Qu'est-ce que STOP/Djvu Ransomware

STOP/Djvu a été l'une des familles de ransomwares les plus populaires et les plus dévastatrices qui ciblent de nombreux utilisateurs dans le monde. Il est exploité par des développeurs expérimentés qui créent et publient régulièrement de nouvelles versions de ransomware. Comme d'autres logiciels malveillants de ce type, STOP/Djvu utilise des algorithmes cryptographiques puissants ainsi que l'attribution d'extensions personnalisées pour restreindre l'accès aux données. Après cela, les utilisateurs ne peuvent plus ouvrir leurs fichiers car ils sont bloqués par des chiffrements sécurisés. Bien qu'ils soient déprimés et mentalement déprimés après avoir reçu le virus, les cybercriminels offrent une solution de sauvegarde de fichiers - pour acheter un logiciel de décryptage spécial qui rendra l'accès aux données. Ils affichent les instructions de rançon dans une note (.txt, HTML ou fenêtre contextuelle) créée à la fin du cryptage. Les victimes sont souvent invitées à contacter les développeurs et à envoyer une somme d'argent estimée en BTC ou dans d'autres crypto-monnaies. Cependant, il est évident que beaucoup aimeraient l'éviter et récupérer les fichiers gratuitement ou au moins à bas prix. C'est exactement ce dont nous allons parler aujourd'hui. Suivez notre guide ci-dessous pour connaître toutes les étapes nécessaires à appliquer pour décrypter ou restaurer les fichiers bloqués par STOP/Djvu.

1. Supprimez le ransomware avant d'essayer de restaurer des fichiers

Avant de vous précipiter pour essayer de restituer vos données avec des outils tiers, il est important d'exécuter la suppression du ransomware. Si vous essayez de déchiffrer ou de restaurer des données alors qu'un ransomware est présent, cela peut entraver le processus ou les chiffrer à nouveau une fois le déchiffrement réussi. La majorité des infections par ransomware peuvent être facilement supprimées à l'aide d'outils tiers spéciaux. Nous vous recommandons d'utiliser SpyHunter 5 d'EnigmaSoft Limited - un outil populaire et très efficace pour se débarrasser des infections par ransomware. Le programme analysera votre système pour tous les fichiers, dossiers et clés de registre installés par STOP/Djvu. Téléchargez-le maintenant et utilisez la version d'essai de SpyHunter 5 pour obtenir GRATUITEMENT une analyse antivirus et une suppression unique.

Tableau de bord SpyHunter 5
SpyHunter 5 Résultats
Garde système SpyHunter 5
Télécharger SpyHunter 5

2. Récupération de fichiers

De nombreuses infections par ransomware garantissent qu'il est impossible de déchiffrer les données avec des outils tiers. Les chiffrements forts attribués pendant le cryptage rendent les choses difficiles pour les programmes externes pour aborder le décryptage de la bonne manière. Dans un tel cas, la seule option possible pour éviter de payer la rançon et de renvoyer les fichiers en même temps est d'utiliser des copies de sauvegarde stockées sur un appareil non infecté. Cela peut être un stockage USB ou Cloud comme Google Disk ou OneDrive qui est immunisé contre le cryptage. Comme méthode alternative, vous pouvez utiliser Stellar Data Recovery Professional - un excellent outil conçu pour analyser votre système à la recherche de sauvegardes ou de clichés instantanés disponibles. Habituellement, la famille des infections de haute qualité fait de son mieux pour effacer toutes les copies stockées sur son système. Malgré des statistiques défavorables, il est toujours possible que certaines versions de ransomware l'aient ignoré et n'aient pas effectué leur suppression. Dans un tel cas, les victimes peuvent utiliser Stellar Data Recovery Professional pour récupérer leurs données à partir des copies trouvées. Vous pouvez en savoir plus sur ses capacités et essayer de restaurer les fichiers en les téléchargeant ci-dessous.

Stellar Data Recovery (Sélectionnez les types de fichiers)
Stellar Data Recovery (Sélectionnez la zone à récupérer)
Stellar Data Recovery (processus de numérisation)
Stellar Data Recovery (fenêtre de récupération)
Télécharger Stellar Data Recovery Professional

3. Décryptage des données

Que les fichiers puissent être déchiffrés ou non dépend généralement de la façon dont les cybercriminels stockent leurs clés de chiffrement – ​​HORS LIGNE ou EN LIGNE. Si le ransomware parvient à établir une connexion avec son serveur de commande et de contrôle pendant l'infection, il chiffrera les fichiers à l'aide de clés EN LIGNE. En cas d'échec, un crypteur de fichiers utilisera simplement des clés HORS LIGNE qui sont les mêmes pour toutes les victimes. En règle générale, les personnes dont les fichiers ont été cryptés avec des clés HORS LIGNE ont plus de chances d'effectuer un décryptage réussi par rapport à celles qui traitent avec des clés EN LIGNE. Avant de choisir la bonne méthode de décryptage, il est nécessaire de déterminer quel type de stockage de clé est utilisé par votre virus ransomware. Cela fonctionne principalement avec les versions développées après août 2019. Si vous déterminez que votre clé doit être stockée HORS LIGNE, vous avez plus de chance de déverrouiller les données. Pour le comprendre, suivez ces étapes ci-dessous:

  1. Ouvrez ce PC et accédez à C:\SystemID.
  2. Vous devriez pouvoir voir une note de texte appelée PersonalID.txt.
  3. Ouvrez-le et regardez les clés situées à l'intérieur.
  4. Si vous avez l'une des clés se terminant par t1, cela signifie qu'une partie des données peut être déchiffrée.

En outre, les identifiants personnels peuvent également être trouvés dans les notes de rançon au bas du contenu. Les cybercriminels les attachent pour identifier les utilisateurs et leur demandent d'envoyer leurs identifiants lors d'un contact par e-mail.

Le décryptage des fichiers cryptés avec une clé OFFLINE (décrypteur Emsisoft pour STOP/Djvu)

Si vous avez vérifié la note textuelle et constaté que vos clés sont totalement ou partiellement HORS LIGNE, suivez les instructions dédiées ci-dessous. Nous utiliserons un décrypteur Emsisoft spécial spécialement développé pour STOP/Djvu. Ci-dessous, nous vous suggérons de consulter la liste complète des extensions qui peuvent être officiellement déchiffrées si des clés HORS LIGNE ont été utilisées :

.peet, .mbed, .kodg, .zobm, .msop, .hets, .gero, .hese, .grod, .seto, .peta, .moka, .meds, .kvag, .domn, .nesa, .nols, .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .karl, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .rezuc, .stone, .skymap, .mogera, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas, .DATAWAIT, .INFOWAIT.
Afficher plus
Réduire

À mesure que de nouvelles versions apparaissent et que les cyber-experts poursuivent leurs recherches, cette liste peut être complétée par de nouvelles extensions un jour dans le futur. L'activité de STOP/Djvu continue d'être à son apogée en publiant de nouvelles versions et en mettant à jour les anciennes.

Pour confirmer que vos fichiers peuvent être déchiffrés et utilisez ces instructions ci-dessous, regardez le contenu de votre fichier texte de rançon (_readme.txt). Si vous trouvez que c'est le même que celui que nous avons référencé ici, ne variant que par les adresses e-mail, suivez les étapes que nous avons énumérées ci-dessous pour les données cryptées avec des clés HORS LIGNE.

STOP Ransomware (note de rançon)
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
[removed link] Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
9315hTlGeRsMht5nsgsaoejm4RWx1y69zcacA5hSp3l60BnY8f3q
asd3SGd8723bqD7SH8JmYm298WxkjhasiuSDFS35Qaidkhantjt1

Pour décrypter des fichiers avec des clés HORS LIGNE :

STOP djvu ransomware décrypteur d'msisoft

  1. Télécharger STOP Djvu Decryptor d'Emsisoft.
  2. Exécutez le programme et acceptez toutes les fenêtres qui s'affichent.
  3. Ensuite, ajoutez les emplacements des données que vous souhaitez décrypter en cliquant sur ajouter un dossier et en choisissant des emplacements avec des fichiers cryptés.
  4. Une fois les emplacements ajoutés, cliquez sur Décrypter et attendez qu'Emsisoft fasse son travail. Vous verrez toutes les mises à jour concernant le processus et son achèvement directement sur le panneau.

STOP Djvu Decryptor par Emsisoft est totalement automatisé, ce qui signifie que vous n'avez pas à participer au processus de décryptage. Si vos fichiers sont modifiés avec certaines ou toutes les clés EN LIGNE, suivez les étapes ci-dessous. Vous savez peut-être déjà quel type de clé vous possédez grâce aux instructions ci-dessus.

Le décryptage des fichiers cryptés avec une clé ONLINE

Comme mentionné, le décryptage de fichiers avec des clés EN LIGNE peut être une tâche beaucoup plus sophistiquée qu'autrement. Pour rendre cela possible et mettre toutes les chances de votre côté, vous devrez trouver une paire de copies cryptées et originales (non cryptées) pour tous les fichiers que vous souhaitez déverrouiller. Il est important de vous assurer que vos paires de fichiers répondent à cette liste d'exigences :

  • Doit être le même fichier avant et après le cryptage
  • Doit être une paire de fichiers différente par type de fichier que vous souhaitez décrypter.
  • Chaque fichier doit faire 150 Ko ou plus.

Vous pouvez faire correspondre des paires de fichiers en choisissant un fichier crypté et en recherchant sa source de téléchargement. De nombreux utilisateurs obtiennent des fichiers en les téléchargeant ou en les copiant à partir d'autres appareils. Par exemple, si vous avez téléchargé un fichier pdf à partir d'un site Web, qui a ensuite été crypté, essayez de rappeler ce site Web et ouvrez-le pour télécharger un fichier similaire. Si vous avez un fichier crypté sur votre smartphone, créez une autre photo en utilisant les mêmes paramètres et utilisez-la comme fichier de référence. Une fois cela fait, vous devrez le coupler avec l'échantillon crypté. Par exemple, 1.mp4 sera couplé avec 1.mp4.djvu, 1.pdf avec 1.pdf.djvu, 1.png avec 1.png.djvu, et de même avec d'autres paires de fichiers. Notez que les nouvelles variantes qui utilisent des algorithmes RSA sont moins susceptibles d'être déchiffrées de cette façon car elles ne contiennent pas une telle vulnérabilité. Si vos fichiers ont été cryptés après août 2019, il s'agit probablement de la nouvelle version. Dans tous les cas, vous devriez essayer en suivant nos instructions ci-dessous.

Remarque : si vous êtes concerné par les extensions .puma, .pumas, .pumax, .INFOWAIT ou .DATAWAIT, passez à la méthode suivante ci-dessous.

  1. Ouvrez le Page de déchiffrement Emsisoft.
  2. Téléchargez une paire de fichiers cryptés et originaux dans les boîtes sélectionnées. Cliquez sur SOUMETTRE.
  3. Cliquez SOUMETTRE et attendez que le processus soit terminé.
  4. Une fois terminé, la page Emsisoft Decryption vous donnera un lien avec un décrypteur de fichier individuel.
  5. Téléchargez-le et suivez les mêmes étapes que nous avons mises en œuvre lorsque vous essayez de déchiffrer les clés HORS LIGNE.

Si Emsisoft ne parvient pas à décrypter la paire de fichiers téléchargés, revenez à la page et exécutez les mêmes étapes avec d'autres paires jusqu'à ce que vous décryptiez au moins certains d'entre eux.

c) Décrypter les fichiers avec les extensions .puma, .pumas, .pumax, .INFOWAIT et .DATAWAIT

Certaines extensions nécessitent l'utilisation de décrypteurs de fichiers séparés. C'est le cas des extensions que nous avons listées ci-dessus. En outre, les variantes de ransomware utilisant ces extensions ont leur contenu de notes de rançon différent des autres versions. Voici comment cela est probable dans le cas des extensions mentionnées :

STOP Ransomware (note de rançon)
================ !ATTENTION PLEASE! ================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours. =========================================
E-mail address to contact us: pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch Your personal id: 3346se9RaIxXF9m45nsmx7nL3bVudn91w4SNY8URDVa

Si vous voyez l'une de ces extensions à la fin de vos fichiers ainsi que le même contenu d'instructions de rançon, suivez les étapes présentées ci-dessous.

  1. Faites correspondre les paires de fichiers comme nous le faisions auparavant sans visiter la page Emsisoft Decryption.
  2. Télécharger le décrypteur DJVU Puma par Emsisoft.
  3. Lancez le décrypteur et acceptez tous les onglets (Contrôle de compte d'utilisateur ainsi que les Conditions d’utilisation).
  4. Ensuite, téléchargez les paires de fichiers dans l'utilitaire. Il peut également vous demander de télécharger la demande de rançon, alors faites-le, si nécessaire.
  5. Après avoir téléchargé tous les fichiers nécessaires, cliquez sur Accueil.
  6. Puis clique OK pour fermer les détails du décryptage.
  7. Choisissez des fichiers ou des dossiers spécifiques que vous souhaitez analyser et décrypter en cliquant sur Ajouter un dossier.
  8. Enfin, cliquez sur Décrypter et attendez que le processus soit terminé.

Nous espérons que vous vous êtes occupé du cryptage et que vous avez réussi à rendre vos fichiers indemnes.

4. Utilisez Media Repair pour déchiffrer les formats de fichiers .WAV, .MP3, .MP4, .M4V, .MOV et .3GP.

outil de réparation de médias

Il s'agit d'un autre outil gratuit et sécurisé qui peut redonner vie à vos fichiers multimédias. L'utilitaire développé par DiskTuna prend en charge les formats de fichiers .WAV, .MP3, .MP4, .M4V, .MOV et .3GP. Faux de dire que cet outil essaie de décrypter vos fichiers attaqués par la famille STOP/Djvu. Il est plutôt destiné à réparer la partie non cryptée du fichier et à le faire fonctionner à nouveau. Par exemple, si vous avez une piste audio pratiquement cryptée, Media Repair rendra à nouveau jouable uniquement sa partie non cryptée. Comme avec la plupart des décrypteurs Emsisoft, vous devez créer ou trouver un fichier de référence pour augmenter vos chances de décryptage réussi. Vous trouverez ci-dessous des instructions complètes sur l'utilisation de l'outil Media Repair.

  1. Télécharger Media Repair outil.
  2. Cliquez avec le bouton droit sur l'archive téléchargée et sélectionnez Extract to Media_Repair\.
  3. Double-cliquez ensuite sur le fichier .exe extrait pour lancer l'utilitaire.
  4. Dans un premier temps, vous devez choisir le type de fichier que vous souhaitez décrypter. Vous pouvez le faire à partir du menu déroulant de l'utilitaire.
  5. Ensuite, parcourez le dossier avec les fichiers cryptés ou de référence. Choisissez l'un d'entre eux et cliquez sur le Teste icône située dans le coin supérieur droit.
  6. Media Repair affichera un message contextuel indiquant s'il peut réparer le fichier sélectionné ou non.
  7. Après avoir vérifié si c'est possible ou non, sélectionnez votre fichier de référence et cliquez sur l'icône juste sous le Teste bouton que nous avons utilisé à l'étape 5.
  8. Si la paire de fichiers correspond correctement, vous pouvez continuer et appuyer sur le bouton Jouez bouton pour commencer la réparation. Vous pouvez également arrêter le processus à tout moment en cliquant sur le Arrêter .

Bonne nouvelle si vous avez réussi à réparer vos fichiers, au moins une partie d'entre eux. Sinon, utilisez les solutions restantes ci-dessous pour réessayer la restauration des fichiers.

5. Utilisez JpegMedic Arwe pour récupérer les fichiers .JPEG

jpegmedic arwe

À l'instar de Media Repair, JpegMedic Arwe est un autre programme gratuit qui permet de réussir la récupération de fichiers partiellement cryptés par un ransomware. Arwe est connu pour être la version allégée de JpegMedic - son frère aîné offrant des outils professionnels avec des options plus larges pour restaurer les données. En utilisant un principe similaire, JpegMedic peut récupérer des fichiers à moitié cryptés en empruntant des paramètres techniques à des fichiers de référence sains. Les victimes doivent utiliser des photos prises de préférence avec le même appareil photo avec les mêmes réglages. Lors de tests en laboratoire, JpegMedic a fait ses preuves pour effectuer une réparation réussie des fichiers JPEG avec les extensions de ransomware suivantes : .EFDC, .FUTM, .HESE, .HETS, .HOOP, .IISA, .KOOM, .LQQW, .MAQL, .MMPA, .NOOA, .NPPP, .NQSQ, .OPQZ, .PAAS, .QDLA, .RIGJ, .ROBM, .STAX, .VTUA, .WIOT, .WWKA. Même si votre extension ne figure pas sur cette liste, elle peut toujours être récupérée par JpegMedic. Essayez-le en suivant les instructions ci-dessous :

  1. Télécharger JpegMedic Arwe.
  2. Ouvrez-le et choisissez un fichier photo de référence en cliquant sur Ajouter ....
  3. Ensuite, sélectionnez un dossier contenant des fichiers JPEG cryptés en cliquant sur Sélectionner….
  4. Le programme déterminera l'extension des fichiers cryptés et la placera dans l'espace nécessaire. Si Arwe l'a mal déterminé, insérez manuellement le nom de l'extension malveillante.
  5. Vous pouvez également choisir votre propre chemin pour savoir si les fichiers réparés seront livrés. Il est recommandé de choisir un dossier vide pour empêcher JpegMedic ARWE d'écraser les fichiers corrects existants par accident.
  6. Après avoir configuré les choses, cliquez sur Courir pour démarrer le processus de récupération.

Si vous réussissez avec d'autres extensions que celles que nous avons écrites, vous pouvez partager ces informations avec les développeurs afin qu'ils puissent ajouter des informations sur les nouvelles extensions récupérables pour d'autres victimes.

6. Options alternatives pour restaurer les données cryptées

Vous pouvez essayer de décrypter vos fichiers de deux autres manières : en utilisant l'option Shadow Explorer et les versions précédentes de Windows. Bien que cela soit moins susceptible de fonctionner, cela peut arriver avec certaines versions de ransomware qui sont mal configurées et ne parviennent pas à supprimer tous les clichés instantanés et sauvegardes stockés sur votre système. Les deux méthodes sont faciles à utiliser et ne prendront pas trop de temps à exécuter.

Utilisation de l'option Versions précédentes de Windows:

  1. Cliquez avec le bouton droit sur le fichier infecté et choisissez Propriétés.
  2. Sélectionnez Versions précédentes languette.
  3. Choisissez une version particulière du fichier et cliquez sur Copier.
  4. Pour restaurer le fichier sélectionné et remplacer l'existant, cliquez sur le Restaurer .
  5. Au cas où il n'y aurait aucun élément dans la liste, choisissez une méthode alternative.

Utilisation de Shadow Explorer:

  1. Télécharger Shadow Explorer .
  2. Exécutez-le et vous verrez la liste d'écran de tous les lecteurs et les dates auxquelles le cliché instantané a été créé.
  3. Sélectionnez le lecteur et la date à partir desquels vous souhaitez effectuer la restauration.
  4. Cliquez avec le bouton droit sur un nom de dossier et sélectionnez Exportations.
  5. S'il n'y a pas d'autres dates dans la liste, choisissez une autre méthode.

Si vous utilisez Dropbox:

  1. Connectez-vous au site Web DropBox et accédez au dossier contenant les fichiers cryptés.
  2. Cliquez avec le bouton droit sur le fichier crypté et sélectionnez Versions précédentes.
  3. Sélectionnez la version du fichier que vous souhaitez restaurer et cliquez sur le Restaurer .

Résumé

Il n'est jamais agréable d'être victime d'infections par ransomware. Nous espérons que vous avez réussi à éviter de payer la rançon et à récupérer ou décrypter vos fichiers éventuellement. Le développement des infections par ransomware ne stagne jamais, mais s'améliore toujours pour lutter contre les logiciels tiers et ne laisse à leurs victimes aucune chance de renvoyer les fichiers bloqués. Ceci est un guide général conçu spécifiquement pour la famille STOP/Djvu. Bien que certaines méthodes puissent être utilisées pour déchiffrer/restaurer les fichiers affectés par d'autres logiciels de rançon, cela peut nécessiter l'utilisation d'un logiciel distinct développé pour d'autres fournisseurs de logiciels de rançon. Si vous êtes confronté à d'autres infections par ransomware à l'avenir, utilisez les instructions dédiées préparées pour chaque variante sur notre site Web. Nous mettons à jour cette catégorie de logiciels malveillants avec les nouvelles versions dès leur apparition.

Article précédentComment corriger l'erreur « Vous n'êtes actuellement pas autorisé à accéder à ce dossier » dans Windows 10
Article suivantComment supprimer Pureweb
James Kramer
James Kramer
https://www.bugsfighter.com
Bonjour, je m'appelle James. Mon site Web Bugsfighter.com, point culminant d'une décennie de voyage dans les domaines du dépannage informatique, des tests de logiciels et du développement. Ma mission ici est de vous proposer des guides complets mais conviviaux sur un éventail de sujets dans ce créneau. Si vous rencontrez des difficultés avec le logiciel ou les méthodologies que j'approuve, sachez que je suis facilement accessible pour obtenir de l'aide. Pour toute demande de renseignements ou communication complémentaire, n'hésitez pas à nous contacter via la page «Contacts». Votre voyage vers une informatique transparente commence ici
Facebook Twitter Youtube