Websites that offer cracked versions of popular software programs, Recently they have included adware packages containing a variant of STOP ransomware.
Según un par de informes del fundador de Bleeping Computer, Lawrence Abrams, el plan salió a la luz en diciembre de 2018 con la aparición del encriptador malicioso “Djvu”, llamado así porque agrega una de varias variaciones de cadenas .djvu a los archivos afectados como una extensión.
Clasificado como un miembro de la familia STOP, Djvu más tarde se transformó en otras variantes menores que agregaron diferentes extensiones, incluidas .tco y .rumba.
Bleeping Computer detectó el vector de ataque después de que las discusiones de los usuarios en sus foros y otros sitios revelaran un denominador común: las víctimas se infectaron después de visitar uno de los sitios web donde descargaron versiones craqueadas de productos de software, incluidos programas basados en Microsoft Windows, Cubase, Adobe Photoshop, Software antivirus y más.
El malware no estaba oculto en el software descifrado en sí, sino en el paquete de adware que acompaña al software como un medio para generar ingresos.
Djvu consta de cuatro componentes separados que colectivamente sirven para engañar a la víctima. Ayudado por estos componentes, el ransomware deshabilita la funcionalidad de Windows Defender (incluida la supervisión en tiempo real) para facilitar la infección, y muestra una pantalla de actualización de Windows falsa para distraer a los usuarios durante el proceso de cifrado. It also adds numerous security sites and download sites to the Windows HOSTS file to prevent victims from connecting to them for help, reports Bleeping Computer.
In the sample cited in the report, Djvu generated a note demanding a ransom payment of 980 dollars in exchange for the decryption key, offers a discount of 50 percent if the victim pays within the first 72 hours. But there may be a better option, as there is a STOP decryptor available.