Tcbu Virus 解密+恢復 .TCBU 文件

Written by Brendan Smith

Tcbu 病毒是 勒索软件类型感染的 STOP/DJVU 系列。 此病毒会加密您的文件(视频、照片、文档),这些文件可以通过特定的“.tcbu”扩展名进行跟踪。 它使用强大的加密方法,这使得无法以任何方式计算密钥。

Tcbu 为每个受害者使用唯一的密钥,但有一个例外:

  • 如果 Tcbu 在开始加密过程之前无法建立与其命令和控制服务器(C&C Server)的连接,它会使用离线密钥。 此密钥对所有受害者都是相同的,因此可以解密在勒索软件攻击期间加密的文件。
Brendan Smith
Brendan Smith
IT Security Expert

”首先,用杀毒工具扫描你的电脑!”

When we talk about the intrusion of unfamiliar programs into your computer’s work, the proverb “Forewarned is forearmed” describes the situation as accurately as possible. Gridinsoft Anti-Malware is exactly the tool that is always useful to have in your armory: fast, efficient, up-to-date. It is appropriate to use it as an emergency help at the slightest suspicion of infection.
Anti-Malware
Gridinsoft Anti-Malware 6-day trial available.
EULA | Privacy Policy | Gridinsoft

@topcybersecuritySubscribe to our Telegram channel to be the first to know about news and our exclusive materials on information security.

我收集了完整的中和 Tcbu 病毒和解密文件的所有可能解决方案、提示和做法的集合。 在某些情况下,恢复文件很容易。 有时这是不可能的。

几种通用的方法可以恢复加密的 .tcbu 文件,下面将进行演示。 仔细阅读整个说明手册并确保全部理解是至关重要的。 不要跳过任何步骤。 这些步骤中的每一个都非常重要,必须由您完成。

Tcbu 病毒?

☝️ Tcbu 可以正确识别为 STOP/DJVU 勒索软件感染.

Tcbu

🤔 Tcbu 病毒是源自 DJVU/STOP 家族的勒索软件。 它的主要目的是加密对您很重要的文件。 之后,勒索软件病毒向受害者索要比特币赎金(490 美元至 980 美元)。

Tcbu 勒索软件是一种特定类型的恶意软件,它会加密您的文件,然后迫使您付费恢复它们。 Djvu/STOP 勒索软件系列由病毒分析师 Michael Gillespie 首次披露和分析。

Tcbu 病毒与其他 DJVU 勒索软件类似:PozdPozqPowd。 该病毒会加密所有流行的文件类型,并将其特定的“.tcbu”扩展名添加到所有文件中。 例如,文件“1.jpg”将被更改为“1.jpg.tcbu”。 加密完成后,病毒会生成一个特殊的消息文件“_readme.txt”并将其放入包含修改文件的所有文件夹中。

下图清晰地展示了带有“.tcbu”扩展名的文件的外观:

Tcbu Virus - encrypted .tcbu files

Tcbu 文件(STOP/DJVU 勒索软件)

姓名病毒 Tcbu
勒索软件家族1DJVU/STOP2 勒索软件
扩大.tcbu
勒索软件说明_readme.txt
赎金从 490 美元到 980 美元(以比特币计)
接触support@fishmail.top, datarestorehelp@airmail.cc
检测3Trojan.Ransom.VirLock, Ransom:MSIL/Cryptolocker.EK!MTB, Ransom:Win32/MedusaLocker.B!MTB
症状
  • 加密您的大部分文件(照片、视频、文档)并添加特定的“.tcbu”扩展名;
  • 可以删除卷影副本,使受害者无法恢复数据
  • 将域列表添加到 HOSTS 文件以阻止访问某些与安全相关的站点;
  • 在系统上安装密码窃取木马,如 Vidar Stealer红线窃取者;
  • 设法安装 SmokeLoader 后门
修复工具 要删除可能的恶意软件感染,请扫描您的 PC:


提供 6 天免费试用。

此文本要求付款是为了通过解密密钥取回文件:

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – 要求用户支付赎金以解密编码数据的可怕警报包含这些令人沮丧的警告

Tcbu 勒索软件以一组进程的形式出现,这些进程旨在在受害者的计算机上执行不同的任务。 最先启动的程序之一是 winupdate.exe,这是一个棘手的进程,会在攻击期间显示虚假的 Windows 更新提示。 这是为了让受害者相信系统突然变慢是由 Windows 更新引起的。 但是,与此同时,勒索软件会运行另一个进程(通常由四个随机字符命名),该进程开始扫描系统以查找目标文件并对其进行加密。 接下来,勒索软件使用以下 CMD 命令从系统中删除卷影副本:

vssadmin.exe Delete Shadows /All /Quiet

删除后,无法恢复以前的计算机状态使用系统还原点。 问题是,勒索软件运营商正在摆脱任何基于 Windows 操作系统的方法,这些方法可以帮助受害者免费恢复文件。 此外,骗子通过添加域列表并将它们映射到本地主机 IP 来修改 Windows HOSTS 文件。 因此,受害者在访问其中一个被阻止的网站时会遇到 DNS_PROBE_FINISHED_NXDOMAIN 错误

我们注意到勒索软件试图阻止为计算机用户发布各种操作指南的网站。 很明显,通过限制特定域,骗子正试图阻止受害者在线获取相关且有用的勒索软件攻击相关信息。 该病毒还会在受害者的计算机上保存两个文本文件,提供与攻击相关的详细信息——受害者的公共加密密钥和个人 ID。 这两个文件称为 bowsakkdestx.txtPersonalID.txt

Tcbu ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

在所有这些修改之后,恶意软件并没有停止。 STOP/DJVU 的变体倾向于在受感染的系统上删除 Vidar 密码窃取木马。 这种威胁有很长的功能列表,例如:

  • 窃取 Steam、Telegram、Skype 登录名/密码;
  • 窃取加密货币钱包;
  • 将恶意软件下载到计算机并运行它;
  • 窃取浏览器 cookie、保存的密码、浏览历史记录等;
  • 查看和操作受害者计算机上的文件;
  • 允许黑客远程在受害者的计算机上执行其他任务。

DJVU/STOP 勒索软件使用的加密算法是 AES-256。 因此,如果您的文档使用在线解密密钥加密,这是完全不同的。 可悲的现实是,没有唯一密钥就不可能解密文件。

如果 Tcbu 在在线模式下工作,您将无法访问 AES-256 密钥。 它存储在推广 Tcbu 病毒的欺诈者拥有的远程服务器上。

接收解密密钥的付款应为 980 美元。 为了获取付款细节,该消息鼓励受害者通过电子邮件(support@fishmail.top)联系欺诈者.

勒索软件的消息说明了以下信息:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

support@fishmail.top

Reserve e-mail address to contact us:

datarestorehelp@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

不要为Tcbu买单!

请尝试使用可用的备份或 Decrypter 工具

_readme.txt 文件还表明计算机所有者必须在文件被加密后的 72 小时内与 Tcbu 代表取得联系。 在72小时内联系的条件下,用户将获得50%的返利。 因此,赎金金额将降至 490 美元)。 但是,远离支付赎金!

我强烈建议您不要联系这些欺诈行为,也不要付款。 恢复丢失数据的最有效的解决方案之一 – 只需使用可用的备份,或使用 Decrypter 工具

所有此类病毒的特殊性都应用了一组类似的操作来生成唯一的解密密钥以恢复加密数据。

因此,除非勒索软件仍处于开发阶段或存在一些难以追踪的缺陷,否则您无法手动恢复加密数据。 防止丢失宝贵数据的唯一解决方案是定期备份重要文件。

请注意,即使您确实定期维护此类备份,也应该将它们放在特定位置,不要闲逛,不要连接到您的主工作站。

例如,可以将备份保存在 USB 闪存驱动器或一些替代的外部硬盘驱动器存储中。 或者,您可以参考在线(云)信息存储的帮助。

不用说,当您在常用设备上维护备份数据时,它可能会像其他数据一样被加密。

出于这个原因,在您的主 PC 上找到备份肯定不是一个好主意。

我是怎么被感染的?

勒索软件有多种方法可以内置到您的系统中。 但在你的情况下使用什么方法并不重要。.

Tcbu ransomware attack

网络钓鱼尝试成功后的 Tcbu 攻击。

管如此,这些是常见的泄漏,它可能会通过这些泄漏注入您的 PC:

  • 与其他应用一起隐藏安装,尤其是作为免费软件或共享软件运行的实用程序;
  • 垃圾邮件中指向病毒安装程序的可疑链接
  • 在线免费托管资源;
  • 使用非法点对点 (P2P) 资源下载盗版软件。

在某些情况下,Tcbu 病毒被伪装成某种合法工具,例如,在要求启动一些不需要的软件或浏览器更新的消息中。 这通常是一些在线欺诈旨在迫使您手动安装 Tcbu 勒索软件的方式,实际上是让您直接参与此过程。

当然,虚假更新警报不会表明您将实际注入勒索软件。 此安装将隐藏在一些警告下,提到据称您应该更新 Adobe Flash Player 或其他一些可疑程序。

当然,破解的应用程序也代表着损害。 使用 P2P 是非法的,并且可能导致注入严重的恶意软件,包括 Tcbu 勒索软件。

总而言之,您可以做些什么来避免将 Tcbu 勒索软件注入您的设备? 尽管没有 100% 的保证可以防止您的 PC 受到损坏,但我想给您一些技巧来防止 Tcbu 渗透。 今天安装免费软件时必须小心。

确保您始终阅读除主要免费程序之外的安装程序提供的内容。 远离打开可疑的电子邮件附件。 不要打开来自未知收件人的文件。 当然,您当前的安全程序必须始终更新。

该恶意软件不会公开谈论自己。 它不会在您的可用程序列表中提及。 但是,它会被一些在后台定期运行的恶意进程所掩盖,从您启动 PC 的那一刻开始。

如何删除 Tcbu 病毒?

除了对受害者的文件进行编码外,Tcbu 病毒还开始在计算机上安装 Vidar Stealer,以窃取帐户凭据、加密货币钱包、桌面文件等。4
我推荐GridinSoft的原因5

没有比使用 GridinSoft 的反恶意软件更好的方法来识别、删除和防止勒索软件了6.

  1. 下载删除工具。

    您可以通过单击下面的按钮下载 GridinSoft Anti-Malware:

  2. 运行设置文件。

    安装文件下载完成后,双击 setup-antimalware-fix.exe 文件在您的系统上安装 GridinSoft Anti-Malware。

    Run Setup.exe

    用户帐户控制询问您是否允许 GridinSoft Anti-Malware 对您的设备进行更改。 因此,您应该单击“是”继续安装。

    GridinSoft Anti-Malware Setup

  3. 按“安装”按钮。

    GridinSoft Anti-Malware Install

  4. 安装后,反恶意软件将自动运行。

    GridinSoft Anti-Malware Splash-Screen

  5. 等待完成。

    GridinSoft Anti-Malware 将自动开始扫描您的计算机以查找 Tcbu 感染和其他恶意程序。 此过程可能需要 20-30 分钟,因此我建议您定期检查扫描过程的状态。

    GridinSoft Anti-Malware Scanning

  6. 点击“立即清理”。

    扫描完成后,您将看到 GridinSoft Anti-Malware 检测到的感染列表。 要删除它们,请单击右上角的“立即清理”按钮。

    GridinSoft Anti-Malware Scan Result
  7. 特殊情况下的 Trojan Killer

    在某些特定情况下,Tcbu 勒索软件可以阻止不同反恶意软件程序的安装文件的运行。 在这种情况下,您需要使用带有预装防病毒工具的可移动驱动器。

    能够在 USB 驱动器上设置的安全工具数量非常少,而且在大多数情况下,能够做到这一点的防病毒软件需要获得相当昂贵的许可证。 对于这种情况,我可以建议您使用GridinSoft 的另一种解决方案- Trojan Killer Portable。 它具有 14 天的免费试用模式,提供付费版本的全部功能 7. 这个术语肯定会 100% 足以清除恶意软件.

如何解密 .tcbu 文件?

大型“.tcbu 文件”的恢复解决方案

尝试删除几个 BIG 文件上的 .tcbu 扩展名 并打开它们。 Tcbu 勒索软件读取并没有加密文件,或者它出现错误并且没有添加文件标记。 如果您的文件非常大(2GB+),则很可能是后者。 如果这对你有用,请在评论中告诉我。

在犯罪分子进行更改后,最新的扩展在 2019 年 8 月底左右发布。 这包括 NuowNuisNury

由于犯罪分子所做的更改,STOPDecrypter 不再受支持。 它已被移除并替换为由 Emsisoft 和 Emsisoft Decryptor for STOP Djvu Ransomware 开发的 a href=”https://twitter.com/demonslay335″ target=”_blank” rel=”noopener noreferrer”>迈克尔·吉莱斯皮。

您可以在这里下载免费的解密工具: Decryptor for STOP Djvu.

  1. 下载并运行解密工具。

    开始下载解密工具

    确保以管理员身份启动解密实用程序。 您需要同意将出现的许可条款。 为此,请单击“Yes”按钮:

    Emsisoft Decryptor - license terms

    一旦您接受许可条款,主解密器用户界面就会出现:

    Emsisoft Decryptor - user interface

  2. 一旦您接受许可条款,主解密器用户界面就会出现:

    根据默认设置,解密器将自动填充可用位置,以解密当前可用的驱动器(连接的驱动器),包括网络驱动器。 可以借助“添加”按钮选择额外(可选)位置。

    考虑到特定的恶意软件系列,解密器通常会建议几个选项。 当前可能的选项显示在选项选项卡中,可以在此处激活或停用。 您可以在下面找到当前活动选项的详细列表。

  3. 单击“解密”按钮。

    一旦您将所有需要的解密位置添加到列表中,单击“解密”按钮以启动解密过程。

    请注意,主屏幕可能会将您转到状态视图,让您了解活动进程和数据的解密统计信息:

    Emsisoft Decryptor - the decryption statistics

    解密程序完成后,解密器将立即通知您。 如果您需要为您的个人文件提供报告,您可以通过选择“保存日志”按钮来保存它。 请注意,如果需要,也可以将其直接复制到剪贴板并将其粘贴到此处的电子邮件或消息中。

Emsisoft Decryptor 可能会在尝试恢复您的 tcbu 文件失败后显示不同的消息:

✓ Error: Unable to decrypt file with ID: [your ID]
Emsisoft 解密器的数据库中没有相应的解密密钥。
✓ No key for New Variant online ID: [your ID]
注意:此ID似乎是在线ID,无法解密
您的原始文件已使用在线密钥加密。 所以没有其他人拥有相同的加密/解密密钥对。 不付钱给罪犯就不可能恢复 tcbu 文件。 🙁
✓ Result: No key for new variant offline ID: [example ID]
此 ID 似乎是离线 ID。 未来可能会进行解密。
使用了离线密钥,但无法恢复文件(离线解密密钥尚不可用)。 但是,收到此消息对您来说是个好消息,因为将来可能会恢复您的 tcbu 文件。 🙂
找到解密密钥并将其上传到解密器可能需要几周或几个月的时间。 请关注此处的可解密 DJVU 版本的更新.
✓ Remote name could not be resolved
这表明您的 PC 上存在 DNS 问题。 我们的第一个建议是将您的 HOSTS 文件重置为默认值。

如何恢复 .tcbu 文件?

在某些情况下,Tcbu 勒索软件不会破坏您的文件…

接下来是 Tcbu 勒索软件加密机制功能:它逐字节加密每个文件,然后保存文件副本,删除(并且不覆盖!)原始文件。 因此,物理磁盘上的文件位置信息丢失,但原始文件并没有从物理磁盘中删除。 存储此文件的单元或扇区仍然可以包含此文件,但文件系统未列出该文件,并且可以被删除后已加载到该磁盘的数据覆盖。 因此,可以使用特殊软件恢复您的文件。

I recently had my pc infected by the Tcbu virus. It managed to bypass 2 Antivirus software and 2 malware fighters.

Anyway, after realizing it was an online algorithm, it is impossible to retrieve my encrypted files. I also had my backup drive plugged in at the time of the virus, and this was also infected, or so I thought. Every folder within my backup drive had been infected and was encrypted. However, despite losing some important files, I retrieved almost 80% of my 2TB storage.

When I started going through the folders, I noticed the readme.txt ransom note in every folder. I opened some of the folders and found that all files that were not in a subfolder within that folder had been encrypted. However, I found a flaw and glimmer of hope when I went into the subfolders in other folders and found that these files had not been encrypted. Every folder within my c and d drives, including subfolders, had been encrypted, but this was not the case with the backup drive. Having subfolders created within a folder has saved 80% of my data.

As I said, I believe this to be only a small loophole on a backup drive. I’ve since found a further 10 % of my data on another hard drive on a different pc. So my advice is if you use a backup drive, create subfolders. I was lucky, I guess. But I was also unlucky that the virus hit as I was transferring some files from my backup.

Hopefully, this can help some other people in my situation.

Jamie Newland
Some pointers for recovery repair of Tcbu files (true for all STOP/DJVU variants):

  • I have seen Tcbu variants fail to encrypt deeper nested folders, so that you can check that. You may find those are not encrypted.
  • This ransomware saves encrypted data to a new file, deletes the original. So there’s a slight chance part of that deleted file can be recovered using file recovery software. It’s unlikely the folder structure can be restored, so a free tool like PhotoRec may be as good as any.
  • This ransomware only partially encrypts (about the first 150 KB), so depending on file size and type of data, the not encrypted part may be recoverable.
  • Joep

    使用 PhotoRec 恢复文件

    PhotoRec 是一个开源程序,最初是为从损坏的磁盘中恢复文件而创建的,或者用于在文件被删除时恢复文件。 然而,随着时间的流逝,该程序能够恢复 400 种不同扩展名的文件。 因此,它可用于勒索软件攻击后的数据恢复。

    首先,您需要下载此应用。 它是 100% 免费的,但开发人员声明不能保证您的文件会被恢复。 PhotoRec 与同一开发人员的其他实用程序 – TestDisk 一起分发。 下载的存档将具有 TestDisk 名称,但不要担心。 PhotoRec 文件就在里面。

    要打开 PhotoRec,您需要找到并打开 “qphotorec_win.exe” 文件。 无需安装 – 该程序在存档中包含所需的所有文件,因此,您可以将其安装在您的 USB 驱动器上,并尝试帮助您的朋友/父母/任何被 DJVU/STOP 勒索软件.

    PhotoRec file in the folder

    启动后,您将看到显示磁盘空间完整列表的屏幕。 但是,此信息可能无用,因为所需的菜单放置得更高一些。 单击此栏,然后选择被勒索软件攻击的磁盘。

    Choose the disc in PhotoRec

    选择磁盘后,您需要为恢复的文件选择目标文件夹。 该菜单位于 PhotoRec 窗口的下部。 最好的选择是将它们导出到 USB 驱动器或任何其他类型的可移动磁盘上。

    Choosing the destination folder of recovery

    然后,您需要指定文件格式。 此选项也位于底部。 如前所述,PhotoRec 可以恢复大约 400 种不同格式的文件。

    Choose the file format

    最后,您可以通过按“搜索”按钮开始文件恢复。 您将看到显示扫描和恢复结果的屏幕。

    Recovery process

    Tcbu 文件恢复指南


    Frequently Asked Questions

    🤔 如何打开“.tcbu” files?


    没门。 这些文件被勒索软件加密。 .tcbu 文件的内容在解密之前不可用。

    🤔 Tcbu 文件包含重要信息。 我怎样才能紧急解密它们?


    如果您保留在 .tcbu 文件中的数据非常有价值,那么您很可能制作了备份副本。
    如果没有,那么您可以尝试通过系统功能恢复它们 – 恢复点
    所有其他方法都需要耐心。

    🤔 您已建议使用 GridinSoft Anti-Malware 删除 Tcbu。 这是否意味着该程序将删除我的加密文件?


    当然不是。 您的加密文件不会对计算机构成威胁。 发生的事情已经发生了。

    您需要 GridinSoft Anti-Malware 来删除活动的系统感染。 加密文件的病毒很可能仍然处于活动状态,并且会定期运行测试以测试加密更多文件的能力。 此外,这些病毒还经常安装键盘记录程序和后门以进行进一步的恶意操作(例如,盗窃密码、信用卡)。

    🤔 Tcbu 病毒已阻止受感染的 PC:我无法获得激活码。


    在这种情况下,您需要准备预装木马杀手的记忆棒.

    🤔 Decryptor 没有解密我的所有文件,或者不是所有文件都被解密。 我应该怎么办?


    有耐心。 您感染了新版本的 STOP/DJVU 勒索软件,尚未发布解密密钥。 关注我们网站上的新闻。

    当新的 Tcbu 密钥或新的解密程序出现时,我们会及时通知您。

    🤔 我现在能做什么?


    Tcbu 勒索软件仅加密前 150KB 的文件。 所以 MP3 文件相当大,一些媒体播放器(例如 Winamp)可能能够播放文件,但是 – 前 3-5 秒(加密部分)将丢失。

    您可以尝试查找已加密的原始文件的副本:

    • 您从 Internet 下载的文件已加密,您可以再次下载以获取原始文件。
    • 您与家人和朋友分享的照片,他们可以发回给您。
    • 您在社交媒体或 Carbonite、OneDrive、iDrive、Google Drive 等云服务上上传的照片)
    • 您发送或接收并保存的电子邮件中的附件。
    • 您将数据传输到受感染计算机的旧计算机、闪存驱动器、外部驱动器、相机存储卡或 iPhone 上的文件。

    此外,您可以联系以下政府欺诈和诈骗网站来报告此攻击:

    要报告攻击,您可以联系当地执行委员会(完整列表您可以在此处找到)。 例如,如果您住在美国,您可以与 FBI 当地办事处IC3秘密服务.

    视频指南

    这是我最喜欢的视频教程:如何使用 GridinSoft Anti-Malware 和 Emsisoft Decryptor 修复勒索软件感染。

    如果该指南无法帮助您删除 Tcbu 病毒,请下载我推荐的 GridinSoft Anti-Malware。 不要忘记分享您解决问题的经验。 请在此处发表评论!这可以帮助其他受害者了解他们并不孤单。 我们将一起找到解决这个问题的方法。

    我需要你的帮助来分享这篇文章。

    轮到你帮助别人了。 我写这篇文章是为了帮助像你这样的人。 您可以使用下面的按钮在您最喜欢的社交媒体 Facebook、Twitter 或 Reddit 上分享此内容。
    Brendan Smith
    Sending
    User Review
    3.86 (7 votes)
    Comments Rating 0 (0 reviews)

    References

    1. 我的文件被勒索软件加密了,我现在该怎么办?
    2. 关于 DJVU (STOP) 勒索软件。
    3. 威胁百科全书。
    4. Windows 密码漏洞(Mimikatz HackTool: https://howtofix.guide/mimikatz-hacktool/
    5. HowToFix 网站上的 GridinSoft 反恶意软件评论: https://howtofix.guide/gridinsoft-anti-malware/
    6. 有关 GridinSoft 产品的更多信息: https://gridinsoft.com/products/
    7. 评论Trojan Killer: https://howtofix.guide/trojan-killer-2020-review/

    英語 德語 日語 西班牙語 葡萄牙語(巴西) 法語 土耳其語 韓語 印尼語 印地語 義大利語

    About the author

    Brendan Smith

    Journalist, researcher, web content developer, grant proposal editor. Efficient and proficient on multiple platforms and in diverse media. Computer technology and security are my specialties.

    Leave a Reply

    Sending

    這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料