Como Descriptografar Arquivos Bloqueados pelo Ransomware STOP/DJVU

O ransomware STOP/DJVU é um programa malicioso que criptografa os arquivos das vítimas com o algoritmo de criptografia Salsa20. Esse algoritmo de criptografia é um cifrador de alta resistência que é difícil de quebrar sem a chave de decodificação. Depois que os arquivos são criptografados, o STOP/DJVU Ransomware adiciona uma das dezenas de extensões aos nomes dos arquivos, como “.wrui”, “.pcqq”, “.ytbn”, “.nusm”, e assim por diante.

Os cibercriminosos por trás do ransomware STOP/DJVU exigem um pagamento de resgate em troca da chave de decodificação para desbloquear os arquivos criptografados. A nota de resgate geralmente é um arquivo de texto que é colocado na área de trabalho ou em todas as pastas que contêm arquivos criptografados. A nota contém instruções sobre como pagar o resgate e alerta contra tentativas de remover o malware ou descriptografar os arquivos sem a chave de decodificação.

A nota de resgate “_readme.txt” contém o seguinte texto:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

É importante notar que pagar o resgate não garante que a chave de descriptografia será fornecida e há casos em que os criminosos não entregaram a chave de descriptografia, mesmo depois de receber o pagamento do resgate. Portanto, é crucial tomar medidas preventivas para se proteger contra ataques de ransomware.

Para evitar que o STOP/DJVU Ransomware e outros tipos de ransomware infectem seu computador, você deve seguir práticas seguras de computação, como manter seu sistema operacional e software atualizados, evitar abrir anexos de e-mail suspeitos e baixar software de fontes confiáveis. Além disso, você deve fazer backup regularmente de seus arquivos importantes para um dispositivo externo ou uma plataforma de armazenamento baseada em nuvem.

Nota!

Aviso: Este aplicativo precisa estar conectado à Internet enquanto estiver ativo para obter as orientações de descriptografia do servidor.

Se você suspeita que seu computador foi infectado com STOP/DJVU Ransomware, você deve desconectar imediatamente da internet para evitar que o malware se espalhe para outros dispositivos. Em seguida, procure a ajuda de um serviço profissional de remoção de malware para remover com segurança o malware do seu sistema.

Atualizado em 19 de agosto de 2021

A chave offline/privada para a variante .moqs do ransomware STOP foi adicionada ao servidor da Emsisoft.

Atualizado em 12 de julho de 2021

As chaves offline das variantes .omfl, .geno, .nile e .maas foram recuperadas pela Emsisoft.

Atualizado em 02 de julho de 2021

As chaves offline das variantes .sspq, .iqll e .ddsg foram recuperadas pela Emsisoft. As vítimas dessas três variantes que tiveram arquivos criptografados pela chave offline podem recuperar seus arquivos.

Atualizado em 31 de maio de 2020

A chave offline da variante .covm foi recuperada pela Emsisoft e adicionada ao servidor Emsisoft Decryptor.

Atualizado em 01 de maio de 2020

A Emsisoft anunciou que as chaves offline para .opqz, .nppp e .npsk foram recuperadas e carregadas no servidor Emsisoft Decryptor.

Atualizado em 06 de fevereiro de 2020

A Emsisoft anunciou que as chaves offline para .alka e .repp foram recuperadas e carregadas no servidor Emsisoft Decryptor.

Atualizado em 20 de janeiro de 2020

O Emsisoft Decryptor obteve e carregou no servidor novas chaves offline para o ransomware STOP (Djvu) das variantes .nbes e .mkos.

Atualizado em 06 Jan 2020

Lista das Novas variantes de Stop/Djvu que a Emsisoft pode descriptografar.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

Atualizado em 02 Dez 2019

Lista das Novas variantes de Stop/Djvu que a Emsisoft pode descriptografar. SOMENTE COM A CHAVE OFFLINE!

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk

Atualizado em 25 Nov 2019

O Emsisoft Decryptor obteve e carregou no servidor CHAVES OFFLINE para a seguinte nova variante STOP (Djvu):

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg

Atualizado em 9 de novembro de 2019

O Decryptor v.1.0.0.1 da Emsisoft atualmente pode descriptografar a NOVA variante Stop/Djvu com extensão de arquivo:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp

Termos: Arquivos criptografados com CHAVE OFFLINE.

Existem certas limitações quanto aos arquivos que podem ser restaurados. Falando de todas as versões do STOP Djvu, você pode descriptografar corretamente as informações se elas foram cifradas por meio de uma chave offline disponível com os desenvolvedores do Emsisoft Decryptor. Quanto ao Djvu antigo, os arquivos também podem ser descriptografados usando pares de arquivos criptografados / originais fornecidos ao portal de envio STOP Djvu. Tenha em mente que isso não se aplica ao Djvu novo que foi elaborado após agosto de 2019.

O que é um “par de arquivos”?

Este é um par de arquivos que são idênticos (como se fossem precisamente os mesmos dados), exceto que uma das cópias é criptografada e a outra não. O portal de envio STOP Djvu pode analisar as diferenças entre um arquivo criptografado e uma cópia original do mesmo arquivo, permitindo determinar como descriptografar esse arquivo. Para a maioria das vítimas com uma variante mais antiga do STOP / Djvu, enviar pares de arquivos será a única maneira de recuperar seus arquivos.

Como restaurar seus arquivos?

Certifique-se de iniciar a utilidade de descriptografia como administrador. Você precisa concordar com os termos de licença que aparecerão. Para isso, clique no botão “Sim“:
Assim que você aceitar os termos de licença, a interface principal do descriptador aparecerá:
Com base nas configurações padrão, o descriptador preencherá automaticamente os locais disponíveis para descriptografia nas unidades disponíveis (as conectadas), incluindo as unidades de rede. Locais extras (opcionais) podem ser selecionados com a ajuda do botão “Adicionar”.
Os descriptografadores normalmente sugerem várias opções considerando a família de malware específica. As opções atualmente possíveis são apresentadas na guia Opções e podem ser ativadas ou desativadas lá. Você pode encontrar uma lista detalhada das Opções atualmente ativas abaixo.
Assim que você adicionar todas as localizações desejadas para a descriptografia na lista, clique no botão “Descriptografar” para iniciar o procedimento de descriptografia. Observe que a tela principal pode mostrá-lo uma visualização de status, informando-o do processo ativo e das estatísticas de descriptografia de seus dados:
O descriptografador o notificará assim que o procedimento de descriptografia for concluído. Se você precisar do relatório para seus documentos pessoais, poderá salvá-lo escolhendo o botão “Salvar log”. Observe que também é possível copiá-lo diretamente para a área de transferência e colá-lo em e-mails ou mensagens de fórum, se necessário.

Opções de descriptografia

O descriptografador, neste momento, executa as seguintes opções:

Manter arquivos criptografados Porque o ransomware não armazena nenhum dado referente aos documentos não criptografados, o descriptografador não garante que o arquivo descriptografado será idêntico ao inicialmente criptografado. Portanto, com base nas configurações padrão, o descriptografador, por motivos de segurança, não excluirá nenhum documento criptografado após eles terem sido descriptografados. Se você deseja que o descriptografador exclua quaisquer documentos criptografados depois de terem sido descriptografados, é possível desativar essa opção. Observe que isso pode ser aplicável se o espaço no seu disco rígido for limitado.

Perguntas frequentes

Por que o decryptor não está funcionando?

O decryptor requer a versão 4.5.2 ou mais recente do Microsoft .NET Framework, o que pode significar que sua versão do .NET Framework está desatualizada. Recomendamos instalar a versão mais recente do .NET Framework (4.8 no momento em que este texto foi escrito) e tentar o decryptor novamente.

Por que o decryptor está preso em “Starting”?

Quando você executa o decryptor, ele procura por arquivos criptografados. Portanto, ele ficará em “Starting” até encontrar alguns. Se o decryptor permanecer preso em “Starting” por um longo tempo, significa que ele não pode encontrar nenhum arquivo criptografado.

O decryptor não pode decifrar todas as minhas imagens mesmo que eu tenha enviado pares de arquivos para elas?

As imagens JPEG/JPG têm uma peculiaridade de formato que faz com que os pares de arquivos sejam específicos para cada fonte de imagem, em vez do formato de arquivo em geral. Por exemplo, se você tiver imagens de duas câmeras diferentes e enviar um par de arquivos do grupo de imagens de uma das câmeras, então o decryptor só poderá decifrar arquivos da câmera de onde o par de arquivos veio.

O que significa “Nome remoto não pôde ser resolvido”?

É um sinal de problema de DNS. Nossa primeira recomendação é redefinir seu arquivo HOSTS de volta ao padrão. A Microsoft tem um artigo sobre isso: https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

Eu tenho uma chave online. O que posso fazer?

O ransomware STOP Djvu criptografa apenas os primeiros 150KB dos arquivos. Portanto, arquivos MP3 são bastante grandes. Alguns reprodutores de mídia (como o Winamp) podem ser capazes de reproduzir os arquivos, mas os primeiros 3-5 segundos (a parte criptografada) estarão faltando.