# STOP/DJVU Campaign
> [!info] Visão Geral - Relevância para Brasil
> A campanha **STOP/DJVU** e a operação de ransomware mais prolifica de todos os tempos em volume de vitimas, estimada em mais de 1 milhao de infeccoes desde 2018. O modelo e simples e devastador: software pirata, cracks de jogos e ativadores de Windows distribuem silenciosamente o ransomware [[stop-djvu-ransomware]] junto com o infostealer [[vidar-stealer]]. O duplo payload rouba senhas e cripto ANTES de criptografar os arquivos - maximizando o dano financeiro para a vitima. O Brasil e um dos paises mais afetados pela campanha dada a alta taxa de uso de software pirata.
## Visão Geral
A campanha STOP/DJVU é a operação de ransomware com maior volume de vítimas individuais da história, estimada em mais de 1 milhão de infecções desde 2018. Ao contrário de grupos de ransomware empresarial que miram organizações por resgates de milhões de dólares, a campanha STOP/DJVU opera no volume: alveja usuários domésticos e pequenas empresas que usam software pirata, cracks de jogos e ativadores de Windows — um mercado massivo em países com alto índice de pirataria. O Brasil é consistentemente identificado como um dos países mais afetados, dado o histórico de alto uso de software não licenciado.
O modelo de duplo payload é o elemento mais devastador: antes de criptografar os arquivos da vítima, o [[stop-djvu-ransomware]] primeiro executa o [[vidar-stealer]] (ou [[s1240-redline-stealer]] em variantes alternativas), que silenciosamente exfiltra senhas salvas no navegador, cookies de sessão, carteiras de criptomoeda, histórico de navegação e credenciais de FTP/email. A exfiltração vai para um servidor C2 via Telegram API antes de qualquer atividade visível. Somente após o roubo completo é que o ransomware começa a criptografar arquivos com extensões .djvu, .stop, .LKFR e centenas de variantes — maximizando o dano financeiro total para a vítima.
Uma particularidade técnica importante: o STOP/DJVU tem dois modos de criptografia. Se o sistema infectado tiver conectividade com a internet no momento do ataque, uma chave única é gerada online e armazenada no servidor C2 (tornando a descriptografia impossível sem pagar). Se o sistema estiver offline, o ransomware usa uma chave offline estática — o que permitiu à comunidade de pesquisa desenvolver ferramentas de descriptografia gratuitas para algumas variantes. Para o [[government|governo]] e organizações de [[education|educação]] no Brasil, o STOP/DJVU representa um risco real a usuários com menor maturidade de segurança, onde o vetor de software pirata é prevalente e os backups são raros.
## Attack Flow
```mermaid
graph TB
A["🏴☠️ Software Pirata<br/>Crack, keygen, ativador<br/>em sites de torrent"] --> B["📦 Instalador Malicioso<br/>Arquivo legítimo bundled<br/>com duplo payload"]
B --> C["🔓 Vidar Stealer<br/>Primeiro: rouba senhas,<br/>wallets crypto, cookies"]
C --> D["📡 Exfiltração para C2<br/>Telegram API recebe<br/>dados roubados"]
D --> E["🔐 STOP/DJVU Ransomware<br/>Criptografa arquivos pessoais<br/>com extensao .djvu/.stop"]
E --> F["💰 Nota de Resgaté<br/>_readme.txt - U$490-980<br/>pagamento em Bitcoin"]
F --> G["🔑 C2 para Chave<br/>Chave online/offline<br/>dependendo de conectividade"]
```
**Legenda:** [[stop-djvu-ransomware]] usa [[vidar-stealer]] como co-payload. C2 via Telegram API. Se offline durante criptografia, usa chave estática (offline key) - permitindo decryption pela comunidade.
## Cronologia
| Data | Evento |
|------|--------|
| Ján 2018 | Primeiras amostras STOP identificadas - extensao .stop |
| Dez 2018 | Variant DJVU surge com nova extensao - inicio da familia moderna |
| 2019 | Expansao massiva - centenas de variantes com diferentes extensoes |
| Ago 2019 | Emsisoft lanca decryptor gratuito para variantes com offline key |
| 2020 | Integracao com Vidar Stealer como co-payload - duplo dano |
| 2021 | STOP/DJVU torna-se a familia de ransomware mais prevalente em volume |
| 2022 | RedLine Stealer substituiu Vidar em algumas campanhas |
| 2023-2024 | Ainda ativo - 70%+ dos relatos de ransomware de usuarios finais |
## TTPs Documentadas
| Técnica | ID | Descrição |
|---------|-----|-----------|
| Execução de Arquivo Malicioso | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa instalador contendo o ransomware |
| Coleta de Informacoes | [[t1591-001-gather-victim-identity-information\|T1591.001]] | Vidar coletaa senhas, cookies, dados bancarios antes do ransom |
| Dados Criptografados para Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES-256 de arquivos pessoais |
| Link de Phishing | [[t1566-002-spearphishing-link\|T1566.002]] | Links em foruns e sites de pirataria para download do crack |
| Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Credenciais enviadas via Telegram API antes da criptografia |
## Vitimas Documentadas
- **Usuarios finais globais**: principalmente em paises com alta taxa de pirataria de software
- **Estudantes e gamers**: principal demografico - buscam cracks de jogos e software educacional
- **Pequenas empresas**: donos que usam software pirata para reduzir custos
- **Estimativa**: mais de 1 milhao de vitimas desde 2018 - maior volume de qualquer familia de ransomware
**Paises mais afetados**: India, Indonesia, Brasil, Paquistao, Russia (curiosamente - CIS nao recebe proteção total)
## Relevância para LATAM e Brasil - Alta Prioridade
O Brasil e um dos paises mais afetados pelo STOP/DJVU por razoes específicas:
1. **Alta taxa de pirataria**: O Brasil tem uma das maiores taxas de uso de software pirata na América Latina - o principal vetor de distribuição do STOP/DJVU
2. **Volume de infeccoes**: Forums de segurança brasileiros (incluindo BleepingComputer Brasil) reportam centenas de casos mensais
3. **Duplo dano**: [[vidar-stealer]] rouba credenciais de bancos digitais brasileiros (Nubank, Itau, Bradesco digital) e contas de exchanges de cripto locais antes do ransomware
4. **Impacto em PMEs**: Pequenas empresas brasileiras que usam software sem licenca sao alvos frequentes
5. **Decryptors disponiveis**: Emsisoft mantem decryptors para variantes com "offline key" - relevante para recuperacao de vitimas brasileiras
```mermaid
graph TB
subgraph "STOP/DJVU - Duplo Dano"
A["Software Pirata<br/>Download do crack"] --> B["Fase 1: Roubo<br/>Vidar Stealer extrai<br/>senhas e cripto"]
B --> C["Fase 2: Ransomware<br/>STOP/DJVU criptografa<br/>todos os arquivos"]
end
subgraph "Impacto no Brasil"
D["Alta pirataria<br/>de software"] --> E["Usuarios vulneraveis<br/>sem antivirus"]
E --> F["Perda financeira dupla<br/>cripto + resgaté"]
end
```
## Mitigação
- **Usar apenas software licenciado**: A principal mitigação - evitar cracks, keygens e ativadores de qualquer origem
- **Backup 3-2-1**: Tres copias, dois meios distintos, uma offsite/offline - [[m1053-data-backup|M1053]]
- **Antivirus atualizado**: A maioria dos AV modernos detecta variantes STOP/DJVU - manter proteção ativa
- **Decryptor gratuito**: Se infectado por variante com offline key, usar Emsisoft Decryptor - verificar em `nomoreransom.org`
- **Nao pagar o resgaté**: Pagamento nao garante recuperacao e financia operações criminosas
- **Conscientizacao sobre pirataria**: Enfatizar riscos de software pirata em treinamentos de segurança - [[m1017-user-training|M1017]]
## Referências
- [1](https://www.bleepingcomputer.com/news/security/stop-djvu-ransomware-what-you-need-to-know/) BleepingComputer - STOP/DJVU Ransomware: Complete Guide (2023)
- [2](https://www.emsisoft.com/en/blog/28302/stop-djvu-decryptor/) Emsisoft - STOP/DJVU Decryptor Release and Analysis (2019)
- [3](https://id-ransomware.malwarehunterteam.com/) ID Ransomware - STOP/DJVU Identification Tool
- [4](https://any.run/malware-trends/stop) ANY.RUN - STOP Ransomware Trends Analysis
- [5](https://www.nomoreransom.org/en/index.html) No More Ransom - Decryptors Disponiveis para STOP/DJVU