GUJD 病毒 ☣ (.gujd 文件)— 解密和刪除工具

Written by Brendan Smith
Gujd病毒是DJVU家族的勒索軟件類型的感染。1 勒索軟件會加密重要的個人文件(視頻,照片,文檔)。 可以通過特定的“.gujd”擴展名跟踪受感染的文件。 在本指南中,我將嘗試免費幫助您刪除Gujd勒索軟件。 作為獎勵,我將協助您解密恢復您的加密文件。
GridinSoft Anti-Malware Review
預防勝於修復和後悔!
當我們談論陌生程式進入您的電腦工作時,“防患於未然”這句諺語描述得非常準確。Gridinsoft Anti-Malware確實是一個在您的工具箱中總是有用的工具:快速,高效,時刻更新。在最輕微的感染懷疑時,適時使用它作為緊急幫助是適當的。
Gridinsoft Anti-Malware提供6天試用。
最終用戶許可協議 | 隱私政策 | 10% Off Coupon
訂閱我們的Telegram頻道以第一時間了解有關資訊安全的新聞和我們的獨家資料。

Gujd病毒

☝️ Gujd可以正確識別為STOP/DJVU勒索軟件類型的感染。
Gujd勒索軟件

🤔 Gujd勒索軟件是源自DJVU/STOP勒索軟件系列的惡意軟件。 其主要目的是加密對您很重要的文件。 之後,Gujd勒索軟件病毒要求受害者向BitCoin支付贖金($ 490-$ 980)。

Gujd勒索軟件是一種特殊的病毒,可以對您的文檔進行加密,然後強迫您付款以恢復它們。 Djvu/STOP勒索軟件系列是由病毒分析師Michael Gillespie首次發現並發現的2.

Gujd病毒基本上與其他相同家族相似:Gujd, Wwka, Zzla。 它加密了所有流行的文件類型。 因此,用戶無法使用自己的文檔或照片。 此版本的勒索軟件在所有加密文件中添加了自己的“ .gujd”擴展名。 例如,文件“ video.avi”將被修改為“ video.avi.gujd”。 一旦成功完成加密,病毒就會創建一個特定的文件“ _readme.txt”,並將其放入包含已修改文件的所有文件夾中。

勒索軟件家族3DJVU/STOP4 勒索軟件
延期.gujd
勒索軟件注意事項_readme.txt
贖金從490美元到980美元(以比特幣計)
聯繫helpteam@mail.ch, helpmanager@airmail.cc
偵測5BScope.Trojan-Ransom.Winlock.1512, Win32/Yandex.K potentially unwanted, MSIL/Kryptik.ABXN
病徵
  • 對您的大多數文件(照片,視頻,文檔)進行加密,並添加特定的“ .gujd”擴展名;
  • 可以刪除卷影副本,以使受害者無法嘗試恢復數據
  • 在HOSTS文件中添加域列表,以阻止訪問某些與安全相關的網站;
  • 在系統上安裝竊取密碼的木馬,例如Azorult間諜軟件;

這段文本要求付款是為了通過解密密鑰取回文件:

Gujd message

要求用戶支付贖金以解密編碼數據的可怕警報包含這些令人沮喪的警告

DJVU系列使用的加密算法是AES-256 。 因此,如果您的文件是使用特定的解密密鑰加密的,則這是完全不同的,並且沒有其他副本。 可悲的現實是,如果沒有唯一的密鑰,就不可能恢復信息。

如果勒索軟件以在線模式工作,則您將無法訪問AES-256密鑰。 它存儲在由分發Gujd病毒的犯罪分子擁有的遠程服務器上。

要獲得解密密鑰,應支付980美元。 要獲取付款詳細信息,消息中的消息鼓勵受害人通過電子郵件(helpmanager@mail.ch)或通過電報聯繫欺詐行為。

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpteam@mail.ch

Reserve e-mail address to contact us:

helpmanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

下圖清楚地顯示了擴展名為“ .gujd”的文件的外觀:

Gujd Virus - encrypted .gujd files

加密的.gujd文件的示例

不要購買Gujd勒索軟件。

請嘗試使用可用的備份或解密工具

_readme.txt文件還指示,從文件加密開始,計算機所有者必須在72小時內與Gujd代表聯繫。 在72小時內取得聯繫的情況下,用戶將獲得50%的回扣。 因此,贖金金額將降至最低(490美元)。 但是,不要支付贖金

我強烈建議您不要與這些欺詐行為聯繫,也不要付款。 恢復丟失的數據的最實際的解決方案之一-僅使用可用的備份,或使用Decrypter 工具

所有這些病毒的特殊性都應用了一組類似的操作,以生成唯一的解密密鑰來恢復加密數據。

因此,除非勒索軟件仍處於開發階段或具有一些難以追踪的缺陷,否則手動執行加密數據恢復是您無法執行的。 防止丟失重要數據的唯一解決方案是定期備份關鍵文件。

請注意,即使您確實定期維護此類備份,也應將其放到特定的位置,不要閒逛,也不要連接到主工作站。

例如,備份可以保存在USB閃存驅動器或某些備用外部硬盤驅動器存儲中。 (可選)您可以參考在線(雲)信息存儲的幫助。

不用說,當您在公用設備上維護備份數據時,它也可能與其他數據一樣被加密。

因此,在主PC上放置備份肯定不是一個明智的主意。

我是如何被感染的?

Gujd有多種內置到系統中的方法。 但是,在您的情況下採用哪種方法並不重要。
警告! Gujd病毒感染

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — 分發Gujd勒索軟件的網站。 該病毒可以感染從其站點下載的任何PC。

其他類似網站:

xxxxs://crackithub[.]com/adobe-acrobat-pro/
xxxxs://crackithub[.]com/easyworship-7-crack/
xxxxs://kmspico10[.]com/
xxxxs://kmspico10[.]com/office-2019-activator-kmspico/
xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/

Gujd infection attack

成功進行網絡釣魚後,Gujd攻擊。

過,以下是常見的漏洞,可以通過這些漏洞將其註入您的PC:

  • 隱藏的安裝以及其他應用程序,尤其是充當免費軟件或共享軟件的實用程序;
  • 垃圾郵件中指向Gujd安裝程序的可疑鏈接
  • 在線免費託管資源;
  • 使用非法的點對點(P2P)資源下載盜版軟件。

在某些情況下,Gujd病毒被偽裝成某種合法工具,例如,在要求啟動某些不需要的軟件或瀏覽器更新的消息中。 這通常是一些在線欺詐行為的目的,即通過實際上使您直接參與此過程來迫使您手動安裝Gujd勒索軟件。

當然,偽造的更新警報不會指示您實際上要注入Gujd勒索軟件。 此安裝將被隱藏在某些警報下,並提到您應該更新Adobe Flash Player或任何其他可疑程序。

當然,破解的應用程序也代表了損害。 使用P2P既非法又可能導致注入嚴重的惡意軟件,包括Gujd勒索軟件。

綜上所述,如何避免將Gujd勒索軟件注入設備? 即使沒有100%保證可以防止PC損壞,但我還是要向您提供一些提示,以防止Gujd滲透。 今天安裝免費軟件時,請務必謹慎。

確保您始終閱讀安裝程序提供的主要免費程序之外的內容。 遠離打開可疑的電子郵件附件。 不要打開來自未知收件人的文件。 當然,您當前的安全程序必須始終進行更新。

該惡意軟件並未公開談論自己。 可用程序列表中將不會提及它。 但是,從啟動計算機的那一刻開始,它將在後台定期運行的某些惡意進程下被屏蔽。

如何刪除Gujd病毒?

除了對受害者的文件進行編碼外,Gujd感染還開始安裝Azorult間諜軟件 在系統上盜取帳戶憑據,加密貨幣錢包,桌面文件等。6
我為什麼推薦HowToFix網站上的GridinSoft7

沒有比使用GridinSoft的反惡意軟件軟件更好的識別,刪除和阻止勒索軟件的方法8.

下載刪除工具。

您可以通過單擊以下按鈕來下載GridinSoft Anti-Malware:

運行安裝文件。

設置文件下載完成後,雙擊setup-antimalware-fix.exe文件在系統上安裝GridinSoft Anti-Malware。

Run Setup.exe

用戶帳戶控制,詢問您是否允許GridinSoft Anti-Malware對您的設備進行更改。 因此,您應該單擊“是”以繼續安裝。

GridinSoft Anti-Malware Setup

按下“安裝”按鈕。

GridinSoft Anti-Malware Install

安裝後,反惡意軟件將自動運行。

GridinSoft Anti-Malware Splash-Screen

等待反惡意軟件掃描完成。

GridinSoft Anti-Malware將自動開始掃描您的計算機以查看Gujd感染和其他惡意程序。 此過程可能需要20到30分鐘,因此建議您定期檢查掃描過程的狀態。

GridinSoft Anti-Malware Scanning

點擊“立即清潔”。

掃描完成後,您將看到GridinSoft Anti-Malware檢測到的感染列表。 要刪除它們,請單擊右上角的“立即清潔”按鈕。

GridinSoft Anti-Malware Scan Result

特例木馬殺手

在某些情況下,Gujd勒索軟件可以阻止運行不同反惡意軟件程序的安裝文件。 在這種情況下,您需要將可移動驅動器與預安裝的防病毒工具一起使用。

USB驅動器上幾乎沒有可以設置的安全工具,並且在大多數情況下可以這樣做的防病毒軟件需要獲得相當昂貴的許可證。 對於此實例,我可以建議您使用GridinSoft的另一種解決方案-Trojan Killer Portable。 它具有14天的免費試用模式,提供付費版本的全部功能9。 這個術語肯定足以消除Gujd勒索軟件的100%。

如何解密.gujd文件?

還原大型“ .gujd文件”的解決方案

嘗試刪除一些BIG文件上的.gujd擴展名,然後將其打開。 Gujd勒索軟件已讀取但未加密文件,或者已錯誤檢查且未添加文件標記。 如果文件很大(2GB +),則很可能是後者。 請在評論中讓我知道,是否適合您。

在犯罪分子進行更改後,最新的擴展程序於2019年8月底發布。 其中包括 Zqqw, Pooe

由於犯罪分子進行了更改,因此不再支持STOPDecrypter。 已將其刪除,並替換為由Emsisoft和Michael Gillespie。

您可以在此處下載免費的解密工具:用於STOP Djvu的解密器.

下載並運行解密工具。

開始下載解密工具.

確保以管理員身份啟動解密實用程序。 您需要同意即將出現的許可條款。 為此,請點擊“ ”按鈕:

Emsisoft Decryptor - license terms

接受許可條款後,將顯示主解密器用戶界面:

Emsisoft Decryptor - user interface

選擇要解密的文件夾。

基於默認設置,解密器將自動填充可用位置,以便解密當前可用的驅動器(已連接的驅動器),包括網絡驅動器。 可以通過“添加”按鈕選擇其他(可選)位置。

考慮到特定的惡意軟件家族,解密者通常會提出幾種選擇。 當前可能的選項顯示在“選項”選項卡中,並且可以在此處激活或停用。 您可以在下面找到當前活動選項的詳細列表。

點擊“解密”按鈕。

將所有需要解密的位置添加到列表中後,單擊“解密”按鈕以啟動解密過程。

請注意,主屏幕可能會使您進入狀態視圖,從而使您知道數據的活動進程和解密統計信息:

Emsisoft Decryptor - the decryption statistics

解密程序完成後,解密器將立即通知您。 如果您需要個人論文報告,則可以通過選擇“保存日誌”按鈕進行保存。 請注意,也可以將其直接複製到剪貼板,並在需要時將其粘貼到電子郵件或消息中。

嘗試還原.gujd文件失敗後,Emsisoft解密器可能會顯示不同的消息:

✓ Error: Unable to decrypt file with ID: [your ID]
Emsisoft解密器的數據庫中沒有相應的解密密鑰。
✓ No key for New Variant online ID: [your ID]
Notice: this ID appears to be an online ID, decryption is impossible
您的原始文件已使用在線密鑰加密。 因此,沒有其他人擁有相同的加密/解密密鑰對。 不支付罪犯費用就無法恢復.gujd文件。 🙁
✓ Result: No key for new variant offline ID: [example ID]
This ID appears to be an offline ID. Decryption may be possible in the future.
使用了脫機密鑰,但是無法還原文件(脫機解密密鑰尚不可用)。 但是,收到此消息對您來說是個好消息,因為將來可能會還原.gujd文件。 🙂
找到解密密鑰並將其上傳到解密器可能要花費幾週或幾個月的時間。 請在此處中關注有關可解密DJVU版本的更新。.
✓ Remote name could not be resolved
這表明您的PC上存在DNS問題。 我們的第一個建議是將您的HOSTS文件重置為默認值。

如何還原.gujd文件?

在某些情況下,Gujd勒索軟件不是文件的厄運…

接下來是Gujd勒索軟件加密機制的功能:它逐字節加密每個文件,然後保存文件副本,刪除(並不覆蓋!)原始文件。 因此,物理磁盤上文件位置的信息會丟失,但是不會從物理磁盤上刪除原始文件。 單元或存儲該文件的扇區仍然可以包含此文件,但是文件系統未列出該單元,並且可以由刪除後已加載到該磁盤的數據覆蓋。 因此,可以使用特殊軟件來恢復文件。

使用PhotoRec恢復文件

PhotoRec是一個開源程序,最初創建該程序是為了從損壞的磁盤恢復文件,或者如果文件被刪除則恢復文件。 但是,隨著時間的流逝,該程序能夠恢復400個不同擴展名的文件。 因此,可以將其用於勒索軟件攻擊後的數據恢復。

首先,您需要下載此應用。 它是100%免費的,但是開發人員聲明不能保證將恢復您的文件。 PhotoRec與同一開發人員的其他實用程序-TestDisk一起打包發行。 下載的存檔將具有TestDisk名稱,但請不要擔心。 PhotoRec文件就在其中。

要打開PhotoRec,您需要找到並打開“qphotorec_win.exe”文件。 無需安裝-該程序在存檔中包含了所有需要的文件,因此,您可以將其安裝在USB驅動器上,並嘗試幫助您的朋友/父母/任何遭受DJVU/停止勒索軟件.

PhotoRec file in the folder

啟動後,您將看到屏幕,其中顯示了磁盤空間的完整列表。 但是,此信息可能無用,因為所需菜單的位置更高。 單擊此欄,然後選擇被勒索軟件攻擊的磁盤。

Choose the disc in PhotoRec

選擇磁盤後,需要為恢復的文件選擇目標文件夾。 此菜單位於PhotoRec窗口的下部。 最好的選擇是將它們導出到USB驅動器或任何其他類型的可移動磁盤上。

Choosing the destination folder of recovery

然後,您需要指定文件格式。 此選項也位於底部。 如前所述,PhotoRec可以恢復大約400種不同格式的文件。

Choose the file format

最後,您可以通過按“搜索”按鈕開始文件恢復。 您將看到顯示掃描和恢復結果的屏幕。

Recovery process

您可以在此處找到.gujd文件恢復視頻指南

經常問的問題

🤔 如何打開“ .gujd ”文件?

沒門。 這些文件由Gujd勒索軟件加密。 .gujd文件的內容只有在解密後才能使用。
🤔 Gujd文件包含重要信息。 我該如何緊急解密它們?

如果您保留在.gujd文件中的數據非常有價值,則很可能已製作了備份副本。
如果沒有,那麼您可以嘗試通過系統功能-還原點
所有其他方法都需要耐心。

🤔 您已建議使用GridinSoft Anti-Malware刪除Gujd。 這是否意味著程序將刪除我的加密文件?

當然不是。 您的加密文件不會對計算機構成威脅。 發生的事情已經發生了。

您需要GridinSoft Anti-Malware才能刪除活動的系統感染。 對文件進行加密的病毒很可能仍處於活動狀態,並且會定期進行測試,以對更多文件進行加密。 而且,這些病毒通常會安裝鍵盤記錄程序和後門以進行進一步的惡意操作(例如,盜竊密碼,信用卡)。

🤔 Gujd病毒阻止了受感染的PC:我無法獲取激活碼。

在這種情況下,您需要準備帶有預裝Trojan Killer的記憶棒

🤔 Decryptor沒有解密我的所有文件,或者不是所有文件都被解密了。 我該怎麼辦?

有耐心。 您已感染了新版本的Gujd勒索軟件,並且尚未發布解密密鑰。 在我們的網站上關注新聞。

當出現新的Gujd密鑰或新的解密程序時,我們會及時通知您。

🤔 我現在該怎麼辦?

Gujd勒索軟件僅加密前150KB的文件。 因此,MP3文件很大,某些媒體播放器(例如Winamp)可能可以播放這些文件,但是-最初的3-5秒(加密部分)將丟失。

您可以嘗試查找已加密的原始文件的副本:

  • 您從Internet下載的文件經過加密,可以再次下載以獲取原始文件。
  • 您與家人和朋友分享的照片,他們可以將這些照片發回給您。
  • 您在社交媒體或Carbonite,OneDrive,iDrive,Google雲端硬盤等雲服務上上傳的照片
  • 您發送或接收並保存的電子郵件附件。
  • 您將數據傳輸到受感染計算機上的舊計算機,閃存驅動器,外部驅動器,相機存儲卡或iPhone上的文件。

另外,您可以聯繫以下政府欺詐和欺詐網站來報告此攻擊:

要報告攻擊,您可以聯繫當地執行委員會。 例如,如果您居住在美國,則可以與聯邦調查局本地辦事處IC3秘密服務

影片指南

這是我最喜歡的視頻教程:如何使用GridinSoft Anti-Malware和Emsisoft Decryptor修復勒索軟件感染.

如果該指南不能幫助您刪除 Gujd病毒,請下載我推薦的GridinSoft Anti-Malware。 另外,您隨時可以在評論中問我以獲得幫助。 祝好運!

我需要您的幫助才能分享此文章。

輪到您幫助別人了。 我寫了本指南來幫助像您這樣的用戶。 您可以使用下面的按鈕在您喜歡的社交媒體Facebook,Twitter或Reddit上分享此內容。
Brendan Smith
Sending
User Review
4.63 (8 votes)
Comments Rating 0 (0 reviews)

References

  1. 勒索軟件類型的感染: https://gridinsoft.com/ransomware
  2. Twitter: https://twitter.com/demonslay335
  3. 我的文件已被勒索軟件加密,我該怎麼辦?
  4. 關於DJVU(STOP)勒索軟件。
  5. 威脅百科全書.
  6. Windows密碼漏洞(Mimikatz HackTool): https://howtofix.guide/mimikatz-hacktool/
  7. GridinSoft防惡意軟件評估的原因: https://howtofix.guide/gridinsoft-anti-malware/
  8. 有關GridinSoft產品的更多信息: https://gridinsoft.com/comparison
  9. 木馬殺手評論:https://howtofix.guide/trojan-killer/

英語 德語 日語 西班牙語 葡萄牙語(巴西) 法語 土耳其語 韓語 印尼語

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending