Yzqe 病毒是 勒索软件类型感染的 STOP/DJVU 系列。 此病毒会加密您的文件(视频、照片、文档),这些文件可以通过特定的“.yzqe”扩展名进行跟踪。 它使用强大的加密方法,这使得无法以任何方式计算密钥。
Yzqe 为每个受害者使用唯一的密钥,但有一个例外:
- 如果 Yzqe 在开始加密过程之前无法建立与其命令和控制服务器(C&C Server)的连接,它会使用离线密钥。 此密钥对所有受害者都是相同的,因此可以解密在勒索软件攻击期间加密的文件。
我收集了完整的中和 Yzqe 病毒和解密文件的所有可能解决方案、提示和做法的集合。 在某些情况下,恢复文件很容易。 有时这是不可能的。
有几种通用的方法可以恢复加密的 .yzqe 文件,下面将进行演示。 仔细阅读整个说明手册并确保全部理解是至关重要的。 不要跳过任何步骤。 这些步骤中的每一个都非常重要,必须由您完成。
Yzqe 病毒?
Yzqe 可以正确识别为 STOP/DJVU 勒索软件感染.
Yzqe
Yzqe 病毒是源自 DJVU/STOP 家族的勒索软件。 它的主要目的是加密对您很重要的文件。 之后,勒索软件病毒向受害者索要比特币赎金(490 美元至 980 美元)。
Yzqe 勒索软件是一种特定类型的恶意软件,它会加密您的文件,然后迫使您付费恢复它们。 Djvu/STOP 勒索软件系列由病毒分析师 Michael Gillespie 首次披露和分析。
Yzqe 病毒与其他 DJVU 勒索软件类似:Yzoo, Yzaq, Ppvw。 该病毒会加密所有流行的文件类型,并将其特定的“.yzqe”扩展名添加到所有文件中。 例如,文件“1.jpg”将被更改为“1.jpg.yzqe”。 加密完成后,病毒会生成一个特殊的消息文件“_readme.txt”并将其放入包含修改文件的所有文件夹中。
下图清晰地展示了带有“.yzqe”扩展名的文件的外观:
姓名 | 病毒 Yzqe |
勒索软件家族1 | DJVU/STOP2 勒索软件 |
扩大 | .yzqe |
勒索软件说明 | _readme.txt |
赎金 | 从 490 美元到 980 美元(以比特币计) |
接触 | support@fishmail.top, datarestorehelp@airmail.cc |
检测 | Trojan:Win32/Gozi.RD!MTB, Backdoor.Agent.RD, Trojan:Win32/Aenjaris.AL!bit |
症状 |
|
修复工具 | 要删除可能的恶意软件感染,请扫描您的 PC: 提供 6 天免费试用。 |
此文本要求付款是为了通过解密密钥取回文件:
Yzqe 勒索软件以一组进程的形式出现,这些进程旨在在受害者的计算机上执行不同的任务。 最先启动的程序之一是 winupdate.exe,这是一个棘手的进程,会在攻击期间显示虚假的 Windows 更新提示。 这是为了让受害者相信系统突然变慢是由 Windows 更新引起的。 但是,与此同时,勒索软件会运行另一个进程(通常由四个随机字符命名),该进程开始扫描系统以查找目标文件并对其进行加密。 接下来,勒索软件使用以下 CMD 命令从系统中删除卷影副本:
vssadmin.exe Delete Shadows /All /Quiet
删除后,无法恢复以前的计算机状态使用系统还原点。 问题是,勒索软件运营商正在摆脱任何基于 Windows 操作系统的方法,这些方法可以帮助受害者免费恢复文件。 此外,骗子通过添加域列表并将它们映射到本地主机 IP 来修改 Windows HOSTS 文件。 因此,受害者在访问其中一个被阻止的网站时会遇到 DNS_PROBE_FINISHED_NXDOMAIN 错误。
我们注意到勒索软件试图阻止为计算机用户发布各种操作指南的网站。 很明显,通过限制特定域,骗子正试图阻止受害者在线获取相关且有用的勒索软件攻击相关信息。 该病毒还会在受害者的计算机上保存两个文本文件,提供与攻击相关的详细信息——受害者的公共加密密钥和个人 ID。 这两个文件称为 bowsakkdestx.txt 和 PersonalID.txt。
在所有这些修改之后,恶意软件并没有停止。 STOP/DJVU 的变体倾向于在受感染的系统上删除 Vidar 密码窃取木马。 这种威胁有很长的功能列表,例如:
- 窃取 Steam、Telegram、Skype 登录名/密码;
- 窃取加密货币钱包;
- 将恶意软件下载到计算机并运行它;
- 窃取浏览器 cookie、保存的密码、浏览历史记录等;
- 查看和操作受害者计算机上的文件;
- 允许黑客远程在受害者的计算机上执行其他任务。
DJVU/STOP 勒索软件使用的加密算法是 AES-256。 因此,如果您的文档使用在线解密密钥加密,这是完全不同的。 可悲的现实是,没有唯一密钥就不可能解密文件。
如果 Yzqe 在在线模式下工作,您将无法访问 AES-256 密钥。 它存储在推广 Yzqe 病毒的欺诈者拥有的远程服务器上。
接收解密密钥的付款应为 980 美元。 为了获取付款细节,该消息鼓励受害者通过电子邮件(support@fishmail.top)联系欺诈者.
不要为Yzqe买单!
请尝试使用可用的备份或 Decrypter 工具
_readme.txt 文件还表明计算机所有者必须在文件被加密后的 72 小时内与 Yzqe 代表取得联系。 在72小时内联系的条件下,用户将获得50%的返利。 因此,赎金金额将降至 490 美元)。 但是,远离支付赎金!
我强烈建议您不要联系这些欺诈行为,也不要付款。 恢复丢失数据的最有效的解决方案之一 – 只需使用可用的备份,或使用 Decrypter 工具。
所有此类病毒的特殊性都应用了一组类似的操作来生成唯一的解密密钥以恢复加密数据。
因此,除非勒索软件仍处于开发阶段或存在一些难以追踪的缺陷,否则您无法手动恢复加密数据。 防止丢失宝贵数据的唯一解决方案是定期备份重要文件。
请注意,即使您确实定期维护此类备份,也应该将它们放在特定位置,不要闲逛,不要连接到您的主工作站。
例如,可以将备份保存在 USB 闪存驱动器或一些替代的外部硬盘驱动器存储中。 或者,您可以参考在线(云)信息存储的帮助。
不用说,当您在常用设备上维护备份数据时,它可能会像其他数据一样被加密。
出于这个原因,在您的主 PC 上找到备份肯定不是一个好主意。
我是怎么被感染的?
勒索软件有多种方法可以内置到您的系统中。 但在你的情况下使用什么方法并不重要。.
网络钓鱼尝试成功后的 Yzqe 攻击。
尽管如此,这些是常见的泄漏,它可能会通过这些泄漏注入您的 PC:
- 与其他应用一起隐藏安装,尤其是作为免费软件或共享软件运行的实用程序;
- 垃圾邮件中指向病毒安装程序的可疑链接
- 在线免费托管资源;
- 使用非法点对点 (P2P) 资源下载盗版软件。
在某些情况下,Yzqe 病毒被伪装成某种合法工具,例如,在要求启动一些不需要的软件或浏览器更新的消息中。 这通常是一些在线欺诈旨在迫使您手动安装 Yzqe 勒索软件的方式,实际上是让您直接参与此过程。
当然,虚假更新警报不会表明您将实际注入勒索软件。 此安装将隐藏在一些警告下,提到据称您应该更新 Adobe Flash Player 或其他一些可疑程序。
当然,破解的应用程序也代表着损害。 使用 P2P 是非法的,并且可能导致注入严重的恶意软件,包括 Yzqe 勒索软件。
总而言之,您可以做些什么来避免将 Yzqe 勒索软件注入您的设备? 尽管没有 100% 的保证可以防止您的 PC 受到损坏,但我想给您一些技巧来防止 Yzqe 渗透。 今天安装免费软件时必须小心。
确保您始终阅读除主要免费程序之外的安装程序提供的内容。 远离打开可疑的电子邮件附件。 不要打开来自未知收件人的文件。 当然,您当前的安全程序必须始终更新。
该恶意软件不会公开谈论自己。 它不会在您的可用程序列表中提及。 但是,它会被一些在后台定期运行的恶意进程所掩盖,从您启动 PC 的那一刻开始。
如何删除 Yzqe 病毒?
除了对受害者的文件进行编码外,Yzqe 病毒还开始在计算机上安装 Vidar Stealer,以窃取帐户凭据、加密货币钱包、桌面文件等。
我推荐GridinSoft的原因3
没有比使用 GridinSoft 的反恶意软件更好的方法来识别、删除和防止勒索软件了4.
下载删除工具。
您可以通过单击下面的按钮下载 GridinSoft Anti-Malware:
运行设置文件。
安装文件下载完成后,双击 setup-antimalware-fix.exe 文件在您的系统上安装 GridinSoft Anti-Malware。
用户帐户控制询问您是否允许 GridinSoft Anti-Malware 对您的设备进行更改。 因此,您应该单击“是”继续安装。
按“安装”按钮。
安装后,反恶意软件将自动运行。
等待完成。
GridinSoft Anti-Malware 将自动开始扫描您的计算机以查找 Yzqe 感染和其他恶意程序。 此过程可能需要 20-30 分钟,因此我建议您定期检查扫描过程的状态。
点击“立即清理”。
扫描完成后,您将看到 GridinSoft Anti-Malware 检测到的感染列表。 要删除它们,请单击右上角的“立即清理”按钮。
特殊情况下的 Trojan Killer
在某些特定情况下,Yzqe 勒索软件可以阻止不同反恶意软件程序的安装文件的运行。 在这种情况下,您需要使用带有预装防病毒工具的可移动驱动器。
能够在 USB 驱动器上设置的安全工具数量非常少,而且在大多数情况下,能够做到这一点的防病毒软件需要获得相当昂贵的许可证。 对于这种情况,我可以建议您使用GridinSoft 的另一种解决方案- Trojan Killer Portable。 它具有 14 天的免费试用模式,提供付费版本的全部功能 5. 这个术语肯定会 100% 足以清除恶意软件.
視頻指南
如何解密 .yzqe 文件?
大型“.yzqe 文件”的恢复解决方案
尝试删除几个 BIG 文件上的 .yzqe 扩展名 并打开它们。 Yzqe 勒索软件读取并没有加密文件,或者它出现错误并且没有添加文件标记。 如果您的文件非常大(2GB+),则很可能是后者。 如果这对你有用,请在评论中告诉我。
在犯罪分子进行更改后,最新的扩展在 2019 年 8 月底左右发布。 这包括 Ppvt, Ppvs, Zput 等
由于犯罪分子所做的更改,STOPDecrypter 不再受支持。 它已被移除并替换为由 Emsisoft 和 Emsisoft Decryptor for STOP Djvu Ransomware 开发的 a href=”https://twitter.com/demonslay335″ target=”_blank” rel=”nofollow noopener noreferrer”>迈克尔·吉莱斯皮。
您可以在这里下载免费的解密工具: Decryptor for STOP Djvu.
下载并运行解密工具。
开始下载解密工具。
确保以管理员身份启动解密实用程序。 您需要同意将出现的许可条款。 为此,请单击“Yes”按钮:
一旦您接受许可条款,主解密器用户界面就会出现:
一旦您接受许可条款,主解密器用户界面就会出现:
根据默认设置,解密器将自动填充可用位置,以解密当前可用的驱动器(连接的驱动器),包括网络驱动器。 可以借助“添加”按钮选择额外(可选)位置。
考虑到特定的恶意软件系列,解密器通常会建议几个选项。 当前可能的选项显示在选项选项卡中,可以在此处激活或停用。 您可以在下面找到当前活动选项的详细列表。
单击“解密”按钮。
一旦您将所有需要的解密位置添加到列表中,单击“解密”按钮以启动解密过程。
请注意,主屏幕可能会将您转到状态视图,让您了解活动进程和数据的解密统计信息:
解密程序完成后,解密器将立即通知您。 如果您需要为您的个人文件提供报告,您可以通过选择“保存日志”按钮来保存它。 请注意,如果需要,也可以将其直接复制到剪贴板并将其粘贴到此处的电子邮件或消息中。
Emsisoft Decryptor 可能会在尝试恢复您的 yzqe 文件失败后显示不同的消息:
✓ Error: Unable to decrypt file with ID: [your ID]
✓ No key for New Variant online ID: [your ID]
注意:此ID似乎是在线ID,无法解密
✓ Result: No key for new variant offline ID: [example ID]
此 ID 似乎是离线 ID。 未来可能会进行解密。
找到解密密钥并将其上传到解密器可能需要几周或几个月的时间。 请关注此处的可解密 DJVU 版本的更新.
✓ Remote name could not be resolved
如何恢复 .yzqe 文件?
在某些情况下,Yzqe 勒索软件不会破坏您的文件…
接下来是 Yzqe 勒索软件加密机制功能:它逐字节加密每个文件,然后保存文件副本,删除(并且不覆盖!)原始文件。 因此,物理磁盘上的文件位置信息丢失,但原始文件并没有从物理磁盘中删除。 存储此文件的单元或扇区仍然可以包含此文件,但文件系统未列出该文件,并且可以被删除后已加载到该磁盘的数据覆盖。 因此,可以使用特殊软件恢复您的文件。
总之,意识到它是一个在线算法后,恢复我的加密文件是不可能的。病毒入侵时,我的备份驱动器也连接着,所以我以为它也被感染了。我的备份驱动器中的每个文件夹都被感染并加密了。尽管丢失了一些重要文件,但我还是恢复了近80% 的2TB存储空间。
当我开始浏览文件夹时,我注意到每个文件夹里都有 readme.txt 的勒索注意事项。我打开其中一些文件夹,发现所有不在子文件夹内的文件都被加密了。然而,当我进入其他文件夹的子文件夹时,我发现这些文件没有被加密。我的c盘和d盘中的每个文件夹,包括子文件夹,都被加密了,但备份驱动器不是这样。在文件夹内创建子文件夹保存了80%的数据。
正如我所说,我认为这只是备份驱动器上的一个小漏洞。后来,我在另一台电脑的另一块硬盘上找到了另外10%的数据。所以,我的建议是,如果你使用备份驱动器,请创建子文件夹。我想我是幸运的。但不幸的是,病毒在我从备份中转移文件时袭击了我。
希望这能帮助其他处于我情况的人。
Jamie Newland使用 PhotoRec 恢复文件
PhotoRec 是一个开源程序,最初是为从损坏的磁盘中恢复文件而创建的,或者用于在文件被删除时恢复文件。 然而,随着时间的流逝,该程序能够恢复 400 种不同扩展名的文件。 因此,它可用于勒索软件攻击后的数据恢复。
首先,您需要下载此应用。 它是 100% 免费的,但开发人员声明不能保证您的文件会被恢复。 PhotoRec 与同一开发人员的其他实用程序 – TestDisk 一起分发。 下载的存档将具有 TestDisk 名称,但不要担心。 PhotoRec 文件就在里面。
要打开 PhotoRec,您需要找到并打开 “qphotorec_win.exe” 文件。 无需安装 – 该程序在存档中包含所需的所有文件,因此,您可以将其安装在您的 USB 驱动器上,并尝试帮助您的朋友/父母/任何被 DJVU/STOP 勒索软件.
启动后,您将看到显示磁盘空间完整列表的屏幕。 但是,此信息可能无用,因为所需的菜单放置得更高一些。 单击此栏,然后选择被勒索软件攻击的磁盘。
选择磁盘后,您需要为恢复的文件选择目标文件夹。 该菜单位于 PhotoRec 窗口的下部。 最好的选择是将它们导出到 USB 驱动器或任何其他类型的可移动磁盘上。
然后,您需要指定文件格式。 此选项也位于底部。 如前所述,PhotoRec 可以恢复大约 400 种不同格式的文件。
最后,您可以通过按“搜索”按钮开始文件恢复。 您将看到显示扫描和恢复结果的屏幕。
Yzqe 文件恢复指南
Frequently Asked Questions
没门。 这些文件被勒索软件加密。 .yzqe 文件的内容在解密之前不可用。
当然不是。 您的加密文件不会对计算机构成威胁。 发生的事情已经发生了。
您需要 GridinSoft Anti-Malware 来删除活动的系统感染。 加密文件的病毒很可能仍然处于活动状态,并且会定期运行测试以测试加密更多文件的能力。 此外,这些病毒还经常安装键盘记录程序和后门以进行进一步的恶意操作(例如,盗窃密码、信用卡)。
在这种情况下,您需要准备预装木马杀手的记忆棒.
有耐心。 您感染了新版本的 STOP/DJVU 勒索软件,尚未发布解密密钥。 关注我们网站上的新闻。
当新的 Yzqe 密钥或新的解密程序出现时,我们会及时通知您。
Yzqe 勒索软件仅加密前 150KB 的文件。 所以 MP3 文件相当大,一些媒体播放器(例如 Winamp)可能能够播放文件,但是 – 前 3-5 秒(加密部分)将丢失。
您可以尝试查找已加密的原始文件的副本:
- 您从 Internet 下载的文件已加密,您可以再次下载以获取原始文件。
- 您与家人和朋友分享的照片,他们可以发回给您。
- 您在社交媒体或 Carbonite、OneDrive、iDrive、Google Drive 等云服务上上传的照片)
- 您发送或接收并保存的电子邮件中的附件。
- 您将数据传输到受感染计算机的旧计算机、闪存驱动器、外部驱动器、相机存储卡或 iPhone 上的文件。
我需要你的帮助来分享这篇文章。
轮到你帮助别人了。 我写这篇文章是为了帮助像你这样的人。 您可以使用下面的按钮在您最喜欢的社交媒体 Facebook、Twitter 或 Reddit 上分享此内容。
Brendan SmithUser Review
( votes)References
- 我的文件被勒索软件加密了,我现在该怎么办?
- 关于 DJVU (STOP) 勒索软件。
- HowToFix 网站上的 GridinSoft 反恶意软件评论: Gridinsoft Anti-Malware
- 有关 GridinSoft 产品的更多信息: https://gridinsoft.com/comparison
- 评论Trojan Killer: https://howtofix.guide/trojan-killer/