Los sitios web que ofrecen versiones craqueadas de programas de software popular, recientemente han incluido paquetes de adware que contienen una variante de STOP ransomware.
Según un par de informes del fundador de Bleeping Computer, Lawrence Abrams, el plan salió a la luz en diciembre de 2018 con la aparición del encriptador malicioso «Djvu», llamado así porque agrega una de varias variaciones de cadenas .djvu a los archivos afectados como una extensión.
Clasificado como un miembro de la familia STOP, Djvu más tarde se transformó en otras variantes menores que agregaron diferentes extensiones, incluidas .tco y .rumba.
Bleeping Computer detectó el vector de ataque después de que las discusiones de los usuarios en sus foros y otros sitios revelaran un denominador común: las víctimas se infectaron después de visitar uno de los sitios web donde descargaron versiones craqueadas de productos de software, incluidos programas basados en Microsoft Windows, Cubase, Adobe Photoshop, Software antivirus y más.
El malware no estaba oculto en el software descifrado en sí, sino en el paquete de adware que acompaña al software como un medio para generar ingresos.
Djvu consta de cuatro componentes separados que colectivamente sirven para engañar a la víctima. Ayudado por estos componentes, el ransomware deshabilita la funcionalidad de Windows Defender (incluida la supervisión en tiempo real) para facilitar la infección, y muestra una pantalla de actualización de Windows falsa para distraer a los usuarios durante el proceso de cifrado. También agrega numerosos sitios de seguridad y sitios de descarga al archivo HOSTS de Windows para evitar que las víctimas se conecten a ellos para obtener ayuda, informa Bleeping Computer.
En la muestra citada en el informe, Djvu generó una nota exigiendo un pago de rescate de 980 dólares a cambio de la clave de descifrado, ofrece un descuento del 50 por ciento si la víctima paga dentro de las primeras 72 horas. Pero puede haber una mejor opción, ya que hay un descifrador STOP disponible.