# DJVU/STOP Ransomware > Tipo: **ransomware** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[djvu-stop|DJVU/STOP]] é a família de ransomware mais amplamente distribuída para usuários individuais e consumidores, responsável por uma parcela significativa de todos os casos de ransomware reportados por usuários domésticos globalmente desde 2018. Diferentemente de grupos de ransomware empresarial que visam organizações por resgates de milhões de dólares, o [[djvu-stop|DJVU/STOP]] tem como alvo principal usuários domésticos, pedindo resgates de 490 a 980 dólares - um valor acessível o suficiente para que muitas vítimas considerem o pagamento viável. O [[djvu-stop|DJVU/STOP]] é distribuído quase exclusivamente via software pirata, cracks de jogos, geradores de chaves de ativação (keygens) e ferramentas gratuitas de fontes não oficiais. Após a execução, o ransomware verifica a localização do sistema para evitar infecções em países da ex-URSS, baixa componentes adicionais da internet, desabilita soluções de segurança, criptografa arquivos pessoais (documentos, fotos, vídeos, músicas) com extensões características (`.djvu`, `.stop`, e centenas de outras variantes) e instala informações como adware e trojans bancários. A ferramenta de descriptografia da Emsisoft pode recuperar arquivos criptografados com chaves offline conhecidas. O volume absoluto de infecções pelo [[djvu-stop|DJVU/STOP]] é extraordinário: o ID Ransomware (serviço de identificação de ransomware da Emsisoft) registra o STOP como responsável por mais de 50% de todos os envios de vítimas em determinados períodos. A popularidade se deve à combinação de distribuição eficiente via software pirata e modelo de negócio oportunista contra usuários domésticos sem capacidade de recuperação. A inclusão de trojans bancários como payload secundário amplifica o impacto financeiro além do ransom. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção - Monitorar downloads de arquivos executáveis de sites de crack/keygen conhecidos ([[t1071-001-web-protocols|T1071.001]]) - Detectar criptografia em massa de arquivos de usuário (documentos, fotos) ([[t1486-data-encrypted-for-impact|T1486]]) - Alertar sobre verificações de geolocalização por executáveis recém-baixados ([[t1614-system-location-discovery|T1614]]) - Identificar tentativas de desabilitar Windows Defender e outros AVs ([[t1562-001-disable-or-modify-tools|T1562.001]]) - Implementar backups offline automáticos de arquivos pessoais como medida preventiva principal ## Relevância LATAM/Brasil O [[djvu-stop|DJVU/STOP]] tem impacto direto e massivo no Brasil: a alta prevalência de uso de software pirata no país - especialmente Windows, Adobe Creative Suite e jogos - cria um vetor de distribuição extremamente eficaz. Casos de infecção por DJVU/STOP são reportados diariamente por usuários brasileiros em fóruns e grupos de suporte técnico. O Brasil não está na lista de países excluídos da criptografia, tornando usuários brasileiros alvos ativos. A ferramenta de descriptografia da Emsisoft tem ajudado muitas vítimas brasileiras a recuperar arquivos sem pagamento, quando chaves offline são utilizadas. ## Referências - [Emsisoft - STOP Decryptor](https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu) - [BleepingComputer - STOP/DJVU Coverage](https://www.bleepingcomputer.com/tag/stop-ransomware/)