ZATRZYMAJ oprogramowanie ransomware

ZATRZYMAJ oprogramowanie ransomware Opis

Rodzaj: Ransomware

Zrzut ekranu STOP Ransomware Badacze bezpieczeństwa komputerów PC otrzymali raporty o atakach ransomware zawierających zagrożenie znane jako ransomware STOP w dniu 21 lutego 2018 r. STOP Ransomware jest oparty na platformie ransomware typu open source i przeprowadza typową wersję ataku ransomware szyfrującego. Ransomware STOP jest rozpowszechniany za pomocą wiadomości e-mail zawierających spam, zawierających uszkodzone załączniki plików. Te załączniki mają postać plików DOCX z osadzonymi skryptami makr, które pobierają i instalują ransomware STOP na komputerze ofiary. Nauczenie się, jak rozpoznawać wiadomości phishingowe i unikanie pobierania wszelkich otrzymanych niechcianych plików załączników, jest jednym ze sposobów na uniknięcie tych ataków.

Jak rozpoznać infekcję ransomware STOP?

Gdy ransomware STOP zostanie zainstalowany na komputerze ofiary, ransomware STOP przeszuka dyski ofiary pod kątem szerokiej gamy typów plików, zazwyczaj szukając plików generowanych przez użytkowników, takich jak obrazy, pliki multimedialne i wiele innych typów dokumentów. Wydaje się, że ransomware STOP jest również przeznaczony do atakowania serwerów internetowych, ponieważ szuka plików baz danych i podobnych typów plików, które zwykle znajdują się na tych komputerach. Typy plików, które ransomware STOP będzie wyszukiwać i celować w swoim ataku, obejmują:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

W tym tygodniu w Malware odc. 10: STOP i Zorab Ransomware wykorzystuje ofiary z fałszywym deszyfratorem

Ransomware STOP używa silnego algorytmu szyfrowania, aby uniemożliwić dostęp do wszystkich plików ofiary. Atak STOP Ransomware doda rozszerzenie pliku „.SUSPENDED” do zaszyfrowanych plików, aby oznaczyć pliki, których dotyczy problem.

Uwaga dotycząca okupu STOP Ransomware

Ransomware STOP żąda zapłaty okupu, dostarczając żądanie okupu na komputer ofiary. Ta notatka o okupie jest wyświetlana w pliku tekstowym upuszczanym na pulpit ofiary. Plik o nazwie „!!! YourDataRestore !!!.txt”, zawiera komunikat:

'Wszystkie twoje ważne pliki zostały zaszyfrowane na tym komputerze.
Wszystkie pliki z rozszerzeniem .STOP są szyfrowane. Szyfrowanie zostało wykonane przy użyciu unikalnego klucza prywatnego RSA-1024 wygenerowanego dla tego komputera.
Aby odszyfrować swoje pliki, musisz uzyskać klucz prywatny + oprogramowanie odszyfrowujące.
Aby odzyskać klucz prywatny i odszyfrować oprogramowanie, musisz skontaktować się z nami przez e-mail stopfilesrestore@bitmessage.ch wyślij nam e-mail swój plik !!!YourDataRestore!!!.txt i poczekaj na dalsze instrukcje.
Aby mieć pewność, że możemy odszyfrować Twoje pliki - możesz wysłać nam 1-3 niezbyt duże zaszyfrowane, odeślij je w oryginalnej formie ZA DARMO.
Cena za odszyfrowanie 600 USD, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.
Twój dowód osobisty:
[LOSOWE ZNAKI]
Adres e-mail do kontaktu z nami:
stopfilesrestoret@bitmessage.ch
Zarezerwuj adres e-mail, aby się z nami skontaktować:
stopfilesrestore@india.com'

Osoby odpowiedzialne za STOP Ransomware żądają zapłaty okupu w wysokości 600 USD za pomocą Bitcoin na określony adres portfela Bitcoin w ciągu 72 godzin. Jednak skontaktowanie się z tymi osobami lub zapłacenie okupu STOP Ransomware może nie być najlepszym rozwiązaniem.

Ochrona danych przed oprogramowaniem ransomware STOP i innymi trojanami ransomware

Najlepszą ochroną przed ransomware STOP i innymi trojanami ransomware jest posiadanie kopii zapasowych plików. Użytkownicy komputerów, którzy mają kopie zapasowe swoich plików, mogą je łatwo odzyskać po ataku bez konieczności płacenia okupu. Zalecany program zabezpieczający może również w pierwszej kolejności uniemożliwić zainstalowanie STOP Ransomware.

Aktualizacja z 6 grudnia 2018 r. — ransomware „helpshadow@india.com”

Ransomware „helpshadow@india.com” jest sklasyfikowany jako stosunkowo niewielka aktualizacja kodu, który zawiera markę STOP Ransomware. Wydaje się, że autorzy zagrożeń nie poświęcili wystarczająco dużo czasu na dopracowanie nowego wariantu, ponieważ uzyskał on niski współczynnik infekcji. Ransomware „helpshadow@india.com” zostało szybko wychwycone przez dostawców oprogramowania antywirusowego, a za pośrednictwem głównych platform społecznościowych i raportów o cyberbezpieczeństwie wysyłano alerty. Niestety nie ma jeszcze możliwości darmowego odszyfrowania. Użytkownicy są zwykle zagrożoni przez uszkodzony dokument otrzymany pocztą e-mail. Wiadomo, że zagrożenie usuwa migawki Shadow Volume utworzone przez system Windows i dołącza rozszerzenie „.shadow” do zaszyfrowanych obiektów. Na przykład nazwa „C12-H22-O11.pptx” została zmieniona na „C12-H22-O11.pptx.shadow”, a na pulpicie pojawi się żądanie okupu o nazwie „!readme.txt”. Ransomware „helpshadow@india.com” prawdopodobnie wyświetli następujący komunikat zainfekowanym użytkownikom:

'WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, dokumenty, zdjęcia, bazy danych i inne ważne są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.
Jedyną metodą odzyskania plików jest zakup narzędzia do deszyfrowania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie gwarancje Państwu dajemy?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji
Nie próbuj używać narzędzi odszyfrowywania innych firm, ponieważ zniszczy to twoje pliki.
Zniżka 50% dostępna, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.
Aby otrzymać to oprogramowanie musisz napisać na nasz e-mail:
pomocshadow@india.com
Zarezerwuj adres e-mail, aby się z nami skontaktować:
helpshadow@firemail.cc
Twój dowód osobisty:
[losowe znaki]'

Powyższy tekst jest używany przez warianty wydane wcześniej niż ransomware „helpshadow@india.com”, a jedyną zmianą, na którą warto zwrócić uwagę, jest nowa konfiguracja e-maili. Ransomware „helpshadow@india.com” nosi nazwę jednego z kontaktów e-mail, a drugi odsyła użytkowników do tej samej nazwy użytkownika, ale na innej platformie e-mail — „helpshadow@firemail.cc”. Oba konta e-mail prawdopodobnie zostaną usunięte do czasu, gdy ten artykuł dotrze do Ciebie. Szanse na złapanie kogoś, kto stoi za ransomware helpshadow@india.com, nie są duże, biorąc pod uwagę, że operatorzy ransomware używają serwerów proxy, usług VPN i sieci TOR, aby ukryć swoje urządzenia sterujące. Dlatego użytkownicy muszą być proaktywni w obronie swoich danych. Krok pierwszy — zainstaluj program do tworzenia kopii zapasowych w swoim systemie; krok drugi — nie otwieraj plików od nieznanych nadawców. Pamiętaj, aby wyeksportować kopie zapasowe danych do pamięci wymiennej lub usługi hostingu plików.

Aktualizacja 13 grudnia 2018 r. — Ransomware „Rozszerzenie pliku .djvu”

Ransomware „.djvu File Extension” to nowy wariant ransomware STOP, który został zgłoszony 12 grudnia 2018 r. Analitycy bezpieczeństwa komputerowego klasyfikują ransomware „.djvu File Extension” jako małą aktualizację poprzednich wersji ransomware STOP i alert, że zagrożenie nadal jest rozpowszechniane głównie za pośrednictwem wiadomości spamowych. Przestępcy wykorzystują dokumenty obsługujące makra i fałszywe pliki PDF, aby nakłonić użytkowników do cichego zainstalowania ich programu. Ataki przy użyciu ransomware „.djvu File Extension” są prawie takie same, jak pierwsza fala infekcji w lutym 2018 r. Zagrożenie usuwa migawki i mapy Shadow Volume podłączone do dysków pamięci, zanim zaszyfruje dane użytkownika. Nowy wariant obsługuje inne rozszerzenie pliku, a żądanie okupu jest nieznacznie zmienione. Jak sama nazwa wskazuje, pliki otrzymują przyrostek „.djvu”, a nazwa typu „Jonne-Kaiho.mp3” zostaje zmieniona na „Jonne-Kaiho.mp3.djvu”. Notatka z żądaniem okupu jest widoczna na pulpicie jako „_openme.txt” i brzmi:

'WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, dokumenty, zdjęcia, bazy danych i inne ważne są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.
Jedyną metodą odzyskania plików jest zakup narzędzia do deszyfrowania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie gwarancje Państwu dajemy?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji
Nie próbuj używać narzędzi odszyfrowywania innych firm, ponieważ zniszczy to twoje pliki.
Zniżka 50% dostępna, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.
Aby otrzymać to oprogramowanie musisz napisać na nasz e-mail:
pomocshadow@india.com

Zarezerwuj adres e-mail, aby się z nami skontaktować:
helpshadow@firemail.cc

Twój dowód osobisty:
[losowe znaki]'

Autorzy zagrożeń nadal używają kont e-mail „helpshadow@india.com” i „helpshadow@firemail.cc” w swojej kampanii ransomware. Nie ufaj zespołowi STOP Ransomware i unikaj używania fałszywej 50% zniżki, o której mowa powyżej. Omawiani tu aktorzy zagrożeń nie są znani z pobłażliwości. Użytkownicy komputerów PC powinni usunąć ransomware „.djvu File Extension” za pomocą zaufanego narzędzia do zwalczania złośliwego oprogramowania. Aby odzyskać dane, najlepiej jest używać obrazów kopii zapasowych i usług tworzenia kopii zapasowych.

Aktualizacja 11 stycznia 2019 r. — Ransomware „.tfude File Extension”

Ransomware „.tfude File Extension” to wersja ransomware STOP, która pojawiła się 11 stycznia 2019 r. Zagrożenie jest sklasyfikowane jako wersja, która wykazuje minimalne modyfikacje w porównaniu z pierwotnym cyberzagrożeniem. Ransomware „.tfude File Extension” nosi nazwę po jedynej zauważalnej zmianie w jego uszkodzonym kodzie. Trojan jest skonfigurowany tak, aby dołączać rozszerzenie pliku ".tfude" do zaszyfrowanych danych. Ransomware „.tfude File Extension” nadal korzysta ze standardowych technologii szyfrowania i bezpiecznych połączeń z serwerami Command, które uniemożliwiają specjalistom ds. bezpieczeństwa oferowanie bezpłatnego odszyfrowywania zagrożonym użytkownikom.

Zagrożenie kryptograficzne wykorzystuje technologie szyfrowania, które agencje rządowe i firmy, takie jak Google Inc., stosują do zabezpieczania transmisji danych. Zaszyfrowane pliki są wyświetlane w Eksploratorze Windows jako ogólne białe ikony, a programy zainstalowane przez użytkownika pozostają funkcjonalne. Jednak niektóre menedżery baz danych mogą nie działać poprawnie, ponieważ zagrożenie koduje popularne formaty baz danych. Na przykład nazwa „Ostatnia sprzedaż.pdb” zostanie zmieniona na „Ostatnie sprzedaż.pdb.tfude”. Notatka o okupie jest ładowana do Notatnika z pliku „_openme.txt”, który można znaleźć na pulpicie. Ransomware „.tfude File Extension” oferuje tę samą wiadomość, co oryginalny trojan, ale tym razem cyberprzestępcy wykorzystują konto e-mail „pdfhelp@firemail.cc”, aby dotrzeć do użytkowników. Użytkownicy nie mają dostępnego bezpłatnego deszyfratora, a do odzyskania danych potrzebne będą kopie zapasowe danych. Będziesz musiał wyczyścić zainfekowane urządzenia, uruchamiając pełny skan systemu za pomocą renomowanego narzędzia antywirusowego.

Aktualizacja 23 stycznia 2019 r. — Ransomware „pausa@bitmessage.ch”

Ransomware „pausa@bitmessage.ch” to złośliwe oprogramowanie kodujące pliki, które jest produkowane za pomocą programu STOP Ransomware Builder. Ransomware „pausa@bitmessage.ch” zostało udostępnione użytkownikom komputerów PC za pośrednictwem wiadomości spamowych w pierwszym tygodniu maja 2018 r. Ransomware „pausa@bitmessage.ch” jest postrzegane jako ogólny trojan szyfrujący, który nadpisuje dane na zainfekowanych komputerach i usuwa wolumin migawki utrudniające odzyskiwanie. Wiadomo, że ransomware „pausa@bitmessage.ch” wykorzystuje te same technologie szyfrowania, co inne udane oprogramowanie ransomware, takie jak Cerber i Dharma, aby wymienić tylko kilka. Ransomware „pausa@bitmessage.ch” jest zaprogramowany do uruchamiania z folderu Temp w katalogu AppData i stosowania bezpiecznego szyfru AES-256 do dokumentów, wideo, muzyki, baz danych i e-booków. Zakodowane dane otrzymują rozszerzenie „.PAUSA”, a nazwa typu „Hartmann-Save me.mp3” zostaje zmieniona na „Hartmann-Save me.mp3.pausa”. Powiadomienie o okupie jest zapisywane jako '!!RESTORE!!!.txt' na pulpicie użytkownika i brzmi:

'Wszystkie twoje ważne pliki zostały zaszyfrowane na tym komputerze.
Wszystkie pliki z rozszerzeniem .PAUSA są szyfrowane.
Szyfrowanie zostało wykonane przy użyciu unikalnego klucza prywatnego RSA-1024 wygenerowanego dla tego komputera.
Aby odszyfrować swoje pliki, musisz uzyskać klucz prywatny + oprogramowanie odszyfrowujące.
Aby odzyskać klucz prywatny i odszyfrować oprogramowanie, musisz skontaktować się z nami przez e-mail pausa@bitmessage.ch wyślij nam e-mail swój plik !!!RESTORE!!!.txt i poczekaj na dalsze instrukcje.
Abyś miał pewność, że możemy odszyfrować Twoje pliki - możesz wysłać nam 1-3 niezbyt duże zaszyfrowane pliki, a my odeślemy je w oryginalnej formie ZA DARMO.
Cena za odszyfrowanie 600 USD, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.
Twój dowód osobisty:
[losowe znaki]
Adres e-mail do kontaktu z nami:
pausa@bitmessage.ch
Zarezerwuj adres e-mail, aby się z nami skontaktować:
pausa@india.com'

Zalecamy unikanie negocjacji z cyberprzestępcami za pośrednictwem kont e-mail „pausa@bitmessage.ch” i „pausa@india.com”. Bezpieczniej jest uruchamiać kopie zapasowe danych i czyścić system za pomocą renomowanego narzędzia antywirusowego. Nawet jeśli zapłacisz absurdalny okup w wysokości 600 USD, nie ma gwarancji, że otrzymasz deszyfrator. Użytkownicy komputerów PC są zachęcani do tworzenia kopii zapasowych danych co najmniej dwa razy w miesiącu i ignorowania wiadomości spamowych, które mogą prowadzić do naruszenia bezpieczeństwa. Firmy antywirusowe obsługują reguły wykrywania dla ransomware „pausa@bitmessage.ch”, ale w chwili pisania tego tekstu nie ma dostępnego bezpłatnego deszyfratora.

Aktualizacja 23 stycznia 2019 r. — Ransomware „waiting@bitmessage.ch”

Ransomware „waiting@bitmessage.ch” to trojan szyfrujący oparty na oprogramowaniu ransomware STOP. Ransomware „waiting@bitmessage.ch” zostało zgłoszone przez zaatakowanych użytkowników 18 kwietnia 2018 r. i wydaje się, że atakuje komputery za pośrednictwem uszkodzonych dokumentów Microsoft Word. Ransomware „waiting@bitmessage.ch” jest rejestrowane w celu szyfrowania zdjęć, dźwięku, wideo i tekstu na zainfekowanych komputerach. Niestety, autorzy złośliwego oprogramowania dodali polecenie usunięcia migawek woluminów, które system Windows tworzy w celu ochrony danych. Trojan nadpisuje docelowe dane plikami z rozszerzeniem „.WAITING” i nie można ich otworzyć za pomocą oprogramowania w systemie. Na przykład nazwa „Hartmann-Like a River.mp3” zostaje zmieniona na „Hartmann-Like a River.mp3.waiting”, a na pulpicie zostanie upuszczona wiadomość z żądaniem okupu. Ransomware „waiting@bitmessage.ch” zapisuje na pulpicie „!!!INFO_RESTORE!!!.txt” i wyświetla następujący tekst:

'Wszystkie twoje ważne pliki zostały zaszyfrowane na tym komputerze.
Wszystkie pliki z rozszerzeniem .WAITING są szyfrowane.
Szyfrowanie zostało wykonane przy użyciu unikalnego klucza prywatnego RSA-1024 wygenerowanego dla tego komputera.
Aby odszyfrować swoje pliki, musisz uzyskać klucz prywatny + oprogramowanie odszyfrowujące.
Aby odzyskać klucz prywatny i odszyfrować oprogramowanie, musisz skontaktować się z nami przez e-mail wait@bitmessage.ch wyślij nam e-mail swój plik !!!INFO_RESTORE!!!.txt i poczekaj na dalsze instrukcje.
Abyś miał pewność, że możemy odszyfrować Twoje pliki - możesz wysłać nam 1-3 niezbyt duże zaszyfrowane pliki, a my odeślemy je w oryginalnej formie ZA DARMO.
Cena za odszyfrowanie 600 USD, jeśli skontaktujesz się z nami przez pierwsze 72 godziny.
Twój dowód osobisty:
[losowe znaki]
Adres e-mail do kontaktu z nami:
czekam@bitmessage.ch
Zarezerwuj adres e-mail, aby się z nami skontaktować:
czekanie@india.com”

Złośliwe oprogramowanie nie koliduje z narzędziami do tworzenia kopii zapasowych innych firm i powinieneś być w stanie uruchomić kopie zapasowe danych. Zaleca się unikanie interakcji z cyberprzestępcami za pośrednictwem adresów e-mail „waiting@bitmessage.ch” i „waiting@india.com”. Możesz zainteresować się usługami hostingu plików, jeśli chcesz chronić kopie zapasowe danych przed cyberzagrożeniami przesyłanymi przez sieć i większością wariantów Ransomware, takich jak ransomware „waiting@bitmessage.ch”.

Aktualizacja 25 listopada, 2019 - .zobm i .rote Extensions

Badacze bezpieczeństwa natknęli się na kilka nowych wariantów ransomware STOP w dniach 24 i 25 listopada 2019 r. Warianty ransomware dołączały do zaszyfrowanych plików rozszerzenia .zobm i .rote, ale miały identyczną notatkę dotyczącą okupu o nazwie _readme.txt. E-maile, za pomocą których można było dotrzeć do cyberprzestępców, również były takie same – datarestorehelp@firemail.cc i datahelp@iran.ir.

UWAGA!
Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne, są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.
Jedyną metodą odzyskania plików jest zakup narzędzia do deszyfrowania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji.
Możesz pobrać i obejrzeć narzędzie do odszyfrowywania wideo:
https://we.tl/t-4NWUGZxdHc
Cena klucza prywatnego i oprogramowania do deszyfrowania wynosi 980 USD.
Zniżka 50% dostępna, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź folder "Spam" lub "Junk" w swojej poczcie e-mail, jeśli nie otrzymasz odpowiedzi przez ponad 6 godzin.

Aby otrzymać to oprogramowanie musisz napisać na nasz e-mail:
datarestorehelp@firemail.cc
Zarezerwuj adres e-mail, aby się z nami skontaktować:
datahelp@iran.ir
Twój dowód osobisty:
[losowe znaki]

 

STOP ransomware w 2019 r. i później

Jeszcze w 2019 r. oprogramowanie ransomware STOP było nadal używane i testowano nowe wektory ataków. Ransomware STOP zaczęło pojawiać się w pakietach zawierających inne formy złośliwego oprogramowania, przede wszystkim adware, które można znaleźć na stronach internetowych, które twierdzą, że zawierają złamane pliki wykonywalne gier i oprogramowania. W ten sposób wiele nowych ofiar tego oprogramowania ransomware okazało się być pełnymi nadziei piratami oprogramowania, którzy dostali więcej, niż się spodziewali.

Istnieją również dowody na to, że ransomware STOP instaluje trojany wykradające hasła, które są w stanie wyłuskać różne dane uwierzytelniające logowanie.

Oprogramowanie ransomware rozszerzyło również długą listę używanych przez niego zaszyfrowanych rozszerzeń plików. Pliki zaszyfrowane przez ransomware STOP otrzymały teraz rozszerzenia .rumba i .tro. Do tej pory niewiele się zmieniło – żądanie okupu wciąż znajdowało się w pliku o nazwie „_openme.txt”, ale kwota okupu wzrosła do 980 USD, z obniżką do 490 USD, jeśli ofiara zapłaci w ciągu pierwszych 72 godzin po infekcji .

Aktualizacja 24 marca 2020 r. – Nowe warianty

Zagrożenia stojące za oprogramowaniem ransomware STOP działały równie niestrudzenie w 2020 r., jak w 2019 r., z nowymi wariantami szyfrowania plików ofiar i dodawania do nich różnych nowych rozszerzeń. Niektóre z nowych rozszerzeń ransomware STOP obejmują .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd i .foop.

Próbka żądania okupu dołączona do wariantu .lokd zawierała następujący tekst:

UWAGA!

Nie martw się, możesz zwrócić wszystkie swoje pliki!
Wszystkie Twoje pliki, takie jak zdjęcia, bazy danych, dokumenty i inne ważne, są zaszyfrowane najsilniejszym szyfrowaniem i unikalnym kluczem.
Jedyną metodą odzyskania plików jest zakup narzędzia do deszyfrowania i unikalnego klucza.
To oprogramowanie odszyfruje wszystkie zaszyfrowane pliki.
Jakie masz gwarancje?
Możesz wysłać jeden ze swoich zaszyfrowanych plików ze swojego komputera, a my odszyfrujemy go za darmo.
Ale możemy odszyfrować tylko 1 plik za darmo. Plik nie może zawierać cennych informacji.
Możesz pobrać i obejrzeć narzędzie do odszyfrowywania wideo:
https://we.tl/t7m8Wr997Sf
Cena klucza prywatnego i oprogramowania do deszyfrowania wynosi 980 USD.
Zniżka 50% dostępna, jeśli skontaktujesz się z nami w ciągu pierwszych 72 godzin, to cena dla Ciebie to 490 USD.
Pamiętaj, że nigdy nie przywrócisz swoich danych bez zapłaty.
Sprawdź folder ''Spam'' lub ''Śmieci'' poczty e-mail, jeśli nie otrzymasz odpowiedzi przez ponad 6 godzin.

Aby otrzymać to oprogramowanie musisz napisać na nasz e-mail:
helpdatarestore@firemail.cc
Zarezerwuj adres e-mail, aby się z nami skontaktować:
helpmanager@mail.ch
Twój dowód osobisty:
[losowe znaki]

Inne wiadomości e-mail, z których cyberprzestępcy korzystają z tych nowych wariantów, to helpmanager@iran.ir i helpmanager@firemail.cc.

Specyfikacja

Zrzuty ekranu i inne obrazy

SpyHunter wykrywa i usuwa ZATRZYMAJ oprogramowanie ransomware

Szczegóły systemu plików

ZATRZYMAJ oprogramowanie ransomware tworzy następujące pliki:
# Nazwa pliku MD5 Liczba detekcji
1 BB30.exe f8ef98bbaff6ac82dacde20ee90bfa55 4,187
2 5F1F.exe b5b59a34192343da2c0fc84fb3bb6b2e 3,149
3 3ffa.exe a0192bd5d8164e61819890e908fa0e7d 1,889
4 97DE.tmp.exe 4e8f1415dd3366f81fa3960db4cf70f9 1,771
5 1368.tmp.exe 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 9686685955.exe 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 a395.tmp.exe 536f955ae69e666b44aac54c7619b9b1 1,584
8 3823.TMP.EXE.WPT d4fceee0f4fe0f1b50a5c957eab5151b 1,498
9 512B.tmp.exe 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 3344.exe 6a4d9e0ad2a5361dd947537182f5692d 1,235
11 d5e2.tmp.exe 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 B117.tmp.exe 283bf952e656763a94626cac01d7bc85 979
13 25b9.tmp.exe 9bd737b220a4040dbcaf17f48be54a98 824
14 3A93.tmp.exe d5995275a4d96672ed08cc6188143a7a 773
15 2c6b.tmp.exe ac2dffb783aed99d77ecc2006a29d971 744
16 618.tmp.exe 99ba307185c56cfb6d9ea965fcfef083 719
17 160f.tmp.exe 3a1a3c4b4b3de474b574f48198d6e41e 647
18 1df7.tmp.exe ad5a82caee53510fafcdfcddfa74daae 51
19 5cd3.tmp.exe 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 e5cb.tmp.exe 031ff93d3e55a84f475cf0b563fe7f65 14
21 5dcc.tmp.exe e3b973420daf30a4180f60337a2eaf90 14
22 6fa4.tmp.exe 67e8f528b4db3443a74718443a2fc788 12
23 cc0.tmp.exe 0564489cff6c549ca82b7a470b305346 11
24 c11d.tmp.exe a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe fdc340769c3ca364f6cc7ca1be99762b 0
Więcej plików

Szczegóły rejestru

ZATRZYMAJ oprogramowanie ransomware tworzy następujące wpisy rejestru lub wpisy rejestru:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe
Registry key
Software\Microsoft\Windows\CurrentVersion\Run\SysHelper

Oświadczenie o stronie

Enigmasoftware.com nie jest powiązana, stowarzyszona, sponsorowana ani nie jest własnością twórców lub dystrybutorów złośliwego oprogramowania wymienionych w tym artykule. Ten artykuł NIE powinien być mylony ani mylony w związku z promocją lub promowaniem złośliwego oprogramowania. Naszym celem jest dostarczenie informacji, które nauczą użytkowników komputerów, jak wykrywać i ostatecznie usuwać złośliwe oprogramowanie ze swojego komputera za pomocą SpyHunter i/lub instrukcji ręcznego usuwania zawartych w tym artykule.

Ten artykuł jest dostarczany „tak, jak jest” i może być wykorzystywany wyłącznie do celów edukacyjnych. Postępując zgodnie z instrukcjami zawartymi w tym artykule, wyrażasz zgodę na związanie się zrzeczeniem odpowiedzialności. Nie dajemy żadnych gwarancji, że ten artykuł pomoże Ci całkowicie usunąć zagrożenia złośliwym oprogramowaniem na twoim komputerze. Programy szpiegujące zmieniają się regularnie; dlatego trudno jest całkowicie wyczyścić zainfekowaną maszynę ręcznie.