# STOP/DJVU Ransomware > Tipo: **ransomware consumer** - o ransomware mais difundido do mundo - 878+ variantes - Salsa20/AES-256 > [!high] Ransomware Mais Difundido Globalmente - 460 Mil Vítimas Estimadas > **STOP/DJVU** é o ransomware de consumidor mais prevalente do mundo, ativo desde 2018 com mais de **878 variantes documentadas** e uma estimativa de **460.000 vítimas**. Distribui-se exclusivamente via software pirata, geradores de chave (keygens) e cracks de software - mirando usuários domésticos que baixam conteúdo ilícito. Cifra arquivos com **Salsa20 e AES-256**, adicionando dezenas de extensões diferentes a cada variante. A Emsisoft oferece decryptors gratuitos para 148 variantes antigas. ## Visão Geral [[stop-djvu-ransomware|STOP/DJVU]] é a família de ransomware mais amplamente distribuída globalmente quando se considera o volume de vítimas individuais (consumidores), em oposição a ransomwares corporativos como [[lockbit-ransomware|LockBit]] ou [[blackcat-ransomware|BlackCat]] que focam em organizações. O malware está ativo desde 2018 e acumula mais de **878 variantes únicas** documentadas pela ID Ransomware e Bleeping Computer, com novas variantes sendo lançadas em ritmo contínuo. O modelo de distribuição do STOP/DJVU é exclusivamente via **software pirata**: cracks de jogos populares, keygens para software como Adobe Photoshop, Microsoft Office e AutoCAD, e pacotes de instalação de software pago obtidos em sites de warez, torrents e fóruns underground. O usuário baixa o suposto crack, executa-o e recebe tanto a funcionalidade prometida (o crack funciona) quanto o ransomware instalado em segundo plano - tornando a detecção mais difícil pois a vítima assume que o software funcionou normalmente. Além de cifrar arquivos, o STOP/DJVU instala **adware e ladrões de senhas** como o AZORult infostealer - comprometendo não apenas os arquivos da vítima mas também credenciais de browsers e carteiras de criptomoedas. O ransomware usa criptografia **Salsa20** para a cifragem de arquivos com uma chave de sessão protegida por **AES-256**. A chave de sessão é transmitida ao servidor C2 dos atacantes em conexão bem-sucedida - quando não há internet, usa uma chave offline que é a mesma para todas as vítimas da mesma variante, permitindo recuperação via decryptors públicos. **Plataformas:** Windows ## Como Funciona 1. **Download de software pirata:** A vítima baixa um crack, keygen ou software pirata de sites de warez, torrents ou redes P2P ([[t1204-002-malicious-file|T1204.002]]). O arquivo é geralmente um executável autoextraível ou instalador. 2. **Execução silenciosa:** O instalador executa o processo legítimo esperado (ativação do software) enquanto em segundo plano instala o ransomware obfuscado ([[t1027-obfuscated-files-or-information|T1027]]). 3. **Persistência e preparação:** Estabelece persistência via registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]), desabilita Windows Defender ([[t1562-001-disable-or-modify-tools|T1562.001]]) e elimina shadow copies ([[t1490-inhibit-system-recovery|T1490]]). 4. **Roubo de credenciais:** Instala AZORult ou componente similar para roubar senhas de browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]) antes da cifragem. 5. **Cifragem Salsa20/AES-256:** Cifra documentos, fotos, vídeos e outros arquivos pessoais ([[t1486-data-encrypted-for-impact|T1486]]), adicionando extensão específica da variante (`.djvu`, `.stop`, `.puma`, `.tro`, etc.). ```mermaid graph TB A["Download de Crack ou Keygen<br/>Sites warez e torrents<br/>T1204.002 - Software pirata"] --> B["Execução do Instalador<br/>Software funciona de fachada<br/>Ransomware em segundo plano"] B --> C["Desabilita Windows Defender<br/>Remove proteção endpoint<br/>T1562.001 + T1490 shadow copies"] C --> D["Roubo de Senhas<br/>AZORult infostealer<br/>T1555.003 - Browsers + carteiras"] D --> E["Obtém Chave C2<br/>Salsa20 key transmission<br/>T1105 - Online key mode"] E --> F["Cifragem Salsa20 e AES-256<br/>878+ extensões de variante<br/>T1486 - Fotos e docs pessoais"] F --> G["Nota de Resgaté<br/>_readme.txt em cada pasta<br/>100-980 USD em Bitcoin"] classDef download fill:#c0392b,color:#fff classDef exec fill:#e67e22,color:#fff classDef disable fill:#8e44ad,color:#fff classDef steal fill:#2980b9,color:#fff classDef key fill:#27ae60,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef ransom fill:#922b21,color:#fff class A download class B exec class C disable class D steal class E key class F encrypt class G ransom ``` ## Timeline ```mermaid timeline title STOP/DJVU - Evolução e Variantes 2018 : Primeira variante STOP identificada : Distribuição via software pirata 2019 : Explosão de variantes - DJVU família cresce : Emsisoft lança primeiros decryptors 2020 : 300+ variantes documentadas : AZORult bundled para roubo de senhas 2021 : 500+ variantes - ritmo de uma por semana : Modo offline permite decryptors públicos 2023 : 878+ variantes documentadas : 460k vítimas estimadas globalmente 2024 : Continua ativo - novas variantes mensais : Brasil top 5 países mais afetados ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1204-002-malicious-file\|T1204.002]] | Software pirata executado pela vítima | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Payload obfuscado dentro do installer | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registro Windows para persistência | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação do Windows Defender | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Eliminação de shadow copies | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas de browsers | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | | Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download da chave C2 online | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem Salsa20/AES-256 de arquivos | ## Relevância LATAM/Brasil O [[stop-djvu-ransomware|STOP/DJVU]] é extremamente relevante para o Brasil e LATAM por razões estruturais. O Brasil tem **uma das maiores taxas de uso de software não-licenciado da América Latina** - conforme dados da BSA (Business Software Alliance), mais de 55% do software utilizado no país é pirata. Esse contexto cria uma base de usuários massiva para o STOP/DJVU, que depende exatamente desse comportamento para se propagar. O perfil das vítimas é tipicamente usuários domésticos e pequenas empresas que baixam cracks de software como Adobe Photoshop, Microsoft Office, Corel Draw e AutoCAD - programas amplamente utilizados por profissionais criativos, designers, arquitetos e pequenos empreendedores no Brasil. O impacto vai além da perda de arquivos: o AZORult bundled roba senhas de bancos digitais, acesso ao Mercado Livre, e-commerce e plataformas de pagamento - resultando em fraude financeira adicional à cifragem de arquivos. O setor de educação também é afetado: estudantes que baixam software acadêmico pirata são vetores de infecção que levam o STOP/DJVU para computadores de laboratório e redes universitárias. **Setores impactados:** usuários domésticos - PMEs - [[education|educação]] - profissionais liberais - designers e freelancers ## Detecção - Monitorar execução de instaladores baixados de fontes não verificadas (especialmente de `%TEMP%\`, `%APPDATA%\`) com conexões de rede simultâneas - Detectar desativação do Windows Defender via PowerShell (`Set-MpPreference`) por processos não administrativos - Alertar para exclusão de shadow copies (`vssadmin`, `wmic shadowcopy`) por processos de usuário - Monitorar criação massiva de arquivos com extensões desconhecidas e arquivos `_readme.txt` em múltiplos diretórios - Implementar bloqueio de downloads de sites de warez via DNS filtering (Cisco Umbrella, NextDNS, Pi-hole) - Verificar integridade de software antes da instalação - evitar executar arquivos de fontes não-assinadas ## Referências - [1](https://www.bleepingcomputer.com/news/security/stop-djvu-ransomware-extensions-and-decryption/) BleepingComputer - STOP/DJVU Ransomware Extensions and Decryption (2024) - [2](https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu) Emsisoft - STOP/DJVU Decryption Tool (2024) - [3](https://id-ransomware.malwarehunterteam.com/) ID Ransomware - STOP/DJVU Variant Tracking (2024) - [4](https://www.sentinelone.com/labs/stop-ransomware-the-hidden-threat-in-your-crack-software/) SentinelOne - STOP Ransomware Hidden in Crack Software (2023) - [5](https://www.trendmicro.com/en_us/research/23/a/stop-djvu-ransomware.html) Trend Micro - STOP/DJVU Ransomware Analysis (2023)