O que é STOP / Djvu Ransomware

STOP/Djvu tem sido uma das famílias de ransomware mais populares e devastadoras, voltada para muitos usuários em todo o mundo. É operado por desenvolvedores experientes que criam e emitem novas versões de ransomware regularmente. Assim como outros malwares desse tipo, o STOP / Djvu usa algoritmos criptográficos fortes, juntamente com a atribuição de extensões personalizadas para restringir o acesso aos dados. Depois disso, os usuários não conseguem abrir seus arquivos, pois eles são bloqueados por criptografias seguras. Enquanto ficam deprimidos e mentalmente desanimados depois de receber o vírus, os cibercriminosos oferecem uma solução para salvar arquivos - comprar um software de descriptografia especial que retornará o acesso aos dados. Eles mostram instruções de resgate dentro de uma nota (.txt, HTML ou janela pop-up) que é criada no final da criptografia. As vítimas geralmente são instruídas a entrar em contato com os desenvolvedores e enviar uma quantia estimada de dinheiro em BTC ou outras criptomoedas. No entanto, é óbvio que muitos gostariam de evitá-lo e recuperar os arquivos gratuitamente ou pelo menos a um preço baixo. É exatamente sobre isso que vamos falar hoje. Siga nosso guia abaixo para aprender todas as etapas necessárias que você deve aplicar para descriptografar ou restaurar arquivos bloqueados por STOP / Djvu.

1. Exclua o ransomware antes de tentar restaurar arquivos

Antes de tentar devolver seus dados com ferramentas de terceiros, é importante executar a exclusão do ransomware. Se você tentar descriptografar ou restaurar dados enquanto o ransomware estiver presente, isso pode atrapalhar o processo ou criptografá-los novamente após a descriptografia bem-sucedida. A maioria das infecções de ransomware pode ser facilmente excluída com a ajuda de ferramentas especiais de terceiros. Recomendamos que você use o SpyHunter 5 da EnigmaSoft Limited - uma ferramenta popular e altamente eficaz sempre que se trata de se livrar de infecções de ransomware. O programa fará a varredura em seu sistema em busca de todos os arquivos, pastas e chaves de registro instaladas por STOP / Djvu. Baixe agora e use a versão de teste do SpyHunter 5 para obter uma verificação de vírus e uma remoção única GRATUITAMENTE.

Painel do SpyHunter 5
Resultados do SpyHunter 5
SpyHunter 5 System Guard
Baixar SpyHunter 5

2. Recuperação de arquivo

Muitas infecções de ransomware garantem que seja impossível descriptografar dados com ferramentas de terceiros. Cifras fortes atribuídas durante a criptografia tornam as coisas difíceis para os programas externos abordarem a descriptografia da maneira certa. Nesse caso, a única opção possível para evitar pagar o resgate e devolver os arquivos ao mesmo tempo é usar cópias de backup armazenadas em um dispositivo não infectado. Pode ser um armazenamento USB ou em nuvem, como o Google Disk ou OneDrive, que é imune à criptografia. Como método alternativo, você pode usar o Stellar Data Recovery Professional - uma ótima ferramenta projetada para fazer a varredura em seu sistema em busca de backups ou cópias de sombra disponíveis. Normalmente, a família de infecções de alta qualidade faz o possível para apagar todas as cópias armazenadas em seu sistema. Apesar das estatísticas desfavoráveis, ainda há uma chance de que algumas versões de ransomware o tenham ignorado e não tenham executado sua exclusão. Nesse caso, as vítimas podem usar o Stellar Data Recovery Professional para recuperar seus dados de cópias encontradas. Você pode aprender mais sobre seus recursos e tentar restaurar os arquivos fazendo o download abaixo.

Stellar Data Recovery (selecione os tipos de arquivos)
Stellar Data Recovery (Selecione a área para recuperar)
Stellar Data Recovery (processo de digitalização)
Stellar Data Recovery (janela de recuperação)
Baixar Stellar Data Recovery Professional

3. Descriptografia de dados

Se os arquivos podem ser descriptografados ou não, geralmente depende de como os cibercriminosos armazenam suas chaves de criptografia - OFFLINE ou ONLINE. Se o ransomware conseguir estabelecer uma conexão com seu servidor de comando e controle durante a infecção, ele criptografará os arquivos usando chaves ONLINE. Em caso de falha, um criptografador de arquivos simplesmente usará chaves OFFLINE que são as mesmas para todas as vítimas. Via de regra, as pessoas que tiveram seus arquivos criptografados com chaves OFFLINE têm mais chances de realizar a descriptografia com sucesso em comparação com aquelas que lidam com chaves ONLINE. Antes de escolher o método de descriptografia correto, é necessário identificar qual tipo de armazenamento de chave é usado pelo vírus ransomware. Isso funciona principalmente com versões desenvolvidas após agosto de 2019. Se você determinar que sua chave será armazenada OFFLINE, terá mais sorte para desbloquear os dados. Para descobrir isso, siga estas etapas abaixo:

  1. Abra este PC e navegue até C: \ SystemID.
  2. Você deve ser capaz de ver uma nota de texto chamada IDPessoal.txt.
  3. Abra-o e observe as chaves localizadas dentro.
  4. Se você tiver alguma das chaves que terminam com t1, isso significa que alguma parte dos dados pode ser descriptografada.

Além disso, os IDs pessoais também podem ser encontrados nas notas de resgate na parte inferior do conteúdo. Os cibercriminosos os anexam para identificar os usuários e pedem que enviem suas identificações enquanto entram em contato por e-mail.

A descriptografia de arquivos criptografados com uma chave OFFLINE (descriptografador Emsisoft para STOP / Djvu)

Se você verificou a nota de texto e descobriu que suas chaves estão total ou parcialmente OFFLINE, siga as instruções abaixo. Usaremos um descriptografador Emsisoft especial desenvolvido especificamente para STOP / Djvu. Abaixo, sugerimos que você verifique a lista completa de extensões que podem ser oficialmente descriptografadas se as chaves OFFLINE foram usadas:

.peet, .mbed, .kodg, .zobm, .msop, .hets, .gero, .hese, .grod, .seto, .peta, .moka, .meds, .kvag, .domn, .nesa, .nols, .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .karl, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .rezuc, .stone, .skymap, .mogera, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas, .DATAWAIT, .INFOWAIT.
Mostre mais
Mostre menos

À medida que novas versões aparecem e os especialistas cibernéticos avançam com suas pesquisas, esta lista pode ser complementada com novas extensões algum dia no futuro. A atividade do STOP / Djvu continua em seu pico, lançando novas versões e atualizando as mais antigas.

Para confirmar se seus arquivos podem ser descriptografados e use as instruções abaixo, verifique o conteúdo do seu arquivo de texto de resgate (_readme.txt). Se você achar que é o mesmo que referimos aqui, apenas variando por endereços de e-mail, siga as etapas listadas abaixo para dados criptografados com chaves OFFLINE.

STOP Ransomware (nota de resgate)
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
[removed link] Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
9315hTlGeRsMht5nsgsaoejm4RWx1y69zcacA5hSp3l60BnY8f3q
asd3SGd8723bqD7SH8JmYm298WxkjhasiuSDFS35Qaidkhantjt1

Para descriptografar arquivos com chaves OFFLINE:

STOP djvu ransomware decryptor da emsisoft

  1. Baixar STOP Djvu Decryptor da Emsisoft.
  2. Execute o programa e concorde com todas as janelas que aparecerem.
  3. Em seguida, adicione os locais dos dados que deseja descriptografar clicando em adicionar pasta e escolher locais com arquivos criptografados.
  4. Depois que os locais forem adicionados, clique em Descifrar e espere até que a Emsisoft faça seu trabalho. Você verá todas as atualizações sobre o processo e sua conclusão diretamente no painel.

STOP Djvu Decryptor da Emsisoft é totalmente automatizado, o que significa que você não precisa participar do processo de descriptografia. Se seus arquivos forem alterados com algumas ou todas as chaves ONLINE, siga estas etapas abaixo. Você já deve saber que tipo de chave possui pelas instruções acima.

A descriptografia de arquivos criptografados com uma chave ONLINE

Conforme mencionado, descriptografar arquivos com chaves ONLINE pode ser uma tarefa muito mais sofisticada em comparação com o contrário. Para tornar isso possível e nivelar as probabilidades a seu favor, você precisará encontrar um par de cópias criptografadas e originais (não criptografadas) para todos os arquivos que deseja desbloquear. É importante certificar-se de que seus pares de arquivos atendam a esta lista de requisitos:

  • Deve ser o mesmo arquivo antes e depois da criptografia
  • Deve haver um par de arquivos diferente por tipo de arquivo que você deseja descriptografar.
  • Cada arquivo deve ter 150 KB ou mais.

Você pode combinar pares de arquivos escolhendo um arquivo criptografado e procurando sua fonte de download. Muitos usuários obtêm arquivos baixando ou copiando-os de outros dispositivos. Por exemplo, se você baixou um arquivo pdf de algum site, que foi criptografado, tente recuperar este site e abri-lo para baixar um arquivo semelhante. Se você tiver um arquivo criptografado em seu smartphone, faça outra foto usando as mesmas configurações e use-a como um arquivo de referência. Uma vez feito isso, você terá que emparelhá-lo com a amostra criptografada. Por exemplo, 1.mp4 será emparelhado com 1.mp4.djvu, 1.pdf com 1.pdf.djvu, 1.png com 1.png.djvu e, da mesma forma, com outros pares de arquivos. Observe que as novas variantes que usam algoritmos RSA têm menos probabilidade de serem descriptografadas dessa forma, porque não existe essa vulnerabilidade nelas. Se seus arquivos foram criptografados depois de agosto de 2019, é provável que seja a nova versão. De qualquer forma, você deve tentar usando nossas instruções abaixo.

Nota: Se você for afetado pelas extensões .puma, .pumas, .pumax, .INFOWAIT ou .DATAWAIT, pule para o próximo método abaixo.

  1. Abra o Página de descriptografia da Emsisoft.
  2. Carregue um par de arquivos criptografados e originais para as caixas selecionadas. Clique ENVIE.
  3. Clique ENVIE e aguarde até que o processo seja concluído.
  4. Após a conclusão, a página Emsisoft Decryption fornecerá um link com um descriptografador de arquivo individual.
  5. Faça o download e execute as mesmas etapas que implementamos ao tentar descriptografar as chaves OFFLINE.

Se o Emsisoft não conseguir descriptografar o par de arquivos carregado, volte para a página e execute as mesmas etapas com outros pares até descriptografar pelo menos alguns deles.

c) Descriptografar arquivos com extensões .puma, .pumas, .pumax, .INFOWAIT e .DATAWAIT

Algumas extensões requerem o uso de descriptografadores de arquivo separados. Este é o caso das extensões listadas acima. Além disso, as variantes de ransomware que usam essas extensões têm seu conteúdo de notas de resgate diferente de outras versões. É assim que é provável no caso das extensões mencionadas:

STOP Ransomware (nota de resgate)
================ !ATTENTION PLEASE! ================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours. =========================================
E-mail address to contact us: pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch Your personal id: 3346se9RaIxXF9m45nsmx7nL3bVudn91w4SNY8URDVa

Se você vir uma dessas extensões no final de seus arquivos mais o mesmo conteúdo das instruções de resgate, siga as etapas apresentadas a seguir.

  1. Combine pares de arquivos como fizemos antes, sem visitar a página de descriptografia Emsisoft.
  2. Baixe o descriptografador DJVU Puma por Emsisoft.
  3. Inicie o descriptografador e concorde com todas as guias (Controle de Conta de Usuário e Termos de Uso).
  4. Em seguida, carregue os pares de arquivos para o utilitário. Ele também pode solicitar que você carregue a nota de resgate, então faça isso, se necessário.
  5. Depois de enviar todos os arquivos necessários, clique em Início.
  6. Então clique OK para fechar os detalhes de descriptografia.
  7. Escolha arquivos ou pastas específicos que você deseja verificar e descriptografar clicando em adicionar pasta.
  8. Finalmente, clique em Descifrar e espere até que o processo seja concluído.

Esperamos que você tenha lidado com a criptografia e tenha conseguido devolver seus arquivos ilesos.

4. Use o Media Repair para descriptografar os formatos de arquivo .WAV, .MP3, .MP4, .M4V, .MOV e .3GP.

ferramenta de reparo de mídia

Esta é outra ferramenta gratuita e segura que pode devolver vida aos seus arquivos de mídia. O utilitário desenvolvido pela DiskTuna oferece suporte aos formatos de arquivo .WAV, .MP3, .MP4, .M4V, .MOV e .3GP. Errado dizer que esta ferramenta tenta descriptografar seus arquivos atacados pela família STOP / Djvu. Em vez disso, destina-se a reparar a parte não criptografada do arquivo e fazê-lo funcionar novamente. Por exemplo, se você tiver uma trilha de áudio praticamente criptografada, o Media Repair tornará apenas a parte não criptografada reproduzível novamente. Como acontece com a maioria dos Decryptors Emsisoft, você deve criar ou encontrar um arquivo de referência para aumentar suas chances de uma descriptografia bem-sucedida. Você pode encontrar instruções completas sobre como usar a ferramenta Media Repair abaixo.

  1. Baixar Media Repair ferramenta.
  2. Clique com o botão direito no arquivo baixado e selecione Extract to Media_Repair\.
  3. Em seguida, clique duas vezes no arquivo .exe extraído para iniciar o utilitário.
  4. Em primeiro lugar, você deve escolher o tipo de arquivo que deseja descriptografar. Você pode fazer isso no menu suspenso do utilitário.
  5. Em seguida, navegue na pasta com arquivos criptografados ou de referência. Escolha qualquer um deles e clique no botão Test ícone localizado no canto superior direito.
  6. O Media Repair exibirá uma mensagem pop-up com informações sobre se pode reparar o arquivo selecionado ou não.
  7. Depois de verificar se é possível ou não, selecione seu arquivo de referência e clique no ícone logo abaixo do Test botão que usamos na etapa 5.
  8. Se o par de arquivos corresponder corretamente, você pode seguir em frente e clicar no Jogar botão para começar a reparar. Você também pode interromper o processo a qualquer momento clicando no Dê um basta botão.

Boas notícias se você conseguiu consertar seus arquivos, pelo menos parte deles. Caso contrário, use as soluções restantes abaixo para tentar a restauração de arquivos mais uma vez.

5. Use JpegMedic Arwe para recuperar arquivos .JPEG

jpegmedic arwe

Assim como o Media Repair, o JpegMedic Arwe é outro programa gratuito que oferece a capacidade de recuperar arquivos parcialmente criptografados por ransomware. Arwe é conhecido por ser a versão light do JpegMedic - seu irmão mais velho oferecendo ferramentas profissionais com opções mais amplas para restaurar os dados. Usando um princípio semelhante, o JpegMedic pode recuperar arquivos criptografados pela metade, tomando emprestados parâmetros técnicos de arquivos de referência saudáveis. As vítimas devem usar fotos tiradas preferencialmente na mesma câmera com as mesmas configurações. Durante a execução de testes de laboratório, o JpegMedic provou que executa um reparo bem-sucedido de arquivos JPEG com as seguintes extensões de ransomware: .EFDC, .FUTM, .HESE, .HETS, .HOOP, .IISA, .KOOM, .LQQW, .MAQL, .MMPA, .NOOA, .NPPP, .NQSQ, .OPQZ, .PAAS, .QDLA, .RIGJ, .ROBM, .STAX, .VTUA, .WIOT, .WWKA. Mesmo que sua extensão não esteja nesta lista, ela ainda pode ser recuperada pelo JpegMedic. Experimente usando estas instruções abaixo:

  1. Baixe JpegMedic Arwe.
  2. Abra-o e escolha um arquivo de foto de referência clicando em Adicionar ....
  3. Em seguida, selecione uma pasta com arquivos JPEG criptografados clicando em Selecione ....
  4. O programa determinará a extensão dos arquivos criptografados e os colocará no espaço necessário. Se Arwe determinou que está errado, insira o nome da extensão maliciosa manualmente.
  5. Você também pode escolher seu próprio caminho para a entrega dos arquivos reparados. Recomenda-se escolher uma pasta vazia para evitar que o JpegMedic ARWE sobrescreva os arquivos corretos existentes por acidente.
  6. Depois de configurar as coisas, clique em Execute para iniciar o processo de recuperação.

Caso você tenha sucesso com outras extensões além das que escrevemos, você pode compartilhar essas informações com os desenvolvedores para que eles possam adicionar informações sobre novas extensões recuperáveis ​​para outras vítimas.

6. Opções alternativas para restaurar dados criptografados

Existem mais duas maneiras de tentar descriptografar seus arquivos - usando o Shadow Explorer e a opção de versões anteriores do Windows. Embora seja menos provável que funcione, pode acontecer com algumas versões de ransomware que estão mal configuradas e não conseguem excluir todas as cópias de sombra e backups armazenados em seu sistema. Ambos os métodos são fáceis de usar e não levam muito tempo para serem executados.

Usando a opção de versões anteriores do Windows:

  1. Clique com o botão direito no arquivo infectado e escolha Propriedades.
  2. Selecionar Versões anteriores aba.
  3. Escolha a versão específica do arquivo e clique em Copiar.
  4. Para restaurar o arquivo selecionado e substituir o existente, clique no Restaurar botão.
  5. Caso não haja itens na lista, escolha o método alternativo.

Usando Shadow Explorer:

  1. Baixar Shadow Explorer .
  2. Execute-o e você verá uma lista na tela de todas as unidades e as datas em que a cópia de sombra foi criada.
  3. Selecione a unidade e a data da qual deseja restaurar.
  4. Clique com o botão direito no nome de uma pasta e selecione Exportações.
  5. Caso não haja outras datas na lista, escolha o método alternativo.

Se você estiver usando o Dropbox:

  1. Faça login no site do DropBox e vá para a pasta que contém os arquivos criptografados.
  2. Clique com o botão direito no arquivo criptografado e selecione Versões anteriores.
  3. Selecione a versão do arquivo que deseja restaurar e clique no Restaurar botão.

Resumo

Nunca é agradável ser vítima de infecções de ransomware. Esperamos que você tenha conseguido evitar o pagamento do resgate e, eventualmente, recuperar ou descriptografar seus arquivos. O desenvolvimento de infecções de ransomware nunca fica estagnado, mas sempre melhora para combater o software de terceiros e não deixa suas vítimas nenhuma chance de devolver os arquivos bloqueados. Este é um guia geral projetado especificamente para a família STOP / Djvu. Embora existam alguns métodos que podem ser usados ​​para descriptografar / restaurar arquivos afetados por outro ransomware, ainda pode ser necessário o uso de software separado desenvolvido para outros fornecedores de ransomware. Se você alguma vez lidar com outras infecções de ransomware no futuro, use instruções dedicadas preparadas para cada variante em nosso site. Nós atualizamos esta categoria de malware com novas versões imediatamente assim que aparecem.

Artigo anteriorComo corrigir o erro “Você não tem permissão para acessar esta pasta” no Windows 10
Próximo artigoComo remover Pureweb
James Kramer
James Kramer
https://www.bugsfighter.com
Olá, meu nome é James. Meu site Bugsfighter.com, o culminar de uma jornada de uma década nas áreas de solução de problemas de computadores, testes de software e desenvolvimento. Minha missão aqui é oferecer guias abrangentes, mas fáceis de usar, sobre uma variedade de tópicos neste nicho. Caso você encontre algum desafio com o software ou com as metodologias que eu endosso, saiba que estou prontamente acessível para obter assistência. Para qualquer dúvida ou comunicação adicional, sinta-se à vontade para entrar em contato através da página 'Contatos'. Sua jornada em direção à computação contínua começa aqui
Facebook Twitter Youtube