STOP Ransomware

STOP Ransomware Beskrivelse

Type: Ransomware

STOP Ransomware-skærmbillede PC-sikkerhedsforskere modtog rapporter om ransomware-angreb, der involverede en trussel kendt som STOP Ransomware den 21. februar 2018. STOP Ransomware er baseret på en open source-ransomware-platform og udfører en typisk version af et krypteringsransomware-angreb. STOP Ransomware distribueres ved hjælp af spam-e-mail-beskeder, der indeholder beskadigede vedhæftede filer. Disse vedhæftede filer har form af DOCX-filer med indlejrede makro-scripts, der downloader og installerer STOP Ransomware på offerets computer. At lære at genkende phishing-e-mails og undgå at downloade eventuelle modtagne uønskede vedhæftede filer er en af måderne til at undgå disse angreb.

Sådan genkendes en STOP-ransomware-infektion

Når STOP Ransomware er installeret på offerets computer, vil STOP Ransomware søge offerets drev efter en bred vifte af filtyper, generelt på udkig efter brugergenererede filer såsom billeder, mediefiler og mange andre dokumenttyper. STOP Ransomware ser ud til at være konstrueret til at målrette webservere, da det ser efter databasefiler og lignende filtyper, der normalt er indeholdt i disse maskiner eksplicit. De filtyper, som STOP Ransomware vil søge efter og målrette mod i sit angreb, inkluderer:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Denne uge i Malware Ep 10: STOP & Zorab Ransomware udnytter ofre med falsk decryptor

STOP Ransomware bruger en stærk krypteringsalgoritme til at gøre hver af ofrets filer utilgængelige. STOP Ransomware-angrebet tilføjer filtypenavnet '.SUSPENDED' til de filer, det krypterer, som en måde at markere de berørte filer på.

STOP Ransomware's Ransom Note

STOP Ransomware kræver en løsesumbetaling ved at levere en løsepenge til offerets computer. Denne løsesumnote vises i en tekstfil, der er faldet på ofrets skrivebord. Filen, der hedder '!!! YourDataRestore !!!. Txt, 'indeholder meddelelsen:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .STOP udvidelse er krypteret. Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere software, skal du kontakte os via e-mail stopfilesrestore@bitmessage.ch send os en e-mail din !!! YourDataRestore !!!. Txt-fil og vent på yderligere instruktioner.
For at du kan være sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 enhver ikke særlig stor krypteret sende dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[RANDOM CHARCTERS]
E-mail-adresse for at kontakte os:
stopfilesrestoret@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
stopfilesrestore@india.com '

De personer, der er ansvarlige for STOP Ransomware, kræver en løsesumbetaling på 600 USD, der skal betales ved hjælp af Bitcoin til en bestemt Bitcoin-tegnebogadresse og inden for 72 timer. At kontakte disse mennesker eller betale STOP Ransomware-løsepenge er muligvis ikke den bedste løsning.

Beskyttelse af dine data fra STOP Ransomware og andre Ransomware Trojans

Den bedste beskyttelse mod STOP Ransomware og andre ransomware trojanske heste er at have sikkerhedskopier af filer. Computerbrugere, der har sikkerhedskopier af deres filer, kan nemt gendanne disse filer efter et angreb uden at skulle ty til at betale løsesummen. Et anbefalet sikkerhedsprogram kan også forhindre, at STOP Ransomware installeres i første omgang.

Opdater 6. december 2018 - 'helpshadow@india.com' Ransomware

Ransomware 'helpshadow@india.com' er kategoriseret som en forholdsvis lille opdatering af koden, der bærer STOP Ransomware-mærket. Trusselforfatterne ser ikke ud til at have afsat nok tid til at polere den nye variant, da den fik et lavt infektionsforhold. 'Helpshadow@india.com' Ransomware blev hurtigt hentet af AV-leverandører, og alarmer er blevet udsendt gennem større sociale platforme og cybersikkerhedsrapporter. Desværre er der endnu ingen mulighed for gratis dekryptering. Brugere kompromitteres typisk gennem et beskadiget dokument modtaget via e-mail. Truslen er kendt for at slette Shadow Volume-snapshots oprettet af Windows og vedhæfte udvidelsen '.shadow' til de krypterede objekter. For eksempel omdøbes 'C12-H22-O11.pptx' til 'C12-H22-O11.pptx.shadow', og en løsesumnote kaldet '! Readme.txt' vises på skrivebordet. Ransomware'en 'helpshadow@india.com' viser sandsynligvis følgende meddelelse til de inficerede brugere:

'ALLE DINE FILER ER Krypteret
Bare rolig, du kan returnere alle dine filer!
Alle dine filer dokumenter, fotos, databaser og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier giver vi dig?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger
Forsøg ikke at bruge tredjeparts dekrypteringsværktøjer, fordi det ødelægger dine filer.
Rabat på 50%, hvis du kontakter os de første 72 timer.
For at få denne software skal du skrive på vores e-mail:
helpshadow@india.com
Reserver e-mail-adresse for at kontakte os:
helpshadow@firemail.cc
Dit personlige id:
[tilfældige tegn] '

Teksten vist ovenfor bruges af varianter, der er frigivet tidligere end 'helpshadow@india.com' Ransomware, og den eneste ændring, der er værd at bemærke, er den nye e-mail-konfiguration. Ransomware 'helpshadow@india.com' er opkaldt efter en af e-mail-kontakterne, og den anden henviser brugerne til det samme brugernavn, men på en anden e-mail-platform - 'helpshadow@firemail.cc.' Begge e-mail-konti vil sandsynligvis blive lukket, når denne artikel når dig. Chancerne for at fange den, der står bag helpshadow@india.com 'Ransomware, er ikke store i betragtning af at ransomware-operatørerne bruger proxyer, VPN-tjenester og TOR-netværket til at skjule deres kontrolenheder. Derfor skal brugerne være proaktive i forsvaret af deres data. Trin nummer et - installer et sikkerhedskopiprogram på dit system; trin nummer to - åbn ikke filer fra ukendte afsendere. Husk at eksportere dine sikkerhedskopier til en flytbar hukommelseslager eller en filhostingtjeneste.

Opdater 13. december 2018 - '.djvu File Extension' Ransomware

'.Djvu File Extension' Ransomware er en ny variant af STOP Ransomware, der blev rapporteret den 12. december 2018. Computersikkerhedsforskere kategoriserer '.djvu File Extension' Ransomware som en lille opdatering til de tidligere udgivelser af STOP Ransomware og advare om, at truslen stadig distribueres primært via spam-e-mails. Trusselsaktørerne har brugt makroaktiverede dokumenter og falske PDF-filer til at narre brugerne til at installere deres program lydløst. Angrebene med '.djvu File Extension' Ransomware er næsten de samme som den første bølge af infektioner i februar 2018. Truslen sletter Shadow Volume snapshots og kort forbundet til hukommelsesdrev, før den krypterer brugerens data. Den nye variant understøtter en anden filtypenavn, og løsesumnoten ændres lidt. Som navnet antyder, modtager filerne suffikset '.djvu', og noget lignende 'Jonne-Kaiho.mp3' omdøbes til 'Jonne-Kaiho.mp3.djvu.' Løsepenge noten kan ses på skrivebordet som '_openme.txt' og lyder:

'ALLE DINE FILER ER Krypteret
Bare rolig, du kan returnere alle dine filer!
Alle dine filer dokumenter, fotos, databaser og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier giver vi dig?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger
Forsøg ikke at bruge tredjeparts dekrypteringsværktøjer, fordi det ødelægger dine filer.
Rabat på 50%, hvis du kontakter os de første 72 timer.
For at få denne software skal du skrive på vores e-mail:
helpshadow@india.com

Reserver e-mail-adresse for at kontakte os:
helpshadow@firemail.cc

Dit personlige id:
[tilfældige tegn] '

Trusselforfatterne fortsætter med at bruge 'helpshadow@india.com' og 'helpshadow@firemail.cc' e-mail-konti til deres ransomware-kampagne. Stol ikke på STOP Ransomware-teamet og undgå at bruge den falske 50% rabat, der er nævnt ovenfor. De trusselsaktører, der diskuteres her, er ikke kendt for deres lempelighed. PC-brugere skal fjerne '.djvu File Extension' Ransomware ved hjælp af et pålideligt anti-malware-instrument. Det er bedst at bruge backup-billeder og backup-tjenester til at gendanne dine data.

Opdater 11. januar 2019 - '.tfude File Extension' Ransomware

'.Tfude File Extension' Ransomware er en version af STOP Ransomware, der kom ud den 11. januar 2019. Truslen er klassificeret som en version, der udviser minimale ændringer i forhold til den oprindelige cybertrussel. '.Tfude File Extension' Ransomware er opkaldt efter den eneste bemærkelsesværdige ændring i dens beskadigede kode. Trojanen er konfigureret til at vedhæfte filtypenavnet '.tfude' til krypterede data. Ransomware '.tfude File Extension' bruger fortsat standardkrypteringsteknologier og sikre forbindelser til Command-serverne, der forhindrer sikkerhedsspecialister i at tilbyde gratis dekryptering til kompromitterede brugere.

Kryptotruslen ved hånden bruger krypteringsteknologier, som offentlige agenturer og virksomheder som Google Inc. anvender for at sikre datatransmission. De krypterede filer vises i Windows Explorer som generiske hvide ikoner, og de programmer, brugeren har installeret, forbliver funktionelle. Visse databaseadministratorer fungerer muligvis ikke korrekt, da truslen koder for populære databaseformater. For eksempel omdøbes 'Recent sales.pdb' til 'Recent sales.pdb.tfude.' Løsepenge noten er indlæst i notesblokken fra filen '_openme.txt', som kan findes på skrivebordet. '.Tfude File Extension' Ransomware tilbyder den samme besked som den originale Trojan, men denne gang bruger trusselsaktørerne e-mail-kontoen 'pdfhelp@firemail.cc' til at nå ud til brugerne. Der er ingen gratis decryptor tilgængelig for brugerne, og du bliver nødt til at bruge sikkerhedskopier af data for at gendanne. Du bliver nødt til at rense de inficerede enheder ved at køre en komplet systemscanning med et velrenommeret anti-malware-instrument.

Opdater 23. januar 2019 - 'pausa@bitmessage.ch' Ransomware

Ransomware 'pausa@bitmessage.ch' er en filkodermalware, der produceres med STOP Ransomware Builder. Ransomware 'pausa@bitmessage.ch' blev frigivet til pc-brugere via spam-e-mails i den første uge i maj 2018. Ransomware 'pausa@bitmessage.ch' opfattes som en generisk krypteringstrojan, der overskriver data på inficerede computere og sletter volumen snapshots for at forhindre genopretning. Den 'pausa@bitmessage.ch' Ransomware er kendt for at bruge de samme krypteringsteknologier som andre vellykkede Ransomware som Cerber og Dharma for at nævne nogle få. Ransomware 'pausa@bitmessage.ch' er programmeret til at køre fra Temp-mappen under AppData-biblioteket og anvende en sikker AES-256-kryptering til dokumenter, video, musik, databaser og e-bøger. Kodede data modtager udvidelsen '.PAUSA', og noget lignende 'Hartmann-Save me.mp3' omdøbes til 'Hartmann-Save me.mp3.pausa.' Genløsemeddelelsen gemmes som '!! Gendan !!!. Txt' på brugerens skrivebord og lyder:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .PAUSA udvidelse er krypteret.
Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere software skal du kontakte os via e-mail pausa@bitmessage.ch send os en e-mail din !!! RESTORE !!!. Txt-fil og vent på yderligere instruktioner.
For at du er sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 ikke meget store krypterede filer, og vi sender dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[tilfældige tegn]
E-mail-adresse for at kontakte os:
pausa@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
pausa@india.com '

Vi anbefaler, at du undgår forhandlinger med trusselsaktørerne via 'pausa@bitmessage.ch' og 'pausa@india.com' e-mail-konti. Det er sikrere at starte sikkerhedskopier af data og rense dit system ved hjælp af et velrenommeret anti-malware-værktøj. Selvom du betaler det absurde løsesum på $ 600, er der ingen garanti for, at du vil modtage en decryptor. PC-brugere opfordres til at tage sikkerhedskopier af data mindst to gange om måneden og ignorere spam-beskeder, der kan føre til et sikkerhedskompromis. AV-virksomheder understøtter detektionsregler for 'pausa@bitmessage.ch' Ransomware, men der er ingen gratis dekryptering tilgængelig i skrivende stund.

Opdater 23. januar 2019 - 'waiting@bitmessage.ch' Ransomware

Den 'waiting@bitmessage.ch' Ransomware er en kryptering Trojan, der er baseret på STOP Ransomware. Ransomware fra 'waiting@bitmessage.ch' blev rapporteret af kompromitterede brugere den 18. april 2018, og det ser ud til at invadere computere via beskadigede Microsoft Word-dokumenter. 'Waiting@bitmessage.ch' Ransomware optages for at kryptere fotos, lyd, video og tekst på de inficerede computere. Desværre tilføjede malwareforfatterne en kommando til at slette de volumen-snapshots, som Windows laver for at beskytte dine data. Trojanen overskriver målrettede data med filer, der bærer udvidelsen '.WAITING' og kan ikke åbnes med software på dit system. For eksempel omdøbes 'Hartmann-Like a River.mp3' til 'Hartmann-Like a River.mp3.waiting', og en løsesummeddelelse sendes til dit skrivebord. Den 'waiting@bitmessage.ch' Ransomware skriver '!!! INFO_RESTORE !!!. Txt' til skrivebordet og viser følgende tekst:

'Alle dine vigtige filer blev krypteret på denne pc.
Alle filer med .WAITING udvidelse er krypteret.
Kryptering blev produceret ved hjælp af en unik privat nøgle RSA-1024 genereret til denne computer.
For at dekryptere dine filer skal du skaffe software til privat nøgle + dekryptere.
For at hente den private nøgle og dekryptere softwaren skal du kontakte os via e-mail waiting@bitmessage.ch send os en e-mail din !!! INFO_RESTORE !!!. Txt-fil og vent på yderligere instruktioner.
For at du er sikker på, at vi kan dekryptere dine filer - du kan sende os en 1-3 ikke meget store krypterede filer, og vi sender dig den tilbage i original form GRATIS.
Pris for dekryptering $ 600, hvis du kontakter os de første 72 timer.
Dit personlige id:
[tilfældige tegn]
E-mail-adresse for at kontakte os:
waiting@bitmessage.ch
Reserver e-mail-adresse for at kontakte os:
waiting@india.com '

Malware interfererer ikke med tredjeparts sikkerhedskopieringsværktøjer, og du skal kunne starte sikkerhedskopier af data. Det anbefales at undgå interaktion med trusselsaktørerne via e-mail-adresserne 'waiting@bitmessage.ch' og 'waiting@india.com'. Du kan være interesseret i at udforske filhostingtjenester, hvis du ønsker at beskytte dine datasikkerhedskopier mod netværksoverførte cybertrusler og de fleste Ransomware-varianter som 'waiting@bitmessage.ch' Ransomware.

Opdateringen fra november 25. 2019 - .zobm og .rote udvidelser

Sikkerhedsforskere stødte på et par nye varianter af STOP Ransomware den 24. november og den 25. november 2019. Ransomware-varianterne tilføjede de krypterede filer med .zobm- og .rote-udvidelser, men havde en identisk løsesumnote, der hedder _readme.txt. De e-mails, hvorigennem trusselsaktørerne kunne nås, var også de samme - datarestorehelp@firemail.cc og datahelp@iran.ir.

OPMÆRKSOMHED!
Bare rolig, du kan returnere alle dine filer!
Alle dine filer som fotos, databaser, dokumenter og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier har du?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger.
Du kan få og se videooversigts dekrypteringsværktøj:
https://we.tl/t-4NWUGZxdHc
Prisen på den private nøgle og dekrypteringssoftware er $ 980.
Rabat på 50% til rådighed, hvis du kontakter os de første 72 timer, den pris for dig er $ 490.
Bemærk, at du aldrig gendanner dine data uden betaling.
Tjek din e-mail "Spam" eller "Junk" mappe, hvis du ikke får svar mere end 6 timer.

For at få denne software skal du skrive på vores e-mail:
datarestorehelp@firemail.cc
Reserver e-mail-adresse for at kontakte os:
datahelp@iran.ir
Dit personlige id:
[tilfældige tegn]

 

STOP Ransomware i 2019 og videre

Senere i 2019 blev STOP-ransomware stadig brugt, og nye angrebsvektorer blev testet. STOP-ransomware begyndte at vises i bundter, der indeholder andre former for malware, primært adware, som du kan finde på websteder, der hævder at være vært for krakket eksekverbar software og spil. På denne måde viste mange af ransomwares nye ofre sig at være håbefulde softwarepirater, der så ud, hvem der fik mere, end de forhandlede om.

Der har også været beviser for, at STOP-ransomware installerer Trojans, der stjæler password, der er i stand til at skrabe forskellige loginoplysninger.

Ransomware udvidede også den lange liste over krypterede filtypenavne, den bruger. Filer krypteret af STOP ransomware modtog nu .rumba og .tro udvidelser. Indtil videre har lidt andet ændret sig - løsepenge noten blev stadig fundet i en fil med navnet "_openme.txt", men løsesummen blev bumpet op til $ 980 med en reduktion til $ 490, hvis offeret betaler inden for de første 72 timer efter infektionen .

Opdatering 24. marts 2020 - Nye varianter

Trusselaktørerne bag STOP Ransomware har arbejdet så utrætteligt i 2020, som de gjorde i 2019, med nye varianter, der krypterede ofres filer og tilføjede dem med en række nye udvidelser. Nogle af de nye udvidelser af STOP Ransomware inkluderer .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd og .foop.

En prøve af en løsesumnote, der fulgte med .lokd-varianten, indeholdt følgende tekst:

OPMÆRKSOMHED!

Bare rolig, du kan returnere alle dine filer!
Alle dine filer som fotos, databaser, dokumenter og andet vigtigt er krypteret med den stærkeste kryptering og unikke nøgle.
Den eneste metode til gendannelse af filer er at købe dekrypteringsværktøj og unik nøgle til dig.
Denne software dekrypterer alle dine krypterede filer.
Hvilke garantier har du?
Du kan sende en af dine krypterede filer fra din pc, og vi dekrypterer den gratis.
Men vi kan kun dekryptere 1 fil gratis. Filen må ikke indeholde værdifulde oplysninger.
Du kan få og se videooversigts dekrypteringsværktøj:
https://we.tl/t7m8Wr997Sf
Prisen på den private nøgle og dekrypteringssoftware er $ 980.
Rabat på 50% til rådighed, hvis du kontakter os de første 72 timer, den pris for dig er $ 490.
Bemærk, at du aldrig gendanner dine data uden betaling.
Tjek din e-mail '' Spam '' eller '' Uønsket '' mappe, hvis du ikke får svar mere end 6 timer.

For at få denne software skal du skrive på vores e-mail:
helpdatarestore@firemail.cc
Reserver e-mail-adresse for at kontakte os:
helpmanager@mail.ch
Dit personlige id:
[tilfældige tegn]

Andre e-mails, som trusselsaktørerne har brugt med disse nye varianter, inkluderer helpmanager@iran.ir og helpmanager@firemail.cc.

Teknisk information

Detaljer om filsystem

STOP Ransomware opretter følgende fil (er):
# Filnavn MD5 Registreringsantal
1 BB30.exe f8ef98bbaff6ac82dacde20ee90bfa55 4,184
2 5F1F.exe b5b59a34192343da2c0fc84fb3bb6b2e 3,149
3 3ffa.exe a0192bd5d8164e61819890e908fa0e7d 1,888
4 97DE.tmp.exe 4e8f1415dd3366f81fa3960db4cf70f9 1,771
5 1368.tmp.exe 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 9686685955.exe 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 a395.tmp.exe 536f955ae69e666b44aac54c7619b9b1 1,584
8 3823.TMP.EXE.WPT d4fceee0f4fe0f1b50a5c957eab5151b 1,497
9 512B.tmp.exe 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 3344.exe 6a4d9e0ad2a5361dd947537182f5692d 1,233
11 d5e2.tmp.exe 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 B117.tmp.exe 283bf952e656763a94626cac01d7bc85 979
13 25b9.tmp.exe 9bd737b220a4040dbcaf17f48be54a98 822
14 3A93.tmp.exe d5995275a4d96672ed08cc6188143a7a 773
15 2c6b.tmp.exe ac2dffb783aed99d77ecc2006a29d971 744
16 618.tmp.exe 99ba307185c56cfb6d9ea965fcfef083 719
17 160f.tmp.exe 3a1a3c4b4b3de474b574f48198d6e41e 647
18 1df7.tmp.exe ad5a82caee53510fafcdfcddfa74daae 51
19 5cd3.tmp.exe 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 e5cb.tmp.exe 031ff93d3e55a84f475cf0b563fe7f65 14
21 5dcc.tmp.exe e3b973420daf30a4180f60337a2eaf90 14
22 6fa4.tmp.exe 67e8f528b4db3443a74718443a2fc788 12
23 cc0.tmp.exe 0564489cff6c549ca82b7a470b305346 11
24 c11d.tmp.exe a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe fdc340769c3ca364f6cc7ca1be99762b 0
Flere filer

Registreringsoplysninger

STOP Ransomware opretter følgende registreringsdatabase eller registreringsdatabase poster:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe
Registry key
Software\Microsoft\Windows\CurrentVersion\Run\SysHelper

Relaterede indlæg

Ansvarsfraskrivelse

Enigmasoftware.com er ikke tilknyttet, tilknyttet, sponsoreret eller ejet af malware-skabere eller distributører nævnt i denne artikel. Denne artikel skal IKKE forveksles eller forveksles med at være forbundet på nogen måde med promovering eller godkendelse af malware. Vores hensigt er at give oplysninger, der vil uddanne computerbrugere om, hvordan de kan opdage og i sidste ende fjerne malware fra deres computer ved hjælp af SpyHunter og/eller manuel fjernelsesinstruktioner, der findes i denne artikel.

Denne artikel leveres "som den er" og skal kun bruges til uddannelsesinformation. Ved at følge enhver instruktion om denne artikel accepterer du at være bundet af ansvarsfraskrivelsen. Vi garanterer ikke, at denne artikel hjælper dig med at fjerne malware-truslerne på din computer. Spyware ændres regelmæssigt; derfor er det vanskeligt at rengøre en inficeret maskine fuldt ud ved hjælp af manuelle midler.