Ya disponible un decrypter para el ransomware STOP (Djvu)

Buenas noticias hoy! Hace ya algún tiempo venimos hablando en esta web sobre el ransomware STOP y sus diferentes variantes. En este post varios usuarios han reportado en los últimos meses haber sido víctimas de la variante Djvu, de la misma familia.

El ransomware STOP tiene múltiples caras y es uno de los más activos en los últimos tiempos, habiendo infectado a decenas de miles de usuarios en todo el mundo. Se ha distribuído normalmente mediante programas pirateados, adware y software gratis.

La mayoría de las víctimas han aparecido en Europa, aunque ha afectado al mundo entero.

• 

• 

Este «ransom» ha conseguido superar en infecciones a todo lo anteriormente conocido, incluyendo Dharma, Cerber o Locky.

Decrypter disponible para 148 variantes del ransomware STOP

Es una gran noticia no tener que decir automáticamente eso de «aún no hay novedades» porque sí que las hay y son buenas, pero antes de que vuele el entusiasmo es necesario dejar claro que si fuiste afectado posteriormente al 19 de Agosto de 2019, este decrypter no te va a servir.

Bien, si este fuera el caso aún podría intentarse descifrar el ransomware mediante una clave offline.

Requisitos

Antes de proceder verificaremos, lo primero, que hemos sido afectados por el ransomware STOP. Podemos usar servicios como IDRansomware o CryptoSheriff.

El aspecto de la ransom note de STOP/Djvu es similar a este:

ATTENTION!
 Don't worry my friend, you can return all your files!
 All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
 The only method of recovering files is to purchase decrypt tool and unique key for you.
 This software will decrypt all your encrypted files.
 What guarantees you have?
 You can send one of your encrypted file from your PC and we decrypt it for free.
 But we can decrypt only 1 file for free. File must not contain valuable information.
 You can get and look video overview decrypt tool:
 https://we.tl/t-oEUEuysYiZ
 Price of private key and decrypt software is $980.
 Discount 50% available if you contact us first 72 hours, that's price for you is $490.
 Please note that you'll never restore your data without payment.
 Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
 To get this software you need write on our e-mail:
 vengisto@firemail.cc
 Reserve e-mail address to contact us:
 vengisto@india.com
 Support Telegram account:
 @datarestore
 Your personal ID:
 070bfydGdbfsfCuKTg0kzQEXr1ewwlkMM3sl8ZzT1uEg7811p2t1

Si tus archivos han sido afectados posteriormente a Agosto de 2019 es muy probable que hayas sido afectado por una variante posterior del ransowmare que no permite recuperar los ficheros con el par de archivos sano e infectado.

En estos casos el propio programa te informará de que solo es posible (quizá) mediante alguna clave offline que haya ido a parar a manos de Emsisoft.

Ahora comprobaremos que la extensión de nuestros ficheros se encuentra en esta lista:

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

En caso de estar afectados por las siguientes extensiones deberemos descargar el Puma decryptor:

• .puma
• .pumas
• .pumax

Envío de un fichero

Sin embargo, antes de poder utilizarlo deberemos entrenar al servicio y para ello es necesario que accedamos a su sitio web de envío de muestras para facilitar:

• 1 Archivo sano
• 1 archivo infectado (la versión infectada del anterior)

Esto deberemos hacerlo una vez para cada tipo de archivo afectado: docx, xls, html, txt, etcétera. El tamaño deberá ser de al menos 150 Kb.

Una vez se hayan procesado nuestros ficheros veremos una confirmación como la que sigue:

Ahora descargaremos el software de recuperación de archivos cifrados, disponible en la web de Emsisoft. Si quieres saber como utilizar el software puedes leer el tutorial.

Seleccionaremos la ruta de nuestros archivos afectados o escogeremos una unidad de disco al completo. Es importante mantener una conexión a internet activa en todo momento.

Finalmente, si durante el proceso observamos fallos con algún tipo de archivo concreto, intentaremos «entrenar» al servidor remoto para que lo reconozca enviando las muestras como ya he comentado. Suerte!

Fuentes: Bleepingcomputer / Emsisoft