باج افزار Stop DJVU یکی از جدیدترین انواع باج افزار است که مدتی است رواج پیدا کرده است. این باج افزار الگوریتم رمزنگاری RSA برای قفل کردن دادههای کاربر 🔒 در رایانه یا کل سروری که دارای سیستم عامل ویندوز است، استفاده میکند. در این مطلب از کلاسیک وب به آموزش ۵ روش حل مشکل و رمزگشایی باج افزار STOP/DJVU میپردازیم.
چگونه باج افزار STOP DJVU را از بین ببریم؟
?How to Remove STOP/DJVU Ransomware
باج افزار Stop/djvu نوع جدیدی از ویروس است. گونههای جدید این باج افزار از افزونههای FUTM، QMAK، QDLA، STAX، IRFK، PALQ و Cool استفاده میکنند. باز کردن فایلها پس از آلوده شدن به این باج افزار تقریبا غیرممکن است. این ویروس معمولا از کرکها یا کیجنهایی که در پیوست ایمیلهای مخرب وجود دارد، دانلود میکند. با این حال شما میتوانید آن را حذف کنید. در این مطلب از کلاسیک وب روشهای حل مشکل و حذف ویروس رمزگذاری فایل ها STOP/DJVU را آموزش میدهیم. با ادامه این مطلب ما را همراهی کنید.
باج افزار Stop DJVU چیست؟
بیش از ۳۳۰ نسخه از این بدافزار وجود دارد که جدیدترین آنها از پسوندهای .futm، .qmak، .qdla، .stax، .irfk، .palq، .cool، .rivd، .rugj، .zaps، .maql، .vtua، .irjg، .nqsq، .tisc، .rigd، .koom، .wiot، .efdc، .lqqw، .iwan، .orkf و .hoop برای نشانهگذاری فایلها استفاده میکنند. البته گفته میشود که این باج افزار به صورت منظم و معمولا هر یک الی سه بار در هفته، پسوند را تغییر میدهد. البته میتوانید با استفاده از برنامههای قوی فایلهای خود را بازیابی کنید.
پس از این که این باج افزار به کامپیوتر نفوذ کرد، فایلی با فرمت .tmp.exe به همراه چندین فایل exe دیگر مثل updatewin.exe، build.exe، build2.exe و… در پوشه LocalAppData نصب میکند.
TMP.EXE فایل اجرایی اصلی این باج افزار است.
Exe.1 برای غیرفعال کردن و حذف مفاهیم تعریف شده از «ویروس» برای Windows Defender کاربرد دارد و اسکن در لحظه را غیرفعال میکند.
۲٫exe فایل هاست ویندوز را تغییر میدهد تا کاربر نتواند وارد وبسایتهای امنیتی شود.
عملکرد ۳٫exe هم ناشناخته است.
Updatewin.exe در زمان آغاز فرایند رمزگذاری، پنجره به روزرسانی جعلی ویندوز را نمایش میدهد.
پس از این آمادهسازی، ویروس سیستم را برای پیدا کردن فایلهای شخصی اسکن میکند. سپس ۱۵۰ KB اولیه آنها را با الگوریتمهای رمزنگاری رمزگذاری میکند تا کاربر نتواند به آنها دسترسی پیدا کند. همچنین به صورت تصادفی ۳۳۴ بایت به اندازه واقعی فایل اضافه میکند. در نتیجه، بدافزار فایلهای نوت با نام _openme.txt و _readme.txt ایجاد میکند که حاوی اطلاعات مربوط به رمزگشایی دادهها هستند. تروجانی به نام Azorult هم روی سیستم آلوده نصب میکند تا رمزها را بدزدد. در نتیجه، بهتر است همیشه آنتی ویروسی قوی روی سیستم خود نصب کرده باشید. همچنین باید تمامی رمزعبورهای خود را که در مرورگر ذخیره داشتید، عوض کنید.
نکته: همیشه در هنگام گشت زنی در اینترنت حواستان باشد که روی چه لینکی کلیک میکنید، چه چیزی را از کجا دانلود میکنید، چه ایمیلهایی را باز میکنید و وارد چه سایتهایی میشوید.
در ادامه شیوههای حل مشکل باج افزار Stop را آموزش میدهیم.
نحوه رمزگشایی باج افزار Stop djvu و درخواست پول از کاربران
در فایل _readme.txt اطلاعاتی درباره نحوه بازیابی فایل های کد شده وجود دارد. در واقع، آنها کاربر را دعوت میکنند تا برای بازیابی ۹۸۰ دلار پول بدهند و نرمافزار مخصوص را خریداری کنند. اگر کاربران در مدت ۷۲ ساعت به آنها دهند، میتوانند از ۵۰ درصد تخفیف استفاده کنند. حتی یک فایل را به صورت مجانی رمزگشایی میکنند تا به کاربر نشان دهند که حتما نرم افزار را ارسال خواهند کرد.
وقتی فایلی رمزگذاری میشود، ویروس مخرب اطلاعات را به سرورهای خود ارسال میکند. کلیدهای رمزگشایی هم فقط در دست مجرمان سایبری است. کاربر تنها با این کلیدها میتواند اطلاعات خود را رمزگشایی کند. البته گاهی مشکلاتی در بدافزار وجود دارد که موجب میشود تا با روشهای دیگری بتوان کلیدها را به دست آورد. از کاربر خواسته میشود تا برای اطلاعات بیشتر با ایمیل موجود در فایل در تماس باشد. ایمیلها هم مدام تغییر پیدا میکنند. در حال حاضر این مهاجمان از ایمیلهای زیر استفاده کردهاند:
gorentos@bitmessage.ch
gorentos2@firewall.cc
helpshadow@india.com
restoredjvu@firemail.cc
pdfhelp@india.com
salesrestoresoftware@firemail.cc
salesrestoresoftware@gmail.com
restorefiles@firemail.cc
datarestorehelp@firemail.cc
datahelp@iran.ir
helpmanager@firemail.cc
helpmanager@iran.ir
restoredjvu@india.com
helpdatarestore@firemail.cc
helpmanager@mail.ch
restoreadmin@firemail.cc
restoremanager@airmail.cc
helpteam@mail.ch
helpmanager@airmail.cc
managerhelper@airmail.cc
manager@mailtemp.ch
supporthelp@airmail.cc
helprestoremanager@airmail.cc
متن ایمیل باج افزار Stop djvu
متن ایمیل باج افزار stop djvu میتواند به شکل زیر باشد:
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
?What guarantees you have
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WJa63R98Ku
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
helpmanager@mail.ch
Reserve e-mail address to contact us:
restoremanager@firemail.cc
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
رمزگشایی باج افزار djvu: پسوندهای فایلهای این باج افزار
همان طور که اشاره کردیم باج افزار stop djvu پسوندی به فایلها اضافه میکند که در ادامه میتوانید فهرست این پسوندها را مشاهده کنید:
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT,.djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .browec, .norvas, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .dalle, .lotep, .nusar, .litar, .truke, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel, .zatrov, .masok, .ndarod, .access, .format, .brusaf, londec, .krusop, .nasoh, .nacro, .pedro, .mtogas, .coharos, .nuksus, .vesrato, .masodas, .stare, .cetori, .carote, .shariz, .gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .kuub, .noos, .reco, .xoza, .bora, .leto, .werd, .nols, .coot, .derp, .nakw, .toec, .mosk, .lokf, .peet, .grod, .kodg, .mbed, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .nbes, .mkos, .redl, .piny, .kodc, .nosu, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonnl .vari, .boop, .nord, .geno, .kasp, .ogdo, .npph, .kolz, .copa, lyli, .moss, .foqe, .mmpa, .efji, .nypg, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .atek, .qlkm, .coos, .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .ribd, .reig, .tirp, .enfp, و… .
بازیابی اطلاعات باج افزار Stop djvu: نحوه جلوگیری از آلوده شدن به این ویروس
برای جلوگیری از آلوده شدن سیستم خود به باج افزار Stop djvu میتوانید نکات زیر را رعایت کنید:
- نصب آنتی ویروسی قوی
- کلیک نکردن روی هر لینکی
- عدم ورود به هر سایتی
- عدم باز کردن ایمیلهای مشکوک
- عدم کلیک روی لینکهای مشکوک و فایلهای پیوست ایمیلها مخصوصا زمانی که انتظار دریافت فایلی را نداشتهاید.
- عدم دانلود نرم افزارها به صورت غیرقانونی
- عدم نصب هر نرم افزاری روی سیستم
- آپدیت کردن برنامهها و سیستم عامل
نرم افزار Emsisoft decryptor for Stop djvu چیست؟
نرم افزار رمزگشایی باج افزار Emsisoft decryptor برنامهای رایگان است که میتوانید آن را روی سیستم خود نصب کنید و رمزگشایی را اجرا کنید. این نرمافزار میتواند ۱۴۸ نوع از این باج افزار را از بین ببرد. بیشتر رمزگشاییها برای کاربرانی که تحت تاثیر کلیدهای آفلاین قرار گرفتهاند یا میتوانند نسخه اصلی دادههای رمزگشایی شده را دریافت کنند، در دسترس است.
.hets, .msop, .kodg, .mbed, .peet, .gero, .hese, .seto, .peta, .meds, .domn, .nols, .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .nesa, .karl, .kvag, .moka, .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .radman, .ferosas, .rectot, .rezuc, .stone, .skymap, .mogera, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas, .DATAWAIT, .INFOWAIT, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap.
نرم افزار Emsisoft Decryptor تنها برای کلیدهای آفلاین کاربرد دارد.
برای یادگیری نحوه حذف ویروس Crab و باج افزار Gandcrab، مطلب حذف ویروس Crab و باج افزار Gandcrab در ویندوز کامپیوتر و لپ تاپ را مطالعه کنید.
بازیابی اطلاعات باج افزار و نحوه تشخیص آلوده شدن فایلها به STOP/DJVU
پیش از اینکه به فکر رمزگشایی باج افزار STOP/DJVU بیفتید، باید مطمئن شوید که فایلهای شما به این ویروس آلوده شدهاند یا خیر. این باج افزار ابتدا سعی میکند سرور Command & Control را حذف کند. اگر موفق شود، کلیدی برای رمزگذاری فایلهای کاربر درخواست میکند. این کلید منحصر به فرد است و به این روش رمزگذاری آنلاین گفته میشود.
اگر مشکل اینترنتی وجود داشته باشد، از یک کلید آفلاین استفاده میکند که در خود ویروس کدگذاری شده است. به این حالت رمزگذاری آفلاین گفته میشود که تنها یک کلید برای رمزگشایی باج افزار STOP/DJVU در این حالت وجود دارد.
نسخههای جدید DJVU تنها در صورتی میتوانند رمزگشایی شوند که با یک کلید Offline رمزگذاری شده باشند. باید آیدیها را در فایل C:SystemIDPersonalID.txt بررسی کنید. اگر هر یک از کلیدها به t1 ختم شود، به این معنی است که از یک کلید آفلاین استفاده شده است.
مثلا برای فایلی با افزونه RECO میزنیم. اگر آیدی شخصی hvKVwn4fNn8A1rpjC19CUFmS1ySGycmqdrz89zt1 باشد، دادههای شما را میتوان رمزگشایی کرد.
برخی از فایلهای رمزگذاری شده DJVU قابلتعمیر هستند. با ابزار کمحجم DiskTuna میتوانید برخی فایلها را تعمیر کنید. البته منظور ما رمزگشایی نیست پس ممکن است برخی از دادهها از بین بروند. این ابزار امکان تعمیر فایلهایی با فرمت MP3, WAV, MP4, 3GP, MOV, M4V را میتواند تعمیر کند. علت این امر آن است که این باجافزار فقط ۱۵۰ کیلوبایت اول فایل را رمزگذاری میکند. سپس فایلهای صوتی و تصویری را میتوان تعمیر کرد. هر چند ممکن است در ابتدای آنها مشکل جزیی وجود داشته باشد.
این ابزار برای کار کردن به یک فایل مرجع نیاز دارد. بنابراین، یک فایل نمونه باید در همان دستگاه با همان تنظیمات ایجاد شود.
از ابزارهای تقلبی مانند ZORAB برای رمزگشایی باج افزار STOP/DJVU استفاده نکنید. این ابزار رمز دیگری به فایلها اضافه میکند تا باج افزار خود را نشر دهد.
از بین بردن باج افزار با SAFE MODE
برای از بین بردن باج افزار ابتدا باید سیستم خود را به حالت Safe Mode with Networking ببرید. اگر ویندوز XP، ویستا یا ۷ دارید، کامپیوتر خود را خاموش کنید. سپس دکمه پاور را فشا دهید و پشت سر هم دکمه F8 را بزنید. منوی Advanced Boot Options فعال خواهد شد. با دکمههای جهت روی Safe Mode with Networking بروید و Enter را بزنید.
اگر ویندوز ۸، ۸٫۱، ۱۰ یا ۱۱ دارید، روی منوی استارت بزنید و سپس روی دکمه پاور کلیک کنید. حال دکمه Shift را نگه دارید و Restart را انتخاب کنید.
صفحه Windows Troubleshoot باز خواهد شد. Troubleshoot > Advanced Options > Startup Settings > Restart را انتخاب کنید.
اگر نمیتوانید گزینه Startup Settings را مشاهده کنید، روی See more recovery options بزنید.
در Startup Settings یکی از دکمههای F1-F9 را فشار دهید تا وارد Safe Mode with Networking شوید.
حال میتوانید فایلهای باج افزار را پیدا و حذف کنید. شناسایی فایلها و کلیدهای رجیستری متعلق به ویروس باجافزار سخت است. علاوه بر این، نام آنها اصولا به صورت مداوم تغییر پیدا میکند. بنابراین پیشنهاد میکنیم از آنتی ویروسهای معتبر و قوی استفاده کنید.
بازیابی اطلاعات باج افزار Stop djvu و فایلهای بزرگ
فایلهای بزرگ را هم گاهی میتوان رمزگشایی کرد. درست است که این باج افزار ۱۵۰ KB ابتدایی فایل را رمزگذاری میکند تا با همین شیوه روی کل فایل تاثیر بگذارد اما گاهی برخی از فایلها را نادیده میگیرد. منظور ما در اینجا فایلهای بزرگتر از یک گیگابایت است. با استفاده از Copy > Paste از فایل رمزگذاری شده در یک پوشه دیگر کپی بگیرید. روی کپی راست کلیک کنید و Rename را بزنید. حال پسوند STOP/DJVU را بردارید و پاک کنید. برای ذخیره کردن نام روی Enter بزنید. سپس روی OK بزنید. حال سعی کنید فایل را باز کنید.
نحوه استفاده از نرم افزار Emsisoft decryptor for stop djvu
نسخههای باجافزار STOP/DJVU به دو نوع قدیمی و جدید دستهبندی میشوند. باجافزارهایی مثل COOL, PALQ, IRFK, STAX, QDLA, QMAK, FUTM از نوع جدید هستند. در صورتی میتوانید رمزگشایی کامل دادهها را انجام دهید که رمزگذاری روی سیستم شما به صورت آفلاین انجام شده باشد.
Emsisoft Decryptor را دانلود کنید.
روی فایل راست کلیک کنید و Run as Administrator را انتخاب کنید. سپس پسورد Administrator را وارد کنید.
در پنجره UAC روی Yes بزنید. دوباره روی Yes بزنید.
این ابزار به صورت خودکار دیسک C:// را به عنوان مکانی برای رمزگشایی انتخاب میکند. سپس ابزار بخشهای مختلف از جمله درایوهای ذخیرهسازی مرتبط به هم یا درایوهای شبکه و… را اسکن میکند. با کلیک روی Add folder میتوانید بخشهای موردنظر خود را برای اسکن شدن اضافه کنید.
در سربرگ Options میتوانید انتخاب کنید که کپی فایلهای رمزگذاری شده نگهداری شوند. توصیه میکنیم این گزینه را انتخاب کنید.
روی Decrypt کلیک کنید تا رمزگشایی فایلها آغاز شود. میتوانید روند رمزگشایی را در سربرگ Results مشاهده کنید و ببینید چگونه پیش میرود.
همچنین ممکن است به شما اطلاع داده شود که از رمزگشایی آنلاین استفاده شده است. در این حالت نمیتوانید از این نرم افزار استفاده کنید.
رمزگشایی باج افزار Stop djvu: انواع پیامهای رمزگشا
ممکن است در حین استفاده از ابزار رمزگشایی باج افزار STOP/DJVU با پیامهایی مواجه شوید.
Unable to decrypt file with ID
این پیام معمولا به این معنی است که هیچ کلید رمزگشایی باج افزار STOP/DJVU در پایگاه داده رمزگشا وجود ندارد.
No key for New Variant online ID
Notice: this ID appears to be an online ID, decryption is impossible
این پیام به شما میگوید که رمزگذاری از نوع آنلاین است و نمیتوان دادهها را بازیابی کرد.
Result: No key for new variant offline ID
This ID appears to be an offline ID. Decryption may be possible in the future.
اگر کلید رمزگذاری آفلاین است اما فایلها قابل بازیابی نیستند، به این معنی است که کلید رمزگشایی آفلاین هنوز در دسترس نیست. ممکن است در آینده این کلید در اختیار کاربران قرار بگیرد. این روند ممکن است حتی چند ماه طول بکشد. پس از بهتر است از دادهها بکاپ بگیرید و ابزار رمزگشا را به روز کنید.
نکاتی درباره بازیابی فایل های کد شده
اگر از نرم افزار رمزگشایی باج افزار میخواهید استفاده کنید، باید نکاتی را در نظر بگیرید.
فایلهای رمزگذاری شده را نگه دارید. زیرا تضمینی بر این وجود ندارد که فایل رمزگشایی شده همان فایل قبلی باشد و ممکن است تغییراتی در آن رخ داده باشد. از آنها بکاپ بگیرید.
برای اجرای برنامه رمزگشا باید Microsoft .NET Framework را به آخرین نسخه آن به روزرسانی کنید.
اگر ابزار به مدت طولانی روی Starting گیر میکند، به معنای آن است که نمیتواند فایل رمزگذاری شده را پیدا کند یا فایلی وجود ندارد.
اگر ابزار رمزگشا نمیتواند فایلهای JPEG/JPG را رمزگشایی کند، به دلیل این است که این گونه فایلها دارای جفتی هستند که باید در زمان کپی کردن، آن را هم انتقال دهید. در غیر این صورت ابزار رمزگشا تنها تصاویری را رمزگشایی میکند که جفت منبع آنها وجود داشته باشد و جفت فایل، از هر منبعی که تصویر را با آن به دست آورده بودید، ارسال شده است.
اگر با پیام Remote name could not be resolved رو به رو شدید، مشکل از DNS است. بهتر است فایل HOSTS خود را به حالت پیش فرض بازنشانی کنید.
اگر فایلها را بکاپ گرفته باشید که مشکلی وجود نخواهد داشت. اگر آنان را از اینترنت دانلود کردید، میتوانید دوباره جستجویی انجام دهید و آنان را پیدا کنید. اگر با دیگران به اشتراک گذاشتهاید، میتوانید دوباره از آنها دریافت کنید. اگر در ایمیل، شبکههای اجتماعی و… ارسال کرده بودید، میتوانید دوباره فایل را دانلود کنید. اگر نه، میتوانید از قابلیت Restore Point ویندوز استفاده کنید.
همانط طور که پیشتر اشاره کردیم، حذف پسوند باج افزار از فایل هم میتواند کمککننده باشد. مخصوصا زمانی که فایل شما بزرگتر از ۲ گیگابایت است.
نظرات و پیشنهادات شما؟
در این مطلب از کلاسیک وب روش های از بین بردن باج افزار STOP/DJVU را آموزش دادیم. شما از کدام روش برای از بین بردن این باج افزار استفاده کردید؟ لطفاً نظرات و پیشنهادات خود را در بخش دیدگاه با ما در میان بگذارید.
آخرین دیدگاه ها
تا کنون دیدگاهی ثبت نشده است.