夾中：

%LocalAppData%[guid]1.exe%LocalAppData%[guid]2.exe%LocalAppData%[guid]3.exe%LocalAppData%[guid]updatewin.exe

程序執行時，1.exe會刪除Windows Defender的定義、禁用各類功能，並執行名為Script.ps1的PowerShell腳本，該腳本會使用以下命令禁用Windows Defender的實時監控：

Set-MpPreference -DisableRealtimeMonitoring $true

接著Djvu將執行2.exe，它會將大量安全站點和下載站點添加到Windows HOSTS文件中，讓受害者無法連接到它們以尋求幫助。BleepingComputer也是添加到HOSTS文件的站點之一，如下所示。

HOSTS中屏蔽的站點列表

接著Djvu再執行3.exe的文件，由於我們無法找到它的樣本，當前還不能確定它的作用。

在此過程中，Djvu勒索軟體將為計算機生成一個唯一的ID，根據Michael Gillespie的說法，它是系統MAC地址的MD5，並通過url：http://morgem[.]ru/test/get.php?pid=[machine_id]連接到命令和控制伺服器。然後，伺服器將用於加密文件的加密密鑰進行回應。

如果您在網路上使用的流量是sflow，netflow或嗅探流量，那麼當C2伺服器將加密秘鑰發送到受害者的計算機時，可能秘鑰並不會生效。

上述步驟執行完畢後，Djvu將開始加密計算機上的文件，同時執行updatewin.exe。Updatewin.exe會顯示一個偽造的Windows Update屏幕，以便在用戶加密文件時分散用戶的注意力，並使磁碟活動的增量看上去是正常的。

偽造的Windows Update界面

在加密期間，Djvu將加密計算機上的包括可執行文件在內的幾乎所有文件，而舊版本在加密文件時會將文件的重新命名為以.djvu為基礎的後綴，比如test.jpg加密後會被重命名為test.djvu，test.djvus或test.djvut。

而此次觀測到的、較新的Djvu變體則是將.tro擴展名附加到加密文件的後綴，如下圖所示。

加密後顯示為.tro後綴的文件

最後，Djvu將創建一個名為「時間觸發任務」（Time Trigger Task）的任務計劃。此計劃會在不同的事件間隔啟動，以加密新建文件。

計劃任務

在加密文件時，它會在文件加密的每個文件夾中，用名為_openme.txt的贖金票據提示用戶，票據上有告知受害者所遭遇的信息以及他們為了贖迴文件而需要聯繫的兩個電子郵件地址。

Djvu勒索票據

如前所述，除非你用的是嗅探流量，否則目前無法免費恢復文件。如果您有任何疑問或需要幫助，請及時在我們專門的Djvu支持和幫助中心進行諮詢。

IOC

hashes

主安裝程序: 5d294a14a491dc4e08593b2f6cdcaace1e894c449b05b4132b9ba5c005848c58

1.exe: 6966599b3a7786f81a960f012d540866ada63a1fef5be6d775946a47f6983cb7

2.exe: 91a1122ed7497815e96fdbb70ea31b381b5243e2b7d81750bf6f6c5ca12d3cee

相關文件：

%LocalAppData%[guid][random_numbers]tmp.exe

%LocalAppData%[guid]1.exe

%LocalAppData%[guid]2.exe

%LocalAppData%[guid]3.exe

%LocalAppData%[guid]updatewin.exe

C:WindowsSystem32TasksTime Trigger Task

相關註冊表條目：

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunSysHelper

關聯的電子郵件地址：

restoredjvu@india.com

restoredjvu@firemail.cc

網路流量：

morgem.ru

勒索票據

你的所有文件都被加密了

別擔心，你可以挽回你的所有文件！

你的所有文件文檔、照片、資料庫，還有其他的重要文件都被我們用最強的加密和唯一密鑰加密了。

恢復文件的唯一方法是為您購買解密工具和唯一密鑰。

該軟體將解密所有加密文件。

我們能給你什麼保證？

你可以從PC發送一個加密文件，我們會免費解密。

但我們只能免費解密1個文件。文件不得包含有價值的信息。

你可以下載視頻概述解密工具：

https://www.sendspace.com/file/1sg7f3

不要嘗試使用第三方解密工具，因為它會破壞你的文件。

如果你在72小時之內聯繫我們，可享50％折扣。

要獲得此軟體，您需要在我們的電子郵件中寫下：

預訂電子郵件地址與我們聯繫：

你的個人ID：

[ID]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！