STOP/DJVU 勒索软件是一种恶意程序,使用 Salsa20 加密算法加密受害者的文件。这种加密算法是一种高强度密码,没有解密密钥很难破解。文件一旦被加密,STOP/DJVU 勒索软件会在文件名后添加几十种扩展名之一,例如“.wrui”、“ .pcqq”、“ .ytbn”、“ .nusm”等。
STOP/DJVU 勒索软件的幕后黑手要求支付赎金以换取解密密钥,以解锁加密的文件。赎金信息通常是一个文本文件,放置在桌面上或包含加密文件的每个文件夹中。该信息包含有关如何支付赎金的说明,并警告不要试图在没有解密密钥的情况下删除恶意软件或解密文件。
赎金信息“_readme.txt”包含以下文本:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: helpmanager@mail.ch Reserve e-mail address to contact us: restoremanager@firemail.cc Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
需要注意的是,支付赎金并不保证提供解密密钥,有时黑客甚至在收到赎金后也不提供解密密钥。因此,采取预防措施以防止勒索软件攻击至关重要。
为了防止 STOP/DJVU 勒索软件和其他类型的勒索软件感染您的计算机,您应该遵循安全的计算实践,如及时更新操作系统和软件、避免打开可疑的电子邮件附件以及从可信赖的来源下载软件。此外,您应该定期将重要文件备份到外部设备或基于云的存储平台。
首先,您需要从计算机中删除恶意软件,否则它将锁定您的设备或多次加密您的数据。如果您当前的杀毒工具无法删除此恶意软件,则可以使用GridinSoft Anti-Malware来删除。
如果您的系统是通过Windows远程桌面功能进行感染的,我们强烈建议您更改所有被允许远程登录的可用用户的密码,并检查本地用户帐户以获取在线欺诈者可能生成的其他额外帐户。另请阅读:15个选择Gridinsoft Anti-malware的理由
警告:此应用程序在使用时需要连接到网络以从服务器获取解密指南。
如果您怀疑您的计算机已感染了STOP/DJVU勒索软件,请立即断开与互联网的连接,以防止恶意软件传播到其他设备。然后,请寻求专业的恶意软件清除服务的帮助,以安全地从系统中删除恶意软件。
更新于2021年8月19日
Emsisoft服务器添加了STOP勒索软件.moqs变体的离线/私钥。
更新于2021年7月12日
2021年7月2日更新
Emsisoft已经找回了.sspq、.iqll和.ddsg变种的脱机密钥。任何受这三个变种影响的受害者都可以使用这些脱机密钥恢复其加密的文件。
2020年5月31日更新
Emsisoft找回了.covm变种的脱机密钥,并将其添加到Emsisoft Decryptor服务器中。
2020年5月1日更新
Emsisoft已宣布找回.opqz、.nppp和.npsk的脱机密钥,并将其上传到Emsisoft Decryptor服务器。
2020年2月6日更新
2020年1月20日更新
Emsisoft Decryptor已经获得并上传了新的.nbes、.mkos STOP(Djvu)变种勒索软件的脱机密钥。
2020年1月6日更新
Emsisoft 可以解密的 148 個變體的新 Stop/Djvu 變體列表。
.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote
更新於 2019 年 12 月 02 日
Emsisoft 可以解密的新 Stop/Djvu 變體列表。僅適用於離線金鑰!
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk
更新於 2019 年 11 月 25 日
Emsisoft Decryptor 已經取得並上傳以下新的 STOP (Djvu) 變體的離線金鑰:
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg
更新於 2019 年 11 月 9 日
Emsisoft Decryptor v.1.0.0.1 目前可以解密使用離線金鑰加密的新 Stop/Djvu 變體,檔案副檔名為:
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp
說明:僅適用於離線金鑰加密的檔案。
關於哪些檔案可以被恢復,有一些限制。對於 STOP Djvu 的所有版本,如果它們是透過 Emsisoft Decryptor 開發人員提供的離線金鑰加密的,那麼您可以正確地解密資訊。對於 Old Djvu,檔案也可以使用提供給 STOP Djvu Submission portal 的加密/原始檔案配對進行解密。請注意,這不適用於 2019 年 8 月之後開發的新 Djvu。
什麼是「檔案配對」?
這是一對文件,它們是相同的(也就是它們是相同的數據),但其中一個副本是加密的,而另一個則未加密。STOP Djvu Submission portal 可以分析加密文件和同一文件的原始副本之間的差異,從而確定如何解密該文件。對於大多數舊版 STOP/Djvu 的受害者,提交檔案配對將是獲得其檔案的唯一方法。
如何恢復您的文件?
- 從開發此“如何”指南的相同網站開始下載解密工具1。
- 確保以系統管理員身份運行解密實用程序。您需要同意即將出現的許可協議。為此,請點擊“是”按鈕:
- 一旦您同意許可協議,主解密器用戶界面就會出現:
- 根據默認設置,解密器將自動填充要解密當前可用驅動器(已連接的驅動器)和網絡驅動器的位置。使用“添加”按鈕可以選擇額外(可選)位置。
- 解密器通常會根據特定的恶意软件系列提供幾個選項。當前可能的選項在“選項”選項卡中呈現,可以在那裡啟用或禁用。您可以在下面找到當前啟用選項的詳細列表。
- 一旦您將所有所需的解密位置添加到列表中,請單擊“解密”按鈕開始解密程序。請注意,主屏幕可能會讓您進入狀態視圖,讓您知道數據的活動過程和解密統計信息:
- 解密工具在解密程序完成后会立即通知您。如果您需要报告以备个人文件使用,可以通过选择“保存日志”按钮将其保存。请注意,如果需要,也可以直接将其复制到剪贴板中,然后粘贴到电子邮件或论坛帖子中。
解密工具选项
目前,解密工具执行以下选项:
- 保留加密文件:由于勒索软件不存储有关未加密文档的任何数据,因此解密工具无法保证解密后的文件与初始加密文件完全相同。因此,基于默认设置,为了安全起见,在加密文件解密后不会删除任何加密文档。如果您希望解密工具在解密后删除任何加密文档,可以取消激活此功能。请注意,如果硬盘空间有限,这可能是适用的。
Frequently Asked Questions
解密工具需要 Microsoft .NET Framework 的版本4.5.2或更高版本,这可能意味着您的.NET Framework版本已过时。我们建议安装最新版本的.NET Framework(在撰写本文时为4.8),然后再次尝试运行解密工具。
运行解密器时,它会寻找加密文件。因此,直到找到这些文件之前,它会一直显示“开始”。如果解密器在“开始”状态下停滞了很长时间,则意味着它找不到任何加密文件。
JPEG/JPG 图像具有一种格式奇怪的特性,导致文件对是针对每个图片来源而不是文件格式一般性的。例如,如果您有来自两台不同相机的照片,并提交了来自其中一台相机的文件对,则解密器只能解密来自该文件对所对应相机的文件。因此,为了解密所有 JPEG/JPG 图像,您需要从获得这些照片的每个来源提交文件对。
It’s an indication of a DNS issue. Our first recommendation is to reset your HOSTS file back to default. Microsoft has an article about this:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
这是 DNS 问题的指示。我们的第一个建议是将您的 HOSTS 文件重置为默认设置。Microsoft 有一篇相关文章:
您可以尝试找到原始文件的副本,这些文件曾经被加密:
- 您从互联网下载的加密文件,您可以再次下载以获取原始文件。
- 您与家人和朋友分享的照片,他们可以发送回您。
- 您上传到社交媒体或云服务(如Carbonite、OneDrive、iDrive、Google Drive等)的照片。
- 您发送或接收并保存的电子邮件附件。
- 在旧计算机、闪存驱动器、外部驱动器、相机内存卡或 iPhone 上的文件,您将数据转移到受感染的计算机上。
如果没有找到原始文件,您可以尝试通过系统功能恢复文件 – 还原点。
此外,您可以尝试删除一些大文件上的勒索软件扩展名并打开它们。STOP/Djvu勒索软件会读取而不加密文件,或者出现故障而未添加FileMaker。如果您的文件很大(2GB+),后者可能性更大。
How to decrypt DJVU Ransomware files? Emsisoft Decryptor
Name: Emsisoft Decryptor
Description: The STOP Djvu ransomware encrypts victim's files with Salsa20, and appends one of dozens of extensions to filenames. For all versions of STOP Djvu, files can be successfully decrypted if they were encrypted by an offline key. Unfortunately, this tool will not work for every victim as it can only recover files encrypted by 148 of the 160 variants. This will enable approximately 70% of victims to recover their data. For people affected by the remaining 12 variants, no solution currently exists and we are unable to offer further assistance at this point in time. For that those who find themselves in this position archive the encrypted data in case a solution becomes available in the future.
Offer price: 0.0
Operating System: Windows
Application Category: System Tools