Entschlüsselung von Dateien, die durch STOP/DJVU Ransomware gesperrt wurden

STOP/DJVU Ransomware ist ein schädliches Programm, das die Dateien der Opfer mit dem Salsa20-Verschlüsselungsalgorithmus verschlüsselt. Dieser Verschlüsselungsalgorithmus ist ein hochfester Cipher, der ohne den Entschlüsselungsschlüssel schwer zu brechen ist. Sobald die Dateien verschlüsselt sind, fügt STOP/DJVU Ransomware eine von Dutzenden von Erweiterungen zu den Dateinamen hinzu, wie “.wrui”, “.pcqq”, “.ytbn”, “.nusm” und so weiter.

Die Cyberkriminellen hinter STOP/DJVU Ransomware fordern ein Lösegeld, um den Entschlüsselungsschlüssel zur Entsperrung der verschlüsselten Dateien zu erhalten. Die Lösegeldforderung ist normalerweise eine Textdatei, die auf dem Desktop oder in jedem Ordner mit verschlüsselten Dateien platziert wird. Die Notiz enthält Anweisungen zur Zahlung des Lösegelds und warnt davor, den Schädling zu entfernen oder die Dateien ohne den Entschlüsselungsschlüssel zu entschlüsseln.

Die Lösegeldforderung “_readme.txt” enthält den folgenden Text:

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Es ist wichtig zu beachten, dass die Zahlung des Lösegelds nicht garantiert, dass der Entschlüsselungsschlüssel bereitgestellt wird, und es gab Fälle, in denen die Cyberkriminellen den Entschlüsselungsschlüssel auch nach Erhalt des Lösegelds nicht geliefert haben. Daher ist es wichtig, präventive Maßnahmen zu ergreifen, um sich gegen Ransomware-Angriffe zu schützen.

Um zu verhindern, dass STOP/DJVU Ransomware und andere Arten von Ransomware Ihren Computer infizieren, sollten Sie sichere Computertechniken anwenden, wie das Aktualisieren Ihres Betriebssystems und Ihrer Software, das Vermeiden des Öffnens verdächtiger E-Mail-Anhänge und das Herunterladen von Software aus vertrauenswürdigen Quellen. Zusätzlich sollten Sie regelmäßig Ihre wichtigen Dateien auf einem externen Gerät oder einer Cloud-basierten Speicherplattform sichern.

Wenn Sie vermuten, dass Ihr Computer mit STOP/DJVU Ransomware infiziert wurde, sollten Sie sich sofort vom Internet trennen, um zu verhindern, dass sich der Schadcode auf andere Geräte ausbreitet. Suchen Sie dann die Hilfe eines professionellen Malware-Entfernungs-Services, um den Schadcode sicher von Ihrem System zu entfernen.

Aktualisiert am 19. August 2021

Der Offline-/Private Key für die Variante .moqs des STOP-Ransomware-Virus wurde dem Emsisoft-Server hinzugefügt.

Aktualisiert am 12. Juli 2021

Der Offline-Schlüssel für die Varianten .omfl, .geno, .nile und .maas wurde von Emsisoft wiederhergestellt.

Aktualisiert am 2. Juli 2021

Der Offline-Schlüssel für die Varianten .sspq, .iqll und .ddsg wurde von Emsisoft wiederhergestellt. Opfer dieser 3 Varianten, deren Dateien mit dem Offline-Schlüssel verschlüsselt wurden, können ihre Dateien wiederherstellen.

Aktualisiert am 31. Mai 2020

Der Offline-Schlüssel für die Variante .covm wurde von Emsisoft wiederhergestellt und dem Emsisoft Decryptor-Server hinzugefügt.

Aktualisiert am 1. Mai 2020

Emsisoft hat bekannt gegeben, dass die Offline-Schlüssel für .opqz, .nppp und .npsk wiederhergestellt wurden und auf dem Emsisoft Decryptor-Server hochgeladen wurden.

Aktualisiert am 6. Februar 2020

Emsisoft hat bekannt gegeben, dass die Offline-Schlüssel für die Varianten .alka und .repp wiederhergestellt und auf den Emsisoft Decryptor Server hochgeladen wurden.

Aktualisiert am 20. Januar 2020

Der Emsisoft Decryptor hat neue OFFLINE-SCHLÜSSEL für die Varianten .nbes und .mkos des STOP (Djvu)-Ransomware erhalten und auf den Server hochgeladen.

Aktualisiert am 6. Januar 2020

Liste der neuen Stop/Djvu-Varianten für 148 Varianten, die von Emsisoft entschlüsselt werden können.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

Aktualisiert am 02 Dezember 2019

Liste der neuen Stop/Djvu-Varianten, die von Emsisoft entschlüsselt werden können. NUR FÜR OFFLINE-SCHLÜSSEL!

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk

Aktualisiert am 25 November 2019

Emsisoft Decryptor hat Offline-Schlüssel für die folgenden neuen STOP (Djvu)-Varianten erhalten und auf den Server hochgeladen:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg

Aktualisiert am 9 November 2019

Decryptor v.1.0.0.1 von Emsisoft kann derzeit NEUE Stop/Djvu-Varianten mit den folgenden Dateierweiterungen entschlüsseln:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp

Bedingungen: Dateien, die mit OFFLINE-SCHLÜSSEL verschlüsselt wurden.

Es gibt bestimmte Einschränkungen bezüglich der wiederherstellbaren Dateien. Wenn es um alle Versionen von STOP Djvu geht, können die Informationen ordnungsgemäß entschlüsselt werden, wenn sie über einen Offline-Schlüssel verfügen, der bei den Entwicklern des Emsisoft Decryptors verfügbar ist. Was den Old Djvu betrifft, so können die Dateien auch mit verschlüsselten/ursprünglichen Dateipaarungen entschlüsselt werden, die an das STOP Djvu Submission Portal übermittelt wurden. Beachten Sie jedoch, dass dies nicht für New Djvu gilt, das nach August 2019 entwickelt wurde.

Was ist ein “Dateipaar”?

Ein Dateipaar besteht aus zwei Dateien, die identisch sind (das bedeutet, dass sie genau dieselben Daten enthalten), aber eine Kopie davon verschlüsselt wurde und die andere nicht. Das STOP Djvu Einreichungsportal kann die Unterschiede zwischen einer verschlüsselten Datei und einer originalen Kopie derselben Datei analysieren und dadurch feststellen, wie diese entschlüsselt werden kann. Für die meisten Opfer mit einer älteren Version von STOP/Djvu ist das Einreichen von Dateipaaren die einzige Möglichkeit, um ihre Dateien wiederherzustellen.

Wie können Ihre Dateien wiederhergestellt werden?

1. Stellen Sie sicher, dass Sie das Entschlüsselungsprogramm als Administrator ausführen. Sie müssen den Lizenzbedingungen zustimmen, die angezeigt werden. Klicken Sie dazu auf die Schaltfläche “Ja“:
2. Sobald Sie den Lizenzbedingungen zugestimmt haben, erscheint die Benutzeroberfläche des Hauptentschlüsselungsprogramms:
3. Ausgehend von den Standardeinstellungen werden die verfügbaren Speicherorte automatisch im Entschlüsselungsprogramm aufgelistet (einschließlich der verbundenen Netzwerklaufwerke). Zusätzliche (optionale) Speicherorte können mithilfe der Schaltfläche “Hinzufügen” ausgewählt werden.
4. Entschlüsselungsprogramme schlagen normalerweise mehrere Optionen je nach spezifischer Malware-Familie vor. Die derzeit möglichen Optionen werden im Register “Optionen” präsentiert und können dort aktiviert oder deaktiviert werden. Eine detaillierte Liste der derzeit aktiven Optionen finden Sie weiter unten.
5. Sobald Sie alle gewünschten Speicherorte für die Entschlüsselung in die Liste aufgenommen haben, klicken Sie auf die Schaltfläche “Entschlüsseln”, um den Entschlüsselungsvorgang zu starten. Beachten Sie, dass der Hauptbildschirm Sie möglicherweise in eine Statusansicht umwandelt, die Sie über den aktiven Prozess und die Entschlüsselungsstatistiken Ihrer Daten informiert:
6. Der Entschlüsseler benachrichtigt Sie, sobald der Entschlüsselungsvorgang abgeschlossen ist. Wenn Sie den Bericht für Ihre persönlichen Unterlagen benötigen, können Sie ihn durch Auswahl der Schaltfläche “Protokoll speichern” speichern. Beachten Sie, dass es auch möglich ist, ihn direkt in die Zwischenablage zu kopieren und in E-Mails oder Forenbeiträge einzufügen, falls Sie dies benötigen.

Entschlüsseler-Optionen

Der Entschlüsseler führt derzeit folgende Optionen aus:

• Verschlüsselte Dateien behalten
  Da der Erpressungstrojaner keine Daten bezüglich der unverschlüsselten Dokumente speichert, kann der Entschlüsseler nicht garantieren, dass die entschlüsselte Datei identisch mit der ursprünglich verschlüsselten ist. Daher löscht der Entschlüsseler aus Sicherheitsgründen standardmäßig keine verschlüsselten Dokumente, nachdem sie entschlüsselt wurden. Wenn Sie möchten, dass der Entschlüsseler verschlüsselte Dokumente löscht, sobald sie entschlüsselt wurden, können Sie diese Funktion deaktivieren. Beachten Sie jedoch, dass dies anwendbar sein kann, wenn der Speicherplatz auf Ihrer Festplatte begrenzt ist.

Frequently Asked Questions

Warum funktioniert der Entschlüsseler nicht?
Der Entschlüsseler erfordert die Version 4.5.2 oder neuer des Microsoft .NET Frameworks, was bedeuten kann, dass Ihre Version des .NET Frameworks veraltet ist. Wir empfehlen, die neueste Version des .NET Frameworks (4.8 zum Zeitpunkt der Erstellung dieses Textes) zu installieren und den Entschlüsseler dann erneut zu versuchen.
Warum bleibt der Decryptor bei “Starting” hängen?
Wenn Sie den Decryptor ausführen, sucht er nach verschlüsselten Dateien. Daher wird er solange “Starting” anzeigen, bis er welche findet. Wenn der Decryptor jedoch lange Zeit bei “Starting” hängen bleibt, bedeutet dies, dass er keine verschlüsselten Dateien finden kann.
Der Decryptor kann nicht alle meine Bilder entschlüsseln, obwohl ich Dateipaare dafür eingereicht habe?
JPEG/JPG-Bilder haben eine Formatbesonderheit, die dazu führt, dass Dateipaare spezifisch für jede Bildquelle sind und nicht für das Dateiformat im Allgemeinen gelten. Wenn Sie zum Beispiel Bilder von zwei verschiedenen Kameras haben und ein Dateipaar aus der Gruppe der Bilder aus einer der Kameras einreichen, kann der Decryptor nur Dateien von der Kamera entschlüsseln, aus der das Dateipaar stammt.
Was bedeutet “Remote name could not be resolved”?
Dies ist ein Hinweis auf ein DNS-Problem. Unsere erste Empfehlung ist, Ihre HOSTS-Datei auf die Standardeinstellungen zurückzusetzen. Microsoft hat einen Artikel dazu: https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
Ich habe einen Online-Schlüssel. Was kann ich tun?
Der STOP Djvu-Ransomware verschlüsselt nur die ersten 150 KB von Dateien. Da MP3-Dateien recht groß sind, können einige Mediaplayer (z. B. Winamp) die Dateien möglicherweise abspielen, jedoch fehlen die ersten 3-5 Sekunden (der verschlüsselte Teil).

References

Englisch Japanisch Spanisch Portugiesisch, Brasilien Französisch Türkisch Traditionelles Chinesisch Koreanisch Indonesisch Hindi Italienisch