STOP Djvu ist zwar noch nicht so bekannt wie Ryuk oder Sodinokibi, aber das könnte sich schnell ändern. Sicherheitsexperten gehen davon aus, dass rund 70 % aller aktuellen Infektionen mit Ransomware auf diesen neuen Schädling entfallen. Insgesamt gehen die Experten von 460.000 Opfern aus. Der Trojaner kommt dabei in 160 verschiedenen Varianten vor.
STOP Djvu kommt nicht per E-Mail
STOP Djvu verbreitet sich – wie so oft – über das Internet. Die Entwickler geben vor, verschlüsselte Daten zu entschlüsseln. Die Opfer sind meist Privatpersonen. Diese werden geködert, indem das Tool verspricht, kostenpflichtige Software gratis zugänglich zu machen.
Häufige Opfer sind vor allem Kinder und Jugendliche, die sich teurere Software oft nicht leisten können und somit für entsprechende kostenlose Dienste empfänglich sind. Einige Versionen haben gleich noch weitere Trojaner im Schlepptau. So fanden die Sicherheitsexperten Varianten, welche Passwörter stehlen.
„Decrypter“ fordert zweites Lösegeld
Dass die Ransomware STOP Djvu trotz der hohen Opferzahl in der Öffentlichkeit relativ unbekannt blieb, liegt vor allem an der verhältnismässig niedrigen Summe, welche die Erpresser fordern. 500 $ verlangen die Kriminellen. Nach Zahlung erhalten die Opfer den Fake-Decrypter STOP DJVU, der im Hintergrund die Ransomware Zorab startet und die Daten damit ein zweites Mal verschlüsselt. Die Opfer sollen anschliessend nochmals Lösegeld zahlen.
STOP Djvu ist weiterhin aktiv
Der Schädling ist auch nach einem Jahr weiter aktiv. Der Analysedienst ID-Ransomware zählt pro Tag im Schnitt 700 neue Infektionen – und das weltweit. Damit ist das Tool aktiver als fast alle vergleichbaren Schädlinge zusammen. Die Experten beobachten zudem, dass täglich neue Varianten der Ransomware hinzukommen.
Die grosse Verbreitung führen IT-Experten auf den Charakter diese Malware zurück. Die Entwickler bieten STOP Djvu als RaaS, also Ransonware-as-a-Service an. Kriminelle erhalten damit die Möglichkeit, die Endung der Verschlüsselung selbst festzulegen und den Erpressungsbetrag frei zu wählen. Für den Kontakt zum Opfer können die Täter eine selbst gewählte E-Mail-Adresse angeben. STOP Djvu ist also ein “Full Service” für Verbrecher.
Hoffnung für Geschädigte?
Vielen Geschädigten kann seit wenigen Tagen geholfen werden. Sicherheitsexperten von Emsisoft entwickelten ein Tool, mit dem die meisten Varianten von STOP Djvu entschlüsselt werden können. Einige Versionen waren bisher aber nach wie vor nicht zu knacken, zudem kommen täglich neue Versionen hinzu.
Die sicherste Lösung bleibt wohl vorerst, bei kostenlosen Downloads misstrauisch zu sein und unbekannte Programme nicht herunterzuladen.