Что такое STOP Ransomware и как предотвратить будущие атаки (04.25.24)

Только представьте себе такой сценарий. Вы работаете на своем устройстве, а потом вдруг кажется, что он тормозит. Или, возможно, вы не можете получить доступ к важным файлам, которые были ранее доступны; вы можете получать сообщения об ошибках, в которых сообщается, что Windows не может открыть файл или тип файла неизвестен. Как бы то ни было, все эти переживания разочаровывают. Еще хуже, когда причиной проблемы являются атаки программ-вымогателей. В этом посте мы обсудим, как остановить эту угрозу, особенно программу-вымогатель STOP.

Вирус STOP - один из последних и наиболее распространенных вариантов крипто-вредоносного ПО. Впервые он был обнаружен в 2017 году, но с тех пор появились новые варианты. Собственно, новые версии вымогателей появляются почти каждый месяц. Пользователи были свидетелями файлов со странными расширениями, такими как .keypass, .shadow, .todar, .lapoi, .daris, .tocue, .gusau, .docdoc, .madek, .novasof, .djvuu и многими другими расширениями. Но наиболее активными из них являются программы-вымогатели Djvu и программы-вымогатели Keypass.

Обзор вируса STOP

Вирус использует комбинацию алгоритмов RSA и AES для шифрования данных, а затем добавляет расширение файла .STOP, что делает невозможным открытие или используйте эти данные. Он может блокировать видео, изображения, документы, музыку и другие файлы. Вымогатели хотят, чтобы вы заплатили выкуп за восстановление этих файлов.

По недавним оценкам исследователей безопасности, вирус поразил более полумиллиона жертв по всему миру. В среднем вирус требует выкуп в размере 300-600 долларов за расшифровку данных. Эта вредоносная полезная нагрузка обычно распространяется через взлом программного обеспечения, генераторы ключей, вложения электронной почты и такие инструменты, как KMSPico.

Заражение опасным вирусом STOP может привести к серьезным проблемам с безопасностью. К счастью, в это руководство по удалению вирусов STOP мы включим некоторые инструменты, которые вы можете использовать для предотвращения атак программ-вымогателей. Некоторые жертвы восстановили свои файлы с помощью Djvu STOP Ransomware Decryptor and Removal. Это инструмент, разработанный Emsisoft и Майклом Гиллеспи, который способен расшифровать более 100 вариантов вируса.

Обзор угроз

Название: STOP ransomware

Категория: Cryptovirus

Технология шифрования: AES и RSA-1024

Варианты: .STOP, .WAITING, .SUSPENDED, .CONTACTUS, .KEYPASS, .PAUSA, .DATASTOP, .DATAWAIT, .WHY, .INFOWAIT, .SAVEfiles, .puma, .shadow. , .djvuu, .djvu, .udjvu, .djvus, .uudjvu, .charck, .chech ,. Kroput1, .kropun, .doples, .luceq, .luces, .proden, .daris, .tocue, .lapoi, .pulsar1, .docdoc, .gusau, .todar, .ntuseg, .madek и другие.

Сообщения о выкупе : !!! YourDataRestore !!! txt, !! RestoreProcess !!!. txt, !!! DATA_RESTORE !!!. txt, !!! WHY_MY_FILES_NOT_OPEN !!!. txt, !!!! RESTORE_FILES !!!. txt, !! SAVE_FILES_INFO !!!. txt . Обычно эти файлы появляются на вашем рабочем столе после завершения шифрования файлов.

Выкуп: сумма варьируется от 300 до 600 долларов. Иногда мошенники могут предложить скидку 50% тем, кто прислушается к их призыву в течение 72 часов.

Контактные адреса электронной почты: [адрес электронной почты защищен]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; [электронная почта защищена]; и [электронная почта защищена]

Методы распространения: взломанные веб-сайты, мошеннические вложения электронной почты, атаки методом перебора, взломы, эксплойты и генераторы ключей.

Модификация системы : вирус может изменять реестр Windows, удалять теневые копии томов, создавать запланированные задачи и запускать / останавливать некоторые процессы, среди прочих изменений.

Удаление: Чтобы избавиться от этого вируса, запустите полное сканирование системы с помощью мощной программы защиты от вредоносных программ. Кроме того, вам необходимо разблокировать файлы с помощью надежного дешифратора. Большинство версий можно расшифровать.

ОСТАНОВИТЬ варианты программ-вымогателей

Как упоминалось ранее, со временем возникают новые варианты угрозы. Одна из его распространенных версий - программа-вымогатель Djvu, которую можно идентифицировать по нескольким ее расширениям, включая .djvu, .udjvu, .djvus, .uudjvu, .djvur и .djvuq. Помимо программы-вымогателя Djvu, другие новые и популярные варианты вредоносного ПО включают:

  • программу-вымогатель CONTACTUS
  • программу-вымогатель SaveFiles
  • программу-вымогатель Keypass
  • Программа-вымогатель Puma
  • Приостановленная программа-вымогатель
  • Программа-вымогатель Shadow

В декабре 2019 года было представлено несколько новых вариантов. К ним относятся .nawk, .kodg, .toec, .coot, .mosk, .derp, .lokf, .mbed, .peet, .meka, .rote, .righ, .zobm, .grod, .merl, .mkos, .msop и .nbes. По состоянию на январь 2020 года также было обнаружено несколько дополнительных вариантов. Наиболее известные из них: .kodc, .alka, .topi, .npsg, .reha, .repp и .nosu.

Как вирус STOP может попасть на ваш компьютер

Вирус обычно распространяется через спам-сообщения с вредоносными вложениями. С помощью социальной инженерии хакеры могут обманом заставить пользователей открывать вредоносные вложения, тем самым позволяя вредоносному ПО проникнуть в свои системы. Тем не менее, вы можете легко обнаружить эти письма по следующим признакам:

  • Вы не ожидали получить подобное письмо. Например, вы можете получить электронное письмо от Amazon, но вы ничего не заказали в магазине.
  • В электронном письме полно предложений или ошибок странной структуры.
  • В электронном письме отсутствуют такие учетные данные, как логотип или подпись компании.
  • У электронного письма нет ни заголовка, ни текста. Он включает только вложение. Иногда в электронном письме может быть предложено проверить информацию в прикрепленных документах.
  • Адрес электронной почты отправителя кажется подозрительным.

Помимо спама, вирус также может проникнуть в вашу систему, если вы загрузите поврежденную программу или ее обновление, нажмете на вредоносную рекламу или при помощи других аналогичных методов. Поэтому для пользователей Интернета крайне важно научиться определять потенциальные опасности, которые могут таиться в сети.

Как остановить атаки программ-вымогателей?

Оплата запрошенного выкупа - не самый эффективный способ решить проблему, созданную вирусом STOP. Фактически, вы только поощряете злоумышленников продолжать распространение криптовируса, если заплатите выкуп. Поэтому вместо того, чтобы платить выкуп, спланируйте немедленное избавление от вируса, а затем найдите другие эффективные способы восстановления ваших данных.

Вариант 1. Удалите вирус STOP вручную Шаг 1. Загрузите компьютер в безопасном режиме.

Запуск вашего компьютера в безопасном режиме позволит вам изолировать все файлы, на которые воздействует программа-вымогатель, чтобы их можно было безопасно удалить. Вирус STOP может заблокировать доступ к вашему программному обеспечению безопасности, которое необходимо для избавления от вируса. В этой ситуации вы можете повторно активировать вирус, только загрузившись в безопасном режиме с загрузкой сетевых драйверов. Чтобы загрузить компьютер в безопасном режиме, следуйте инструкциям ниже:

  • Одновременно нажмите клавиши Windows и R , чтобы открыть команду Выполнить window.
  • Когда появится окно, введите в него msconfig , а затем нажмите Enter
  • Подождите, пока Появится окно Конфигурация , затем перейдите на вкладку Загрузка .
  • Установите флажок Безопасная загрузка и сделайте то же самое. для параметра Сеть тоже.
  • Нажмите Применить , а затем ОК , чтобы активировать настройки.
    • Шаг 2. Отображение скрытых файлов

    Как часто бывает, программы-вымогатели могут скрывать некоторые из своих вредоносных файлов в вашей системе. По этой причине вы должны показать все скрытые файлы. Вот как это сделать:

  • Перейдите в Мой компьютер или Этот компьютер , в зависимости от того, как он назван на вашем компьютере.
  • Если вы используете Windows 7, нажмите кнопку Упорядочить , затем выделите Папка и параметры поиска . Затем вы можете перейти на вкладку Просмотр , затем перейти в раздел Скрытые файлы и папки и установить флажок Показывать скрытые файлы и папки .
  • В Windows 8/10 перейдите непосредственно на вкладку Просмотр , затем установите флажок Скрытые элементы .
  • Теперь нажмите Применить , а затем ОК .
    • Шаг 3. Используйте диспетчер задач, чтобы остановить вредоносные процессы.

    Чтобы открыть диспетчер задач, используйте сочетание клавиш CTRL + Shift + ESC , затем выполните следующие действия:

  • Перейдите на вкладку Процессы . .
  • Найдите все подозрительные процессы, затем щелкните каждый из них правой кнопкой мыши и выберите Местоположение открытого файла .
  • После этого вернитесь к окно диспетчера задач и завершите вредоносные процессы. Для этого щелкните подозрительный процесс правой кнопкой мыши и выберите Завершить процесс .
  • Чтобы полностью избавиться от него, перейдите в папку, в которой находится подозрительный файл, и удалите файл оттуда.
    • Шаг 4. Восстановите реестр Windows

    Чтобы удалить недопустимые записи в реестре Windows, выполните следующие действия:

  • Используйте сочетание клавиш Windows + R , чтобы открыть окно Выполнить .
  • Введите regedit в поле поиска и нажмите Введите .
  • Теперь нажмите сочетание клавиш CTRL + F , затем введите имя вредоносного файла в поле поиска, чтобы найти файл.
  • Если вы обнаружите какой-либо раздел реестра и значение, связанное с этим именем файла, удалите их. Но вы должны быть осторожны, чтобы не удалить законные ключи.
    • Шаг 5: Восстановление зашифрованных файлов

    Есть несколько способов восстановить некоторые потерянные данные. Вот самые распространенные.

    1. Используйте текущие резервные копии

    Обычно рекомендуется хранить резервную копию наиболее ценных данных на внешнем диске или в облачном хранилище. Таким образом, вы можете быстро восстановить свои файлы, если они были уничтожены, повреждены или украдены.

    2. Используйте функцию восстановления системы

    В качестве альтернативы вы можете использовать утилиту восстановления системы, чтобы вернуться к предыдущей рабочей точке. Этот вариант будет возможен только в том случае, если вы создали точки восстановления до заражения, то есть вы не можете восстанавливать файлы и приложения, которые были представлены позже.

    Чтобы восстановить файлы с помощью утилиты восстановления системы, выполните следующие действия:

  • Нажмите кнопку Windows и введите восстановление системы в в поле поиска и нажмите Enter
  • Теперь выберите Открыть восстановление системы и следуйте инструкциям, которые следуют далее. Этот вариант будет отображаться, если у вас есть активная точка восстановления.
    • 3. Использование истории файлов

    Вот как это происходит:

  • Перейдите в Пуск и введите в поле поиска «Восстановить файлы».
  • Вы увидите параметр Восстановить файлы с помощью истории файлов .
  • Щелкните по нему, а затем введите имя файла в строку поиска или просто выберите папку.
  • Нажмите кнопку Восстановить .
    • 4. Используйте профессиональные инструменты восстановления

    Специальное программное обеспечение для восстановления может восстанавливать данные, разделы, фотографии, документы и более 300 типов файлов, которые могли исчезнуть во время атаки. Одним из наиболее эффективных решений для восстановления является инструмент Djvu STOP Ransomware Decryptor and Removal.

    Согласно Emsisoft, этот инструмент может восстановить данные более 70% всех жертв. К сожалению, новые варианты вируса продолжают появляться, поэтому инструмент может расшифровать только файлы, заблокированные офлайн-ключами. В большинстве случаев для извлечения автономных ключей требуется время.

    Как узнать, использовались ли автономные или сетевые ключи при шифровании?

    Если вирус STOP заразил ваш компьютер после августа 2019 года, вам необходимо выяснить, использовались ли автономные или сетевые ключи для шифрования? хакеры использовали онлайн- или офлайн-ключи для шифрования ваших файлов.

    Последняя версия программы-вымогателя обычно шифрует файлы с помощью сетевых ключей, если она может подключиться к своему Command & amp; Сервер управления во время атаки. Но если это невозможно, он будет использовать автономный ключ. Ключ обычно один и тот же для всех жертв определенного варианта программы-вымогателя.

    Если программа-вымогатель шифрует файлы с помощью автономного ключа, у вас больше шансов на немедленное восстановление всех ваших данных. К сожалению, этого нельзя сказать об онлайн-ключах. Чтобы узнать, какие ключи вымогатель использует для шифрования ваших файлов, выполните следующие действия:

  • Перейдите к C: disk и откройте SystemID . папка.
  • Оказавшись там, запустите файл PersonalID.txt , а затем проверьте все ключи, перечисленные в нем.
  • Если какой-либо из ключей оканчивается на t1 , можно восстановить некоторые данные.
    • Вариант 2. Удалить STOP Virus автоматически

    Как правило, удаление вируса STOP вручную требует знания реестров и системных файлов. Эта киберугроза может изменить ваш реестр, создать новые ключи, помешать законным процессам или даже установить вредоносные файлы. Поэтому ручное удаление может быть не самым эффективным способом обратить вспять ущерб и избавиться от всех следов этого вируса.

    Киберугроза включает в себя несколько файлов и компонентов, которые напоминают легитимные системные процессы. Таким образом, обнаружение и удаление некоторых записей может привести к повреждению вашего компьютера, что еще больше ухудшит ситуацию. Вот почему вы должны использовать профессиональные инструменты безопасности для удаления вируса STOP. Загрузите надежный инструмент, например Outbyte Anti-malware , чтобы просканировать вашу систему на наличие вирусов и удалить его.

    Если вирус отключает или блокирует доступ к вашим решениям безопасности, попробуйте загрузить компьютер в безопасном режиме, а затем запустить антивирусную программу для обнаружения и удаления вируса. После того, как вы избавились от вируса STOP, вы можете экспортировать необходимые файлы из облачного хранилища или подключить внешний диск с резервными копиями.

    Как предотвратить атаки программ-вымогателей?

    Большинство хакеров соблазняются быстрые и легкие полезные нагрузки, которые предлагает вымогатель. Проблема с этими атаками заключается в том, что они выходят за рамки кражи ваших денег. Они могут скрыть вашу ценную информацию, такую ​​как имена пользователей и пароли, личные идентификационные номера и банковские реквизиты, подвергая вас большему риску. А если вы находитесь в сети, каждое устройство в этой сети подвергается риску.

    Программы-вымогатели могут проникнуть на ваши компьютеры, планшеты и даже смартфоны. Итак, если вы думали, что ваше устройство iOS защищено от программ-вымогателей, вам следует знать. Как правило, все устройства уязвимы для атак программ-вымогателей, только некоторые из них более уязвимы, чем другие.

    Пользователи iOS, как правило, безопаснее, чем пользователи других устройств, но вы все равно можете столкнуться с программами-вымогателями, если взломали свое устройство. Один из методов, которые мошенники используют для проведения атак программ-вымогателей, - это получение учетных данных iCloud для пользователей iOS, блокировка их устройств, а затем отображение на них сообщения с требованием выкупа.

    Так что не ждите, пока ОСТАНОВИТЕ вирус, чтобы проникнуть в вашу систему. С ростом числа таких атак вы должны уделять первоочередное внимание предотвращению. Вот распространенные способы защиты от атак программ-вымогателей:

    1. Создайте резервную копию ваших важных файлов

    Регулярно создавайте резервные копии компьютера, чтобы свести к минимуму потери данных. Вы можете хранить эти файлы локально в автономной системе или в облаке. Благодаря этой мере ваша информация будет сохранена в надежном месте, защищенном от хакеров. Кроме того, вы можете легко восстановить свои файлы, даже если ваше устройство заражено программой-вымогателем.

    2. Избегайте требований к установке всплывающих окон

    Вы всегда должны относиться к всплывающим окнам как к своему врагу, особенно если вы получаете их при подключении к Интернету. Если вы получили всплывающее окно с просьбой загрузить или обновить плагин, немедленно закройте его. Это может быть вредоносный img, пытающийся проникнуть на ваше устройство с помощью программы-вымогателя.

    3. Обновите свой антивирус

    Чтобы защитить себя от беспощадных программ-вымогателей, установите высококачественную антивирусную программу. Каждый месяц выпускаются новые варианты программ-вымогателей, поэтому вам необходимо регулярно обновлять антивирусную программу.

    4. Будьте осторожны при переходе по ссылкам

    Как вы, возможно, уже знаете, фишинговые атаки по-прежнему являются основным средством распространения вируса STOP. Поэтому вам следует проверять imgs-образы электронной почты, прежде чем нажимать на любую ссылку или вложение в этих электронных письмах, даже если они кажутся безвредными.

    5. Избегайте пиратских приложений

    Хотя существует несколько законных торговых площадок для программного обеспечения для ПК, сторонние магазины приложений имеют репутацию точек доступа хакеров. Поэтому при установке приложений лучше использовать надежные imgs, такие как Apple App Store, Microsoft Store или Google Play Store.

    6. Обновляйте свои приложения и операционные системы.

    Программы-вымогатели часто используют уязвимости системы безопасности, поэтому мы не перестаем подчеркивать, насколько важно поддерживать ваш компьютер в актуальном состоянии. Не забывайте регулярно устанавливать исправления и обновления для системы безопасности.

    7. Создание точек восстановления и восстановления

    Если вы являетесь пользователем Windows, создавайте точки восстановления с помощью функции восстановления системы. В случае, если вирус зашифрует некоторые из ваших файлов, вы можете вернуться к предыдущей рабочей точке.

    8. Обеспечьте надежную защиту паролем

    Статистика показывает, что обычный пользователь компьютера использует одни и те же учетные данные для входа на несколько сайтов. Еще больше беспокоит то, что треть из них использует очень слабый пароль, что еще больше упрощает проникновение хакеров. Конечно, не всегда легко запомнить несколько паролей для разных учетных записей, но вы можете решить эту проблему, используя систему управления паролями.

    9. Блокируйте подозрительные адреса электронной почты на своем сервере

    Вы можете отфильтровать подозрительные электронные письма, отклоняя все письма с исполняемыми вложениями. Вы также можете улучшить это, настроив свой почтовый сервер на отклонение адресов от известных спамеров. Даже если у вас нет собственного почтового сервера, ваша служба безопасности, скорее всего, позволит вам фильтровать входящую почту.

    Вы даже можете повысить безопасность электронной почты, добавив антивирусный контроль на уровне почтового сервера. Установите антивирусную программу на свой почтовый сервер, чтобы она работала в качестве защиты.

    10. Блокировка уязвимых подключаемых модулей

    Киберпреступники могут использовать несколько подключаемых модулей, чтобы проникнуть на ваш компьютер. Наиболее распространенными из них являются Flash и Java, поскольку они легко поддаются атаке и являются стандартными для большинства сайтов. По этой причине старайтесь регулярно их обновлять. Кроме того, вы можете полностью заблокировать их.

    Заключительные мысли

    Надеюсь, наше руководство по удалению STOP Virus помогло вам восстановить украденные файлы. Даже после восстановления системы мы рекомендуем сканировать ее с помощью мощной программы защиты от вредоносных программ. В большинстве случаев вы не найдете остатков вредоносного ПО, но перепроверьте.

    Кроме того, мы настоятельно рекомендуем не допускать попадания программ-вымогателей на ваш компьютер. Поэтому не забывайте практиковаться в безопасном серфинге, оставаться в курсе, часто делать резервные копии файлов, поддерживать антивирус в актуальном состоянии и устанавливать приложения из надежных imgs.

    YouTube видео: Что такое STOP Ransomware и как предотвратить будущие атаки

    04, 2024