Какво е STOP Ransomware и как да предотвратим бъдещи атаки (04.26.24)

Само си представете този сценарий. Работите на устройството си и след това изведнъж изглежда се забавя. Или може би нямате достъп до критични файлове, които преди са били налични; може да получавате съобщения за грешка, които ви информират, че Windows не може да отвори файл или типът файл е неизвестен. Какъвто и да е случаят, всички тези преживявания са разочароващи. Още по-лошо е, когато причината за проблема са атаките на рансъмуер. В тази публикация ще обсъдим как да спрем тази заплаха, особено STON рансъмуера.

Вирусът STOP е един от най-новите и най-разпространени варианти на крипто-зловреден софтуер. За първи път е открит през 2017 г., но оттогава се появяват нови варианти. Всъщност нови версии на рансъмуера се появяват почти всеки месец. Потребителите са били свидетели на файлове със странни разширения, като .keypass, .shadow, .todar, .lapoi, .daris, .tocue, .gusau, .docdoc, .madek, .novasof, .djvuu и много други разширения. Но най-активните са Djvu ransomware и Keypass ransomware.

Преглед на вируса STOP

Вирусът използва комбинация от RSA и AES алгоритми за криптиране на данни, след което добавя разширение .STOP файл, като по този начин прави невъзможно отварянето или използвайте тези данни. Той може да заключва видеоклипове, снимки, документи, музика и други файлове. Изнудвачите искат да платите откуп за възстановяване на тези файлове.

Наскоро изследователите на сигурността изчислиха, че вирусът е засегнал повече от половин милион жертви по целия свят. Средно вирусът изисква откуп от $ 300 - $ 600 за дешифриране на данните. Този зловреден товар обикновено се разпространява чрез софтуерни пукнатини, ключове, прикачени файлове към имейл и инструменти като KMSPico.

Инфекцията с опасния вирус STOP може да доведе до сериозни проблеми със сигурността. За щастие в това ръководство за премахване на вируси СТОП ще включим някои инструменти, които можете да използвате, за да предотвратите атаки на рансъмуер. Някои жертви са възстановили своите файлове с помощта на Djvu STOP Ransomware Decryptor and Removal. Това е инструмент, разработен от Emsisoft и Michael Gillespie, който е способен да дешифрира над 100 варианта на вируси.

Резюме на заплахата

Име: STOP ransomware

Категория: Криптовирус

Технология за криптиране: AES и RSA-1024

Варианти: .STOP, .WAITING, .SUSPENDED, .CONTACTUS, .KEYPASS, .PAUSA, .DATASTOP, .DATAWAIT, .WHY, .INFOWAIT, .SAVEfiles, .puma, .shadow , .djvuu, .djvu, .udjvu, .djvus, .uudjvu, .charck, .chech ,. Kroput1, .kropun, .doples, .luceq, .luces, .proden, .daris, .tocue, .lapoi, .pulsar1, .docdoc, .gusau, .todar, .ntuseg и .madek, между другото.

Откупни съобщения : !!! YourDataRestore !!! txt, !! RestoreProcess !!!. txt, !!! DATA_RESTORE !!!. txt, !!! WHY_MY_FILES_NOT_OPEN !!!. txt, !!!! RESTORE_FILES !!!. txt, !! SAVE_FILES_INFO !!!. txt . Обикновено тези файлове се появяват на вашия работен плот след завършване на криптирането на файловете.

Откуп: Той варира от $ 300 - $ 600. Понякога измамниците могат да предложат 50% отстъпка на тези, които се вслушат в обаждането им в рамките на 72 часа.

Имейл адреси за контакт: [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; [имейл защитен]; и [имейл защитен]

Методи за разпространение: Хакнати уебсайтове, мошенически прикачени файлове към имейл, груба атака, пукнатини, експлойти и ключови гени.

Системна модификация : Вирусът може да модифицира системния регистър на Windows, да изтрива копия на сянка, създава планирани задачи и да стартира / спира някои процеси, наред с други модификации.

Премахване: За да се отървете от този вирус, изпълнете пълно сканиране на системата, използвайки мощна програма против зловреден софтуер. На всичкото отгоре трябва да отключите вашите файлове с помощта на надежден декриптор. Повечето версии могат да се дешифрират.

СТОП Варианти на рансъмуера

Както беше засегнато по-рано, новите варианти на заплахата продължават да се появяват с времето. Една от често срещаните му версии е Djvu рансъмуер, който може да бъде идентифициран по няколко негови разширения, включително .djvu, .udjvu, .djvus, .uudjvu, .djvur и .djvuq. Освен рансумуера Djvu, други нови и популярни варианти на зловреден софтуер включват:

  • рансъмуер CONTACTUS
  • рансъмуер SaveFiles
  • Kensass рансъмуер
  • Puna ransomware
  • Suspended ransomware
  • Shadow ransomware

През декември 2019 г. на сцената бяха представени няколко нови варианта. Те включват .nawk, .kodg, .toec, .coot, .mosk, .derp, .lokf, .mbed, .peet, .meka, .rote, .righ, .zobm, .grod, .merl, .mkos, .msop и .nbes. Към януари 2020 г. са открити и няколко допълнителни варианта. Най-забележителните са: .kodc, .alka, .topi, .npsg, .reha, .repp и .nosu.

Как STOP вирусът може да влезе във вашия компютър

Вирусът обикновено се разпространява чрез спам имейли, които имат злонамерени прикачени файлове. С помощта на социалното инженерство хакерите могат да подмамят потребителите да отварят злонамерени прикачени файлове, като по този начин пускат зловредния софтуер в техните системи. Независимо от това, можете лесно да откриете тези имейли, като потърсите следните знаци:

  • Не сте очаквали да получите такъв имейл. Например, може да получите имейл от Amazon, но не сте поръчали нищо от магазина.
  • Имейлът е пълен със странно структурирани изречения или грешки.
  • В имейла липсват идентификационни данни като фирмено лого или подпис.
  • Имейлът нито има заглавие на темата, нито тяло. Включва само прикачен файл. Понякога имейлът може да ви подкани да проверите информацията в приложените документи.
  • Имейл адресът на подателя изглежда подозрителен.

Освен спам имейли, вирусът може също да се промъкне във вашата система, ако изтеглите повредена програма или нейната актуализация, кликнете върху злонамерени реклами или други подобни техники. Следователно е от решаващо значение за потребителите на интернет да се научат как да идентифицират потенциалните опасности, които могат да се крият в мрежата.

Как да спрем атаките с Ransomware?

Плащането на исканата такса за откуп не е най-ефективният начин за решаване на проблема, създаден от вируса STOP. Всъщност вие насърчавате нападателите да продължат да разпространяват криптовируса само ако платите откупа. Така че, вместо да плащате таксата за откуп, планирайте незабавно да се отървете от вируса, след това намерете други ефективни начини за възстановяване на вашите данни.

Вариант 1: Премахнете ръчно STOP Virus Стъпка 1: Стартирайте компютъра в безопасен режим

Стартирането на компютъра ви в безопасен режим ще ви позволи да изолирате всички файлове, на които пречи ransomware, за да могат да бъдат премахнати безопасно. Вирусът STOP може да блокира достъпа до вашия софтуер за сигурност, който е необходим, за да се отървете от вируса. В тази ситуация можете да реактивирате вируса си само като стартирате в безопасен режим с мрежа. За да стартирате компютъра си в безопасен режим, следвайте инструкциите по-долу:

  • Натиснете клавишите Windows и R заедно, за да отворите Изпълнение прозорец.
  • Когато прозорецът се появи, въведете msconfig в него и след това натиснете Въведете.
  • Изчакайте Ще се появи прозорец Конфигурация , след което отидете до раздела Стартиране .
  • Проверете опцията Безопасно стартиране , след което направете същото и за опцията Мрежа .
  • Кликнете върху Прилагане и след това върху ОК , за да активирате настройките.
    • Стъпка 2: Показване на скрити файлове

    Както често се случва, рансъмуерът може да скрие някои от техните злонамерени файлове във вашата система. Поради тази причина трябва да покажете всички скрити файлове. Ето как да го направите:

  • Отидете на Моят компютър или Този компютър , в зависимост от това как е наименуван на вашия компютър.
  • Ако използвате Windows 7, кликнете върху бутона Организиране , след което маркирайте опциите Папка и търсене . След това можете да отидете до раздела Преглед , след това да се преместите в секцията Скрити файлове и папки и да поставите отметка Показване на скрити файлове и папки .
  • За Windows 8/10 отидете директно до раздела Изглед , след което поставете отметка в квадратчето Скрити елементи .
  • Сега кликнете Apply и след това OK .
    • Стъпка 3: Използвайте диспечера на задачите, за да спрете зловредни процеси

    За да отворите диспечера на задачите, използвайте клавишната комбинация CTRL + Shift + ESC , след което изпълнете следните стъпки:

  • Придвижете се до раздела Процеси .
  • Потърсете всички подозрителни процеси и след това щракнете с десния бутон върху всеки от тях и изберете Отваряне на местоположението на файла .
  • След това се върнете към прозореца на диспечера на задачите и прекратяване на зловредните процеси. За целта щракнете с десния бутон върху подозрителен процес, след което изберете Край на процеса .
  • За да се отървете напълно от него, отидете в папката, където се намира подозрителният файл, и изтрийте файла от там.
    • Стъпка 4: Поправете системния регистър на Windows

    За да изтриете незаконни записи в системния регистър на Windows, следвайте стъпките по-долу:

  • Използвайте клавишната комбинация Windows + R , за да отворите прозореца Изпълнение .
  • Въведете regedit в полето за търсене, след което натиснете Въведете .
  • Сега натиснете клавишната комбинация CTRL + F , след което въведете името на злонамерения файл в полето за търсене, за да намерите файла.
  • Ако намерите ключ на системния регистър и стойност, свързана с това име на файл, изтрийте ги. Но трябва да внимавате да не изтривате легитимни ключове.
    • Стъпка 5: Възстановяване на шифровани файлове

    Има няколко начина, по които можете да възстановите някои загубени данни. Ето най-често срещаните.

    1. Използвайте настоящи архиви

    Обикновено е препоръчително да съхранявате резервни копия на най-ценните си данни във външно устройство или хранилище в облак. По този начин можете бързо да възстановите файловете си, ако са унищожени, повредени или откраднати.

    2. Използвайте функцията за възстановяване на системата

    Можете също да използвате помощната програма за възстановяване на системата, за да се върнете към предишна работна точка. Тази опция ще бъде възможна само ако сте създали точки за възстановяване преди инфекцията, което означава, че може да не възстановите файлове и приложения, въведени по-късно.

    За да възстановите вашите файлове с помощта на помощната програма за възстановяване на системата, следвайте стъпките по-долу:

  • Докоснете клавиша Windows и въведете възстановяване на системата в поле за търсене и натиснете Въведете.
  • Сега изберете Отваряне на възстановяването на системата и следвайте инструкциите, които следват по-нататък. Тази опция ще се покаже, ако имате активна точка за възстановяване.
    • 3. Използвайте История на файловете

    Ето как става:

  • Отидете Старт и след това въведете възстановяване на файловете си в полето за търсене.
  • Ще видите опцията Възстановяване на вашите файлове с история на файлове .
  • Кликнете върху нея и след това въведете името на файла в лентата за търсене или просто изберете папка.
  • Кликнете върху бутона Възстановяване .
    • 4. Използвайте професионални инструменти за възстановяване

    Специализираният софтуер за възстановяване може да възстанови данни, дялове, снимки, документи и над 300 типа файлове, които може да са изчезнали по време на атаката. Едно от най-ефективните решения за възстановяване е Djvu STOP Ransomware Decryptor and Removal tool.

    Според Emsisoft инструментът може да възстанови данни за над 70% от всички жертви. За съжаление, новите варианти на вируса продължават да се появяват, така че инструментът може да дешифрира само файлове, заключени от офлайн ключове. В повечето случаи офлайн ключовете отнемат известно време, за да се извлекат.

    Как да разберем дали офлайн или онлайн ключовете са били използвани при шифроване?

    Ако вирусът STOP зарази компютъра ви след август 2019 г., тогава трябва да разберете дали хакерите са използвали онлайн или офлайн ключове за криптиране на вашите файлове.

    Най-новата версия на рансъмуера обикновено криптира файлове чрез онлайн ключове, ако може да се свърже със своя Command & amp; Контролен сървър по време на атаката. Но ако това не е възможно, то ще използва офлайн ключ. Ключът обикновено е един и същ за всички жертви на определен вариант на рансъмуер.

    Ако рансъмуерът криптира файлове с офлайн ключ, имате по-големи шансове да възстановите всичките си данни незабавно. За съжаление същото не може да се каже за онлайн ключовете. За да разберете кои клавиши на рансъмуера, използвайте за криптиране на вашите файлове, изпълнете следните стъпки:

  • Придвижете се до C: диск и след това отворете SystemID папка.
  • Веднъж там, стартирайте файла PersonalID.txt и след това проверете всички ключове, изброени в него.
  • Ако някой от клавишите завършва с t1 , възможно е да възстановите част от данните.
    • Вариант 2: Автоматично премахване на STOP вируса

    Обикновено ръчното премахване на вируса STOP изисква да сте запознати с регистрите и системните файлове. Тази кибер заплаха може да промени вашия регистър, да създаде нови ключове, да попречи на легитимни процеси или дори да инсталира злонамерени файлове. Следователно ръчното премахване може да не е най-ефективният начин да се обърне щетата и да се избавят всички следи от този вирус.

    Кибер заплахата включва няколко файла и компоненти, които приличат на легитимни системни процеси. Така че, намирането и изтриването на някои записи може да причини щети на вашия компютър, допълнително да влоши ситуацията. Ето защо трябва да използвате професионални инструменти за сигурност, за да премахнете STOP вируса. Изтеглете надежден инструмент като Outbyte Anti-malware , за да сканирате системата си за вирус и да го премахнете.

    Ако вирусът деактивира или блокира достъпа до вашите решения за сигурност, опитайте да стартирате компютъра си в безопасен режим и след това да стартирате антивирусната програма за откриване и премахване на вируса. След като се отървете от вируса STOP, можете да експортирате необходимите файлове от облачно хранилище или да включите външния си диск за съхранение с архивни файлове.

    Как да предотвратим атаките на Ransomware?

    Повечето хакери се примамват от бързи и лесни полезни товари, които рансъмуерът предлага. Проблемът с тези атаки е, че те надхвърлят кражбата на парите ви. Те могат да се измъкнат с ценната ви информация, като потребителски имена и пароли, лични номера за идентификация и банкови данни, излагайки ви на повече рискове. И ако сте в мрежа, всяко устройство в тази мрежа е изложено на риск.

    Рансъмуерът може да проникне във вашите компютри, таблети и дори смартфони. Така че, ако смятате, че вашето iOS устройство е защитено от рансъмуер, трябва да сте наясно. По принцип всички устройства са уязвими към атаки на рансъмуер, само че някои са по-уязвими от други.

    Потребителите на iOS са склонни да бъдат по-безопасни от другите потребители на устройства, но все пак можете да срещнете рансъмуер, ако сте прекъснали устройството си. Една от техниките, които мошениците използват за извършване на атаки за изкупване, е да се получат идентификационни данни за iCloud за потребителите на iOS, да се заключат устройствата им, след което да се покажат устройствата да показват съобщение за откуп.

    Така че, не чакайте СТОП вирус, за да влезете във вашата система. С подобни атаки във възход трябва да дадете приоритет на превенцията. Ето често срещани начини да се защитите от атаки на рансъмуер:

    1. Създайте резервно копие на вашите важни файлове

    Редовно архивирайте компютъра си, за да сведете до минимум случаите на загуба на данни. Можете да съхранявате тези файлове локално в офлайн система или облака. С тази мярка информацията ви ще бъде архивирана на безопасно място, без хакери. Освен това можете лесно да възстановите файловете си, дори ако устройството ви се зарази с рансъмуер.

    2. Избягвайте изискванията за инсталиране на изскачащи прозорци

    Винаги трябва да се отнасяте към изскачащите прозорци като към враг, особено ако ги получавате, когато са свързани с интернет. Ако получите изскачащ прозорец с искане да изтеглите или актуализирате приставка, незабавно я затворете. Това може да е злонамерен img, който се опитва да проникне в устройството ви с рансъмуер.

    3. Актуализирайте антивируса си

    За да се защитите срещу безмилостния рансъмуер, инсталирайте най-висококачествена антивирусна програма. Всеки месец се пускат нови варианти на рансъмуер, така че трябва да поддържате актуалната си антивирусна програма.

    4. Бъдете предпазливи при кликване върху връзки

    Както може би вече знаете, фишинг измамите все още са основният път, който хакерите използват за разпространение на вируса STOP. Така че, трябва да проверите имейлите на имейлите си, преди да кликнете върху която и да е връзка или прикачен файл в тези имейли, дори ако изглеждат безобидни.

    5. Избягвайте пиратски приложения

    Въпреки че има няколко легитимни пазари за компютърни софтуери, магазините на приложения на трети страни имат репутацията на горещи точки на хакери. Така че, когато инсталирате приложения, е по-добре да се придържате към надеждни изображения като Apple App Store, Microsoft Store или Google Play Store.

    6. Постоянно актуализирайте приложенията и операционните си системи

    Рансъмуерът често използва уязвимости в сигурността във вашата система, така че не можем да спрем да подчертаваме колко е важно да поддържате компютъра си актуален. Не забравяйте да го защитите с редовни корекции и актуализации на защитата.

    7. Създаване на точки за възстановяване и възстановяване

    Ако сте потребител на Windows, създайте точки за възстановяване, като използвате функцията за възстановяване на системата. В случай, че вирусът кодира някои от вашите файлове, можете да се върнете към предишна работна точка.

    8. Прилагане на надеждна защита с парола

    Статистиката показва, че обикновен потребител на компютър използва едни и същи идентификационни данни за вход за множество сайтове. Още по-тревожното е, че една трета от тях използват значително слаба парола, което улеснява още повече проникването на хакери. Разбира се, не винаги е лесно да запомните няколко пароли за различни акаунти, но можете да разрешите този проблем, като използвате система за управление на пароли.

    9. Блокирайте подозрителните имейл адреси на вашия сървър

    Можете да филтрирате подозрителни имейли, като отхвърлите всички писма с изпълними прикачени файлове. Можете също да подобрите това, като настроите вашия пощенски сървър да отхвърля адреси от известни спамери. Дори да нямате вътрешен пощенски сървър, вашата услуга за сигурност по-вероятно ще ви позволи да филтрирате входящите имейли.

    Можете дори да подобрите сигурността на имейлите, като добавите контрол на вирусите на ниво пощенски сървър. Инсталирайте антивирусна програма на вашия имейл сървър, за да функционира като защита.

    10. Блокиране на уязвими приставки

    Киберпрестъпниците могат да използват няколко приставки, за да влязат във вашия компютър. Най-често срещаните са Flash и Java, защото са лесни за атака и са стандартни в повечето сайтове. Поради тази причина опитайте да ги актуализирате редовно. Като алтернатива можете да ги блокирате изцяло.

    Последни мисли

    Надяваме се, че нашето ръководство за премахване на вируси STOP ви е помогнало да възстановите откраднатите си файлове. Дори след възстановяване на системата ви препоръчваме да сканирате системата си с мощна програма против зловреден софтуер. В повечето случаи няма да намерите остатъци от зловреден софтуер, но няма да навреди да се провери отново.

    Освен това силно препоръчваме да предотвратите навлизането на рансъмуера във вашия компютър. Така че, не забравяйте да практикувате безопасно сърфиране, да сте в течение, да архивирате файловете си често, да поддържате антивируса си активен и актуален и да инсталирате приложения от надеждни изображения.

    YouTube Video.: Какво е STOP Ransomware и как да предотвратим бъдещи атаки

    04, 2024