Entschlüsselung von Dateien, die durch STOP/DJVU Ransomware gesperrt wurden

by Brendan Smith
Mai 5, 2023
Written by Brendan Smith

STOP/DJVU Ransomware ist ein schädliches Programm, das die Dateien der Opfer mit dem Salsa20-Verschlüsselungsalgorithmus verschlüsselt. Dieser Verschlüsselungsalgorithmus ist ein hochfester Cipher, der ohne den Entschlüsselungsschlüssel schwer zu brechen ist. Sobald die Dateien verschlüsselt sind, fügt STOP/DJVU Ransomware eine von Dutzenden von Erweiterungen zu den Dateinamen hinzu, wie “.wrui”, “.pcqq”, “.ytbn”, “.nusm” und so weiter.

Die Cyberkriminellen hinter STOP/DJVU Ransomware fordern ein Lösegeld, um den Entschlüsselungsschlüssel zur Entsperrung der verschlüsselten Dateien zu erhalten. Die Lösegeldforderung ist normalerweise eine Textdatei, die auf dem Desktop oder in jedem Ordner mit verschlüsselten Dateien platziert wird. Die Notiz enthält Anweisungen zur Zahlung des Lösegelds und warnt davor, den Schädling zu entfernen oder die Dateien ohne den Entschlüsselungsschlüssel zu entschlüsseln.

Die Lösegeldforderung “_readme.txt” enthält den folgenden Text:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpmanager@mail.ch

Reserve e-mail address to contact us:

restoremanager@firemail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Es ist wichtig zu beachten, dass die Zahlung des Lösegelds nicht garantiert, dass der Entschlüsselungsschlüssel bereitgestellt wird, und es gab Fälle, in denen die Cyberkriminellen den Entschlüsselungsschlüssel auch nach Erhalt des Lösegelds nicht geliefert haben. Daher ist es wichtig, präventive Maßnahmen zu ergreifen, um sich gegen Ransomware-Angriffe zu schützen.

Um zu verhindern, dass STOP/DJVU Ransomware und andere Arten von Ransomware Ihren Computer infizieren, sollten Sie sichere Computertechniken anwenden, wie das Aktualisieren Ihres Betriebssystems und Ihrer Software, das Vermeiden des Öffnens verdächtiger E-Mail-Anhänge und das Herunterladen von Software aus vertrauenswürdigen Quellen. Zusätzlich sollten Sie regelmäßig Ihre wichtigen Dateien auf einem externen Gerät oder einer Cloud-basierten Speicherplattform sichern.

Note!

Zunächst müssen Sie den Schadcode von Ihrem PC entfernen, da er sonst Ihr Gerät sperren oder Ihre Daten mehrfach verschlüsseln wird. Wenn Ihr aktuelles Antivirenprogramm diesen Schadcode nicht entfernen kann, kann er mit Hilfe von GridinSoft Anti-Malware entfernt werden.

Wenn Ihr System über die Windows Remote Desktop-Funktion infiziert wurde, empfehlen wir dringend, alle Passwörter aller verfügbaren Benutzer zu ändern, die sich auf Remote-Basis anmelden dürfen, und die lokalen Benutzerkonten auf die Verfügbarkeit anderer zusätzlicher Konten zu überprüfen, die die Online-Betrüger möglicherweise generieren könnten.
Auch Lesen: 15 Gründe, Gridinsoft Anti-Malware zu wählen

Warnung: Diese Anwendung muss während der Aktivität mit dem Web verbunden sein, um die Entschlüsselungsrichtlinien vom Server zu erhalten.

Wenn Sie vermuten, dass Ihr Computer mit STOP/DJVU Ransomware infiziert wurde, sollten Sie sich sofort vom Internet trennen, um zu verhindern, dass sich der Schadcode auf andere Geräte ausbreitet. Suchen Sie dann die Hilfe eines professionellen Malware-Entfernungs-Services, um den Schadcode sicher von Ihrem System zu entfernen.

Aktualisiert am 19. August 2021

Der Offline-/Private Key für die Variante .moqs des STOP-Ransomware-Virus wurde dem Emsisoft-Server hinzugefügt.

Aktualisiert am 12. Juli 2021

Der Offline-Schlüssel für die Varianten .omfl, .geno, .nile und .maas wurde von Emsisoft wiederhergestellt.

Aktualisiert am 2. Juli 2021

Der Offline-Schlüssel für die Varianten .sspq, .iqll und .ddsg wurde von Emsisoft wiederhergestellt. Opfer dieser 3 Varianten, deren Dateien mit dem Offline-Schlüssel verschlüsselt wurden, können ihre Dateien wiederherstellen.

Aktualisiert am 31. Mai 2020

Der Offline-Schlüssel für die Variante .covm wurde von Emsisoft wiederhergestellt und dem Emsisoft Decryptor-Server hinzugefügt.

Aktualisiert am 1. Mai 2020

Emsisoft hat bekannt gegeben, dass die Offline-Schlüssel für .opqz, .nppp und .npsk wiederhergestellt wurden und auf dem Emsisoft Decryptor-Server hochgeladen wurden.

Aktualisiert am 6. Februar 2020

Emsisoft hat bekannt gegeben, dass die Offline-Schlüssel für die Varianten .alka und .repp wiederhergestellt und auf den Emsisoft Decryptor Server hochgeladen wurden.

Aktualisiert am 20. Januar 2020

Der Emsisoft Decryptor hat neue OFFLINE-SCHLÜSSEL für die Varianten .nbes und .mkos des STOP (Djvu)-Ransomware erhalten und auf den Server hochgeladen.

Aktualisiert am 6. Januar 2020

Liste der neuen Stop/Djvu-Varianten für 148 Varianten, die von Emsisoft entschlüsselt werden können.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

Aktualisiert am 02 Dezember 2019

Liste der neuen Stop/Djvu-Varianten, die von Emsisoft entschlüsselt werden können. NUR FÜR OFFLINE-SCHLÜSSEL!

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk

Aktualisiert am 25 November 2019

Emsisoft Decryptor hat Offline-Schlüssel für die folgenden neuen STOP (Djvu)-Varianten erhalten und auf den Server hochgeladen:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg

Aktualisiert am 9 November 2019

Decryptor v.1.0.0.1 von Emsisoft kann derzeit NEUE Stop/Djvu-Varianten mit den folgenden Dateierweiterungen entschlüsseln:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp

Bedingungen: Dateien, die mit OFFLINE-SCHLÜSSEL verschlüsselt wurden.

Es gibt bestimmte Einschränkungen bezüglich der wiederherstellbaren Dateien. Wenn es um alle Versionen von STOP Djvu geht, können die Informationen ordnungsgemäß entschlüsselt werden, wenn sie über einen Offline-Schlüssel verfügen, der bei den Entwicklern des Emsisoft Decryptors verfügbar ist. Was den Old Djvu betrifft, so können die Dateien auch mit verschlüsselten/ursprünglichen Dateipaarungen entschlüsselt werden, die an das STOP Djvu Submission Portal übermittelt wurden. Beachten Sie jedoch, dass dies nicht für New Djvu gilt, das nach August 2019 entwickelt wurde.

Was ist ein “Dateipaar”?

Ein Dateipaar besteht aus zwei Dateien, die identisch sind (das bedeutet, dass sie genau dieselben Daten enthalten), aber eine Kopie davon verschlüsselt wurde und die andere nicht. Das STOP Djvu Einreichungsportal kann die Unterschiede zwischen einer verschlüsselten Datei und einer originalen Kopie derselben Datei analysieren und dadurch feststellen, wie diese entschlüsselt werden kann. Für die meisten Opfer mit einer älteren Version von STOP/Djvu ist das Einreichen von Dateipaaren die einzige Möglichkeit, um ihre Dateien wiederherzustellen.

Wie können Ihre Dateien wiederhergestellt werden?

  1. Laden Sie das Entschlüsselungstool 1 von derselben Website herunter, die diese “How To” Anleitung entwickelt hat.
  2. Stellen Sie sicher, dass Sie das Entschlüsselungsprogramm als Administrator ausführen. Sie müssen den Lizenzbedingungen zustimmen, die angezeigt werden. Klicken Sie dazu auf die Schaltfläche “Ja“:Emsisoft Decryptor - Lizenzbedingungen
  3. Sobald Sie den Lizenzbedingungen zugestimmt haben, erscheint die Benutzeroberfläche des Hauptentschlüsselungsprogramms:Emsisoft Decryptor - Benutzeroberfläche
  4. Ausgehend von den Standardeinstellungen werden die verfügbaren Speicherorte automatisch im Entschlüsselungsprogramm aufgelistet (einschließlich der verbundenen Netzwerklaufwerke). Zusätzliche (optionale) Speicherorte können mithilfe der Schaltfläche “Hinzufügen” ausgewählt werden.
  5. Entschlüsselungsprogramme schlagen normalerweise mehrere Optionen je nach spezifischer Malware-Familie vor. Die derzeit möglichen Optionen werden im Register “Optionen” präsentiert und können dort aktiviert oder deaktiviert werden. Eine detaillierte Liste der derzeit aktiven Optionen finden Sie weiter unten.
  6. Sobald Sie alle gewünschten Speicherorte für die Entschlüsselung in die Liste aufgenommen haben, klicken Sie auf die Schaltfläche “Entschlüsseln”, um den Entschlüsselungsvorgang zu starten. Beachten Sie, dass der Hauptbildschirm Sie möglicherweise in eine Statusansicht umwandelt, die Sie über den aktiven Prozess und die Entschlüsselungsstatistiken Ihrer Daten informiert:Emsisoft Decryptor - the decryption statistics
  7. Der Entschlüsseler benachrichtigt Sie, sobald der Entschlüsselungsvorgang abgeschlossen ist. Wenn Sie den Bericht für Ihre persönlichen Unterlagen benötigen, können Sie ihn durch Auswahl der Schaltfläche “Protokoll speichern” speichern. Beachten Sie, dass es auch möglich ist, ihn direkt in die Zwischenablage zu kopieren und in E-Mails oder Forenbeiträge einzufügen, falls Sie dies benötigen.

Entschlüsseler-Optionen

Der Entschlüsseler führt derzeit folgende Optionen aus:

  • Verschlüsselte Dateien behalten
    Da der Erpressungstrojaner keine Daten bezüglich der unverschlüsselten Dokumente speichert, kann der Entschlüsseler nicht garantieren, dass die entschlüsselte Datei identisch mit der ursprünglich verschlüsselten ist. Daher löscht der Entschlüsseler aus Sicherheitsgründen standardmäßig keine verschlüsselten Dokumente, nachdem sie entschlüsselt wurden. Wenn Sie möchten, dass der Entschlüsseler verschlüsselte Dokumente löscht, sobald sie entschlüsselt wurden, können Sie diese Funktion deaktivieren. Beachten Sie jedoch, dass dies anwendbar sein kann, wenn der Speicherplatz auf Ihrer Festplatte begrenzt ist.

    • Frequently Asked Questions

    Warum funktioniert der Entschlüsseler nicht?

    Der Entschlüsseler erfordert die Version 4.5.2 oder neuer des Microsoft .NET Frameworks, was bedeuten kann, dass Ihre Version des .NET Frameworks veraltet ist. Wir empfehlen, die neueste Version des .NET Frameworks (4.8 zum Zeitpunkt der Erstellung dieses Textes) zu installieren und den Entschlüsseler dann erneut zu versuchen.

    Warum bleibt der Decryptor bei “Starting” hängen?

    Wenn Sie den Decryptor ausführen, sucht er nach verschlüsselten Dateien. Daher wird er solange “Starting” anzeigen, bis er welche findet. Wenn der Decryptor jedoch lange Zeit bei “Starting” hängen bleibt, bedeutet dies, dass er keine verschlüsselten Dateien finden kann.

    Der Decryptor kann nicht alle meine Bilder entschlüsseln, obwohl ich Dateipaare dafür eingereicht habe?

    JPEG/JPG-Bilder haben eine Formatbesonderheit, die dazu führt, dass Dateipaare spezifisch für jede Bildquelle sind und nicht für das Dateiformat im Allgemeinen gelten. Wenn Sie zum Beispiel Bilder von zwei verschiedenen Kameras haben und ein Dateipaar aus der Gruppe der Bilder aus einer der Kameras einreichen, kann der Decryptor nur Dateien von der Kamera entschlüsseln, aus der das Dateipaar stammt. Daher müssen Sie Dateipaare von jeder Quelle einreichen, von der Sie diese Bilder erhalten haben, um alle JPEG/JPG-Bilder zu entschlüsseln.

    Was bedeutet “Remote name could not be resolved”?

    Dies ist ein Hinweis auf ein DNS-Problem. Unsere erste Empfehlung ist, Ihre HOSTS-Datei auf die Standardeinstellungen zurückzusetzen. Microsoft hat einen Artikel dazu:

    https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

    Ich habe einen Online-Schlüssel. Was kann ich tun?

    Der STOP Djvu-Ransomware verschlüsselt nur die ersten 150 KB von Dateien. Da MP3-Dateien recht groß sind, können einige Mediaplayer (z. B. Winamp) die Dateien möglicherweise abspielen, jedoch fehlen die ersten 3-5 Sekunden (der verschlüsselte Teil).

    Sie können versuchen, eine Kopie einer ursprünglichen Datei zu finden, die verschlüsselt wurde:

    • Dateien, die Sie aus dem Internet heruntergeladen haben und die verschlüsselt wurden. Sie können sie erneut herunterladen, um das Original zu erhalten.
    • Bilder, die Sie mit Familie und Freunden geteilt haben und die sie Ihnen zurücksenden können.
    • Fotos, die Sie auf Social-Media- oder Cloud-Diensten wie Carbonite, OneDrive, iDrive, Google Drive usw. hochgeladen haben.
    • Anhänge in E-Mails, die Sie gesendet oder empfangen und gespeichert haben.
    • Dateien auf einem älteren Computer, einem Flash-Laufwerk, einer externen Festplatte, einer Kamera-Speicherkarte oder einem iPhone, auf dem Sie Daten auf den infizierten Computer übertragen haben.

    Falls das nicht funktioniert, können Sie versuchen, Dateien über die Systemfunktion – Systemwiederherstellungspunkt – wiederherzustellen.

    Versuchen Sie auch, die Ransomware-Erweiterung bei einigen großen Dateien zu entfernen und sie zu öffnen. Die STOP/Djvu-Ransomware hat die Datei möglicherweise nicht verschlüsselt oder einen Fehler gemacht und die Erweiterung nicht hinzugefügt. Wenn Ihre Dateien sehr groß sind (2 GB+), ist letzteres am wahrscheinlichsten.

    GridinSoft Anti-Malware Review
    Vorbeugen ist besser als reparieren und bereuen!
    Wenn wir über das Eindringen von unbekannten Programmen in die Arbeitsweise Ihres Computers sprechen, beschreibt das Sprichwort "Gut gewarnt ist halb geschützt" die Situation so genau wie möglich. Gridinsoft Anti-Malware ist genau das Werkzeug, das immer nützlich ist, um es in Ihrer Arsenal zu haben: schnell, effizient, aktuell. Es ist angebracht, es als Notfallhilfe bei geringstem Verdacht auf Infektion einzusetzen.
    JETZT HERUNTERLADEN
    Kostenlose 6-Tage-Testversion verfügbar.
    EULA | Datenschutzrichtlinie | 10% Off Coupon
    Abonnieren Sie unseren Telegram-Kanal, um als Erster über Neuigkeiten und exklusive Materialien zur Informationssicherheit informiert zu sein.
    How to decrypt DJVU Ransomware files? Emsisoft Decryptor

    Name: Emsisoft Decryptor

    Description: The STOP Djvu ransomware encrypts victim's files with Salsa20, and appends one of dozens of extensions to filenames. For all versions of STOP Djvu, files can be successfully decrypted if they were encrypted by an offline key. Unfortunately, this tool will not work for every victim as it can only recover files encrypted by 148 of the 160 variants. This will enable approximately 70% of victims to recover their data. For people affected by the remaining 12 variants, no solution currently exists and we are unable to offer further assistance at this point in time. For that those who find themselves in this position archive the encrypted data in case a solution becomes available in the future.

    Offer price: 0.0

    Operating System: Windows

    Application Category: System Tools

    Sending
    User Review
    3.6 (187 votes)
    Comments Rating 4.77 (71 reviews)

    References

    1. DJVU Entschlüsselungstool: https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
    How to decrypt DJVU Ransomware files?
    Article
    How to decrypt DJVU Ransomware files?
    Description
    The newest version DJVU Ransomware (released around the end of August 2019) supported only the Emsisoft Decryptor tool. Files can be properly decrypted if they were encrypted by an offline key.
    Author
    Copyright
    HowToFix.Guide
     

    Englisch Japanisch Spanisch Portugiesisch, Brasilien Französisch Türkisch Traditionelles Chinesisch Koreanisch Indonesisch Hindi Italienisch

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

One Response

  1. wonder Oktober 4, 2023

    I urgently need your help. Is there a solution for the online ID encryption from wwty virus? I can no longer use my data.
    help plz

    Error: No key for New Variant online ID: x65bFTmDw9D5FjA9pr3r5uLyuKnqoHNI8RML3baw
    Notice: this ID appears to be an online ID, decryption is impossible

    Antworten

Leave a Reply

Sending