HELD VIRUS (.held FILE) Ransomware - डेटा को ठीक और डिक्रिप्ट करें

Held वायरस ransomware-type संक्रमण का STOP/DJVU परिवार है। यह वायरस आपकी फ़ाइलों (वीडियो, फोटो, दस्तावेज़) को एन्क्रिप्ट करता है जिसे एक विशिष्ट “.held” एक्सटेंशन द्वारा ट्रैक किया जा सकता है। यह एक मजबूत एन्क्रिप्शन विधि का उपयोग करता है, जिससे किसी भी तरह से कुंजी की गणना करना असंभव हो जाता है।

Held प्रत्येक शिकार के लिए एक अपवाद के साथ एक अद्वितीय कुंजी का उपयोग करता है:

यदि एन्क्रिप्शन प्रक्रिया शुरू करने से पहले Held अपने कमांड और कंट्रोल सर्वर (C&C सर्वर) से कनेक्शन स्थापित नहीं कर सकता है, तो यह ऑफ़लाइन कुंजी का उपयोग करता है। यह कुंजी सभी पीड़ितों के लिए समान है, जिससे रैंसमवेयर हमले के दौरान एन्क्रिप्टेड फ़ाइलों को डिक्रिप्ट करना संभव हो जाता है।

मैंने Held वायरस को बेअसर करने और फ़ाइलों को डिक्रिप्ट करने के लिए सभी संभावित समाधानों, युक्तियों और प्रथाओं का पूरा संग्रह एकत्र किया है। कुछ मामलों में, आपकी फ़ाइलों को पुनर्प्राप्त करना आसान होता है। और कभी-कभी यह असंभव ही होता है।

एन्क्रिप्टेड .held फ़ाइलों को पुनर्प्राप्त करने के लिए कई सार्वभौमिक विधियां हैं, जिन्हें नीचे प्रदर्शित किया जाएगा। संपूर्ण निर्देश पुस्तिका को ध्यान से पढ़ना और यह सब समझना सुनिश्चित करना महत्वपूर्ण है। कोई भी कदम न छोड़ें। इनमें से प्रत्येक चरण बहुत महत्वपूर्ण है और आपके द्वारा पूरा किया जाना चाहिए।

बोज़क वायरस?

☝️ Held को सही ढंग से STOP/DJVU रैंसमवेयर संक्रमण के रूप में पहचाना जा सकता है।

Held

🤔 Held वायरस रैंसमवेयर है जो DJVU/STOP परिवार से उत्पन्न होता है। इसका प्राथमिक उद्देश्य उन फ़ाइलों को एन्क्रिप्ट करना है जो आपके लिए महत्वपूर्ण हैं। उसके बाद रैंसमवेयर वायरस अपने पीड़ितों से बिटकॉइन में फिरौती की फीस ($999 – $1999) मांगता है।

Held रैंसमवेयर एक विशिष्ट प्रकार का मैलवेयर है जो आपकी फ़ाइलों को एन्क्रिप्ट करता है और फिर आपको उन्हें पुनर्स्थापित करने के लिए भुगतान करने के लिए मजबूर करता है। Djvu/STOP रैंसमवेयर परिवार को सबसे पहले वायरस विश्लेषक माइकल गिलेस्पी द्वारा प्रकट और विश्लेषण किया गया था।

Held वायरस अन्य DJVU रैंसमवेयर के समान है जैसे: Hlas, Qual, Sarut. यह वायरस सभी लोकप्रिय फ़ाइल प्रकारों को एन्क्रिप्ट करता है और सभी फाइलों में अपना विशेष “.held” एक्सटेंशन जोड़ता है। उदाहरण के लिए, फ़ाइल “1.jpg” को “1.jpg.held” में बदल दिया जाएगा। जैसे ही एन्क्रिप्शन पूरा हो जाता है, वायरस एक विशेष संदेश फ़ाइल “_readme.txt” उत्पन्न करता है और इसे उन सभी फ़ोल्डरों में छोड़ देता है जिनमें संशोधित फ़ाइलें होती हैं।

नीचे दी गई छवि एक स्पष्ट दृष्टि देती है कि “.held” एक्सटेंशन वाली फाइलें कैसी दिखती हैं:

Held फ़ाइल (STOP/DJVU रैनसमवेयर)

नाम	Held वायरस
रैंसमवेयर परिवार¹	DJVU/STOP² रैंसमवेयर
विस्तार	.held
रैंसमवेयर नोट	_readme.txt
फिरौती	From $999 to $1999 (in Bitcoins)
संपर्क करना	[email protected], [email protected]
खोज	Trojan:Win32/Tnega!MSR Removal, Win32:Adware-DNA [Adw] Virus Removal, Win32:Secat [Trj] Virus Removal
लक्षण	आपकी अधिकांश फ़ाइलों (फ़ोटो, वीडियो, दस्तावेज़) को एन्क्रिप्ट किया और एक विशेष “.held” एक्सटेंशन जोड़ता है; पीड़ित के डेटा को पुनर्स्थापित करने के प्रयासों को असंभव बनाने के लिए वॉल्यूम शैडो कॉपी को हटा सकते हैं; कुछ सुरक्षा-संबंधित साइटों तक पहुंच को अवरुद्ध करने के लिए HOSTS फ़ाइल में डोमेन की सूची जोड़ता है; सिस्टम पर पासवर्ड-चोरी करने वाला ट्रोजन इंस्टॉल करता है, जैसे Vidar Stealer या RedLine Stealer; एक SmokeLoader Backdoor को स्थापित करने का प्रबंधन करता है;
फिक्स टूल	संभावित मैलवेयर संक्रमणों को दूर करने के लिए, अपने पीसी को स्कैन करें: 6-दिन का निःशुल्क परीक्षण उपलब्ध है।

भुगतान पूछने वाला यह पाठ डिक्रिप्शन कुंजी के माध्यम से फ़ाइलों को वापस पाने के लिए है:

_readme.txt (STOP/DJVU Ransomware) – एन्कोडेड डेटा को डिक्रिप्ट करने के लिए उपयोगकर्ताओं से फिरौती देने की मांग करने वाले डरावने अलर्ट में ये निराशाजनक चेतावनियाँ शामिल हैं

Held रैंसमवेयर प्रक्रियाओं के एक सेट के रूप में आता है जो पीड़ित के कंप्यूटर पर विभिन्न कार्यों को करने के लिए होता है। लॉन्च किए जाने वाले पहले लोगों में से एक winupdate.exe है, एक मुश्किल प्रक्रिया जो हमले के दौरान एक नकली विंडोज अपडेट प्रॉम्प्ट प्रदर्शित करती है। यह पीड़ित को यह समझाने के लिए है कि विंडोज अपडेट के कारण सिस्टम में अचानक मंदी आ गई है। हालाँकि, उसी समय, रैंसमवेयर एक और प्रक्रिया चलाता है (आमतौर पर चार यादृच्छिक वर्णों द्वारा नामित) जो लक्ष्य फ़ाइलों के लिए सिस्टम को स्कैन करना और उन्हें एन्क्रिप्ट करना शुरू कर देता है। इसके बाद, रैंसमवेयर निम्नलिखित सीएमडी कमांड का उपयोग करके सिस्टम से वॉल्यूम शैडो कॉपी को हटा देता है:

vssadmin.exe Delete Shadows /All /Quiet

एक बार हटाए जाने के बाद, पिछली कंप्यूटर स्थिति सिस्टम पुनर्स्थापना बिंदुओं का उपयोग करके पुनर्स्थापित करना असंभव हो जाता है। बात यह है कि रैंसमवेयर ऑपरेटर किसी भी विंडोज ओएस-आधारित तरीकों से छुटकारा पा रहे हैं जो पीड़ित को मुफ्त में फाइलों को पुनर्स्थापित करने में मदद कर सकते हैं। इसके अलावा, बदमाश Windows HOSTS फ़ाइल में डोमेन की एक सूची जोड़कर और उन्हें लोकलहोस्ट आईपी में मैप करके संशोधित करते हैं। परिणामस्वरूप, अवरुद्ध वेबसाइटों में से किसी एक तक पहुँचने पर पीड़ित को DNS_PROBE_FINISHED_NXDOMAIN त्रुटि का सामना करना पड़ेगा।

हमने देखा कि रैंसमवेयर उन वेबसाइटों को ब्लॉक करने का प्रयास करता है जो कंप्यूटर उपयोगकर्ताओं के लिए विभिन्न कैसे-कैसे मार्गदर्शिकाएँ प्रकाशित करती हैं। यह स्पष्ट है कि विशिष्ट डोमेन को प्रतिबंधित करके, बदमाश पीड़ित को प्रासंगिक और उपयोगी रैंसमवेयर-हमले से संबंधित जानकारी तक ऑनलाइन पहुंचने से रोकने की कोशिश कर रहे हैं। वायरस पीड़ित के कंप्यूटर पर दो टेक्स्ट फाइलें भी सहेजता है जो हमले से संबंधित विवरण प्रदान करती हैं – पीड़ित की सार्वजनिक एन्क्रिप्शन कुंजी और व्यक्तिगत आईडी। इन दो फाइलों को bowsakkdestx.txt और PersonalID.txt कहा जाता है।

इन सभी संशोधनों के बाद, मैलवेयर बंद नहीं होता है। STOP/DJVU के वेरिएंट्स समझौता किए गए सिस्टम पर Vidar पासवर्ड-चोरी करने वाले ट्रोजन को ड्रॉप करते हैं। इस खतरे की क्षमताओं की एक लंबी सूची है, जैसे:

स्टीम, टेलीग्राम, स्काइप लॉगिन / पासवर्ड चोरी करना;
क्रिप्टोकरेंसी वॉलेट चोरी करना;
कंप्यूटर पर मैलवेयर डाउनलोड करना और उसे चलाना;
ब्राउज़र कुकीज़, सहेजे गए पासवर्ड, ब्राउज़िंग इतिहास, और बहुत कुछ चोरी करना;
पीड़ित के कंप्यूटर पर फ़ाइलें देखना और उनमें हेरफेर करना;
हैकर्स को पीड़ित के कंप्यूटर पर अन्य कार्यों को दूरस्थ रूप से करने की अनुमति देना।

DJVU/STOP रैंसमवेयर द्वारा प्रयुक्त क्रिप्टोग्राफी एल्गोरिथ्म AES-256 है। इसलिए, यदि आपके दस्तावेज़ ऑनलाइन डिक्रिप्शन कुंजी के साथ एन्क्रिप्ट किए गए हैं, जो पूरी तरह से अलग है। दुखद वास्तविकता यह है कि अद्वितीय कुंजी के बिना फ़ाइलों को डिक्रिप्ट करना असंभव है।

यदि Held ऑनलाइन मोड में काम करता है, तो आपके लिए AES-256 कुंजी तक पहुंच प्राप्त करना असंभव है। यह Held वायरस को बढ़ावा देने वाले धोखेबाजों के स्वामित्व वाले रिमोट सर्वर पर संग्रहीत होता है।

डिक्रिप्शन कुंजी प्राप्त करने के लिए भुगतान $1999 होना चाहिए। भुगतान विवरण प्राप्त करने के लिए, पीड़ितों को ईमेल द्वारा धोखाधड़ी से संपर्क करने के लिए संदेश द्वारा प्रोत्साहित किया जाता है ([email protected])।

Held के लिए भुगतान न करें!

कृपया, उपलब्ध बैकअप या डिक्रिप्टर टूल का उपयोग करने का प्रयास करें

_readme.txt फ़ाइल यह भी इंगित करती है कि फ़ाइलों के एन्क्रिप्ट होने के समय से शुरू होने वाले 72 घंटों के दौरान कंप्यूटर मालिकों को Held प्रतिनिधियों के संपर्क में रहना चाहिए। 72 घंटे के अंदर संपर्क करने की शर्त पर यूजर्स को 50 फीसदी की छूट दी जाएगी। इस प्रकार फिरौती की राशि कम से कम $490 हो जाएगी। हालाँकि, फिरौती देने से दूर रहें!

मैं दृढ़ता से अनुशंसा करता हूं कि आप इन धोखाधड़ी से संपर्क न करें और भुगतान न करें। खोए हुए डेटा को पुनर्प्राप्त करने के लिए सबसे वास्तविक कार्य समाधान में से एक – केवल उपलब्ध बैकअप का उपयोग करना, या डिक्रिप्टर का उपयोग करें टूल.

ऐसे सभी वायरस की ख़ासियत सिफर किए गए डेटा को पुनर्प्राप्त करने के लिए अद्वितीय डिक्रिप्शन कुंजी उत्पन्न करने के लिए समान क्रियाओं का एक सेट लागू करती है।

इस प्रकार, जब तक रैंसमवेयर अभी भी विकास के चरण में नहीं है या कुछ हार्ड-टू-ट्रैक खामियां हैं, तब तक मैन्युअल रूप से सिफर किए गए डेटा को पुनर्प्राप्त करना एक ऐसी चीज है जिसे आप नहीं कर सकते। अपने मूल्यवान डेटा के नुकसान को रोकने का एकमात्र उपाय नियमित रूप से अपनी महत्वपूर्ण फाइलों का बैकअप बनाना है।

ध्यान दें कि यदि आप नियमित रूप से ऐसे बैकअप बनाए रखते हैं, तो उन्हें आपके मुख्य कार्य केंद्र से जुड़े बिना, बिना घूमे एक विशिष्ट स्थान पर रखा जाना चाहिए।

उदाहरण के लिए, बैकअप को यूएसबी फ्लैश ड्राइव या कुछ वैकल्पिक बाहरी हार्ड ड्राइव स्टोरेज पर रखा जा सकता है। वैकल्पिक रूप से, आप ऑनलाइन (क्लाउड) सूचना भंडारण की मदद का उल्लेख कर सकते हैं।

उल्लेख करने की आवश्यकता नहीं है, जब आप अपने बैकअप डेटा को अपने सामान्य डिवाइस पर बनाए रखते हैं, तो यह समान रूप से अन्य डेटा के साथ-साथ सिफर हो सकता है।

इस कारण से, अपने मुख्य पीसी पर बैकअप का पता लगाना निश्चित रूप से एक अच्छा विचार नहीं है।

मैं कैसे संक्रमित हुआ?

रैंसमवेयर में आपके सिस्टम में निर्मित करने के लिए विभिन्न तरीके हैं। लेकिन इससे कोई फर्क नहीं पड़ता कि आपके मामले में किस विधि का उपयोग किया गया था।

एक सफल फ़िशिंग प्रयास के बाद Held हमला।

फिर भी , ये सामान्य लीक हैं जिनके माध्यम से इसे आपके पीसी में इंजेक्ट किया जा सकता है:

अन्य ऐप्स के साथ छिपा हुआ इंस्टॉलेशन, विशेष रूप से फ्रीवेयर या शेयरवेयर के रूप में काम करने वाली उपयोगिताओं;
स्पैम ईमेल में संदिग्ध लिंक जो वायरस इंस्टालर की ओर ले जाता है
ऑनलाइन मुफ़्त होस्टिंग संसाधन;
पायरेटेड सॉफ़्टवेयर डाउनलोड करने के लिए अवैध पीयर-टू-पीयर (P2P) संसाधनों का उपयोग करना।

ऐसे मामले थे जब Held वायरस कुछ वैध उपकरण के रूप में प्रच्छन्न था, उदाहरण के लिए, संदेशों में कुछ अवांछित सॉफ़्टवेयर या ब्राउज़र अपडेट शुरू करने की मांग करना। आम तौर पर यह तरीका है कि कैसे कुछ ऑनलाइन धोखाधड़ी का लक्ष्य आपको मैन्युअल रूप से Held रैंसमवेयर स्थापित करने के लिए मजबूर करना है, वास्तव में आपको इस प्रक्रिया में सीधे भाग लेना है।

निश्चित रूप से, फर्जी अपडेट अलर्ट यह संकेत नहीं देगा कि आप वास्तव में रैंसमवेयर को इंजेक्ट करने जा रहे हैं। इस इंस्टॉलेशन को कुछ अलर्ट के तहत छुपाया जाएगा, जिसमें कथित तौर पर आपको Adobe Flash Player या किसी अन्य संदिग्ध प्रोग्राम को अपडेट करने का उल्लेख किया गया है।

बेशक, क्रैक किए गए ऐप्स भी नुकसान का प्रतिनिधित्व करते हैं। P2P का उपयोग करना अवैध है और इसके परिणामस्वरूप Held रैंसमवेयर सहित गंभीर मैलवेयर का इंजेक्शन लग सकता है।

संक्षेप में, आप अपने डिवाइस में Held रैंसमवेयर के इंजेक्शन से बचने के लिए क्या कर सकते हैं? भले ही आपके पीसी को खराब होने से बचाने के लिए कोई 100% गारंटी नहीं है, लेकिन कुछ सुझाव हैं जो मैं आपको Held की पैठ को रोकने के लिए देना चाहता हूं। आज ही फ्री सॉफ्टवेयर इंस्टाल करते समय आपको सावधान रहना चाहिए।

सुनिश्चित करें कि आप मुख्य मुफ्त कार्यक्रम के अलावा हमेशा वही पढ़ते हैं जो इंस्टॉलर प्रदान करते हैं। संदिग्ध ईमेल अटैचमेंट खोलने से दूर रहें। अनजान पतों की फाइलें न खोलें। बेशक, आपका वर्तमान सुरक्षा कार्यक्रम हमेशा अपडेट होना चाहिए।

मैलवेयर अपने बारे में खुलकर नहीं बोलता है। आपके उपलब्ध कार्यक्रमों की सूची में इसका उल्लेख नहीं किया जाएगा। हालांकि, यह पृष्ठभूमि में नियमित रूप से चलने वाली किसी दुर्भावनापूर्ण प्रक्रिया के तहत छुपाया जाएगा, जिस क्षण से आप अपना पीसी लॉन्च करेंगे।

Held वायरस कैसे निकालें?

पीड़ित की फाइलों को एनकोड करने के अलावा, Held वायरस ने अकाउंट क्रेडेंशियल्स, क्रिप्टोकुरेंसी वॉलेट्स, डेस्कटॉप फाइल्स, और बहुत कुछ चोरी करने के लिए कंप्यूटर पर विदर स्टीलर स्थापित करना भी शुरू कर दिया है।³

जिन कारणों से मैं HowToFix साइट से GridinSoft⁴

सेटअप फ़ाइल चलाएँ।

जब सेटअप फ़ाइल डाउनलोड करना समाप्त हो जाए, तो अपने सिस्टम पर ग्रिडिनसॉफ्ट एंटी-मैलवेयर स्थापित करने के लिए setup-antimalware-fix.exe फ़ाइल पर डबल-क्लिक करें।

एक User Account Control आपसे ग्रिडिनसॉफ्ट एंटी-मैलवेयर को आपके उपकरण में परिवर्तन करने की अनुमति देने के लिए कह रहा है। इसलिए, आपको इंस्टॉलेशन जारी रखने के लिए “हां” पर क्लिक करना चाहिए।
“इंस्टॉल करें” बटन दबाएं।
एक बार इंस्टॉल हो जाने पर, एंटी-मैलवेयर स्वचालित रूप से चलेगा।
पूरा होने की प्रतीक्षा करें।

ग्रिडिनसॉफ्ट एंटी-मैलवेयर स्वचालित रूप से आपके कंप्यूटर को Held संक्रमणों और अन्य दुर्भावनापूर्ण प्रोग्रामों के लिए स्कैन करना शुरू कर देगा। इस प्रक्रिया में 20-30 मिनट लग सकते हैं, इसलिए मेरा सुझाव है कि आप समय-समय पर स्कैन प्रक्रिया की स्थिति की जांच करें।
“अभी साफ करें” पर क्लिक करें।

जब स्कैन पूरा हो गया है, तो आप उन संक्रमणों की सूची देखेंगे जिन्हें ग्रिडिनसॉफ्ट एंटी-मैलवेयर ने पाया है। उन्हें हटाने के लिए दाएं कोने में “क्लीन नाउ” बटन पर क्लिक करें।