STOP/DJVU रैंसमवेयर (2023 गाइड)

थे STOP (DJVU) रैंसमवेयर एस-256 एल्गोरिथम (CFB मोड) के साथ उपयोगकर्ताओं के डेटा को कोडिफाई करता है। हालांकि, यह पूरी फ़ाइल को नहीं एन्क्रिप्ट करता है, बल्कि अपनी शुरुआत में लगभग 5 MB तक। इसके बाद, यह मांग रखता है कि फ़ाइलें बहाल करने के लिए $980 के बिटकॉइन के समकक्ष की रंशम दें।

मैलवेयर के लेखकों के पास रूसी रूट हैं। धोखेबाज लोग रूसी भाषा और अंग्रेजी में लिखे रूसी शब्दों का उपयोग करते हैं और रूसी डोमेन-रजिस्ट्रेशन कंपनियों के माध्यम से दाखिल होते हैं। धोखेबाजों के अन्य देशों में सहयोगी होने की संभावना बहुत अधिक है।

डीजेवीयू रैंसमवेयर तकनीकी जानकारी

कई उपयोगकर्ताएं सूचित करते हैं कि क्रिप्टोवेयर लोकप्रिय कार्यक्रमों के फिर से पैक किया गया और संक्रमित इंस्टॉलर डाउनलोड करने के बाद इंजेक्षन किया जाता है, धोखेबाजों द्वारा प्रसारित MS Windows और MS Office (जैसे KMSAuto Net, KMSPico, इत्यादि) के पायरेटेड एक्टिवेटर्स जो लोकप

ईमेल स्पैम और दुर्भावनापूर्ण अटैचमेंट, भ्रामक डाउनलोड, शोषण, वेब इंजेक्टर, दोषपूर्ण अपडेट, रीपैकेज्ड और संक्रमित इंस्टॉलर के माध्यम से खराब संरक्षित आरडीपी कॉन्फ़िगरेशन का उपयोग करके हैकिंग के माध्यम से क्रिप्टोवेयर भी फैलाया जा सकता है।

एन्क्रिप्शन के अधीन फ़ाइल एक्सटेंशन की सूची:

MS Office या OpenOffice दस्तावेज़
पीडीएफ और टेक्स्ट फाइलें
डेटाबेस
फ़ोटो, संगीत, वीडियो या छवि फ़ाइलें
अभिलेखागार
आवेदन फ़ाइलें, आदि।

STOP/DJVU Ransomware ड्रॉप फ़ाइलें (फिरौती नोट) नाम !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt , !!!SAVE_FILES_INFO!!!.txt और !readme.txt। .Djvu* और नए संस्करण: _openme.txt, _open_.txt या _readme.txt

क्रिप्टोवेयर संक्रमण के चरण

एक बार लॉन्च होने के बाद, क्रिप्टोवेयर एक्जीक्यूटेबल कमांड एंड कंट्रोल सर्वर (С&C) से जुड़ जाता है। नतीजतन, यह पीड़ित के पीसी के लिए एन्क्रिप्शन कुंजी और संक्रमण पहचानकर्ता प्राप्त करता है। डेटा HTTP प्रोटोकॉल के तहत JSON के रूप में स्थानांतरित किया जाता है।
यदि С&C अनुपलब्ध है (जब पीसी सर्वर के इंटरनेट से जुड़ा नहीं है तो प्रतिक्रिया नहीं करता है), क्रिप्टोवेयर अपने कोड में छिपी सीधे निर्दिष्ट एन्क्रिप्शन कुंजी को लागू करता है और स्वायत्त एन्क्रिप्शन करता है। इस मामले में, फिरौती का भुगतान किए बिना फाइलों को डिक्रिप्ट करना संभव है।
क्रिप्टोवेयर rdpclip.exe का उपयोग वैध विंडोज फ़ाइल को बदलने और कंप्यूटर नेटवर्क हमले को लागू करने के लिए करता है।
सफल फ़ाइल एन्क्रिप्शन पर, सिफर को delself.bat कमांड फ़ाइल का उपयोग करके स्वायत्त रूप से हटा दिया जाता है।

संबद्ध आइटम

C:\Users\Admin\AppData\Local\3371e4e8-b5a0-4921-b87b-efb4e27b9c66\build3.exe
C:\Users\Admin\AppData\Local\Temp\C1D2.dll
C:\Users\Admin\AppData\Local\Temp\19B7.exe
C:\Users\Admin\AppData\Local\Temp\2560.exe
कार्य: "Azure-Update-Task"
रजिस्ट्री: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysHelper

प्रसार यातायात

clsomos.com.br
o36fafs3sn6xou.com
rgyui.top
starvestitibo.org
pelegisr.com
furubujjul.net
api.2ip.ua
morgem.ru
winnlinne.com

एंटीवायरस का पता लगाना

Crackithub.com, kmspico10.com, crackhomes.com, और piratepc.net STOP Ransomware वितरण साइटों में से कुछ हैं। वहां से डाउनलोड किया गया कोई भी प्रोग्राम इस रैंसमवेयर से संक्रमित हो सकता है!

पीड़ित की फाइलों को एन्क्रिप्ट करने के अलावा, DJVU परिवार ने चोरी करने के लिए Azorult Spyware भी इंस्टॉल किया खाता क्रेडेंशियल्स, क्रिप्टोक्यूरेंसी वॉलेट, डेस्कटॉप फ़ाइलें, और बहुत कुछ।

STOP/DJVU Ransomware फ़ाइलों को डिक्रिप्ट कैसे करें?

Djvu Ransomware के अनिवार्य रूप से दो संस्करण हैं।

पुराना संस्करण: अधिकांश पुराने एक्सटेंशन (“.djvu” से “.carote (v154)” तक) इनमें से अधिकांश संस्करणों के लिए डिक्रिप्शन पहले STOPDecrypter टूल द्वारा समर्थित था यदि ऑफ़लाइन कुंजी के साथ संक्रमित फ़ाइलें हैं। यही समर्थन इन पुराने Djvu प्रकारों के लिए नए Emsisoft Decryptor में शामिल किया गया है। यदि आपके पास ऑफ़लाइन कुंजी है, तो डिक्रिप्टर फ़ाइल जोड़े सबमिट किए बिना केवल आपकी फ़ाइलों को डीकोड करेगा।
नया संस्करण: रैंसमवेयर में बदलाव के बाद अगस्त 2019 के अंत में नवीनतम एक्सटेंशन जारी किए गए थे। इसमें .nury, nuis, tury, tuis, आदि शामिल हैं….ये नए संस्करण केवल के साथ समर्थित थे एम्सिसॉफ्ट डिक्रिप्टर।

एक “फ़ाइल जोड़ी” क्या है?

यह उन फ़ाइलों की जोड़ी है जो समान हैं (क्योंकि वे समान सटीक डेटा हैं), सिवाय इसके कि एक डुप्लिकेट एन्क्रिप्ट किया गया है, और दूसरा नहीं है।

How to identify offline or online key?

आपके C ड्राइव पर STOP (DJVU) द्वारा बनाई गई SystemID/PersonalID.txt फ़ाइल में एन्क्रिप्शन प्रक्रिया में उपयोग की जाने वाली सभी ID शामिल हैं।

लगभग हर ऑफलाइन आईडी “t1” के साथ समाप्त होती है। ऑफ़लाइन कुंजी द्वारा एन्क्रिप्शन को _readme.txt नोट और C:\SystemID\PersonalID.txt में व्यक्तिगत आईडी देखकर सत्यापित किया जा सकता है फ़ाइल।

यह जांचने का सबसे तेज़ तरीका है कि क्या आप किसी ऑफ़लाइन या ऑनलाइन कुंजी से संक्रमित थे:

संक्रमित मशीन पर फ़ोल्डर C:\SystemID\ में स्थित PesonalID.txt फ़ाइल ढूंढें और यह देखने के लिए जांचें कि क्या केवल एक या एकाधिक आईडी हैं।
यदि आईडी “t1” से समाप्त होती है, तो संभावना है कि आपकी कुछ फ़ाइलें ऑफ़लाइन कुंजी द्वारा एन्क्रिप्ट की गई थीं और पुनर्प्राप्त करने योग्य हैं।
यदि सूचीबद्ध कोई भी आईडी “t1” के साथ समाप्त नहीं होती है, तो आपकी सभी फ़ाइलें एक ऑनलाइन कुंजी के साथ एन्क्रिप्ट की गई थीं और अब पुनर्प्राप्त करने योग्य नहीं हैं।

ऑनलाइन और ऑफलाइन कुंजी – इसका क्या अर्थ है?

ऑफ़लाइन कुंजी इंगित करती है कि फ़ाइलें ऑफ़लाइन मोड में एन्क्रिप्ट की गई हैं। इस कुंजी की खोज के बाद, इसे डिक्रिप्टर में जोड़ दिया जाएगा और कि फाइलों को डिक्रिप्ट किया जा सकता है।

ऑनलाइन कुंजी – रैनसमवेयर सर्वर द्वारा उत्पन्न किया गया था। इसका अर्थ है कि रैंसमवेयर सर्वर ने फ़ाइलों को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली चाबियों का एक यादृच्छिक सेट उत्पन्न किया। ऐसी फ़ाइलों को डिक्रिप्ट करना संभव नहीं है.

नवीनतम डीजेवीयू रूपों में प्रयुक्त आरएसए एल्गोरिथ्म के साथ एन्क्रिप्शन डिक्रिप्शन सेवा को प्रशिक्षित करने के लिए “एन्क्रिप्टेड + मूल” फ़ाइलों की एक जोड़ी के उपयोग की अनुमति नहीं देता है। यह निश्चित प्रकार का एन्क्रिप्शन क्रैकिंग के लिए प्रतिरोधी है, और निजी कुंजी के बिना फ़ाइलों को डिक्रिप्ट करना असंभव है। ऐसी कुंजी की गणना करने के लिए एक सुपर कंप्यूटर को भी 100`000 साल की आवश्यकता होगी।

एन्क्रिप्टेड फ़ाइलें एक्सटेंशन

I. STOP समूह

STOP, SUSPENDED, WAITING, PAUSA, CONTACTUS, DATASTOP, STOPDATA, KEYPASS, WHY, SAVEfiles, DATAWAIT, INFOWAIT

द्वितीय। Puma समूह

puma, pumax, pumas, shadow

तृतीय। Djvu समूह

djvuu, uudjvu, blower, tfudet, promok, djvut, djvur, klope, charcl, doples, luces, luceq, chech, proden, drume, tronas, trosak, grovas, grovat, roland, refols, raldug, etols, guvara, browec, norvas, moresa, verasto, hrosas, kiratos, todarius, hofos, roldat, dutan, sarut, fedasot, forasom, berost, fordan, codnat, codnat1, bufas, dotmap, radman, ferosas, rectot, skymap, mogera, rezuc, stone, redmat, lanset, davda, poret, pidon, heroset, myskle, boston, muslat, gerosan, vesad, horon, neras, truke, dalle, lotep, nusar, litar, besub, cezor, lokas, godes, budak, vusad, herad, berosuce, gehad, gusau, madek, tocue, darus, lapoi, todar, dodoc, novasof, bopador, ntuseg, ndarod, access, format, nelasod, mogranos, nvetud, cosakos, kovasoh, lotej, prandel, zatrov, masok, brusaf, londec, kropun, londec, krusop, mtogas, nasoh, coharos, nacro, pedro, nuksus, vesrato, cetori, masodas, stare, carote, shariz,

चतुर्थ। Gero समूह (RSA)

gero, hese, xoza, seto, peta, moka, meds, kvag, domn, karl, nesa, boot, noos, kuub, mike, reco, bora, leto, nols, werd, coot, derp, nakw, meka, toec, mosk, lokf, peet, grod, mbed, kodg, zobm, rote, msop, hets, righ, gesd, merl, mkos, nbes, piny, redl, kodc, nosu, reha, topi, npsg, btos, repp, alka, bboo, rooe, mmnn, ooss, mool, nppp, rezm, lokd, foop, remk, npsk, opqz, mado, jope, mpaj, lalo, lezp, qewe, mpal, sqpc, mzlq, koti, covm, pezi, zipe, nlah, kkll, zwer nypd, usam, tabe, vawe, moba, pykw, zida, maas, repl, kuus, erif, kook, nile, oonn, vari, boop, geno, kasp, .ogdo, .npph .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg or .pcqq, .igvm, nusm, ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .miis, .leex, .zqqw, .lssr, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc, .wiot, .koom, .rigd, .tisc, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, .qdla, .qmak, .utjg, .futm, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .xcmb, .sbpg, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf, .maak, .qqqw, .yoqs, .qqqe, .bbbw, .maiv, .bbbe, .bbbr, .qqqr, .avyu, .cuag, .iips, .ccps, .qnty, .naqi, .ckae, .eucy, .gcyi, .ooii, .rtgf, .jjtt, .fgui, .vgui, .fgnh, .sdjm, .dike, .xgpr, .iiof, .ooif, .vyia, .qbaa, .fopa, .vtym, .ftym, .bpqd, .xcbg, .kqgs, .iios, .vlff, .eyrv, .uigd, .rguy, .mmuz, .kkia, .hfgd, .ssoi, .pphg, .wdlo, .kxde, .snwd, .mpag, .voom, .gtys, .udla, .tuid, .uyjh, .qall, .qpss, .hajd, .ghas, .dqws, .nuhb, .dwqs, .ygvb, .msjd, .dmay, .jhdd, .jhbg, .dewd, .jhgn, .ttii, .mmob, .hhjk, .sijr, .bbnm, .xcvf, .egfg, .mine, .kruu, .byya, .ifla, .errz, .hruu, .dfwe, .fdcv, .fefg, .qlln, .nnuz, .zpps, .ewdf, .zfdv, .uihj, .zdfv, .rryy, .rrbb, .rrcc, .eegf, .bnrs, .bbzz, .bbyy, .bbii, .efvc, .hkgt, .eijy, .lloo, .lltt, .llee, .llqq, .dkrf, .eiur, .ghsd, .jjyy, .jjll, .jjww, .hhwq, .hhew, .hheo, .hhyu, .ggew, .ggyu, .ggeo, .ggwq, .hhye, .ooxa, .oori, .vveo, .vvwq, .vvew, .vveq, .vvyu, .dnet, .qstx, .ccew, .ccyu, .cceq, .ccwq, .cceo, .ccza, .qqmt, .qqlo, .qqlc, .oxva, .qqri, .qqjj, .qqkk, .qqpp, .xbtl, .oopu, .oodt, .oovb, .mmpu, .mmvb, .mmdt, .eewt, .eemv, .enus, .eeyu, .epub, .eebn, .stop, .aamv, .aawt, .aayu, .aabn, .oflg, .ofww, .ofoq, .adlg, .adoq, .adww, .tohj, .towz, .powz, .pohj, .tury, .tuis, .tuow, .nury, .nuis, .nuow, .nury, .powd, .pozq, .bowd, .bozq, .zatp, .zate, .fatp, .fate, .tcvp, .tcbu, .kcvp, .kcbu, .uyro, .uyit, .mppn, .mbtf, .manw, .maos, .matu, .btnw, .btos, .bttu, .isal, .iswr, .isza, .znsm, .znws, .znto, .bpsm, .bpws, .bpto, .zoqw, .zouu, .poqw, .pouu, .mzqw, .mztu, .mzop, .assm, .erqw, .erop, .vvmm, .vvoo, .hhmm, .hhee, .hhoo, .iowd, .ioqa, .iotr, .qowd, .qoqa, .qotr, .gosw, .goaq, .goba.