A família de infecções ransomware do tipo STOP/DJVU inclui o vírus Neon. Este vírus criptografa os arquivos (vídeos, fotos, documentos) que podem ser rastreados por uma extensão “.neon” específica. Ele utiliza um método de criptografia forte, o que impossibilita o cálculo da chave de qualquer maneira.
O Neon utiliza uma chave única para cada vítima, com uma exceção:
- Caso o Neon não consiga estabelecer uma conexão com o servidor de comando e controle (C&C Server) antes de iniciar o processo de criptografia, ele utilizará a chave offline. Essa chave é a mesma para todas as vítimas, permitindo a descriptografia dos arquivos criptografados durante um ataque de ransomware.
Juntei uma coleção completa de todas as soluções, dicas e práticas possíveis para neutralizar o vírus Neon e descriptografar arquivos. Em alguns casos, recuperar seus arquivos é fácil. E às vezes, é simplesmente impossível.
Existem vários métodos universais para recuperar arquivos .neon criptografados, os quais serão demonstrados a seguir. É essencial ler todo o manual de instruções com atenção e certificar-se de compreender tudo. Não deixe de seguir nenhuma etapa. Cada uma dessas etapas é extremamente importante e deve ser concluída por você.
Vírus Neon?
☝️ O Neon pode ser identificado corretamente como uma infecção por ransomware STOP/DJVU.
Neon
🤔 O vírus Neon é um ransomware originário da família DJVU/STOP. Seu objetivo principal é criptografar arquivos que são importantes para você. Depois que o vírus ransomware pede às suas vítimas uma taxa de resgate ($ 490 – $ 980) em BitCoin.
O malware Neon, um tipo específico de ransomware, criptografa seus arquivos e exige um pagamento para restaurá-los. A família de ransomware Djvu/STOP foi inicialmente descoberta e analisada pelo analista de vírus Michael Gillespie.
O vírus Neon é similar a outros ransomwares DJVU, como o Weqp, Weon e Werz. Ele criptografa todos os tipos de arquivos populares e acrescenta sua extensão exclusiva “.neon” a cada um deles. Por exemplo, o arquivo “1.jpg” será modificado para “1.jpg.neon“. Após a conclusão da criptografia, o vírus gera um arquivo de mensagem especial chamado “_readme.txt” e o deixa em todas as pastas que contêm os arquivos alterados.
A imagem a seguir ilustra claramente como os arquivos com a extensão “.neon” ficam:
Neon Arquivo (STOP/DJVU Ransomware)
| Nome | Vírus Neon |
| Família Ransomware1 | DJVU/STOP2 ransomware |
| Extensão | .neon |
| Nota de ransomware | _readme.txt |
| Resgate | De $490 a $980 (em Bitcoins) |
| Contato | [email protected], [email protected] |
| Detecção | Trojan:Win32/Redline!ic, Trojan:Win32/Vindor!pz, Trojan:Win32/Vindor!pz |
| Sintomas |
|
| Ferramenta de correção |
Para remover possíveis infecções por malware, verifique seu PC:
6 dias de teste gratuito disponível. |
Este texto solicitando o pagamento é para recuperar os arquivos via chave de descriptografia:
_readme.txt (STOP/DJVU Ransomware) – O alerta assustador exigindo que os usuários paguem o resgate para descriptografar os dados codificados contém esses avisos frustrantes
O Neon ransomware chega como um conjunto de processos destinados a realizar diferentes tarefas no computador da vítima. Um dos primeiros a serem lançados é o winupdate.exe, um processo complicado que exibe um falso prompt de atualização do Windows durante o ataque. Isso serve para convencer a vítima de que uma desaceleração repentina do sistema é causada por uma atualização do Windows. No entanto, ao mesmo tempo, o ransomware executa outro processo (geralmente nomeado por quatro caracteres aleatórios) que inicia a varredura do sistema em busca de arquivos de destino e os criptografa. Em seguida, o ransomware exclui as cópias de sombra de volume do sistema usando o seguinte comando CMD:
vssadmin.exe Delete Shadows /All /Quiet
Uma vez excluído, torna-se impossível restaurar o estado anterior do computador usando pontos de restauração do sistema. O problema é que os operadores de ransomware estão se livrando de qualquer método baseado no sistema operacional Windows que possa ajudar a vítima a restaurar arquivos gratuitamente. Além disso, os criminosos modificam o arquivo HOSTS do Windows adicionando uma lista de domínios a ele e mapeando-os para o IP localhost. Como resultado, a vítima encontrará um erro DNS_PROBE_FINISHED_NXDOMAIN ao acessar um dos sites bloqueados.
Percebemos que o ransomware tenta bloquear sites que publicam vários guias de instruções para usuários de computador. É evidente que, ao restringir domínios específicos, os criminosos estão tentando impedir que a vítima acesse informações relevantes e úteis relacionadas a ataques de ransomware online. O vírus também salva dois arquivos de texto no computador da vítima que fornecem detalhes relacionados ao ataque – a chave de criptografia pública e o ID pessoal da vítima. Esses dois arquivos são chamados de bowsakkdestx.txt e PersonalID.txt.
Depois de todas essas modificações, o malware não para. Variantes do STOP/DJVU tendem a soltar o Trojan de roubo de senha Vidar em sistemas comprometidos. Essa ameaça tem uma longa lista de recursos, como:
- Roubar Steam, Telegram, login/senha do Skype;
- Roubar carteiras de criptomoedas;
- Baixar malware no computador e executá-lo;
- Roubar cookies do navegador, senhas salvas, histórico de navegação e muito mais;
- Visualizar e manipular arquivos no computador da vítima;
- Permitir que os hackers executem outras tarefas remotamente no computador da vítima.
O algoritmo de criptografia usado pelo ransomware DJVU/STOP é o AES-256. Portanto, se seus documentos foram criptografados com uma chave de descriptografia online, isso é totalmente diferente. A triste realidade é que é impossível descriptografar os arquivos sem a chave exclusiva.
Caso o Neon funcione no modo online, é impossível para você obter acesso à chave AES-256. Ele é armazenado em um servidor remoto de propriedade dos fraudadores que promovem o vírus Neon.
Para receber a chave de descriptografia, o pagamento deve ser de $ 980. Para obter os detalhes do pagamento, as vítimas são incentivadas pela mensagem a entrar em contato com as fraudes por e-mail ([email protected]).
A mensagem do ransomware informa as seguintes informações:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: [email protected] Reserve e-mail address to contact us: [email protected] Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Não pague pelo Neon!
Por favor, tente usar os backups disponíveis ou a ferramenta Decrypter
O arquivo _readme.txt também indica que os proprietários do computador devem entrar em contato com os representantes do Neon durante 72 horas a partir do momento em que os arquivos foram criptografados. Com a condição de entrar em contato em até 72 horas, os usuários terão um desconto de 50%. Assim, o valor do resgate será minimizado para $ 490). No entanto, fique longe de pagar o resgate!
Eu recomendo fortemente que você não entre em contato com essas fraudes e não pague. A solução de trabalho mais real para recuperar os dados perdidos – apenas usando os backups disponíveis ou use o Decrypter ferramenta.
A peculiaridade de todos esses vírus aplica um conjunto semelhante de ações para gerar a chave de descriptografia exclusiva para recuperar os dados criptografados.
Assim, a menos que o ransomware ainda esteja em fase de desenvolvimento ou possua algumas falhas difíceis de rastrear, recuperar manualmente os dados criptografados é algo que você não pode realizar. A única solução para evitar a perda de seus dados valiosos é fazer backups regulares de seus arquivos cruciais.
Observe que, mesmo que você mantenha esses backups regularmente, eles devem ser colocados em um local específico sem vadiagem, não sendo conectados à sua estação de trabalho principal.
Por exemplo, o backup pode ser mantido na unidade flash USB ou em algum armazenamento de disco rígido externo alternativo. Opcionalmente, você pode consultar a ajuda do armazenamento de informações online (nuvem).
Desnecessário mencionar, quando você mantém seus dados de backup em seu dispositivo comum, eles podem ser criptografados da mesma forma, assim como outros dados.
Por esse motivo, localizar o backup em seu PC principal certamente não é uma boa ideia.
Como fui infectado?
Ransomware tem vários métodos para serem incorporados ao seu sistema. Mas realmente não importa qual método foi usado no seu caso.
Ataque Neon após uma tentativa de phishing bem-sucedida.
- instalação oculta junto com outros aplicativos, principalmente os utilitários que funcionam como freeware ou shareware;
- link duvidoso em e-mails de spam que levam ao instalador de vírus
- recursos de hospedagem on-line gratuitos;
- usando recursos ilegais ponto a ponto (P2P) para baixar software pirata.
Houve casos em que o vírus Neon foi disfarçado como alguma ferramenta legítima, por exemplo, nas mensagens exigindo iniciar algum software indesejado ou atualizações do navegador. Normalmente, é assim que algumas fraudes online tentam forçá-lo a instalar o ransomware Neon manualmente, fazendo com que você participe diretamente desse processo.
Certamente, o alerta de atualização falso não indicará que você realmente vai injetar o ransomware. Esta instalação será ocultada sob algum alerta mencionando que supostamente você deve atualizar o Adobe Flash Player ou algum outro programa duvidoso.
Claro, os aplicativos quebrados também representam o dano. O uso de P2P é ilegal e pode resultar na injeção de malware grave, incluindo o ransomware Neon.
Para resumir, o que você pode fazer para evitar a injeção do ransomware Neon em seu dispositivo? Mesmo que não haja 100% de garantia para evitar que seu PC seja danificado, existem algumas dicas que quero dar a você para evitar a penetração do Neon. Você deve ser cauteloso ao instalar software livre hoje.
Certifique-se de sempre ler o que os instaladores oferecem além do programa principal gratuito. Evite abrir anexos de e-mail duvidosos. Não abra arquivos de destinatários desconhecidos. Obviamente, seu programa de segurança atual deve estar sempre atualizado.
O malware não fala abertamente sobre si mesmo. Ele não será mencionado na lista de seus programas disponíveis. No entanto, ele será mascarado por algum processo malicioso executado regularmente em segundo plano, a partir do momento em que você iniciar seu PC.
Como remover vírus Neon?
Além de codificar os arquivos da vítima, o vírus Neon também começou a instalar o Vidar Stealer no computador para roubar credenciais de contas, carteiras de criptomoedas, arquivos de desktop e muito mais.3
Razões pelas quais eu recomendaria o GridinSoft4
-
Execute o arquivo de configuração.
-
Pressione o botão “Instalar”.
-
Uma vez instalado, o Anti-Malware será executado automaticamente.
-
Aguarde a conclusão.
-
Clique em “Limpar agora”.
Leave a Comment