Trong vài năm qua, một số biến thể STOP ransomware đã được tung ra thị trường. Một trong số đó là phần mềm tống tiền DJVU, một loại vi-rút tiền điện tử được phân phối rộng rãi hiện đang được phân phối dưới dạng các gói phần mềm quảng cáo giả dạng tải xuống phần mềm miễn phí, bẻ khóa phần mềm hoặc trò chơi vi phạm bản quyền. Trên thực tế, có một phiên bản STOP (Djvu) mới với phần mở rộng .bboo đang gây khó khăn cho một số người dùng Windows.
Hãy tiếp tục đọc để hiểu mối nguy hiểm tiềm ẩn mà loại vi-rút này gây ra và cách bạn có thể lấy lại các tệp của mình. Thực hiện theo các hướng dẫn DỪNG (Djvu) loại bỏ ransomware và khôi phục tệp được khuyến nghị của chúng tôi được cung cấp trong phần sau của bài viết.
STOP (Djvu) là gì?
Phần mềm tống tiền STOP (Djvu) là một loại vi-rút mã hóa tệp bằng cách sử dụng cả hai tiêu chuẩn mã hóa AES và RSA 1024-bit. Mục đích chính của virus là khóa các tệp của bạn, sau đó đòi tiền chuộc để khôi phục các tệp của bạn. Phần mềm độc hại tiền điện tử này là một trong những biến thể STOP ransomware phổ biến nhất và nó được báo cáo bắt đầu vào tháng 12 năm 2018. Thành công của ransomware STOP (Djvu) đã khuyến khích các nhà phát triển của nó mở rộng hoạt động và phát triển các biến thể phụ mới.
Phần mềm độc hại nguy hiểm này thường yêu cầu một khoản tiền chuộc lên tới khoảng 900 đô la, chủ yếu bằng Bitcoin. Bên cạnh việc mã hóa tệp và yêu cầu tiền chuộc, phần mềm tống tiền STOP (Djvu) có khả năng lấy cắp thông tin và tài nguyên có giá trị, chẳng hạn như chi tiết ngân hàng và thông tin đăng nhập tài khoản của bạn.
Nhiều nạn nhân báo cáo rằng vi rút STOP (Djvu) đã được tiêm vào sau khi họ tải xuống các trình cài đặt được đóng gói lại và bị nhiễm các trình kích hoạt vi phạm bản quyền của Windows và Microsoft Office. Các chương trình này được phân phối bởi những kẻ lừa đảo thông qua các trang web độc hại phổ biến.
Phần mềm tống tiền STOP (Djvu) cũng có thể phát tán qua thư rác email với các tệp đính kèm độc hại, tải xuống gây hiểu lầm, trình cung cấp web và cập nhật bị lỗi.
Có thể khôi phục các tệp được mã hóa không?
Hầu hết các nạn nhân đã khôi phục các tệp bị đánh cắp của họ mà không phải trả tiền chuộc cho tội phạm mạng. Một trong những công cụ mạnh mẽ mà bạn có thể sử dụng để khôi phục các tệp đã mã hóa là STOP DJVU Decryptor của Emsisoft. Decryptor for STOP (Djvu) này có thể giải mã hơn 150 phiên bản phần mềm độc hại. Nó giúp nạn nhân khôi phục các tệp bị đánh cắp của họ mà không phải trả tiền chuộc cho những kẻ tấn công.
Thật không may, các nhà phát triển của phần mềm độc hại tiền điện tử này liên tục phát hành các phiên bản mới, vì vậy có thể mất một thời gian trước khi các công cụ Decryptor nâng cấp hệ thống của họ để giải quyết các biến thể mới. Hãy nhớ rằng, đối với tất cả các biến thể STOP Djvu, bạn có thể giải mã thành công tệp của mình nếu chúng được mã hóa bằng khóa ngoại tuyến.
Nhưng trước khi có thể nghĩ đến việc khôi phục các tệp đã mã hóa của mình, bạn cần xóa phần mềm độc hại khỏi máy tính của mình.
Làm cách nào để loại bỏ phần mềm Ransomware STOP (Djvu)?
Một số người thích xóa các tệp liên quan đến vi-rút theo cách thủ công. Nhưng quá trình này thường tẻ nhạt và kỹ thuật. Nếu bạn để lại dấu vết của virus, nó chắc chắn sẽ sinh sôi và tiếp tục mã hóa các tệp của bạn. Vấn đề với vi rút Trojan như STOP (DJVU) là nó có thể ẩn trong hệ thống của bạn.
Cách tốt nhất để phát hiện và ngăn chặn phần mềm độc hại tiền điện tử tàn phá hệ thống của bạn là quét máy tính của bạn bằng một chương trình chống phần mềm độc hại mạnh mẽ. Chúng tôi khuyên bạn nên quét thiết bị của mình bằng Outbyte Anti-Malware để tìm dấu vết của vi-rút và sau đó xóa chúng khỏi hệ thống của bạn. Nó sẽ kiểm tra mọi ngóc ngách trên máy của bạn, bao gồm Registry, Task Scheduler và các tiện ích mở rộng của trình duyệt. Nếu nó tìm thấy các tệp độc hại, nó sẽ cách ly chúng ngay tại chỗ.
Cách khôi phục tệp DJVU?
Để quản lý quá trình khôi phục hiệu quả hơn, bạn phải biết phiên bản Djvu đã làm hỏng tệp của bạn. Phần mềm tống tiền STOP (Djvu) về cơ bản có hai phiên bản:cũ và mới.
- Phiên bản Cũ: Phiên bản này bao gồm phần lớn các tiện ích mở rộng cũ hơn, chủ yếu từ .djvu lên đến .carote. Trước đây, công cụ STOPDecryptor đã xử lý việc giải mã cho các biến thể này đối với các tệp được mã hóa bằng khóa ngoại tuyến. Emsisoft Decryptor mới đã tiếp nhận sự hỗ trợ tương tự. Trình giải mã sẽ chỉ giải mã các tệp của bạn mà không gửi các cặp tệp nếu bạn có khóa ngoại tuyến.
- Phiên bản Mới: Như đã đề cập trước đó, các nhà phát triển của ransomware STOP (Djvu) tiếp tục phát hành các biến thể. Một số tiện ích mở rộng mới được phát hành bao gồm .peta, .meds, .domm, .karl, .xoza, .bboo, .kvag, .hese, .nesa, .gero, .boot, và .coharoz, trong số nhiều người khác. Hầu hết các phiên bản mới này chỉ có thể giải mã bởi Emsisoft Decryptor.
Khoá ngoại tuyến hay trực tuyến?
Bên cạnh việc biết tiện ích mở rộng phần mềm độc hại đã làm hỏng tệp của bạn, điều quan trọng là phải biết những khóa mà tin tặc đã sử dụng để khóa tệp của bạn. Đó là khóa ngoại tuyến hay khóa trực tuyến? Trước tiên, hãy xác định hai loại khóa mã hóa sau:
- Khóa Ngoại tuyến: Nó chỉ ra rằng các tệp của bạn đã được mã hóa ở chế độ ngoại tuyến. Thông thường, khi có khóa này, bạn có thể thêm vào trình giải mã để khôi phục các tệp đó.
- Khóa Trực tuyến: Khóa này được tạo bởi máy chủ ransomware. Nói cách khác, máy chủ ransomware có thể tạo ra một bộ khóa ngẫu nhiên để mã hóa tệp. Trong hầu hết các trường hợp, không thể giải mã các tệp đó ngay lập tức.
Cách xác định khóa nào đã được sử dụng trong quá trình mã hóa?
Bạn có thể lấy ID được sử dụng bởi phần mềm tống tiền STOP (Djvu) trong quá trình mã hóa bằng cách điều hướng SystemID / PersonalID.txt tệp trên ổ C của bạn. Gần như tất cả các ID ngoại tuyến đều kết thúc bằng t1. Bên cạnh việc sử dụng C:\ SystemID \ PersonalID.txt tệp để xác minh khóa mã hóa bằng cách xem ID cá nhân, bạn cũng có thể kiểm tra khóa ngoại tuyến trong _readme.txt ghi chú.
Như đã nói, cách nhanh nhất để biết khóa nào đã được sử dụng trong mã hóa, hãy làm theo các bước sau:
- Đi tới C:\ SystemID \ thư mục trên thiết bị bị nhiễm của bạn và tìm PersonalID.txt tệp.
- Sau đó, hãy kiểm tra xem tệp chỉ có một hay nhiều ID.
- Nếu một ID kết thúc bằng t1 , thì khả năng cao là tin tặc đã khóa một số tệp của bạn bằng khóa ngoại tuyến, nghĩa là chúng có thể khôi phục được.
- Nếu không có ID nào được liệt kê kết thúc bằng t1 , thì tất cả các tệp bị ảnh hưởng rất có thể đã được mã hóa bằng các khóa trực tuyến. Trong trường hợp này, bạn có thể không khôi phục tệp của mình ngay lập tức.
Nhận xét kết thúc
Nếu khóa ngoại tuyến được sử dụng để mã hóa tệp của bạn, bạn có nhiều khả năng khôi phục tệp của mình nhanh hơn, ngay cả khi đó là phiên bản STOP (Djvu) mới. Sử dụng Trình giải mã phù hợp cho STOP (Djvu) như của Emsisoft để giúp bạn khôi phục tệp. Đảm bảo quét máy tính của bạn để loại bỏ vi-rút và lưu ý rằng bạn không phải trả tiền cho tin tặc để lấy lại tệp của bạn. Làm điều đó sẽ chỉ khuyến khích họ lây lan vi-rút.