Fidye Yazılımını DURDUR

Fidye Yazılımını DURDUR Açıklama

Tür: Ransomware

Fidye Yazılımı Ekran Görüntüsünü DURDUR PC güvenlik araştırmacıları, 21 Şubat 2018'de STOP Ransomware olarak bilinen bir tehdidi içeren fidye yazılımı saldırılarına ilişkin raporlar aldı. STOP Ransomware, açık kaynaklı bir fidye yazılımı platformuna dayanır ve şifreleme fidye yazılımı saldırısının tipik bir sürümünü gerçekleştirir. STOP Fidye Yazılımı, bozuk dosya ekleri içeren istenmeyen e-posta iletileri kullanılarak dağıtılır. Bu dosya ekleri, STOP Fidye Yazılımını kurbanın bilgisayarına indiren ve yükleyen gömülü makro komut dosyalarına sahip DOCX dosyaları biçimini alır. Kimlik avı e-postalarının nasıl tanınacağını öğrenmek ve alınan istenmeyen dosya eklerini indirmekten kaçınmak, bu saldırılardan kaçınmanın yollarından biridir.

DUR Fidye Yazılımı Enfeksiyonu Nasıl Tespit Edilir

STOP Fidye Yazılımı kurbanın bilgisayarına yüklendikten sonra, STOP Fidye Yazılımı kurbanın sürücülerinde çok çeşitli dosya türleri için arama yapar ve genellikle görüntüler, medya dosyaları ve çok sayıda başka belge türü gibi kullanıcı tarafından oluşturulan dosyaları arar. STOP Ransomware, genellikle bu makinelerde açıkça bulunan veritabanı dosyalarını ve benzer dosya türlerini aradığından, Web sunucularını hedef alacak şekilde tasarlanmış gibi görünüyor. STOP Ransomware'in saldırısında arayacağı ve hedef alacağı dosya türleri şunları içerir:

.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi , .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, . dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg , .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, . pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb , .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.

Kötü Amaçlı Yazılım Bölüm 10'da Bu Hafta: DUR & Zorab Fidye Yazılımı, Fake Decryptor ile Kurbanları Sömürüyor

STOP Fidye Yazılımı, kurbanın dosyalarının her birine erişilemez hale getirmek için güçlü bir şifreleme algoritması kullanır. Fidye Yazılımını DURDUR saldırısı, etkilenen dosyaları işaretlemenin bir yolu olarak şifrelediği dosyalara '.SUSPENDED' dosya uzantısını ekler.

STOP Ransomware'in Fidye Notu

STOP Fidye Yazılımı, kurbanın bilgisayarına bir fidye notu göndererek bir fidye ödemesi talep eder. Bu fidye notu, kurbanın masaüstüne bırakılan bir metin dosyasında görüntülenir. Dosya '!!! YourDataRestore !!!.txt,' şu mesajı içerir:

'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.STOP uzantılı tüm dosyalar şifrelenir. Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, stopfilesrestore@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!YourDataRestore!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli bir 1-3 bize gönderebilir, orijinal bir biçimde ÜCRETSİZ olarak geri gönderebilirsiniz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[RANDOM KARAKTERLER]
Bize ulaşmak için e-posta adresi:
stopfilesrestoret@bitmessage.ch
Bize ulaşmak için e-posta adresini rezerve edin:
stopfilesrestore@india.com'

STOP Fidye Yazılımından sorumlu kişiler, Bitcoin kullanılarak belirli bir Bitcoin cüzdan adresine ve 72 saat içinde ödenmek üzere 600 USD fidye ödemesi talep ediyor. Ancak, bu kişilerle iletişime geçmek veya Fidye Yazılımı DURDUR fidyesini ödemek en iyi çözüm olmayabilir.

Verilerinizi STOP Fidye Yazılımlarından ve Diğer Fidye Yazılım Truva Atlarından Koruma

DUR Fidye Yazılımına ve diğer fidye yazılımı Truva Atlarına karşı en iyi koruma, dosya yedeklemelerine sahip olmaktır. Dosyalarının yedek kopyalarına sahip bilgisayar kullanıcıları, bir saldırıdan sonra fidye ödemeye başvurmadan bu dosyaları kolayca kurtarabilirler. Önerilen bir güvenlik programı, aynı zamanda, Fidye Yazılımını DURDUR'un ilk etapta yüklenmesini de önleyebilir.

6 Aralık 2018 Güncellemesi — 'helpshadow@india.com' Fidye Yazılımı

'helpshadow@india.com' Fidye Yazılımı, STOP Ransomware markasını taşıyan kod için nispeten küçük bir güncelleme olarak sınıflandırılmıştır. Tehdit yazarları, düşük bir enfeksiyon oranı elde ettiği için yeni varyantı cilalamak için yeterli zaman ayırmamış görünüyor. 'helpshadow@india.com' Fidye Yazılımı, AV satıcıları tarafından hızla alındı ve büyük sosyal platformlar ve siber güvenlik raporları aracılığıyla uyarılar yayınlandı. Ne yazık ki, henüz ücretsiz şifre çözme imkanı yoktur. Kullanıcılar genellikle e-posta ile alınan bozuk bir belge aracılığıyla tehlikeye girer. Tehdidin, Windows tarafından oluşturulan Gölge Birimi anlık görüntülerini sildiği ve şifrelenmiş nesnelere '.shadow' uzantısını eklediği bilinmektedir. Örneğin, 'C12-H22-O11.pptx', 'C12-H22-O11.pptx.shadow' olarak yeniden adlandırılır ve masaüstünde '!readme.txt' adlı bir fidye notu görünür. 'helpshadow@india.com' Fidye Yazılımının, virüslü kullanıcılara aşağıdaki mesajı göstermesi muhtemeldir:

'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc
Kişisel kimliğiniz:
[rastgele karakterler]'

Yukarıda gösterilen metin, 'helpshadow@india.com' Fidye Yazılımından daha önce yayınlanan varyantlar tarafından kullanılmaktadır ve kayda değer tek değişiklik, yeni e-posta yapılandırmasıdır. 'helpshadow@india.com' Fidye Yazılımı, e-posta bağlantılarından birinin adını alır ve diğeri, kullanıcıları aynı kullanıcı adına ancak farklı bir e-posta platformuna yönlendirir - 'helpshadow@firemail.cc'. Bu makale size ulaşana kadar her iki e-posta hesabının da feshedilmesi muhtemeldir. Fidye yazılımı operatörlerinin kontrol cihazlarını gizlemek için proxy'ler, VPN hizmetleri ve TOR Ağı kullandığı düşünüldüğünde, helpshadow@india.com'un Fidye Yazılımının arkasındaki kişiyi yakalama şansı çok yüksek değil. Bu nedenle, kullanıcıların verilerini savunmada proaktif olmaları gerekir. Birinci adım — sisteminize bir yedekleme programı kurun; ikinci adım — bilinmeyen göndericilerden gelen dosyaları açmayın. Veri yedeklerinizi çıkarılabilir bir bellek deposuna veya bir dosya barındırma hizmetine aktarmayı unutmayın.

13 Aralık 2018 Güncellemesi — '.djvu Dosya Uzantısı' Fidye Yazılımı

'.djvu Dosya Uzantısı' Fidye Yazılımı, 12 Aralık 2018'de bildirilen STOP Fidye Yazılımının yeni bir çeşididir. Bilgisayar güvenlik araştırmacıları, '.djvu Dosya Uzantısı' Fidye Yazılımını STOP Fidye Yazılımının önceki sürümlerine yönelik küçük bir güncelleme olarak sınıflandırır ve tehdidin öncelikle spam e-postalar yoluyla dağıtıldığı konusunda uyarın. Tehdit aktörleri, kullanıcıları programlarını sessizce yüklemeleri için kandırmak için makro özellikli belgeler ve sahte PDF'ler kullanıyor. '.djvu Dosya Uzantısı' Fidye Yazılımına yönelik saldırılar, Şubat 2018'deki ilk enfeksiyon dalgasıyla neredeyse aynı. Tehdit, kullanıcının verilerini şifrelemeden önce Gölge Birimi anlık görüntülerini ve bellek sürücülerine bağlı haritaları siler. Yeni varyant, farklı bir dosya uzantısını destekler ve fidye notu biraz değiştirilir. Adından da anlaşılacağı gibi, dosyalar '.djvu' son ekini alır ve 'Jonne-Kaiho.mp3' gibi bir şey 'Jonne-Kaiho.mp3.djvu' olarak yeniden adlandırılır. Fidye notu masaüstünde '_openme.txt' olarak görülebilir ve şöyledir:

'TÜM DOSYALARINIZ ŞİFRELİ
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli, en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Size hangi garantileri veriyoruz?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir
Dosyalarınızı yok edeceğinden üçüncü taraf şifre çözme araçlarını kullanmaya çalışmayın.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur.
Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpshadow@india.com

Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpshadow@firemail.cc

Kişisel kimliğiniz:
[rastgele karakterler]'

Tehdit yazarları, fidye yazılımı kampanyaları için 'helpshadow@india.com' ve 'helpshadow@firemail.cc' e-posta hesaplarını kullanmaya devam ediyor. STOP Ransomware ekibine güvenmeyin ve yukarıda bahsedilen sahte %50 indirimi kullanmaktan kaçının. Burada tartışılan tehdit aktörleri, hoşgörüleriyle tanınmazlar. PC kullanıcıları, güvenilir bir kötü amaçlı yazılımdan koruma aracı kullanarak '.djvu Dosya Uzantısı' Fidye Yazılımını kaldırmalıdır. Verilerinizi kurtarmak için yedek imajları ve yedekleme hizmetlerini kullanmak en iyisidir.

11 Ocak 2019 Güncellemesi — '.tfude Dosya Uzantısı' Fidye Yazılımı

'.tfude Dosya Uzantısı' Fidye Yazılımı, 11 Ocak 2019'da çıkan STOP Fidye Yazılımının bir sürümüdür. Tehdit, orijinal siber tehdide kıyasla minimum değişiklik gösteren bir sürüm olarak sınıflandırılır. '.tfude Dosya Uzantısı' Fidye Yazılımı, bozuk kodundaki tek dikkate değer değişiklikten sonra adlandırılmıştır. Truva atı, '.tfude' dosya uzantısını şifrelenmiş verilere ekleyecek şekilde yapılandırılmıştır. '.tfude Dosya Uzantısı' Fidye Yazılımı, güvenlik uzmanlarının güvenliği ihlal edilmiş kullanıcılara ücretsiz şifre çözme sunmasını engelleyen standart şifreleme teknolojilerini ve Komut sunucularına güvenli bağlantılar kullanmaya devam ediyor.

Eldeki kripto tehdidi, devlet kurumlarının ve Google Inc. gibi şirketlerin veri iletimlerini güvence altına almak için kullandığı şifreleme teknolojilerini kullanır. Şifrelenmiş dosyalar, Windows gezgininde genel beyaz simgeler olarak görüntülenir ve kullanıcının yüklediği programlar işlevsel kalır. Ancak, tehdit popüler veritabanı biçimlerini kodladığı için bazı veritabanı yöneticileri düzgün çalışmayabilir. Örneğin, 'Son satışlar.pdb', 'Son satışlar.pdb.tfude' olarak yeniden adlandırılmıştır. Fidye notu, masaüstünde bulunabilen '_openme.txt' dosyasından Not Defteri'ne yüklenir. '.tfude Dosya Uzantısı' Fidye Yazılımı, orijinal Truva Atı ile aynı mesajı sunar, ancak bu sefer tehdit aktörleri, kullanıcılara ulaşmak için 'pdfhelp@firemail.cc' e-posta hesabını kullanıyor. Kullanıcılar için ücretsiz bir şifre çözücü yoktur ve kurtarmak için veri yedeklemelerini kullanmanız gerekecektir. Saygın bir kötü amaçlı yazılımdan koruma aracıyla tam bir sistem taraması yaparak virüslü cihazları temizlemeniz gerekecektir.

23 Ocak 2019 Güncellemesi — 'pausa@bitmessage.ch' Fidye Yazılımı

'pausa@bitmessage.ch' Fidye Yazılımı, STOP Ransomware Builder ile üretilen bir dosya kodlayıcı kötü amaçlı yazılımdır. 'pausa@bitmessage.ch' Fidye Yazılımı, Mayıs 2018'in ilk haftasında istenmeyen e-postalar aracılığıyla PC kullanıcılarına sunuldu. 'pausa@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki verilerin üzerine yazan ve hacmi silen genel bir şifreleme Truva Atı olarak algılanır. kurtarmayı engellemek için anlık görüntüler. 'pausa@bitmessage.ch' Fidye Yazılımının Cerber ve Dharma gibi diğer başarılı Fidye Yazılımlarıyla aynı şifreleme teknolojilerini kullandığı bilinmektedir. 'pausa@bitmessage.ch' Fidye Yazılımı, AppData dizini altındaki Temp klasöründen çalışacak ve belgelere, videoya, müziğe, veritabanlarına ve e-kitaplara güvenli bir AES-256 şifresi uygulayacak şekilde programlanmıştır. Kodlanmış veriler '.PAUSA' uzantısını alır ve 'Hartmann-Save me.mp3' gibi bir şeyin adı 'Hartmann-Save me.mp3.pausa' olarak değiştirilir. Fidye bildirimi, kullanıcının masaüstüne '!!RESTORE!!!.txt' olarak kaydedilir ve şunları okur:

'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.PAUSA uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, pausa@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
pausa@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
pausa@india.com'

'pausa@bitmessage.ch' ve 'pausa@india.com' e-posta hesapları aracılığıyla tehdit aktörleriyle pazarlık yapmaktan kaçınmanızı öneririz. Saygın bir kötü amaçlı yazılımdan koruma aracının yardımıyla veri yedeklemelerini başlatmak ve sisteminizi temizlemek daha güvenlidir. 600 dolarlık saçma fidyeyi ödeseniz bile, bir şifre çözücü alacağınızın garantisi yoktur. PC kullanıcılarının ayda en az iki kez veri yedeklemesi yapmaları ve güvenlikten ödün verilmesine yol açabilecek istenmeyen iletileri görmezden gelmeleri önerilir. AV şirketleri, 'pausa@bitmessage.ch' Fidye Yazılımı için algılama kurallarını destekler, ancak bu yazının yazıldığı sırada ücretsiz bir şifre çözücü mevcut değildir.

23 Ocak 2019 Güncellemesi — 'waiting@bitmessage.ch' Fidye Yazılımı

'waiting@bitmessage.ch' Fidye Yazılımı, STOP Fidye Yazılımına dayalı bir şifreleme Truva Atı'dır. 'waiting@bitmessage.ch' Fidye Yazılımı, güvenliği ihlal edilmiş kullanıcılar tarafından 18 Nisan 2018'de bildirildi ve bilgisayarları bozuk Microsoft Word belgeleri aracılığıyla istila ediyor gibi görünüyor. 'waiting@bitmessage.ch' Fidye Yazılımı, virüslü bilgisayarlardaki fotoğrafları, sesleri, videoları ve metinleri şifrelemek için kaydedilir. Ne yazık ki, kötü amaçlı yazılım yazarları, Windows'un verilerinizi korumak için yaptığı birim anlık görüntülerini silmek için bir komut ekledi. Truva Atı, hedeflenen verilerin üzerine '.WAITING' uzantısını taşıyan ve sisteminizde yazılımla açılamayan dosyalarla yazar. Örneğin, 'Hartmann-Like a River.mp3', 'Hartmann-Like a River.mp3.waiting' olarak yeniden adlandırılır ve masaüstünüze bir fidye mesajı düşer. 'waiting@bitmessage.ch' Fidye Yazılımı masaüstüne '!!!INFO_RESTORE!!!.txt' yazar ve aşağıdaki metni gösterir:

'Tüm önemli dosyalarınız bu bilgisayarda şifrelendi.
.WAITING uzantılı tüm dosyalar şifrelenir.
Şifreleme, bu bilgisayar için oluşturulan benzersiz özel anahtar RSA-1024 kullanılarak üretildi.
Dosyalarınızın şifresini çözmek için özel anahtar + şifre çözme yazılımı edinmeniz gerekir.
Özel anahtarı almak ve yazılımın şifresini çözmek için, wait@bitmessage.ch e-posta adresinden bizimle iletişime geçmeniz, !!!INFO_RESTORE!!!.txt dosyanızı bize bir e-posta ile göndermeniz ve daha fazla talimat beklemeniz gerekir.
Dosyalarınızın şifresini çözebileceğimizden emin olmanız için - çok büyük olmayan şifreli dosyaları bize 1-3 arası gönderebilirsiniz, biz de size orijinal biçiminde ÜCRETSİZ olarak geri göndeririz.
İlk 72 saat bizimle iletişime geçerseniz şifre çözme fiyatı 600$.
Kişisel kimliğiniz:
[rastgele karakterler]
Bize ulaşmak için e-posta adresi:
bekliyor@bitmessage.ch
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
bekliyor@india.com'

Kötü amaçlı yazılım, üçüncü taraf yedekleme araçlarına müdahale etmez ve veri yedeklemelerini önyükleyebilmeniz gerekir. 'waiting@bitmessage.ch' ve 'waiting@india.com' e-posta adresleri aracılığıyla tehdit aktörleriyle etkileşimden kaçınılması önerilir. Veri yedeklemelerinizi ağdan bulaşan siber tehditlere ve 'waiting@bitmessage.ch' Fidye Yazılımı gibi çoğu Fidye Yazılımı türevine karşı korumak istiyorsanız, dosya barındırma hizmetlerini keşfetmek ilginizi çekebilir.

Güncelleme 25 Kasım inci 2019 - .zobm ve .rote Uzantıları

Güvenlik araştırmacıları, 24 Kasım ve 25 Kasım 2019'da STOP Ransomware'in birkaç yeni çeşidiyle karşılaştı. Fidye yazılımı çeşitleri, .zobm ve .rote uzantılı şifrelenmiş dosyalar ekledi, ancak _readme.txt adlı aynı bir fidye notuna sahipti. Tehdit aktörlerine ulaşılabilecek e-postalar da aynıydı – datarestorehelp@firemail.cc ve datahelp@iran.ir.

DİKKAT!
Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t-4NWUGZxdHc
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla yanıt alamazsanız, e-postanızın "Spam" veya "Önemsiz" klasörünü kontrol edin.

Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
datarestorehelp@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
datahelp@iran.ir
Kişisel kimliğiniz:
[rastgele karakterler]

 

2019 ve Ötesinde Fidye Yazılımlarını DURDURUN

2019 yılının sonlarında, STOP fidye yazılımı hala kullanılıyor ve yeni saldırı vektörleri test ediliyordu. STOP fidye yazılımı, oyunlar ve yazılımlar için kırılmış yürütülebilir dosyaları barındırdığını iddia eden web sitelerinde bulabileceğiniz, başta reklam yazılımı olmak üzere diğer kötü amaçlı yazılım türlerini içeren paketler halinde görünmeye başladı. Bu şekilde, fidye yazılımının yeni kurbanlarının çoğu, kimin umduklarından fazlasını elde ettiğini arayan umutlu yazılım korsanları olduğu ortaya çıktı.

Ayrıca, STOP fidye yazılımının, çeşitli oturum açma kimlik bilgilerini sıyırabilen parola çalan Truva atları yüklediğine dair kanıtlar da var.

Fidye yazılımı, kullandığı şifreli dosya uzantılarının uzun listesini de genişletti. STOP fidye yazılımı tarafından şifrelenen dosyalar artık .rumba ve .tro uzantılarını aldı. Şimdiye kadar çok az şey değişti - fidye notu hala "_openme.txt" adlı bir dosyada bulundu, ancak fidye tutarı 980 dolara çıktı ve kurban enfeksiyondan sonraki ilk 72 saat içinde ödeme yaparsa 490 dolara düştü .

24 Mart 2020 Güncellemesi – Yeni Varyantlar

STOP Fidye Yazılımının arkasındaki tehdit aktörleri, 2019'da olduğu gibi 2020'de de, kurbanların dosyalarını şifreleyen ve bunlara çeşitli yeni uzantılar ekleyen yeni varyantlarla yorulmadan çalışıyorlar. STOP Ransomware'in yeni uzantılarından bazıları .piny, .redl, .rooe, mmnn, .ooss, .rezm, .lokd ve .foop'u içerir.

.lokd varyantıyla birlikte gelen bir fidye notu örneği aşağıdaki metni içeriyordu:

DİKKAT!

Merak etmeyin, tüm dosyalarınızı geri verebilirsiniz!
Fotoğraflar, veritabanları, belgeler ve diğer önemli dosyalar gibi tüm dosyalarınız en güçlü şifreleme ve benzersiz anahtarla şifrelenir.
Dosyaları kurtarmanın tek yöntemi, sizin için şifre çözme aracı ve benzersiz anahtar satın almaktır.
Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecektir.
Ne garantileriniz var?
Bilgisayarınızdan şifreli dosyanızdan birini gönderebilirsiniz ve biz de şifresini ücretsiz çözelim.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz. Dosya değerli bilgiler içermemelidir.
Videoya genel bakış şifre çözme aracını alabilir ve inceleyebilirsiniz:
https://we.tl/t7m8Wr997Sf
Özel anahtar ve şifre çözme yazılımının fiyatı 980 dolar.
İlk 72 saat bizimle iletişime geçerseniz %50 indirim mevcuttur, bu sizin için fiyat 490$'dır.
Lütfen verilerinizi ödeme yapmadan asla geri yüklemeyeceğinizi unutmayın.
6 saatten fazla cevap alamazsanız, e-postanızın ''Spam'' veya ''Önemsiz'' klasörünü kontrol ediniz.

Bu yazılımı edinmek için e-postamıza yazmanız gerekir:
helpdatarestore@firemail.cc
Bizimle iletişime geçmek için e-posta adresini rezerve edin:
helpmanager@mail.ch
Kişisel kimliğiniz:
[rastgele karakterler]

Tehdit aktörlerinin bu yeni varyantlarla birlikte kullandığı diğer e-postalar helpmanager@iran.ir ve helpmanager@firemail.cc'dir.

Teknik Bilgiler

Dosya Sistemi Detayları

Fidye Yazılımını DURDUR aşağıdaki dosyaları oluşturur:
# Dosya adı MD5 Algılama sayısı
1 BB30.exe f8ef98bbaff6ac82dacde20ee90bfa55 4,184
2 5F1F.exe b5b59a34192343da2c0fc84fb3bb6b2e 3,149
3 3ffa.exe a0192bd5d8164e61819890e908fa0e7d 1,888
4 97DE.tmp.exe 4e8f1415dd3366f81fa3960db4cf70f9 1,771
5 1368.tmp.exe 8cebee5086592386fa86f3ee5bacc0d2 1,647
6 9686685955.exe 5c71f8c3bb000d163fc2e63c089b35a1 1,628
7 a395.tmp.exe 536f955ae69e666b44aac54c7619b9b1 1,584
8 3823.TMP.EXE.WPT d4fceee0f4fe0f1b50a5c957eab5151b 1,497
9 512B.tmp.exe 89b1b4f3f6ec190865abaa7f61046ee5 1,254
10 3344.exe 6a4d9e0ad2a5361dd947537182f5692d 1,233
11 d5e2.tmp.exe 4c1b9a14dda6a74b7abff708758d98f6 1,038
12 B117.tmp.exe 283bf952e656763a94626cac01d7bc85 979
13 25b9.tmp.exe 9bd737b220a4040dbcaf17f48be54a98 822
14 3A93.tmp.exe d5995275a4d96672ed08cc6188143a7a 773
15 2c6b.tmp.exe ac2dffb783aed99d77ecc2006a29d971 744
16 618.tmp.exe 99ba307185c56cfb6d9ea965fcfef083 719
17 160f.tmp.exe 3a1a3c4b4b3de474b574f48198d6e41e 647
18 1df7.tmp.exe ad5a82caee53510fafcdfcddfa74daae 51
19 5cd3.tmp.exe 1569c3b648b4c63ae39ddc2d2d91b7d5 14
20 e5cb.tmp.exe 031ff93d3e55a84f475cf0b563fe7f65 14
21 5dcc.tmp.exe e3b973420daf30a4180f60337a2eaf90 14
22 6fa4.tmp.exe 67e8f528b4db3443a74718443a2fc788 12
23 cc0.tmp.exe 0564489cff6c549ca82b7a470b305346 11
24 c11d.tmp.exe a0eb1e740d92c51576ed117d8b6de3c5 11
25 ransomware.exe fdc340769c3ca364f6cc7ca1be99762b 0
Daha fazla dosya

Kayıt defteri detayları

Fidye Yazılımını DURDUR, aşağıdaki kayıt defteri girdisini veya kayıt defteri girdilerini oluşturur:
Directory
%ALLUSERSPROFILE%\tzjajmmqgl
%PROGRAMFILES%\3Dmarkproa
%PROGRAMFILES%\3DMarkproed
%PROGRAMFILES%\3DMarkproediot
%PROGRAMFILES%\3DMarkproedit
%PROGRAMFILES%\Blubnerg
%PROGRAMFILES%\cedfs
%PROGRAMFILES%\chrum\xon\note
%PROGRAMFILES%\company\3dmarkssdf
%PROGRAMFILES%\company\64Product
%PROGRAMFILES%\crights\file\xml
%PROGRAMFILES%\Cry\Cryp
%PROGRAMFILES%\cryptoss
%PROGRAMFILES%\crys\cry
%PROGRAMFILES%\crysp\cryq
%PROGRAMFILES%\Davai
%PROGRAMFILES%\der\supr
%PROGRAMFILES%\dera\kii
%PROGRAMFILES%\ferr\seda\sx\bin
%PROGRAMFILES%\Glary\Utilities\Settings
%PROGRAMFILES%\hop
%PROGRAMFILES%\Hyps
%PROGRAMFILES%\inner\win\bin
%PROGRAMFILES%\Innovativ\ddd
%PROGRAMFILES%\Ivp\bin
%ProgramFiles%\kiss\me
%PROGRAMFILES%\krontal
%PROGRAMFILES%\laert
%PROGRAMFILES%\laerts
%PROGRAMFILES%\Laertseer
%PROGRAMFILES%\lass\inst
%PROGRAMFILES%\lastpass\bur\tronfiles
%PROGRAMFILES%\Lawer\Xor
%PROGRAMFILES%\lawop
%PROGRAMFILES%\lawops
%PROGRAMFILES%\Marg\Cr
%PROGRAMFILES%\margin\marg
%ProgramFiles%\mroz\new\trunk
%PROGRAMFILES%\Mup\Cr
%PROGRAMFILES%\opur
%PROGRAMFILES%\Opute
%PROGRAMFILES%\Rondom
%PROGRAMFILES%\sccsd
%PROGRAMFILES%\Sir\Air
%PROGRAMFILES%\sir\xd
%PROGRAMFILES%\Tryhd
%PROGRAMFILES%\virtka
%PROGRAMFILES%\xery
%PROGRAMFILES%\youtubedown
%PROGRAMFILES(x86)%\3Dmarkproa
%PROGRAMFILES(x86)%\3DMarkproed
%PROGRAMFILES(x86)%\3DMarkproediot
%PROGRAMFILES(x86)%\3DMarkproedit
%PROGRAMFILES(x86)%\Blubnerg
%PROGRAMFILES(x86)%\cedfs
%PROGRAMFILES(x86)%\chrum\xon\note
%PROGRAMFILES(x86)%\company\3dmarkssdf
%PROGRAMFILES(x86)%\company\64Product
%PROGRAMFILES(x86)%\crights\file\xml
%PROGRAMFILES(x86)%\Cry\Cryp
%PROGRAMFILES(x86)%\cryptoss
%PROGRAMFILES(x86)%\crys\cry
%PROGRAMFILES(x86)%\crysp\cryq
%PROGRAMFILES(x86)%\Davai
%PROGRAMFILES(x86)%\der\supr
%PROGRAMFILES(x86)%\dera\kii
%PROGRAMFILES(x86)%\ferr\seda\sx\bin
%PROGRAMFILES(x86)%\Glary\Utilities\Settings
%PROGRAMFILES(x86)%\hop
%PROGRAMFILES(x86)%\Hyps
%PROGRAMFILES(x86)%\inner\win\bin
%PROGRAMFILES(x86)%\Innovativ\ddd
%PROGRAMFILES(x86)%\Ivp\bin
%ProgramFiles(x86)%\kiss\me
%PROGRAMFILES(x86)%\krontal
%PROGRAMFILES(x86)%\laert
%PROGRAMFILES(x86)%\laerts
%PROGRAMFILES(x86)%\Laertseer
%PROGRAMFILES(x86)%\lass\inst
%PROGRAMFILES(x86)%\lastpass\bur\tronfiles
%PROGRAMFILES(x86)%\Lawer\Xor
%PROGRAMFILES(x86)%\lawop
%PROGRAMFILES(x86)%\lawops
%PROGRAMFILES(x86)%\Marg\Cr
%PROGRAMFILES(x86)%\margin\marg
%ProgramFiles(x86)%\mroz\new\trunk
%PROGRAMFILES(x86)%\Mup\Cr
%PROGRAMFILES(x86)%\opur
%PROGRAMFILES(x86)%\Opute
%PROGRAMFILES(x86)%\Rondom
%PROGRAMFILES(x86)%\sccsd
%PROGRAMFILES(x86)%\Sir\Air
%PROGRAMFILES(x86)%\sir\xd
%PROGRAMFILES(x86)%\Tryhd
%PROGRAMFILES(x86)%\virtka
%PROGRAMFILES(x86)%\xery
%PROGRAMFILES(x86)%\youtubedown
File name without path
34fedwfe.exe
3fwedfe.exe
45rfedwwed.exe
45trgvdcregt.exe
4gtrecwr3t4g.exe
4rfeerwd.exe
54grfecr4bv.exe
5t4fr3dex.exe
5ygt4rfcd.exe
745rgfed.exe
brgrtv3f.exe
btevfrdcs.exe
ewfwe2.exe
ewrewexcf.exe
gtreefcd.exe
hwxfesa.exe
r44r3red.exe
retrvced.exe
rewrtrbvfd.exe
rfhi3f.exe
t4rtecf3rfe.exe
tbvgrfced.exe
tgrfet4tgrf.exe
trvecwx.exe
uyjhbv.exe
ybtvgrfcd.exe
yntbrvecd.exe
Regexp file mask
%programfiles%\fina\dowloadx.exe
%programfiles%\jack\setup.exe
%programfiles%\jack\setx.exe
%programfiles%\love\setup.exe
%programfiles%\new year\setx.exe
%programfiles(x86)%\fina\dowloadx.exe
%programfiles(x86)%\jack\setup.exe
%programfiles(x86)%\jack\setx.exe
%programfiles(x86)%\love\setup.exe
%programfiles(x86)%\new year\setx.exe
Registry key
Software\Microsoft\Windows\CurrentVersion\Run\SysHelper

İlgili Mesajlar

Site Sorumluluk Reddi Beyanı

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.