Как удалить вирус вымогатель DJVU (STOP)

В статье я постараюсь дать наиболее полную информацию о вирусе DJVU, основанном на вымогателе STOP. Методах заражения вирусом, алгоритмов его работы, способов избавления от вируса и возможности восстановления файлов.

Что такое вирус DJVU (STOP)

 

Записка с требованием о выкупе

 

Еще в конце 2017 года появился вирус-вымогатель, который после шифрования добавлял расширение Stop к поврежденным файлам. По этому расширению и было дано название для вируса. После этого появлялось еще много модификаций вируса-вымогателя, разница между которыми сводилась к изменению расширения у файла. Из самых недавних это rumba, tfudet и tfude. Все эти расширения появились в январе 2019, и судя по потоку новых модификаций вируса, можно утверждать с некой уверенностью, что вымогатель успешно справляется с задачей заработка денег своим разработчикам. Средняя сумма выкупа находится в районе 500 долларов, которые, как правило, необходимо перечислить на биткоин-кошелек хакеров. Также характерной чертой всех вирусов является угроза удвоить сумму выкупа, по истечению 72 часов. С барского плеча, вымогатели согласны продемонстрировать работу своего декриптора на одном небольшом файле, присланном им на электронную почту. Адрес почты любезно можно обнаружить в самозапускающемся окне файла с названием _openme.txt, !readme.txt или с похожим на него названиями, в общем, сложно пропустить файл, норовящий всплыть буквально везде.

 

---------------------------------------------- ALL YOUR FILES ARE ENCRYPTED -----------------------------------------------

Don't worry, you can return all your files!

All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees do we give to you?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information

Don't try to use third-party decrypt tools because it will destroy your files.

Discount 50% available if you contact us first 72 hours.

---------------------------------------------------------------------------------------------------------------------------

To get this software you need write on our e-mail:

helpshadow @ india.com

Reserve e-mail address to contact us:

helpshadow @ firemail.cc

Your personal ID: ...

 

В декабре 2018 года вирус получил новое дыхание, заодно с новым расширением. На этот раз это было DJVU. Случайное ли это совпадение, что в декабре 18 вирус, впервые появившийся в декабре 17, получает расширение "дежавю" или у кого-то хорошо с чуством юмора и плохо с состраданием к пользователям, мне не известно. На просторах сети, встречала информацию о том,что авторами сего шедевра являются товарищи из южных провинций Китая, на основе одной из опечаток в тексте записки. Но эта информация неточная.

 

Способ распространения вымогателя достаточно стандартен: он скачивается с пиратскими программами и кряками для игр. После этого появляется сообщение об обновлении системы, которое на поверку оказывается ложным. Интересно, что встроенный защитник Windows вирус просто отключает. Естественной реакцией пользователя на обновление системы будет желание выпить рюмочку чая и оставить компьютер в покое. Но через буквально 15 минут, уже не до чая, и лишь пол литра валерьянки спасут отца русской демократии. Не добавляет оптимизма тот факт, что дешифровщика пока нет.

Техническая информация

Если остановится чуть подробнее на алгоритме заражения, то получим следующее: в папке %localdata% создаются исполняемые файлы с названиями 1.exe, 2.exe, 3.exe и, вот неожиданность, updatewin.exe. Первый файл отключает активный модуль Защитника windows, путем команды

 

Set-MpPreference -DisableRealtimeMonitoring $true

 

Второй файл 2.exe изменяет host файл, блокируя пользователю доступ к хорошим сайтам по компьютерной безопасности, преимущественно англоязычным.

 

В процессе, формируется уникальный ключ, основанный на MAC адресе компьютера, этот ключ и будет являться базой для шифрования. Возможно, его можно как-то использовать для дешифровки, но пока не получилось.

 

Следующим запускается файл updatewin.exe, который и шифрует файлы, изображая обновление системы. Отличительной черной вируса, является шифрование в том числе exe файлов.

 

На этом вирус не останавливается и создает задание Time Trigger Task, которое с некоей периодичностью шифрует все новые файлы на компьютере. Так что при восстановление файлов через сторонние носители или из облака, убедитесь в том, что вы удалили вирус с компьютера, проверили системные задачи, папку автозапуска и host файл. И проверьте все компьютеры в сети.

Как удалить вирус из системы

Я решила опубликовать с статье общие шаги по удалению вируса, но при борьбе конкретно с этим вымогателем, пасуют даже эксперты, так что если вы неопытны, соблюдайте осторожность. Советы по дешифрованию будут ниже.

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса (для опытных пользователей)

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Проверить систему специальным сканером

Тысячи их. Мне нравятся Dr. Web Cure It и Malwarebytes. У этих есть бесплатные версии для некоммерческого разового использования.

Шаг 5. Очистите реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

Инструкция по восстановлению файлов

По восстановлению: как я уже говорила, декриптора нет. Если у вас нет резервных копий файлов, то шансов восстановить информацию не так много. Из реально работающих программ, можно попробовать Recuva и ShadwExplorer. У них не самый интуитивно понятный интерфейс, но разобраться можно быстро. Если вам сильно повезло, то вирус не убил копии файлов из архива Windows, при условии, что архивирование было настроено. Восстановить можно следующим путем:

  • Нажмите «Пуск»
  • Выберите «Панель управления»

Восстановление системы. Шаг 1

 

  • Нажмите «Система и безопасность»

Восстановление системы. Шаг 2

 

  • Выберите «Архивация и восстановление»

Восстановление системы. Шаг 3

 

  • Выберите «Восстановление файлов из архива»
  • Выберите точку сохранения

 

Видео инструкция

 

 

 

 

На этом пока все, статью буду дополнять,так как ясно, что ниша весьма востребована. Если есть вопросы к автору, то вот мой профиль в социальной сети: Linkedin профиль.

 

 

 

 

Автор KateRealta

 

 


Как удалить шифровальщик DJVU (STOP): что это за вирус, способы восстановления зашифрованных файлов Инструкция по удалению вируса DJVU Способы удаления DJVU http://ru.pcfixhelp.net/images/article4/Stop_virus.jpg

1 1 1 1 1 1 1 1 1 1 Рейтинг 5.00 [2 Голоса (ов)]

Добавить комментарий

Защитный код
Обновить