STOP/Djvuランサムウェアとは

STOP/Djvu は、世界中の多くのユーザーをターゲットとする最も人気があり、破壊的なランサムウェアファミリーのXNUMXつです。 これは、定期的に新しいランサムウェアバージョンを作成および発行する経験豊富な開発者によって運営されています。 このタイプの他のマルウェアと同様に、STOP / Djvuは強力な暗号化アルゴリズムを使用し、カスタム拡張機能を割り当ててデータへのアクセスを制限します。 この後、ユーザーは安全な暗号でブロックされているため、ファイルを開くことができなくなります。 ウイルスを受け取った後、落ち込んで精神的に落ち込んでいる間、サイバー犯罪者はファイル保存ソリューションを提供します–データへのアクセスを返す特別な復号化ソフトウェアを購入します。 暗号化の最後に作成されるメモ(.txt、HTML、またはポップアップウィンドウ)内に身代金の指示が表示されます。 犠牲者はしばしば開発者に連絡し、BTCまたは他の暗号通貨で推定金額を送るように指示されます。 ただし、多くの人がそれを避けて、無料または少なくとも低価格でファイルを回復したいと望んでいることは明らかです。 これがまさに今日お話しすることです。 STOP / Djvuによってブロックされたファイルを復号化または復元するために適用する必要があるすべての必要な手順については、以下のガイドに従ってください。

1.ファイルを復元する前にランサムウェアを削除します

サードパーティのツールを使用してデータを返そうとする前に、ランサムウェアの削除を実行することが重要です。 ランサムウェアが存在するときにデータを復号化または復元しようとすると、プロセスが妨げられたり、復号化が成功したときにデータが再度暗号化されたりする可能性があります。 ランサムウェア感染の大部分は、特別なサードパーティツールを使用して簡単に削除できます。 EnigmaSoftLimitedのSpyHunter5を使用することをお勧めします。これは、ランサムウェア感染を駆除する際に人気があり、非常に効果的なツールです。 プログラムは、STOP / Djvuによってインストールされたすべてのファイル、フォルダー、およびレジストリキーについてシステムをスキャンします。 今すぐダウンロードして、SpyHunter 5の試用版を使用して、ウイルススキャンと1回限りの削除を無料で入手してください。

SpyHunter5ダッシュボード
SpyHunter5の結果
SpyHunter5システムガード
SpyHunter5をダウンロード

2.ファイルの回復

多くのランサムウェア感染は、サードパーティのツールを使用してデータを復号化することを不可能にします。 暗号化中に割り当てられた強力な暗号は、外部プログラムが正しい方法で復号化に取り組むことを困難にします。 このような場合、身代金の支払いとファイルの返却を同時に回避するための唯一の可能なオプションは、感染していないデバイスに保存されているバックアップコピーを使用することです。 これは、暗号化の影響を受けないGoogleディスクやOneDriveなどのUSBまたはクラウドストレージにすることができます。 別の方法として、Stellar Data Recovery Professionalを使用できます。これは、システムをスキャンして利用可能なバックアップまたはシャドウコピーを探すために設計された優れたツールです。 通常、高品質の感染症ファミリーは、自分のシステムに保存されているすべてのコピーを一掃するために最善を尽くします。 不利な統計にもかかわらず、一部のランサムウェアバージョンがそれを見逃し、削除を実行しなかった可能性があります。 このような場合、被害者はStellar Data Recovery Professionalを使用して、見つかったコピーからデータを回復できます。 以下からダウンロードして、その機能の詳細を確認し、ファイルの復元を試みることができます。

Stellar Data Recovery(ファイルの種類を選択)
Stellar Data Recovery(回復する領域を選択)
Stellar Data Recovery(スキャンプロセス)
Stellar Data Recovery(リカバリウィンドウ)
Stellar Data Recovery Professionalをダウンロード

3.データの復号化

ファイルを復号化できるかどうかは、通常、サイバー犯罪者が暗号化キーをどのように保存するか(オフラインまたはオンライン)によって異なります。 ランサムウェアが感染中にコマンド&コントロールサーバーとの接続を確立することに成功した場合、ランサムウェアはオンラインキーを使用してファイルを暗号化します。 障害が発生した場合、ファイル暗号化機能は、すべての被害者に対して同じであるオフラインキーを使用するだけです。 原則として、ファイルをオフラインキーで暗号化した人は、オンラインキーを使用した人と比較して、復号化を成功させる可能性が高くなります。 適切な復号化方法を選択する前に、ランサムウェアウイルスが使用しているキーストレージの種類を特定する必要があります。 これは主に2019年XNUMX月以降に開発されたバージョンで機能します。オフラインで保存するキーを決定した場合は、データのロックを解除することができます。 それを理解するには、以下の手順に従ってください。

  1. このPCを開き、C:\SystemIDに移動します。
  2. と呼ばれるテキストノートを見ることができるはずです 個人ID.txt.
  3. それを開いて、中にある鍵を見てください。
  4. で終わるキーのいずれかがある場合 t1、これは、データの一部を復号化できることを意味します。

また、個人IDは、コンテンツ下部の身代金メモにも記載されています。 サイバー犯罪者は、ユーザーを識別するためにそれらを添付し、電子メールで連絡する際にIDを送信するように依頼します。

オフラインキーで暗号化されたファイルの復号化(STOP / Djvu用のEmsisoft復号化機能)

テキストノートを確認し、キーが完全にまたは部分的にオフラインであることがわかった場合は、以下の専用の手順に従ってください。 STOP/Djvu用に特別に開発された特別なEmsisoft復号化機能を使用します。 以下では、OFFLINEキーが使用された場合に公式に復号化できる拡張機能の完全なリストを確認することをお勧めします。

.peet, .mbed, .kodg, .zobm, .msop, .hets, .gero, .hese, .grod, .seto, .peta, .moka, .meds, .kvag, .domn, .nesa, .nols, .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .karl, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .rezuc, .stone, .skymap, .mogera, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas, .DATAWAIT, .INFOWAIT.
Show more
以下を表示

新しいバージョンが登場し、サイバー専門家が調査を進めるにつれ、将来、このリストに新しい拡張機能が追加される可能性があります。 STOP / Djvuのアクティビティは、引き続きピークに達し、新しいバージョンをリリースし、古いバージョンを更新します。

ファイルを復号化できることを確認し、以下の手順を使用するには、身代金テキストファイル(_readme.txt)の内容を確認してください。 ここで参照したのと同じで、電子メールアドレスのみが異なる場合は、オフラインキーで暗号化されたデータについて以下の手順に従ってください。

STOPランサムウェア(身代金メモ)
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
[removed link] Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
9315hTlGeRsMht5nsgsaoejm4RWx1y69zcacA5hSp3l60BnY8f3q
asd3SGd8723bqD7SH8JmYm298WxkjhasiuSDFS35Qaidkhantjt1

オフラインキーでファイルを復号化するには:

emsisoftからdjvuransomwaredecryptorを停止します

  1. STOPDjvuDecryptorをダウンロード Emsisoftから。
  2. プログラムを実行し、ポップアップするすべてのウィンドウに同意します。
  3. 次に、クリックして復号化するデータの場所を追加します フォルダの追加 暗号化されたファイルがある場所を選択します。
  4. 場所を追加したら、をクリックします 解読する Emsisoftがその仕事を終えるまで待ちます。 プロセスとその完了に関するすべての更新がパネルに表示されます。

EmsisoftによるSTOPDjvuDecryptorは完全に自動化されているため、復号化プロセスに参加する必要はありません。 一部またはすべてのオンラインキーを使用してファイルを変更した場合は、以下の手順に従ってください。 上記の手順から、使用しているキーのタイプをすでに知っている場合があります。

ONLINEキーで暗号化されたファイルの復号化

前述のように、オンラインキーを使用したファイルの復号化は、他の方法に比べてはるかに高度なタスクになる可能性があります。 それを可能にし、オッズを平準化するには、ロックを解除するすべてのファイルの暗号化されたコピーと元の(暗号化されていない)コピーのペアを見つける必要があります。 ファイルペアがこの要件のリストを満たしていることを確認することが重要です。

  • 暗号化の前後で同じファイルである必要があります
  • 復号化するファイルタイプごとに異なるファイルペアである必要があります。
  • 各ファイルは150KB以上である必要があります。

暗号化されたファイルを選択し、そのダウンロードソースを検索することで、ファイルのペアを照合できます。 多くのユーザーは、他のデバイスからファイルをダウンロードまたはコピーすることでファイルを取得します。 たとえば、あるWebサイトからPDFファイルをダウンロードし、それを暗号化した場合は、このWebサイトを呼び出して開いて、同様のファイルをダウンロードしてみてください。 スマートフォンで暗号化されたファイルを撮影している場合は、同じ設定で別の写真を作成し、参照ファイルとして使用してください。 完了したら、暗号化されたサンプルとペアリングする必要があります。 たとえば、1.mp4は1.mp4.djvuとペアになり、1.pdfは1.pdf.djvuとペアになり、1.pngは1.png.djvuとペアになり、同様に他のファイルのペアともペアになります。 RSAアルゴリズムを使用する新しいバリアントは、そのような脆弱性がないため、この方法で復号化される可能性が低いことに注意してください。 2019年XNUMX月以降にファイルが暗号化されている場合は、新しいバージョンである可能性があります。 いずれにせよ、以下の手順を使用して試してみてください。

注:.puma、.pumas、.pumax、.INFOWAIT、または.DATAWAIT拡張子の影響を受ける場合は、以下の次の方法にスキップしてください。

  1. Video Cloud Studioで Emsisoft復号化ページ.
  2. 暗号化された元のファイルのペアを選択したボックスにアップロードします。 クリック SUBMIT.
  3. クリック SUBMIT プロセスが完了するまで待ちます。
  4. 完了すると、EmsisoftDecryptionページに個々のファイル復号化機能へのリンクが表示されます。
  5. ダウンロードして、オフラインキーを復号化するときに実装したのと同じ手順を実行します。

Emsisoftがアップロードされたファイルのペアの復号化に失敗した場合は、ページに戻り、少なくとも一部のファイルを復号化するまで、他のペアで同じ手順を実行します。

c).puma、.pumas、.pumax、.INFOWAIT、および.DATAWAIT拡張子を持つファイルを復号化します

一部の拡張機能では、個別のファイル復号化機能を使用する必要があります。 これは、上記の拡張機能の場合です。 また、これらの拡張機能を使用するランサムウェアの亜種は、他のバージョンとは異なる身代金メモの内容を持っています。 上記の拡張機能の場合、次のようになります。

STOPランサムウェア(身代金メモ)
================ !ATTENTION PLEASE! ================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours. =========================================
E-mail address to contact us: pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch Your personal id: 3346se9RaIxXF9m45nsmx7nL3bVudn91w4SNY8URDVa

ファイルの最後にこれらの拡張子のXNUMXつと、身代金の指示の同じ内容が表示されている場合は、以下の手順に従ってください。

  1. Emsisoft Decryptionページにアクセスせずに、以前と同じようにファイルペアを一致させます。
  2. DJVUPuma復号化ツールをダウンロードする Emsisoftによる。
  3. 復号化機能を開始し、すべてのタブに同意します(ユーザーアカウント制御 & 利用規約).
  4. 次に、ファイルペアをユーティリティにアップロードします。 身代金メモのアップロードを求められる場合もあるので、必要に応じてアップロードしてください。
  5. 必要なファイルをすべてアップロードしたら、をクリックします 開始.
  6. 次に、をクリックします。 OK 復号化の詳細を閉じます。
  7. をクリックして、スキャンおよび復号化する特定のファイルまたはフォルダを選択します フォルダを追加.
  8. 最後に、をクリックします 解読する プロセスが完了するまで待ちます。

暗号化に対処し、ファイルを無傷で返すことができたことを願っています。

4.メディア修復を使用して、.WAV、.MP3、.MP4、.M4V、.MOV、および.3GPファイル形式を復号化します。

メディア修復ツール

これは、メディアファイルに生命を取り戻すことができる可能性のあるもう3つの無料で安全なツールです。 DiskTunaによって開発されたユーティリティは、.WAV、.MP4、.MP4、.M3V、.MOV、および.XNUMXGPファイル形式をサポートします。 このツールがSTOP/Djvuファミリーによって攻撃されたファイルを復号化しようとしていると言うのは誤りです。 むしろ、ファイルの暗号化されていない部分を修復して、再び動作させることを目的としています。 たとえば、オーディオトラックが実質的に暗号化されている場合、Media Repairは、暗号化されていない部分のみを再度再生できるようにします。 ほとんどのEmsisoftDecryptorsと同様に、復号化が成功する可能性を高めるには、参照ファイルを作成または検索する必要があります。 メディア修復ツールの使用方法に関する完全な手順は、以下にあります。

  1. メディア修復をダウンロード ツール。
  2. ダウンロードしたアーカイブを右クリックして、 Media_Repair\に抽出.
  3. 次に、抽出した.exeファイルをダブルクリックして、ユーティリティを起動します。
  4. 最初に、復号化するファイルの種類を選択する必要があります。 ユーティリティのドロップダウンメニューから実行できます。
  5. 次に、暗号化されたファイルまたは参照ファイルでフォルダーを参照します。 それらのいずれかを選択し、をクリックします ホイール試乗 右上隅にあるアイコン。
  6. メディア修復は、選択したファイルを修復できるかどうかに関する情報を含むポップアップメッセージを表示します。
  7. 可能かどうかを確認した後、参照ファイルを選択し、 ホイール試乗 手順5で使用したボタン。
  8. ファイルペアが適切に一致している場合は、先に進んで プレイ ボタンをクリックして修復を開始します。 をクリックして、いつでもプロセスを停止することもできます。 Force Stop

ファイル、少なくともその一部を修復できた場合は朗報です。 それ以外の場合は、以下の残りの解決策を使用して、ファイルの復元をさらに試してください。

5.JpegMedicArweを使用して.JPEGファイルを回復します

jpegmedic アルウェ

メディア修復と同様に、JpegMedic Arweは、ランサムウェアによって部分的に暗号化されたファイルの回復に成功する機能を提供する、もうXNUMXつの自由に使用できるプログラムです。 Arweは、JpegMedicの軽量バージョンであることが知られています。その兄は、データを復元するための幅広いオプションを備えたプロフェッショナルなツールを提供しています。 同様の原則を使用して、JpegMedicは、正常な参照ファイルから技術パラメータを借用することにより、半分暗号化されたファイルを回復できます。 被害者は、できれば同じカメラで同じ設定で撮影した写真を使用する必要があります。 ラボテストを実行している間、JpegMedicは、次のランサムウェア拡張機能を使用してJPEGファイルの修復を成功させることが証明されています。 .EFDC, .FUTM, .HESE, .HETS, .HOOP, .IISA, .KOOM, .LQQW, .MAQL, .MMPA, .NOOA, .NPPP, .NQSQ, .OPQZ, .PAAS, .QDLA, .RIGJ, .ROBM, .STAX, .VTUA, .WIOT, .WWKA。 拡張機能がこのリストにない場合でも、JpegMedicによって回復される可能性があります。 以下の手順を使用して試してみてください。

  1. JpegMedicArweをダウンロード.
  2. それを開き、クリックして参照写真ファイルを選択します 追加....
  3. 次に、クリックして暗号化されたJPEGファイルのあるフォルダを選択します 選択する….
  4. プログラムは暗号化されたファイルの拡張子を決定し、必要なスペースに配置します。 Arweが間違っていると判断した場合は、悪意のある拡張機能の名前を手動で挿入してください。
  5. 修復されたファイルを配信するかどうかへの独自のパスを選択することもできます。 JpegMedic ARWEが誤って既存の正しいファイルを上書きしないように、空のフォルダーを選択することをお勧めします。
  6. 設定後、をクリックします ラン 回復プロセスを開始します。

私たちが書いたもの以外の他の拡張機能で成功した場合は、この情報を開発者と共有して、他の被害者のために新しい回復可能な拡張機能に関する情報を追加できるようにすることができます。

6.暗号化されたデータを復元するための代替オプション

ファイルの復号化を試みるには、さらにXNUMXつの方法があります。ShadowExplorerとWindowsの以前のバージョンのオプションを使用します。 これが機能する可能性は低くなりますが、一部のランサムウェアバージョンでは、構成が不十分で、システムに保存されているすべてのシャドウコピーとバックアップを削除できない場合があります。 どちらの方法も使いやすく、実行にそれほど時間はかかりません。

Windowsの以前のバージョンのオプションの使用:

  1. 感染したファイルを右クリックして、 プロパティ.
  2. 選択 以前のバージョン タブには何も表示されないことに注意してください。
  3. ファイルの特定のバージョンを選択して、をクリックします コピー.
  4. 選択したファイルを復元して既存のファイルを置き換えるには、をクリックします。 リストア
  5. リストに項目がない場合は、別の方法を選択してください。

シャドウエクスプローラーの使用:

  1. ダウンロード Shadow Explorer プログラム。
  2. それを実行すると、すべてのドライブの画面リストとシャドウコピーが作成された日付が表示されます。
  3. 復元元のドライブと日付を選択します。
  4. フォルダ名を右クリックして、 輸出.
  5. リストに他の日付がない場合は、別の方法を選択してください。

Dropboxを使用している場合:

  1. DropBox Webサイトにログインし、暗号化されたファイルが含まれているフォルダーに移動します。
  2. 暗号化されたファイルを右クリックして、 以前のバージョン.
  3. 復元するファイルのバージョンを選択し、をクリックします リストア

まとめ

ランサムウェア感染の被害者になることは決して楽しいことではありません。 身代金の支払いを回避し、最終的にファイルを回復または復号化できたことを願っています。 ランサムウェア感染の発生は停滞することはありませんが、サードパーティのソフトウェアと戦うために常に改善され、被害者がブロックされたファイルを返す機会がなくなります。 これは、STOP/Djvuファミリ用に特別に設計された一般的なガイドです。 他のランサムウェアの影響を受けるファイルの復号化/復元に使用できる方法はいくつかありますが、それでも他のランサムウェアベンダー向けに開発された別のソフトウェアを使用する必要がある場合があります。 将来、他のランサムウェア感染に対処する場合は、当社のWebサイトで各亜種用に用意された専用の手順を使用してください。 このカテゴリのマルウェアは、出現したらすぐに新しいバージョンで更新されます。

前の記事Windows10で「現在このフォルダーにアクセスする権限がありません」エラーを修正する方法
次条Purewebを削除する方法
James Kramer
James Kramer
https://www.bugsfighter.com
こんにちは、ジェームスです。私の Web サイト Bugsfighter.com は、コンピューターのトラブルシューティング、ソフトウェア テスト、開発の分野における XNUMX 年にわたる取り組みの集大成です。ここでの私の使命は、このニッチ分野のさまざまなトピックにわたって、包括的でありながらユーザーフレンドリーなガイドを提供することです。私が推奨するソフトウェアまたは方法論で問題が発生した場合は、すぐにサポートを求められることをご承知おきください。ご質問やその他の連絡については、「連絡先」ページからお気軽にご連絡ください。シームレス コンピューティングへの旅はここから始まります
Facebook Twitter Youtube