ZPWW 病毒 .zpww 文件勒索軟件）

Zpww 病毒是勒索软件类型感染的 STOP/DJVU 系列。此病毒会加密您的文件（视频、照片、文档），这些文件可以通过特定的“.zpww”扩展名进行跟踪。它使用强大的加密方法，这使得无法以任何方式计算密钥。

Zpww 为每个受害者使用唯一的密钥，但有一个例外：

如果 Zpww 在开始加密过程之前无法建立与其命令和控制服务器（C&C Server）的连接，它会使用离线密钥。此密钥对所有受害者都是相同的，因此可以解密在勒索软件攻击期间加密的文件。

Brendan Smith

資訊安全專家

”首先，用杀毒工具扫描你的电脑！”

當我們談論有關陌生程式侵入您電腦工作的情況時，諺語「未雨綢繆」最能貼切地描述這種情況。Gridinsoft Anti-Malware 正是一款始終有用的工具：快速、高效、時刻更新。一有微妙感染懷疑，適時使用它就像緊急救援一樣適當。

立即下載

Gridinsoft Anti-Malware 提供 6 天試用期。
最終用戶許可協議 | 隱私政策 | 10% Off Coupon

訂閱我們的 Telegram 頻道以第一時間瞭解有關資訊安全的最新消息和我們的獨家資料。

我收集了完整的中和 Zpww 病毒和解密文件的所有可能解决方案、提示和做法的集合。在某些情况下，恢复文件很容易。有时这是不可能的。

有几种通用的方法可以恢复加密的 .zpww 文件，下面将进行演示。仔细阅读整个说明手册并确保全部理解是至关重要的。 不要跳过任何步骤。这些步骤中的每一个都非常重要，必须由您完成。

Zpww 病毒？

☝️ Zpww 可以正确识别为 STOP/DJVU 勒索软件感染.

Zpww

🤔 Zpww 病毒是源自 DJVU/STOP 家族的勒索软件。它的主要目的是加密对您很重要的文件。之后，勒索软件病毒向受害者索要比特币赎金（490 美元至 980 美元）。

Zpww 勒索软件是一种特定类型的恶意软件，它会加密您的文件，然后迫使您付费恢复它们。 Djvu/STOP 勒索软件系列由病毒分析师 Michael Gillespie 首次披露和分析。

Zpww 病毒与其他 DJVU 勒索软件类似：Itqw, Ithh, Itrz。该病毒会加密所有流行的文件类型，并将其特定的“.zpww”扩展名添加到所有文件中。例如，文件“1.jpg”将被更改为“1.jpg.zpww”。加密完成后，病毒会生成一个特殊的消息文件“_readme.txt”并将其放入包含修改文件的所有文件夹中。

下图清晰地展示了带有“.zpww”扩展名的文件的外观：

Zpww 文件（STOP/DJVU 勒索软件）

姓名	病毒 Zpww
勒索软件家族¹	DJVU/STOP² 勒索软件
扩大	.zpww
勒索软件说明	_readme.txt
赎金	从 490 美元到 980 美元（以比特币计）
接触	[email protected], [email protected]
检测	Trojan:Win32/CryptRan.SA!MTB, Trojan:Script/Phonzy.B!ml, Trojan:MSIL/SnakeKeylogger.SPAQ!MTB
症状	加密您的大部分文件（照片、视频、文档）并添加特定的“.zpww”扩展名；可以删除卷影副本，使受害者无法恢复数据；将域列表添加到 HOSTS 文件以阻止访问某些与安全相关的站点；在系统上安装密码窃取木马，如 Vidar Stealer 或红线窃取者; 设法安装 SmokeLoader 后门；
修复工具	要删除可能的恶意软件感染，请扫描您的 PC： Gridinsoft Anti-Malware 提供 6 天免费试用。

此文本要求付款是为了通过解密密钥取回文件：

_readme.txt (STOP/DJVU Ransomware) – 要求用户支付赎金以解密编码数据的可怕警报包含这些令人沮丧的警告

Zpww 勒索软件以一组进程的形式出现，这些进程旨在在受害者的计算机上执行不同的任务。最先启动的程序之一是 winupdate.exe，这是一个棘手的进程，会在攻击期间显示虚假的 Windows 更新提示。这是为了让受害者相信系统突然变慢是由 Windows 更新引起的。但是，与此同时，勒索软件会运行另一个进程（通常由四个随机字符命名），该进程开始扫描系统以查找目标文件并对其进行加密。接下来，勒索软件使用以下 CMD 命令从系统中删除卷影副本：

vssadmin.exe Delete Shadows /All /Quiet

删除后，无法恢复以前的计算机状态使用系统还原点。问题是，勒索软件运营商正在摆脱任何基于 Windows 操作系统的方法，这些方法可以帮助受害者免费恢复文件。此外，骗子通过添加域列表并将它们映射到本地主机 IP 来修改 Windows HOSTS 文件。因此，受害者在访问其中一个被阻止的网站时会遇到 DNS_PROBE_FINISHED_NXDOMAIN 错误。

我们注意到勒索软件试图阻止为计算机用户发布各种操作指南的网站。很明显，通过限制特定域，骗子正试图阻止受害者在线获取相关且有用的勒索软件攻击相关信息。该病毒还会在受害者的计算机上保存两个文本文件，提供与攻击相关的详细信息——受害者的公共加密密钥和个人 ID。这两个文件称为 bowsakkdestx.txt 和 PersonalID.txt。

在所有这些修改之后，恶意软件并没有停止。 STOP/DJVU 的变体倾向于在受感染的系统上删除 Vidar 密码窃取木马。这种威胁有很长的功能列表，例如：

窃取 Steam、Telegram、Skype 登录名/密码；
窃取加密货币钱包；
将恶意软件下载到计算机并运行它；
窃取浏览器 cookie、保存的密码、浏览历史记录等；
查看和操作受害者计算机上的文件；
允许黑客远程在受害者的计算机上执行其他任务。

DJVU/STOP 勒索软件使用的加密算法是 AES-256。因此，如果您的文档使用在线解密密钥加密，这是完全不同的。可悲的现实是，没有唯一密钥就不可能解密文件。

如果 Zpww 在在线模式下工作，您将无法访问 AES-256 密钥。它存储在推广 Zpww 病毒的欺诈者拥有的远程服务器上。

接收解密密钥的付款应为 980 美元。为了获取付款细节，该消息鼓励受害者通过电子邮件（[email protected]）联系欺诈者.

不要为Zpww买单！

请尝试使用可用的备份或 Decrypter 工具

_readme.txt 文件还表明计算机所有者必须在文件被加密后的 72 小时内与 Zpww 代表取得联系。在72小时内联系的条件下，用户将获得50%的返利。因此，赎金金额将降至 490 美元）。但是，远离支付赎金！

我强烈建议您不要联系这些欺诈行为，也不要付款。恢复丢失数据的最有效的解决方案之一 – 只需使用可用的备份，或使用 Decrypter 工具。

所有此类病毒的特殊性都应用了一组类似的操作来生成唯一的解密密钥以恢复加密数据。

因此，除非勒索软件仍处于开发阶段或存在一些难以追踪的缺陷，否则您无法手动恢复加密数据。防止丢失宝贵数据的唯一解决方案是定期备份重要文件。

请注意，即使您确实定期维护此类备份，也应该将它们放在特定位置，不要闲逛，不要连接到您的主工作站。

例如，可以将备份保存在 USB 闪存驱动器或一些替代的外部硬盘驱动器存储中。或者，您可以参考在线（云）信息存储的帮助。

不用说，当您在常用设备上维护备份数据时，它可能会像其他数据一样被加密。

出于这个原因，在您的主 PC 上找到备份肯定不是一个好主意。

我是怎么被感染的？

勒索软件有多种方法可以内置到您的系统中。但在你的情况下使用什么方法并不重要。.

网络钓鱼尝试成功后的 Zpww 攻击。

尽管如此，这些是常见的泄漏，它可能会通过这些泄漏注入您的 PC：

与其他应用一起隐藏安装，尤其是作为免费软件或共享软件运行的实用程序；
垃圾邮件中指向病毒安装程序的可疑链接
在线免费托管资源；
使用非法点对点 (P2P) 资源下载盗版软件。

在某些情况下，Zpww 病毒被伪装成某种合法工具，例如，在要求启动一些不需要的软件或浏览器更新的消息中。这通常是一些在线欺诈旨在迫使您手动安装 Zpww 勒索软件的方式，实际上是让您直接参与此过程。

当然，虚假更新警报不会表明您将实际注入勒索软件。此安装将隐藏在一些警告下，提到据称您应该更新 Adobe Flash Player 或其他一些可疑程序。

当然，破解的应用程序也代表着损害。使用 P2P 是非法的，并且可能导致注入严重的恶意软件，包括 Zpww 勒索软件。

总而言之，您可以做些什么来避免将 Zpww 勒索软件注入您的设备？尽管没有 100% 的保证可以防止您的 PC 受到损坏，但我想给您一些技巧来防止 Zpww 渗透。今天安装免费软件时必须小心。

确保您始终阅读除主要免费程序之外的安装程序提供的内容。远离打开可疑的电子邮件附件。不要打开来自未知收件人的文件。当然，您当前的安全程序必须始终更新。

该恶意软件不会公开谈论自己。它不会在您的可用程序列表中提及。但是，它会被一些在后台定期运行的恶意进程所掩盖，从您启动 PC 的那一刻开始。

如何删除 Zpww 病毒？

除了对受害者的文件进行编码外，Zpww 病毒还开始在计算机上安装 Vidar Stealer，以窃取帐户凭据、加密货币钱包、桌面文件等。

我推荐GridinSoft的原因³
没有比使用 GridinSoft 的反恶意软件更好的方法来识别、删除和防止勒索软件了⁴.

下载删除工具。

您可以通过单击下面的按钮下载 GridinSoft Anti-Malware：

下载 GridinSoft 反恶意软件
运行设置文件。

安装文件下载完成后，双击 setup-antimalware-fix.exe 文件在您的系统上安装 GridinSoft Anti-Malware。

用户帐户控制询问您是否允许 GridinSoft Anti-Malware 对您的设备进行更改。因此，您应该单击“是”继续安装。
按“安装”按钮。
安装后，反恶意软件将自动运行。
等待完成。

GridinSoft Anti-Malware 将自动开始扫描您的计算机以查找 Zpww 感染和其他恶意程序。此过程可能需要 20-30 分钟，因此我建议您定期检查扫描过程的状态。
点击“立即清理”。

扫描完成后，您将看到 GridinSoft Anti-Malware 检测到的感染列表。要删除它们，请单击右上角的“立即清理”按钮。

視頻指南

特殊情况下的 Trojan Killer

在某些特定情况下，Zpww 勒索软件可以阻止不同反恶意软件程序的安装文件的运行。在这种情况下，您需要使用带有预装防病毒工具的可移动驱动器。

能够在 USB 驱动器上设置的安全工具数量非常少，而且在大多数情况下，能够做到这一点的防病毒软件需要获得相当昂贵的许可证。对于这种情况，我可以建议您使用GridinSoft 的另一种解决方案- Trojan Killer Portable。它具有 14 天的免费试用模式，提供付费版本的全部功能 ⁵. 这个术语肯定会 100% 足以清除恶意软件.

如何解密 .zpww 文件？

大型“.zpww 文件”的恢复解决方案

尝试删除几个 BIG 文件上的 .zpww 扩展名 并打开它们。 Zpww 勒索软件读取并没有加密文件，或者它出现错误并且没有添加文件标记。如果您的文件非常大（2GB+），则很可能是后者。 如果这对你有用，请在评论中告诉我。

在犯罪分子进行更改后，最新的扩展在 2019 年 8 月底左右发布。这包括 Ptrz, Ptqw, Pthh 等

由于犯罪分子所做的更改，STOPDecrypter 不再受支持。它已被移除并替换为由 Emsisoft 和 Emsisoft Decryptor for STOP Djvu Ransomware 开发的 a href=”https://twitter.com/demonslay335″ target=”_blank” rel=”nofollow noopener noreferrer”>迈克尔·吉莱斯皮。

您可以在这里下载免费的解密工具： Decryptor for STOP Djvu.

下载并运行解密工具。

开始下载解密工具。

确保以管理员身份启动解密实用程序。您需要同意将出现的许可条款。为此，请单击“Yes”按钮：

一旦您接受许可条款，主解密器用户界面就会出现：
一旦您接受许可条款，主解密器用户界面就会出现：

根据默认设置，解密器将自动填充可用位置，以解密当前可用的驱动器（连接的驱动器），包括网络驱动器。可以借助“添加”按钮选择额外（可选）位置。

考虑到特定的恶意软件系列，解密器通常会建议几个选项。当前可能的选项显示在选项选项卡中，可以在此处激活或停用。您可以在下面找到当前活动选项的详细列表。

单击“解密”按钮。

一旦您将所有需要的解密位置添加到列表中，单击“解密”按钮以启动解密过程。

请注意，主屏幕可能会将您转到状态视图，让您了解活动进程和数据的解密统计信息：

解密程序完成后，解密器将立即通知您。如果您需要为您的个人文件提供报告，您可以通过选择“保存日志”按钮来保存它。请注意，如果需要，也可以将其直接复制到剪贴板并将其粘贴到此处的电子邮件或消息中。

Emsisoft Decryptor 可能会在尝试恢复您的 zpww 文件失败后显示不同的消息：

✓ Error: Unable to decrypt file with ID: [your ID]

Emsisoft 解密器的数据库中没有相应的解密密钥。

✓ No key for New Variant online ID: [your ID]

注意：此ID似乎是在线ID，无法解密

您的原始文件已使用在线密钥加密。所以没有其他人拥有相同的加密/解密密钥对。不付钱给罪犯就不可能恢复 zpww 文件。 🙁

✓ Result: No key for new variant offline ID: [example ID]

此 ID 似乎是离线 ID。未来可能会进行解密。

使用了离线密钥，但无法恢复文件（离线解密密钥尚不可用）。但是，收到此消息对您来说是个好消息，因为将来可能会恢复您的 zpww 文件。 🙂
找到解密密钥并将其上传到解密器可能需要几周或几个月的时间。请关注此处的可解密 DJVU 版本的更新.

✓ Remote name could not be resolved

这表明您的 PC 上存在 DNS 问题。我们的第一个建议是将您的 HOSTS 文件重置为默认值。

如何恢复 .zpww 文件？

在某些情况下，Zpww 勒索软件不会破坏您的文件…

接下来是 Zpww 勒索软件加密机制功能：它逐字节加密每个文件，然后保存文件副本，删除（并且不覆盖！）原始文件。因此，物理磁盘上的文件位置信息丢失，但原始文件并没有从物理磁盘中删除。存储此文件的单元或扇区仍然可以包含此文件，但文件系统未列出该文件，并且可以被删除后已加载到该磁盘的数据覆盖。因此，可以使用特殊软件恢复您的文件。

我最近电脑被 Zpww 病毒感染了。它成功绕过了两个杀毒软件和两个恶意软件清除工具。

总之，意识到它是一个在线算法后，恢复我的加密文件是不可能的。病毒入侵时，我的备份驱动器也连接着，所以我以为它也被感染了。我的备份驱动器中的每个文件夹都被感染并加密了。尽管丢失了一些重要文件，但我还是恢复了近80% 的2TB存储空间。

当我开始浏览文件夹时，我注意到每个文件夹里都有 readme.txt 的勒索注意事项。我打开其中一些文件夹，发现所有不在子文件夹内的文件都被加密了。然而，当我进入其他文件夹的子文件夹时，我发现这些文件没有被加密。我的c盘和d盘中的每个文件夹，包括子文件夹，都被加密了，但备份驱动器不是这样。在文件夹内创建子文件夹保存了80%的数据。

正如我所说，我认为这只是备份驱动器上的一个小漏洞。后来，我在另一台电脑的另一块硬盘上找到了另外10%的数据。所以，我的建议是，如果你使用备份驱动器，请创建子文件夹。我想我是幸运的。但不幸的是，病毒在我从备份中转移文件时袭击了我。

希望这能帮助其他处于我情况的人。

Jamie Newland

以下是关于恢复修复 Zpww 文件的一些建议（适用于所有 STOP/DJVU 变种）：

我曾见过 Zpww 变种未能加密更深层次的嵌套文件夹，所以你可以检查一下。你可能会发现那些文件夹没有被加密。

这种勒索软件会将加密数据保存到一个新文件中，然后删除原始文件。因此，被删除文件的一部分有可能通过文件恢复软件进行恢复。但恢复文件夹结构的可能性很小，所以像 PhotoRec 这样的免费工具可能是一个不错的选择。

这种勒索软件只会部分加密文件（大约前 150 KB），因此根据文件大小和数据类型，未加密部分可能是可以恢复的。

Joep

使用 PhotoRec 恢复文件

PhotoRec 是一个开源程序，最初是为从损坏的磁盘中恢复文件而创建的，或者用于在文件被删除时恢复文件。然而，随着时间的流逝，该程序能够恢复 400 种不同扩展名的文件。因此，它可用于勒索软件攻击后的数据恢复。

首先，您需要下载此应用。它是 100% 免费的，但开发人员声明不能保证您的文件会被恢复。 PhotoRec 与同一开发人员的其他实用程序 – TestDisk 一起分发。下载的存档将具有 TestDisk 名称，但不要担心。 PhotoRec 文件就在里面。

要打开 PhotoRec，您需要找到并打开 “qphotorec_win.exe” 文件。无需安装 – 该程序在存档中包含所需的所有文件，因此，您可以将其安装在您的 USB 驱动器上，并尝试帮助您的朋友/父母/任何被 DJVU/STOP 勒索软件.

启动后，您将看到显示磁盘空间完整列表的屏幕。但是，此信息可能无用，因为所需的菜单放置得更高一些。单击此栏，然后选择被勒索软件攻击的磁盘。

选择磁盘后，您需要为恢复的文件选择目标文件夹。该菜单位于 PhotoRec 窗口的下部。最好的选择是将它们导出到 USB 驱动器或任何其他类型的可移动磁盘上。

然后，您需要指定文件格式。此选项也位于底部。如前所述，PhotoRec 可以恢复大约 400 种不同格式的文件。

最后，您可以通过按“搜索”按钮开始文件恢复。您将看到显示扫描和恢复结果的屏幕。

Zpww 文件恢复指南

Frequently Asked Questions

🤔 如何打开“.zpww” 文件?

没门。这些文件被勒索软件加密。 .zpww 文件的内容在解密之前不可用。

🤔 Zpww 文件包含重要信息。我怎样才能紧急解密它们？

如果您保留在 .zpww 文件中的数据非常有价值，那么您很可能制作了备份副本。如果没有，那么您可以尝试通过系统功能恢复它们 – 恢复点。所有其他方法都需要耐心。

🤔 您已建议使用 GridinSoft Anti-Malware 删除 Zpww。这是否意味着该程序将删除我的加密文件？

当然不是。您的加密文件不会对计算机构成威胁。发生的事情已经发生了。

🤔 Zpww 病毒已阻止受感染的 PC：我无法获得激活码。

在这种情况下，您需要准备预装木马杀手的记忆棒.

🤔 Decryptor 没有解密我的所有文件，或者不是所有文件都被解密。我应该怎么办？

有耐心。您感染了新版本的 STOP/DJVU 勒索软件，尚未发布解密密钥。关注我们网站上的新闻。当新的 Zpww 密钥或新的解密程序出现时，我们会及时通知您。

🤔 我现在能做什么？

Zpww 勒索软件仅加密前 150KB 的文件。所以 MP3 文件相当大，一些媒体播放器（例如 Winamp）可能能够播放文件，但是 – 前 3-5 秒（加密部分）将丢失。您可以尝试查找已加密的原始文件的副本：您从 Internet 下载的文件已加密，您可以再次下载以获取原始文件。您与家人和朋友分享的照片，他们可以发回给您。您在社交媒体或 Carbonite、OneDrive、iDrive、Google Drive 等云服务上上传的照片）您发送或接收并保存的电子邮件中的附件。您将数据传输到受感染计算机的旧计算机、闪存驱动器、外部驱动器、相机存储卡或 iPhone 上的文件。