STOP Ransomware

STOP Ransomware Beskrivning

Type: Ransomware

STOPP Ransomware-skärmdump PC-säkerhetsforskare fick rapporter om ransomware-attacker som involverade ett hot som kallas STOP Ransomware den 21 februari 2018. STOP Ransomware bygger på en öppen källkod ransomware-plattform och utför en typisk version av en kryptering ransomware-attack. STOP Ransomware distribueras med skräppostmeddelanden som innehåller skadade filbilagor. Dessa filbilagor har formen av DOCX-filer med inbäddade makroskript som laddar ner och installerar STOP Ransomware på offrets dator. Att lära sig att känna igen phishing-e-postmeddelanden och undvika att ladda ner eventuella mottagna bifogade filer är ett av sätten att undvika dessa attacker.

Hur man känner igen en STOP Ransomware-infektion

När STOP Ransomware har installerats på offrets dator kommer STOP Ransomware att söka på offrets enheter för ett brett utbud av filtyper, i allmänhet letar efter användargenererade filer som bilder, mediefiler och många andra dokumenttyper. STOP Ransomware verkar också vara konstruerat för att rikta sig mot webbservrar eftersom det letar efter databasfiler och liknande filtyper som vanligtvis finns i dessa maskiner uttryckligen. De filtyper som STOP Ransomware kommer att söka efter och rikta in i sin attack inkluderar:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx,. dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm,. pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Denna vecka i Malware Ep 10: STOP & Zorab Ransomware utnyttjar offer med falsk avkrypterare

STOP Ransomware använder en stark krypteringsalgoritm för att göra var och en av offrets filer otillgängliga. STOP Ransomware-attacken kommer att lägga till filtillägget '.SUSPENDED' i filerna det kodar för, som ett sätt att markera de drabbade filerna.

STOP Ransomware's Ransom Note

STOP Ransomware kräver en lösenbetalning genom att leverera en lösensedel till offrets dator. Denna lösensedel visas i en textfil som släppts på offrets skrivbord. Filen heter '!!! YourDataRestore !!!. Txt, 'innehåller meddelandet:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .STOP-förlängning är krypterade. Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post stopfilesrestore@bitmessage.ch skicka ett e-postmeddelande med din! YourDataRestore !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka oss en 1-3 alla inte särskilt stora krypterade skicka tillbaka den i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[RANDOM CHARCTERS]
E-postadress för att kontakta oss:
stopfilesrestoret@bitmessage.ch
Boka e-postadress för att kontakta oss:
stopfilesrestore@india.com '

De personer som ansvarar för STOP Ransomware kräver en lösenbetalning på 600 USD som ska betalas med Bitcoin till en specifik Bitcoin-plånbokadress och inom 72 timmar. Det kan dock inte vara den bästa lösningen att kontakta dessa personer eller betala STOPP Ransomware-lösensumman.

Skydda dina data från STOP Ransomware och andra trojaner med Ransomware

Det bästa skyddet mot STOP Ransomware och andra ransomware-trojaner är att ha säkerhetskopior av filer. Datoranvändare som har säkerhetskopior av sina filer kan enkelt återställa dessa filer efter en attack utan att behöva tillgripa lösen. Ett rekommenderat säkerhetsprogram kan också förhindra att STOP Ransomware installeras i första hand.

Uppdatera den 6 december 2018 - 'helpshadow@india.com' Ransomware

Ransomware 'helpshadow@india.com' kategoriseras som en relativt liten uppdatering av koden som bär STOP Ransomware-varumärket. Hotförfattarna verkar inte ha avsatt tillräckligt med tid för att polera den nya varianten eftersom den fick ett lågt infektionsförhållande. Ransomware '' helpshadow@india.com '' plockades upp snabbt av AV-leverantörer och varningar har utfärdats via stora sociala plattformar och cybersäkerhetsrapporter. Tyvärr finns det ingen möjlighet för gratis dekryptering ännu. Användare äventyras vanligtvis genom ett skadat dokument som tas emot via e-post. Det är känt att hotet raderar Shadow Volume-ögonblicksbilder som skapats av Windows och fäster tillägget '.shadow' till de krypterade objekten. Till exempel byts namn på 'C12-H22-O11.pptx' till 'C12-H22-O11.pptx.shadow' och en lösensedel som heter '! Readme.txt' visas på skrivbordet. Ransomware '' helpshadow@india.com '' kommer sannolikt att visa följande meddelande till de infekterade användarna:

'ALLA Dina filer är krypterade
Oroa dig inte, du kan returnera alla dina filer!
Alla dina dokument, foton, databaser och andra viktiga filer är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information
Försök inte använda dekrypteringsverktyg från tredje part eftersom det förstör dina filer.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna.
För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpshadow@india.com
Boka e-postadress för att kontakta oss:
helpshadow@firemail.cc
Ditt personliga ID:
[slumpmässiga tecken] '

Texten som visas ovan används av varianter som släppts tidigare än "helpshadow@india.com" Ransomware och den enda ändringen som är värt att notera är den nya e-postkonfigurationen. Ransomware 'helpshadow@india.com' är uppkallat efter en av e-postkontakterna, och den andra hänvisar användarna till samma användarnamn men på en annan e-postplattform - 'helpshadow@firemail.cc.' Båda e-postkontona kommer sannolikt att avslutas när den här artikeln når dig. Chanserna att fånga den som står bakom helpshadow@india.com Ransomware är inte stora med tanke på att ransomware-operatörerna använder proxyservrar, VPN-tjänster och TOR-nätverket för att dölja sina kontrollenheter. Därför måste användarna vara proaktiva när det gäller att försvara sina data. Steg nummer ett - installera ett säkerhetskopieringsprogram på ditt system; steg nummer två - öppna inte filer från okända avsändare. Kom ihåg att exportera dina säkerhetskopior till ett flyttbart minneslagring eller en filtjänst.

Uppdatera 13 december 2018 - '.djvu File Extension' Ransomware

Ransomware '.djvu File Extension' är en ny variant av STOP Ransomware som rapporterades den 12 december 2018. Datorsäkerhetsforskare kategoriserar '.djvu File Extension' Ransomware som en liten uppdatering av tidigare versioner av STOP Ransomware och varna att hotet fortfarande distribueras via skräppostmeddelanden främst. Hotaktörerna har använt makroaktiverade dokument och falska PDF-filer för att lura användarna att installera sitt program tyst. Attacken med '.djvu File Extension' Ransomware är nästan densamma som den första infektionsvågen i februari 2018. Hotet raderar ögonblicksbilder och kartor som är anslutna till minnesenheter innan de krypterar användarens data. Den nya varianten stöder ett annat filtillägg och lösenordet ändras något. Som namnet antyder får filerna suffixet '.djvu' och något som 'Jonne-Kaiho.mp3' byts namn till 'Jonne-Kaiho.mp3.djvu.' Ransommentet kan ses på skrivbordet som '_openme.txt' och lyder:

'ALLA Dina filer är krypterade
Oroa dig inte, du kan returnera alla dina filer!
Alla dina dokument, foton, databaser och andra viktiga filer är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information
Försök inte använda dekrypteringsverktyg från tredje part eftersom det förstör dina filer.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna.
För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpshadow@india.com

Boka e-postadress för att kontakta oss:
helpshadow@firemail.cc

Ditt personliga ID:
[slumpmässiga tecken] '

Hotförfattarna fortsätter att använda e-postkontona "helpshadow@india.com" och "helpshadow@firemail.cc" för sin ransomwarekampanj. Lita inte på STOP Ransomware-teamet och undvik att använda den falska 50% -rabatten som nämns ovan. De hotaktörer som diskuteras här är inte kända för sin smidighet. Datoranvändare bör ta bort Ransomware '.djvu File Extension' med ett pålitligt anti-malware-instrument. Det är bäst att använda säkerhetskopieringsbilder och säkerhetskopieringstjänster för att återställa dina data.

Uppdatera 11 januari 2019 - '.tfude File Extension' Ransomware

Ransomware '.tfude File Extension' är en version av STOP Ransomware som kom ut den 11 januari 2019. Hotet klassificeras som en version som uppvisar minimala ändringar jämfört med det ursprungliga cyberhotet. Ransomware '.tfude File Extension' är uppkallat efter den enda anmärkningsvärda ändringen i dess skadade kod. Trojanen är konfigurerad för att bifoga filtillägget '.tfude' till krypterad data. Ransomware '.tfude File Extension' fortsätter att använda standardkrypteringsteknik och säkra anslutningar till kommandoservrarna som förhindrar säkerhetsspecialister från att erbjuda gratis dekryptering till komprometterade användare.

Kryptohotet till hands använder krypteringsteknik som myndigheter och företag som Google Inc. använder för att säkra dataöverföringar. De krypterade filerna visas i Windows Explorer som generiska vita ikoner och programmen som användaren har installerat förblir funktionella. Men vissa databashanterare kanske inte fungerar ordentligt eftersom hotet kodar populära databasformat. Till exempel har 'Senaste försäljning.pdb' bytt namn till 'Senaste försäljning.pdb.tfude.' Lösenprisnoten laddas i anteckningsblocket från filen '_openme.txt', som finns på skrivbordet. Ransomware '.tfude File Extension' erbjuder samma meddelande som den ursprungliga Trojan, men den här gången använder hotaktörerna e-postkontot 'pdfhelp@firemail.cc' för att nå ut till användare. Det finns ingen gratis dekrypterare tillgänglig för användarna, och du måste använda säkerhetskopior av data för att återställa. Du måste rengöra de infekterade enheterna genom att köra en fullständig systemsökning med ett ansedd anti-malware-instrument.

Uppdatera 23 januari 2019 - 'pausa@bitmessage.ch' Ransomware

Ransomware 'pausa@bitmessage.ch' är en skadlig filkodare som produceras med STOPP Ransomware Builder. Ransomware 'pausa@bitmessage.ch' släpptes till PC-användare via skräppost under den första veckan i maj 2018. Ransomware 'pausa@bitmessage.ch' uppfattas som en generisk krypteringstrojan som skriver över data på infekterade datorer och raderar volymen ögonblicksbilder för att hindra återhämtning. Ransomware 'pausa@bitmessage.ch' är känt för att använda samma krypteringsteknik som andra framgångsrika Ransomware som Cerber och Dharma för att nämna några. Ransomware 'pausa@bitmessage.ch' är programmerat att köra från Temp-mappen under AppData-katalogen och tillämpa en säker AES-256-chiffer på dokument, video, musik, databaser och e-böcker. Kodad data tar emot ".PAUSA" -tillägget och något som "Hartmann-Save me.mp3" byter namn till "Hartmann-Save me.mp3.pausa." Lösenmeddelandet sparas som '!! RESTORE !!!. Txt' på användarens skrivbord och läser:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .PAUSA-tillägget är krypterade.
Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post pausa@bitmessage.ch skicka ett e-postmeddelande med din !!! RESTORE !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka 1-3 1-3 inte särskilt stora krypterade filer och vi skickar tillbaka dem i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[slumpmässiga tecken]
E-postadress för att kontakta oss:
pausa@bitmessage.ch
Boka e-postadress för att kontakta oss:
pausa@india.com '

Vi rekommenderar att du undviker förhandlingar med hotaktörerna via e-postkontona 'pausa@bitmessage.ch' och 'pausa@india.com'. Det är säkrare att starta säkerhetskopior av data och städa ditt system med hjälp av ett ansedd anti-malware-verktyg. Även om du betalar den absurda lösensumman på $ 600, finns det ingen garanti för att du kommer att få en dekrypterare. PC-användare uppmuntras att säkerhetskopiera data minst två gånger i månaden och ignorera skräppostmeddelanden som kan leda till en säkerhetskompromiss. AV-företag stöder identifieringsregler för 'pausa@bitmessage.ch' Ransomware, men det finns ingen gratis dekrypterare tillgänglig vid skrivningstidpunkten.

Uppdatera 23 januari 2019 - 'waiting@bitmessage.ch' Ransomware

Ransomware 'waiting@bitmessage.ch' är en krypteringstrojan som är baserad på STOP Ransomware. Ransomware 'waiting@bitmessage.ch' rapporterades av komprometterade användare den 18 april 2018 och det verkar invadera datorer via skadade Microsoft Word-dokument. Ransomware '' waiting@bitmessage.ch '' spelas in för att kryptera foton, ljud, video och text på de infekterade datorerna. Tyvärr lade skadeförfattarna till ett kommando för att radera de ögonblicksbilder som Windows gör för att skydda dina data. Trojanen skriver över riktad data med filer som har tillägget '.WAITING' och kan inte öppnas med programvara på ditt system. Till exempel byts namn på "Hartmann-Like a River.mp3" till "Hartmann-Like a River.mp3.waiting" och ett lösenmeddelande släpps till skrivbordet. Ransomware 'waiting@bitmessage.ch' skriver '!!! INFO_RESTORE !!!. Txt' till skrivbordet och visar följande text:

'Alla dina viktiga filer krypterades på den här datorn.
Alla filer med .WAITING-tillägget är krypterade.
Kryptering producerades med den unika privata nyckeln RSA-1024 som genererades för den här datorn.
För att dekryptera dina filer måste du skaffa privat nyckel + dekryptera programvara.
För att hämta den privata nyckeln och dekryptera programvaran måste du kontakta oss via e-post waiting@bitmessage.ch skicka ett e-postmeddelande med din !!! INFO_RESTORE !!!. Txt-fil och vänta på ytterligare instruktioner.
För att du ska vara säker på att vi kan dekryptera dina filer - du kan skicka 1-3 1-3 inte särskilt stora krypterade filer och vi skickar tillbaka dem i originalformat GRATIS.
Pris för dekryptering $ 600 om du kontaktar oss de första 72 timmarna.
Ditt personliga id:
[slumpmässiga tecken]
E-postadress för att kontakta oss:
waiting@bitmessage.ch
Boka e-postadress för att kontakta oss:
waiting@india.com '

Skadlig programvara stör inte säkerhetskopieringsverktyg från tredje part, och du bör kunna starta säkerhetskopior av data. Vi rekommenderar att du undviker interaktion med hotaktörerna via e-postadresserna 'waiting@bitmessage.ch' och 'waiting@india.com'. Du kanske är intresserad av att utforska filhanteringstjänster om du vill skydda dina säkerhetskopior av data mot nätverksöverförda cyberhot och de flesta Ransomware-varianter som 'waiting@bitmessage.ch' Ransomware.

Update 25 november, 2019 - .zobm och .rote Extensions

Säkerhetsforskare stötte på ett par nya varianter av STOP Ransomware den 24 november och 25 november 2019. Ransomware-varianterna bifogade de krypterade filerna med .zobm- och .rote-tillägg, men hade en identisk lösenord, namnet _readme.txt. E-postmeddelandena genom vilka hotaktörerna kunde nås var också desamma - datarestorehelp@firemail.cc och datahelp@iran.ir.

UPPMÄRKSAMHET!
Oroa dig inte, du kan returnera alla dina filer!
Alla dina filer som foton, databaser, dokument och annat viktigt är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier har du?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information.
Du kan hämta och titta på dekrypteringsverktyget för videoöversikt:
https://we.tl/t-4NWUGZxdHc
Priset på privat nyckel och dekrypteringsprogram är 980 dollar.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna, det är priset för dig 490 $.
Observera att du aldrig kommer att återställa dina data utan betalning.
Kontrollera din e-postmapp "Skräppost" eller "Skräp" om du inte får svar mer än 6 timmar.

För att få den här programvaran måste du skriva på vårt e-postmeddelande:
datarestorehelp@firemail.cc
Boka e-postadress för att kontakta oss:
datahelp@iran.ir
Ditt personliga ID:
[slumpmässiga tecken]

 

STOPP Ransomware 2019 och därefter

Senare under 2019 användes fortfarande STOP-ransomware och nya attackvektorer testades. STOP-ransomware började visas i buntar som innehåller andra former av skadlig kod, främst adware, som du kan hitta på webbplatser som hävdar att de är värd för spruckna körbara filer för spel och programvara. På det här sättet visade sig många av ransomwarens nya offer vara hoppfulla mjukvarupirater som letade efter vem som fick mer än de förhandlade om.

Det har också funnits bevis för att STOP-ransomware installerar trojans med lösenordsstjälare som kan skrapa olika inloggningsuppgifter.

Ransomware utvidgade också den långa listan över krypterade filtillägg som den använder. Filer krypterade av STOP-ransomware fick nu tilläggen .rumba och .tro. Hittills har lite annat förändrats - lösensedeln hittades fortfarande i en fil med namnet "_openme.txt", men lösenbeloppet stötte upp till $ 980, med en minskning till $ 490 om offret betalar inom de första 72 timmarna efter infektionen .

Uppdatering 24 mars 2020 - Nya varianter

Hotaktörerna bakom STOP Ransomware har arbetat lika outtröttligt 2020 som de gjorde 2019, med nya varianter som krypterade offrens filer och bifogade dem med en mängd nya tillägg. Några av de nya tilläggen av STOP Ransomware inkluderar .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd och .foop.

Ett urval av en lösensedel som följde med .lokd-varianten innehöll följande text:

UPPMÄRKSAMHET!

Oroa dig inte, du kan returnera alla dina filer!
Alla dina filer som foton, databaser, dokument och annat viktigt är krypterade med starkaste kryptering och unik nyckel.
Den enda metoden för att återställa filer är att köpa dekrypteringsverktyg och unik nyckel åt dig.
Denna programvara dekrypterar alla dina krypterade filer.
Vilka garantier har du?
Du kan skicka en av dina krypterade filer från din dator och vi dekrypterar den gratis.
Men vi kan bara dekryptera 1 fil gratis. Filen får inte innehålla värdefull information.
Du kan hämta och titta på dekrypteringsverktyget för videoöversikt:
https://we.tl/t7m8Wr997Sf
Priset på privat nyckel och dekrypteringsprogram är 980 dollar.
Rabatt 50% tillgängligt om du kontaktar oss de första 72 timmarna, det är priset för dig 490 $.
Observera att du aldrig kommer att återställa dina data utan betalning.
Kontrollera din e-postmapp '' Skräppost '' eller '' Skräp '' om du inte får svar mer än 6 timmar.

För att få den här programvaran måste du skriva på vårt e-postmeddelande:
helpdatarestore@firemail.cc
Boka e-postadress för att kontakta oss:
helpmanager@mail.ch
Ditt personliga ID:
[slumpmässiga tecken]

Andra e-postmeddelanden som hotaktörerna har använt med dessa nya varianter inkluderar helpmanager@iran.ir och helpmanager@firemail.cc.

Technical Information

Filsysteminformation

STOP Ransomware skapar följande fil (er):
# Filnamn MD5 Detektionsantal
1 BB30.exe f8ef98bbaff6ac82dacde20ee90bfa55 4,184
2 5F1F.exe b5b59a34192343da2c0fc84fb3bb6b2e 3,149
3 3ffa.exe a0192bd5d8164e61819890e908fa0e7d 1,888
4 97DE.tmp.exe 4e8f1415dd3366f81fa3960db4cf70f9 1,771
5 1368.tmp.exe 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 9686685955.exe 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 a395.tmp.exe 536f955ae69e666b44aac54c7619b9b1 1,584
8 3823.TMP.EXE.WPT d4fceee0f4fe0f1b50a5c957eab5151b 1,497
9 512B.tmp.exe 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 3344.exe 6a4d9e0ad2a5361dd947537182f5692d 1,233
11 d5e2.tmp.exe 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 B117.tmp.exe 283bf952e656763a94626cac01d7bc85 979
13 25b9.tmp.exe 9bd737b220a4040dbcaf17f48be54a98 822
14 3A93.tmp.exe d5995275a4d96672ed08cc6188143a7a 773
15 2c6b.tmp.exe ac2dffb783aed99d77ecc2006a29d971 744
16 618.tmp.exe 99ba307185c56cfb6d9ea965fcfef083 719
17 160f.tmp.exe 3a1a3c4b4b3de474b574f48198d6e41e 647
18 1df7.tmp.exe ad5a82caee53510fafcdfcddfa74daae 40
19 5cd3.tmp.exe 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 e5cb.tmp.exe 031ff93d3e55a84f475cf0b563fe7f65 14
21 5dcc.tmp.exe e3b973420daf30a4180f60337a2eaf90 14
22 6fa4.tmp.exe 67e8f528b4db3443a74718443a2fc788 12
23 cc0.tmp.exe 0564489cff6c549ca82b7a470b305346 11
24 c11d.tmp.exe a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe fdc340769c3ca364f6cc7ca1be99762b 0
Fler filer

Registry Details

STOP Ransomware skapar följande registerposter eller registerposter:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe

Related Posts

Site Disclaimer

Enigmasoftware.com är inte associerat, anslutet, sponsrat eller ägt av de skadliga skaparna eller distributörerna som nämns i den här artikeln. Denna artikel ska INTE misstas eller förväxlas genom att den på något sätt associeras med marknadsföring eller godkännande av skadlig kod. Vår avsikt är att tillhandahålla information som kommer att utbilda datoranvändare om hur man upptäcker och i slutändan tar bort skadlig kod från sin dator med hjälp av SpyHunter och/eller manuella borttagningsinstruktioner som tillhandahålls i den här artikeln.

Denna artikel tillhandahålls "som den är" och ska endast användas för informationsändamål. Genom att följa instruktionerna i denna artikel godkänner du att du är bunden av ansvarsfriskrivningen. Vi garanterar inte att den här artikeln hjälper dig att helt ta bort skadliga hot på din dator. Spionprogram ändras regelbundet; därför är det svårt att helt rengöra en infekterad maskin med manuella medel.