Bu rehber, gerçek STOPRansomware örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

STOPRansomware Nedir?

STOPRansomware, ilk olarak 2018 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

STOP/DJVU Ransomware is one of the most widely distributed ransomware families. Encrypts personal files, demands ransom in Bitcoin. Distributed via cracked software.

Atıf / Tehdit Aktörü: NULL

Teknik Detay: C, Salsa20 + RSA-1024 sifreleme (hibrid), C2 sunucusundan RSA anahtar alimi, offline key backup (internet yoksa), .stop/.djvu uzantilari, %LOCALAPPDATA% konumu, mutex Global{GUID}, shadow copy silme (DPAPI ile sifreli sifre yonetimi)

Nasıl Bulaşır?

  • Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
  • Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
  • Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
  • Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
  • USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma

Enfeksiyon Belirtileri

  • Sistem performansında ani ve açıklanamayan düşüş
  • Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
  • Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
  • Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
  • Dosyalarınızın şifreli hale gelmesi ve fidye notu oluşması

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek STOPRansomware örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
3802d96292e6a2968272841a8d9e360e1358d4cd58db35ef04a08da70ce3c329SHA256STOPRansomware
a4b3953a8fdbee6fccaa3c25847c3da85e78d33377e73e6bebe3fe9d00a4de84SHA256STOPRansomware
44bab40d0ba2224516ff0258b70b04529dee4ff397d0380131725fc19e347cffSHA256STOPRansomware
1bb689e95fd5ed5f70fd3ac60cf28d7aace52fea6b1bacc0a257e19cbf50a71dSHA256STOPRansomware
488fc31a56df22ee62120505326df0699627525c17fbdde472437f447ba2b779SHA256STOPRansomware
c8241ec1dc6217bc489d6e6ad4f5b1c8MD5STOPRansomware
373fc49121ee4992363a62911ff1728aMD5STOPRansomware
1530a6f23c1e2821949b8c46c6d5a176MD5STOPRansomware
164d681e4c7592a58264b71a95ec412eMD5STOPRansomware
e02fd1eee5d9fc50ac508abf6896982eMD5STOPRansomware

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

  • Win + Rmsconfig → Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat
  • Veya başlangıçta F8 (eski Windows sürümleri)

Adım 3 — STOPRansomware Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

  • Malwarebytes Anti-Malware
  • Emsisoft Emergency Kit
  • Windows Defender Çevrimdışı Tarama

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

  • Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
  • Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
  • Edge: Ayarlar → Ayarları Sıfırla

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

  • No More Ransom Projesi — ücretsiz şifre çözücüler veritabanı
  • VSS Kontrolü: vssadmin list shadows → önceki sürümleri geri yükleyin
  • Yedekten Geri Yükleme: Etkilenmemiş yedekten sistemi kurtarın
  • Kurtarma şu an mümkün değilse verileri saklayın — ilerleyen dönemde şifre çözücü yayınlanabilir

Yeniden Enfeksiyonu Önleme

  • İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
  • Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
  • E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
  • Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
  • Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
  • Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
  • Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.

STOPRansomware — Malware Profile

STOP/DJVU Ransomware is one of the most widely distributed ransomware families. Encrypts personal files, demands ransom in Bitcoin. Distributed via cracked software.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows

Technical Details

C, Salsa20 + RSA-1024 sifreleme (hibrid), C2 sunucusundan RSA anahtar alimi, offline key backup (internet yoksa), .stop/.djvu uzantilari, %LOCALAPPDATA% konumu, mutex Global{GUID}, shadow copy silme (DPAPI ile sifreli sifre yonetimi)

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Tags
temizlikkaldırmastopransomwareransomwarevirüs temizleme