Sicherheit + Datenschutz 19. Juni 2020 2 Min Lesezeit

Anti-Erpressungstrojaner Tool „STOP Djvu“ ist in Wahrheit selbst Ransomware

Geschrieben von
Roger Klein
Verschlüsselung Ransamware daten

STOP Djvu ist noch nicht so bekannt wie Ryuk oder Sodinokibi – das könnte sich aber schnell ändern. Sicherheitsexperten gehen davon aus, dass rund 70 % aller aktuellen Infektionen mit Ransomware auf diesen Schädling entfallen. Die Experten rechnen mit 460.000 Opfern. Der Trojaner kommt in 160 verschiedenen Varianten vor.

STOP Djvu kommt nicht per E-Mail

STOP Djvu verbreitet sich über das Internet. Die Entwickler geben vor, verschlüsselte Daten zu entschlüsseln – das angebotene Tool ist selbst Schadcode. Die Opfer sind meist Privatpersonen, geködet durch das Versprechen, kostenpflichtige Software gratis zu bekommen.

Besonders häufig trifft es Kinder und Jugendliche, die sich teurere Software nicht leisten können und auf kostenlose Alternativen hereinfallen. Einige Versionen schleppen weitere Trojaner mit. Sicherheitsexperten fanden Varianten, die Passwörter stehlen.

„Decrypter“ fordert zweites Lösegeld

Dass STOP Djvu trotz der hohen Opferzahl kaum öffentliche Aufmerksamkeit bekam, liegt an der verhältnismässig niedrigen Forderung: 500 $. Nach Zahlung erhalten die Opfer den Fake-Decrypter STOP DJVU – der im Hintergrund die Ransomware Zorab startet und die Daten ein zweites Mal verschlüsselt. Dann kommt die nächste Lösegeldforderung.

STOP Djvu ist weiterhin aktiv

Der Schädling ist auch nach einem Jahr noch aktiv. Der Analysedienst ID-Ransomware zählt täglich im Schnitt 700 neue Infektionen – weltweit. Damit ist er aktiver als fast alle vergleichbaren Schädlinge zusammen. Täglich kommen neue Varianten hinzu.

Die grosse Verbreitung führen IT-Experten auf das Geschäftsmodell zurück. Die Entwickler bieten STOP Djvu als RaaS an – Ransomware-as-a-Service. Kriminelle legen die Dateiendung der Verschlüsselung selbst fest, wählen den Erpressungsbetrag frei und geben eine eigene E-Mail-Adresse für den Opferkontakt an. Ein Rundum-Paket für Verbrecher.

Hoffnung für Geschädigte?

Seit wenigen Tagen kann vielen Geschädigten geholfen werden. Sicherheitsexperten von Emsisoft entwickelten ein Tool, das die meisten Varianten von STOP Djvu entschlüsseln kann. Einige Versionen sind bisher nicht zu knacken – und täglich kommen neue hinzu.

Die sicherste Massnahme bleibt: bei kostenlosen Downloads misstrauisch bleiben und unbekannte Programme nicht herunterladen.

Tags: Malware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-05-11 Eine IKT-Strategie am Beispiel von St. Gallen 2020-07-07 Zoom stellt neuen Plan für Sicherheit auf 2023-11-17 Job Scamming: Verbraucherzentrale NRW spricht Warnung aus

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG