Saltar al contenido

Ya disponible un decrypter para el ransomware STOP (Djvu)

Emsisoft decryptor - Ya disponible un decrypter para el ransomware STOP (Djvu)

Buenas noticias hoy! Hace ya algún tiempo venimos hablando en esta web sobre el ransomware STOP y sus diferentes variantes. En este post varios usuarios han reportado en los últimos meses haber sido víctimas de la variante Djvu, de la misma familia.

El ransomware STOP tiene múltiples caras y es uno de los más activos en los últimos tiempos, habiendo infectado a decenas de miles de usuarios en todo el mundo. Se ha distribuído normalmente mediante programas pirateados, adware y software gratis.

La mayoría de las víctimas han aparecido en Europa, aunque ha afectado al mundo entero.

Este “ransom” ha conseguido superar en infecciones a todo lo anteriormente conocido, incluyendo Dharma, Cerber o Locky.

Decrypter disponible para 148 variantes del ransomware STOP

Es una gran noticia no tener que decir automáticamente eso de “aún no hay novedades” porque sí que las hay y son buenas, pero antes de que vuele el entusiasmo es necesario dejar claro que si fuiste afectado posteriormente al 19 de Agosto de 2019, este decrypter no te va a servir.

Bien, si este fuera el caso aún podría intentarse descifrar el ransomware mediante una clave offline.

Requisitos

Antes de proceder verificaremos, lo primero, que hemos sido afectados por el ransomware STOP. Podemos usar servicios como IDRansomware o CryptoSheriff.

El aspecto de la ransom note de STOP/Djvu es similar a este:

ATTENTION!
Don't worry my friend, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-oEUEuysYiZ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
vengisto@firemail.cc
Reserve e-mail address to contact us:
vengisto@india.com
Support Telegram account:
@datarestore
Your personal ID:
070bfydGdbfsfCuKTg0kzQEXr1ewwlkMM3sl8ZzT1uEg7811p2t1

Si tus archivos han sido afectados posteriormente a Agosto de 2019 es muy probable que hayas sido afectado por una variante posterior del ransowmare que no permite recuperar los ficheros con el par de archivos sano e infectado.

En estos casos el propio programa te informará de que solo es posible (quizá) mediante alguna clave offline que haya ido a parar a manos de Emsisoft.

Emsisoft decryptor 2

Ahora comprobaremos que la extensión de nuestros ficheros se encuentra en esta lista:

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

En caso de estar afectados por las siguientes extensiones deberemos descargar el Puma decryptor:

  • .puma
  • .pumas
  • .pumax

Envío de un fichero

Sin embargo, antes de poder utilizarlo deberemos entrenar al servicio y para ello es necesario que accedamos a su sitio web de envío de muestras para facilitar:

  • 1 Archivo sano
  • 1 archivo infectado (la versión infectada del anterior)

Esto deberemos hacerlo una vez para cada tipo de archivo afectado: docx, xls, html, txt, etcétera. El tamaño deberá ser de al menos 150 Kb.

Una vez se hayan procesado nuestros ficheros veremos una confirmación como la que sigue:

Ahora descargaremos el software de recuperación de archivos cifrados, disponible en la web de Emsisoft. Si quieres saber como utilizar el software puedes leer el tutorial.

Seleccionaremos la ruta de nuestros archivos afectados o escogeremos una unidad de disco al completo. Es importante mantener una conexión a internet activa en todo momento.

Proceso concluido con éxito

Finalmente, si durante el proceso observamos fallos con algún tipo de archivo concreto, intentaremos “entrenar” al servidor remoto para que lo reconozca enviando las muestras como ya he comentado. Suerte!

Fuentes: Bleepingcomputer / Emsisoft

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

3 comentarios sobre “Ya disponible un decrypter para el ransomware STOP (Djvu) Deja un comentario

  1. mi problema es que me encripto con,mbed, así que como no puedo estar sin pensar,decidí hacerle daño a la humanidad, ya que eliminar al 99.9 de los humanos, es posible, para que se recupere el planeta en 1000 años, lo que hicieron estos tontos, los llevará a aprender que el dinero no se come.
    .

    Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: