Ransomware DejaVu (agrega extensión DJVUx , en mi caso DJVUR)


#1

Buen dia !! Les voy a contar paso a paso mi experiencia donde encriptaron mis archivos y describo mis acciones. Puede ser largo, pero me parece interesante y posiblemente útil a alguien que le esté pasando lo mismo. Es mi primer post, así que tengan paciencia con “el nuevo” Hace unos días que estuve notando un comportamiento inusual en mi equipo (como que se quedaba sin recursos, alguna pantalla azul, algún reseteo extraño) y luego, buscando una película, en la misma carpeta/directorio, había un par de archivos con la extensón normal, y agregado a continuación “.djvur” Esos archivos no estaban asociados a nada, y probé volver a cambiar la extensión, eliminando “.djvur” y pude reproducirlo sin problemas, pero me puso en alerta y comencé a buscar archivos con esa extensión. Grande fue mi sorpresa al ver archivos “conocidos” que ahora tenían la doble extensión…los cuales luego de cambiar la extensión, algunos funcionaban y otros no. La conclusión que pude sacar de esto, luego de googlear un poco, es que tenía un ransomware en proceso de encriptar todo lo que estaba a la vista. En las carpetas/directorios donde ya se había ejecutado exitosamente, se agregaba un archivo de texto “_openme.txt” que dice lo siguiente:

**---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED ----------------------------------------------- 

Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can look online overview decrypt tool:
https://vimeo.com/309338421
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.

---------------------------------------------------------------------------------------------------------------------------


To get this software you need write on our e-mail:
[email protected]

Reserve e-mail address to contact us:
[email protected]

Your personal ID:
021xxxXXXxxxxxxx 43 caracteres **

Lo positivo es que no perdí todo, ya que estaba en proceso de codificar mis archivos, y hay lugares que estaban renombrados con la nueva extensión, pero todavía no habían sido encriptados

Escribí al mail que estaba escrito en el txt y me respondieron que el software de desencriptación tiene un costo de 0.14 bicoin, aprox 490 Us$, pero googleé y eran 566 dólares al momento de la consulta Obviamente no voy a pagar, porque incluso pagando no tengo garantía de que me envíen la herramienta prometida.

Revisando encontré unos archivos ocultos que pensé que podrían tener algo que ver con la encriptación, pero presté atención, y luego de googlear me di cuenta que solo eran las licencias DRM de unos MP3.

En realidad no aporto mas que mi experiencia (traumática digamos).

La única acción que realicé es apagar mi PC para detener los procesos de encriptación, y extraer los discos para ver que puedo recuperar, que se salvó y que no. Si a alguien le interesa por un par de días no reinstalaré el S.O. así que puedo sacar información que me soliciten. La configuración de mi equipo es, o era… Intel Core i5 4ta generación, 16 Gb de RAM, 1 SSD de 120 Gb para el sistema operativo y 2 HD de 2 Tb Creo saber el momento y vector de la infección, a través de una página web, mientras intentaba descargar un software y que se abrieron varias páginas, donde hice click en algún lugar incorrecto…


#2

Hola,

Sube el bloc de notas o un archivo infectado con la extension a ID-Ransomware, hay te diran si existen un “desencriptador” para este ransomware, aunque es muy poco probable.

Saludos.


#3

Lo hice, pero lamentablemente todavía no hay herramienta para desencriptar.

Intenté subir una captura del resultado pero me sale un cartel que dice: Lo sentimos, no puedes poner imágenes en una publicación

** Djvu

Este ransomware aún está bajo análisis.

Por favor, consulte el tema correspondiente para obtener más información. Puede ser necesario una muestra de los archivos cifrados y los archivos sospechosos para continuar la investigación.

Identificado por


#4

Como ya te dije, es muy poco probable que exista algun desencriptador, lo mejor es guardar el disco, y esperar… Avisanos se deseas cerrar el post o tienes mas dudas.


#5

Lo dejo a tu criterio. Pensé que alguna otra víctima iba a aportar algo


abierto #8

#9

Hola @PepeBiondi

Tu equipo ha sido infectado por una nueva variante del ransomware STOP.

Si bien aun no hay una herramienta genérica para poder recuperar todos los archivos… la buena noticia es que en algunos casos si es posible descifrar estos.

Por lo que en tu caso (y sin compromisos) pero podríamos probar a ver si hay suerte y para esto necesitaríamos que nos adjuntes al menos un archivo de estos cifrados con la extension “*. djvu” y el mismo archivo que pudieras tener sin cifrar.

Salu2


#10

Voy a buscar algun mp3 que tenga en varios lados y lo subo!! Desde ya muchas gracias !!


separó este tema #11

7 mensajes han sido separados a un nuevo topic: Ransomware DejaVu


#12

Ok, esperamos esos archivos… solo necesitamos uno de cada uno o dos, el encriptado y el original… y con esto ya en algunos casos se esta pudiendo crear la herramienta gratuita de recuperación.

Salu2