Что такое STOP / Djvu Ransomware

STOP/Djvu уже на протяжении долгого времени является одним из самых популярных семейств программ-вымогателей, которое заражает множество пользователей по всему миру. У руля таких вирусов - опытные разработчики, которые регулярно создают и выпускают новые версии программ-шифровальщиков. Как и другие вредоносные программы этого типа, STOP / Djvu использует надежные криптографические алгоритмы вместе с назначением пользовательских расширений для ограничения доступа к данным. После этого пользователи не могут открывать свои файлы, так как они заблокированы с помощью безопасных шифров. Чтобы успокоить обескураженных жертв, киберпреступники предлагают решение, как спасти файлы - купить специальное ПО для дешифровки, которое вернет доступ к ним. Для этого, они показывают инструкции внутри заметки (в виде .txt, HTML или всплывающего окна), которая создается в конце успешного шифрования. Чаще всего жертв просят связаться с разработчиками и отправить какую-то сумму денег в BTC или других криптовалютах. Конечно, многие хотели бы этого избежать и восстановить файлы бесплатно или хотя бы по невысокой цене. Об этом мы и пойдет речь сегодня. Следуйте нашему руководству ниже, чтобы узнать о всех необходимых шагах, которые нужно предпринять для расшифровки или восстановления файлов, зашифрованных STOP / Djvu.

1. Удалите вирус-вымогатель перед попыткой восстановления файлов.

Прежде чем пытаться вернуть данные с помощью сторонних инструментов, важно произвести полное удаление программы-вымогателя. Если вы попытаетесь расшифровать или восстановить данные без удаления, то вирус сможет помешать процессу или снова зашифровать файлы после их успешного восстановления. Большинство вирусов-вымогателей можно легко удалить с помощью специальных сторонних инструментов. Мы рекомендуем использовать SpyHunter 5 от EnigmaSoft Limited - популярный и очень эффективный инструмент в удалении вирусов-шифровальщиков. Программа выполнит тщательное сканирование вашей системы на предмет всех файлов, папок и ключей реестра, установленных STOP / Djvu. Загрузите ее сейчас и воспользуйтесь пробной версией SpyHunter 5, чтобы выполнить сканирование на вирусы и одноразовое удаление БЕСПЛАТНО.

Панель управления SpyHunter 5
SpyHunter 5 Результаты
SpyHunter 5 Защита Системы
Скачать SpyHunter 5

2. Восстановление файлов

Многие вирусы-вымогатели делают так, чтобы файлы было невозможно расшифровать с помощью сторонних инструментов. Надежные шифры, назначаемые во время шифрования, усложняют задачу сторонних программ по нахождению правильного подхода к дешифрованию данных. В таком случае единственный возможный вариант избежать уплаты выкупа, но все же восстановить свои файлы - это использовать резервные копии, хранящиеся на незараженном устройстве. Это может быть USB-накопитель или облачное хранилище, такое как Google Disk или OneDrive, зашифровать которые попросту невозможно. В качестве альтернативного метода вы можете использовать Stellar Data Recovery Professional - отличный инструмент, предназначенный для сканирования вашей системы на наличие доступных резервных или теневых копий. Обычно качество-разработанная инфекция делает все возможное, чтобы уничтожить все копии, хранящиеся на вашей системе. Несмотря на часто безуспешную статистику, все же есть вероятность, что некоторые версии вируса пропустили это удалению каких-то хранящихся копий. В таком случае жертвы могут воспользоваться Stellar Data Recovery Professional для восстановления своих данных из найденных копий. Вы можете узнать больше о его возможностях и попытаться восстановить файлы, загрузив его ниже.

Stellar Data Recovery (выберите типы файлов)
Stellar Data Recovery (выберите область для восстановления)
Stellar Data Recovery (процесс сканирования)
Stellar Data Recovery (окно восстановления)
Скачать Stellar Data Recovery Professional

3. Расшифровка данных

Возможность дешифрования файлов обычно зависит от того, как киберпреступники хранят свои ключи шифрования - ОФФЛАЙН или ОНЛАЙН. Если вирусу удастся установить соединение со своим Command & Control сервером во время заражения, то он зашифрует файлы с помощью ОНЛАЙН-ключей. В случае какого-то сбоя шифровальщик просто воспользуется ОФЛАЙН-ключами, которые одинаковы для всех жертв. Как правило, люди, чьи файлы были зашифрованы с помощью ОФФЛАЙН-ключей, имеют больше шансов на успешное дешифрование по сравнению с теми, кто имеет дело с ОНЛАЙН-ключами. Прежде чем выбрать правильный метод для дешифровки, необходимо определить точно, каким образом хранятся ключи. В основном это работает с версиями программ-вымогателей, которые были разработаны после августа 2019 года. Если окажется, что ваш ключ хранится в ОФФЛАЙН режиме, тогда вам повезет с разблокировкой данных. Чтобы узнать какой тип ключа был использован в вашем случае, выполните следующие действия:

  1. Откройте этот компьютер и перейдите в папку C:\SystemID.
  2. Вы должны увидеть текстовую заметку под названием PersonalID.txt.
  3. Откройте ее и посмотрите на строку ключей, расположенных внутри.
  4. Если там есть ключи, заканчивающиеся на t1, это означает, что некоторая часть данных может быть расшифрована.

Также, личные идентификаторы (т.е. ключи) можно найти в записках о выкупе где-то внизу. Киберпреступники прикрепляют их, чтобы идентифицировать каждую жертву и просят их отправить свои идентификаторы при обращении по электронной почте.

Расшифровка файлов с ОФФЛАЙН ключом (дешифратор Emsisoft для STOP / Djvu)

Если вы проверили текстовую заметку и обнаружили, что ваши ключи полностью или частично хранятся ф ОФФЛАЙН режиме, следуйте отведенным инструкциям ниже. Мы будем использовать специальный дешифратор от Emsisoft, разработанный для STOP / Djvu семейства. Мы также предлагаем вам ознакомиться с полным списком расширений, которые могут быть официально расшифрованы в случае, если использовались OFFLINE ключи:

.peet, .mbed, .kodg, .zobm, .msop, .hets, .gero, .hese, .grod, .seto, .peta, .moka, .meds, .kvag, .domn, .nesa, .nols, .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .karl, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .rezuc, .stone, .skymap, .mogera, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas, .DATAWAIT, .INFOWAIT.
Показать больше
Скрыть

Так как появляются новые версии и продолжаются исследования кибер-экспертов, этот список может быть пополниться в ближайшем будущем. Разработчики STOP / Djvu продолжает активно работать над выпуском новых версий и обновлением старых.

Чтобы убедиться, что ваши файлы можно расшифровать и воспользоваться приведенными ниже инструкциями, посмотрите на содержание текстового файла о выкупе (_readme.txt). Если у вас та же записка, что и ниже (возможно с различиями в адресах электронной почты), выполните шаги ниже для данных с OFFLINE-ключами.

Вирус-вымогатель STOP (записка о выкупе)
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
[removed link] Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
9315hTlGeRsMht5nsgsaoejm4RWx1y69zcacA5hSp3l60BnY8f3q
asd3SGd8723bqD7SH8JmYm298WxkjhasiuSDFS35Qaidkhantjt1

Чтобы расшифровать файлы с OFFLINE-ключами:

Остановить дешифровщик программ-вымогателей djvu от emsisoft

  1. Скачайте STOP Djvu Decryptor от Emsisoft.
  2. Запустите программу и согласитесь со всеми всплывающими окнами.
  3. Затем добавьте местоположение данных, которые вы хотите расшифровать, нажав на Add Folder и выберите место с зашифрованными файлами.
  4. После добавления местоположения нажмите на кнопку Decrypt и дождитесь окончания работы Emsisoft. Всю информацию, касающиеся процесса и его завершения, вы увидите прямо на панели.

STOP Djvu Decryptor от Emsisoft полностью автоматизирован. Иными словами, вам вовсе не нужно участвовать в процессе дешифрования. Если ваши файлы были зашифрованы частично или полностью с ОНЛАЙН-ключами, выполните следующие действия. Надеемся, вы уже знаете как типа ключей был задействован в вашем случае из инструкций выше.

Расшифровка файлов с ОНЛАЙН-ключами

Как уже упоминалось ранее, расшифровка файлов с ONLINE ключами - задача гораздо сложнее по сравнение с предыдущей. Чтобы повысить свои шансы на успех, вам нужно будет подобрать пару зашифрованных и оригинальных (незашифрованных) копий для всех файлов, которые вы хотите разблокировать. Важно убедиться, что пары файлов соответствуют этому списку требований:

  • Должен быть один и тот же файл до и после шифрования
  • Должны быть разные пары файлов для каждого типа файла, которые вы хотите расшифровать.
  • Каждый файл должен быть не менее 150 КБ.

Вы можете подобрать нужную пары файлов, взяв зашифрованный файл и поискав источник его загрузки. Многие пользователи загружают файлы или копируют их с других устройств. К примеру, если вы загрузили PDF-файл с какого-либо веб-сайта, который затем был зашифрован, попробуйте вспомнить зайти на этот веб-сайт, чтобы загрузить аналогичный файл. Если на вашем смартфоне есть зашифрованный файл, сделайте еще одну фотографию с теми же настройками и используйте ее в качестве пары для зашифрованного файла. Например, 1.mp4 будет использоваться в качестве пары к 1.mp4.djvu, 1.pdf с 1.pdf.djvu, 1.png с 1.png.djvu и аналогично с другими типами файлов. Обратите внимание, что новые версии программы-вымогателя, которые используют RSA алгоритмы, снижают шанс расшифровки таким способ. Судя по всему, разработчикам удалось избавиться от данной уязвимости. Если ваши файлы были зашифрованы после августа 2019 года, то, скорее всего, это новая версия. В любом случае вы должны попробовать, используя наши инструкции ниже.

Примечание: Если ваши файлы были изменены с помощью .puma, .pumas, .pumax, .INFOWAIT или .DATAWAIT расширений, пропустите этот и перейдите к следующему способу ниже.

  1. Откройте приложение Страницу расшифровки Emsisoft.
  2. Загрузите пару зашифрованных и исходных файлов в выбранные яцейки. Нажмите SUBMIT.
  3. Нажмите SUBMIT и дождитесь завершения процесса.
  4. По завершении вы получите ссылку с отдельным дешифратором для ваших файлов.
  5. Загрузите его и выполните те же действия, которые мы использовались при попытке расшифровать ОФФЛАЙН ключи.

Если Emsisoft не удается расшифровать загруженную пару файлов, вернитесь на страницу и выполните те же действия с другими парами, пока не расшифруете хотя бы некоторые из них.

c) Расшифровать файлы с расширениями .puma, .pumas, .pumax, .INFOWAIT и .DATAWAIT.

Некоторые расширения требуют использования отдельных дешифраторов файлов. Так обстоит дело с расширениями, которые мы перечислили выше. Также, версии вирусов-вымогателей, которые используют эти расширения, содержат другие записки выкупа. Вот как они могут выглядеть:

Вирус-вымогатель STOP (записка о выкупе)
================ !ATTENTION PLEASE! ================
Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files – you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours. =========================================
E-mail address to contact us: pumarestore@india.com
Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch Your personal id: 3346se9RaIxXF9m45nsmx7nL3bVudn91w4SNY8URDVa

Если вы видите одно из этих расширений в конце ваших файлов и такое же содержание инструкций по выкупу, выполните действия, которые представлены ниже.

  1. Найдите пары файлов, как мы это делали раньше, не посещая страницу расшифровки Emsisoft.
  2. Скачайте дешифратор DJVU Puma от Emsisoft.
  3. Запустите дешифратор и согласитесь со всеми вкладками (Контроль учетных записей и Условия использования).
  4. Затем загрузите найденные пары файлов в утилиту. Программа также может попросить вас загрузить записку с требованием о выкупе. Сделайте это, при необходимости.
  5. После загрузки всех необходимых файлов нажмите Start.
  6. Затем нажмите OK , чтобы закрыть детали расшифровки.
  7. Выберите определенные файлы или папки, которые хотите просканировать и расшифровать, нажав на Add folder.
  8. В конце, нажмите Decrypt и дождитесь завершения процесса.

Надеемся, что шифрование удалось и вы смогли вернуть свои файлы целыми и невредимыми.

4. Воспользуйтесь средством восстановления медиа данных для расшифровки файлов .WAV, .MP3, .MP4, .M4V, .MOV и .3GP.

инструмент для ремонта медиа

Это еще один бесплатный и безопасный инструмент, который может вернуть жизнь вашим медиафайлам. Утилита, разработанная DiskTuna, поддерживает такой ряд медиа файлов, как .WAV, .MP3, .MP4, .M4V, .MOV и .3GP. На самом деле, не совсем корректно сказать, что этот инструмент пытается расшифровать ваши файлы. Лучше сказать, что он восстанавливает незашифрованную часть файла и возвращает возможность воспроизведения. К примеру, если у вас есть частично зашифрованная звуковая дорожка, Media Repair снова сделает воспроизводимой только ее незашифрованную часть. Как и в случае с большинством дешифраторов Emsisoft, вам необходимо создать или найти похожую пару файлу, чтобы повысить ваши шансы на успешную дешифровку. Вы можете найти полные инструкции по использованию утилиты Media Repair ниже.

  1. Скачайте Media Repair инструмент.
  2. Щелкните на загруженный архив правой кнопкой мыши и выберите Распаковать в Media_Repair\.
  3. Затем дважды щелкните по извлеченному файлу .exe, чтобы запустить утилиту.
  4. Сначала вам нужно выбрать, какой тип файла вы хотите расшифровать. Сделать это можно из выпадающего меню утилиты.
  5. Затем найдите папку с зашифрованными или парными файлами. Выберите любой из них и нажмите на иконку Пусконаладка , которая расположена в правом верхнем углу.
  6. Media Repair отобразит всплывающее сообщение с информацией о том, можно ли восстановить выбранный файл.
  7. После этого, выберите свой парный (который незашифрован) файл и щелкните на значок прямо под Пусконаладка кнопку, которую мы использовали на шаге 5.
  8. Если пара файлов подобрана правильно, вы можете продолжить и нажать на кнопку Играть кнопку, чтобы начать восстановления. Вы также можете остановить процесс в любое время, нажав на Stop .

Хорошие новости, если вам удалось восстановить ваши файлы, по крайней мере, часть из них. В противном случае используйте оставшиеся ниже решения, чтобы еще раз попытаться восстановить ваши файлы.

5. Используйте JpegMedic Arwe для восстановления файлов .JPEG.

jpegmedic арве

Подобно Media Repair, JpegMedic Arwe - еще одна бесплатная программа, предоставляющая возможность успешного восстановления частично-зашифрованных файлов. Arwe является младшей версией JpegMedic - его старшего брата, который имеет профессиональные инструменты с более широкими возможностями для восстановления данных. Используя аналогичный принцип, JpegMedic может восстанавливать наполовину зашифрованные файлы, заимствуя технические параметры из здоровых, то есть незашифрованных файлов. Жертвам рекомендуется использовать фотографии, сделанные предпочтительно на одну и ту же камеру с одинаковыми настройками. В ходе лабораторных тестов JpegMedic доказал успешное восстановление JPEG файлов со следующими расширениями программ-вымогателей: .EFDC, .FUTM, .HESE, .HETS, .HOOP, .IISA, .KOOM, .LQQW, .MAQL, .MMPA, .NOOA, .NPPP, .NQSQ, .OPQZ, .PAAS, .QDLA, .RIGJ, .ROBM, .STAX, .VTUA, .WIOT, .WWKA. Даже если вашего расширения нет в этом списке, его все равно может восстановить JpegMedic. Просто попробуйте, следуя этим инструкциям ниже:

  1. Скачайте JpegMedic Arwe.
  2. Откройте его и выберите парный файл зашифрованной фотографии, нажав Add….
  3. Затем выберите папку с зашифрованными файлами JPEG, нажав Select….
  4. Программа определит расширение зашифрованных файлов и поместит его в необходимое поле. Если Arwe определила расширение неправильно, введите имя вредоносного расширения вручную.
  5. Вы также можете выбрать свой собственный путь, куда сохранятся восстановленные файлы. Рекомендуется выбирать пустую папку, чтобы JpegMedic ARWE случайно не перезаписал здоровые файлы.
  6. После выставления всех этих настроек, нажмите Run чтобы начать процесс восстановления.

Если у вас получилось восстановить другие расширения, помимо упомянутых выше, вы можете поделиться этой информацией с разработчиками, чтобы они добавили информацию о новых восстанавливаемых расширениях для других жертв.

6. Альтернативные варианты восстановления зашифрованных данных.

Есть еще два способа, с помощью которых можно попытаться расшифровать свои файлы - через Shadow Explorer и опцию Предыдущих версий файлов в Windows. Эти способы могут помочь только с некоторыми версиями программ-вымогателей, которые не удалили все теневые и резервные копии, хранящиеся в вашей системе. Оба метода просты в использовании и не займут много времени.

Использование опции предыдущих версий файлов в Windows:

  1. Щелкните на зараженный файл правой кнопкой мыши и выберите Объекты.
  2. Выберите Предыдущие версии меню.
  3. Выберите конкретную версию файла и нажмите Копировать.
  4. Чтобы восстановить выбранный файл и заменить существующий, нажмите на Восстановить .
  5. Если в списке нет элементов, выберите альтернативный метод.

Использование Shadow Explorer:

  1. Скачать Shadow Explorer программу.
  2. Запустите ее, и вы увидите на экране список всех дисков и даты создания теневых копий.
  3. Выберите диск и дату, с которой вы хотите восстановить.
  4. Щелкните правой кнопкой мыши на имя папки и выберите Экспортировать.
  5. Если в списке нет других дат, выберите альтернативный метод.

Если вы используете Dropbox:

  1. Войдите на сайт DropBox и перейдите в папку, содержащую зашифрованные файлы.
  2. Щелкните правой кнопкой мыши на зашифрованный файл и выберите Предыдущие версии.
  3. Выберите версию файла, которую хотите восстановить, и нажмите на Восстановить .

Обзор

Стать жертвой программ-вымогателей не хочется никому. Мы надеемся, что вам удалось избежать уплаты выкупа, а также восстановить или расшифровать свои файлы в конечном итоге. Развитие вирусов-вымогателей никогда не прекращается и всегда улучшает свои механизмы борьбы со сторонним ПО, лишить своих жертв шанса вернуть заблокированные файлы. Это общее руководство, написанное специально для семейства STOP / Djvu. Хоть некоторые способы из этого руководства и можно использовать для расшифровки / восстановления других семейств, вам все же может потребоваться потребоваться использование какого-то отдельного ПО для других версий. Если вы когда-нибудь столкнетесь с другими подобными заражениями в будущем, используйте специальные инструкции для каждой версии вымогателя на нашем веб-сайте. Мы рассказываем о новых версиях программ-вымогателей сразу после их появления.

Предыдущая статьяКак исправить ошибку «У вас нет разрешений на доступ к этой папке» в Windows 10
Следующая статьяКак удалить Pureweb
Джеймс Крамер
Джеймс Крамер
https://www.bugsfighter.com
Привет, я Джеймс. Мой веб-сайт Bugsfighter.com — кульминация десятилетнего пути в области устранения неполадок компьютеров, тестирования и разработки программного обеспечения. Моя миссия — предложить вам исчерпывающие, но удобные для пользователя руководства по широкому спектру тем в этой нише. Если у вас возникнут какие-либо проблемы с программным обеспечением или методологиями, которые я одобряю, знайте, что я всегда готов вам помочь. По любым вопросам или для дальнейшего общения обращайтесь через страницу «Контакты». Ваш путь к бесперебойным вычислениям начинается здесь
Facebook Twitter Youtube