Що таке STOP Ransomware і як запобігти майбутнім атакам (03.29.24)

Уявіть лише такий сценарій. Ви працюєте на своєму пристрої, а потім раптом це, здається, сповільнюється. Або, можливо, ви не можете отримати доступ до важливих файлів, які раніше були доступні; Ви можете отримувати повідомлення про помилку, які повідомляють, що Windows не може відкрити файл або тип файлу невідомий. Як би там не було, усі ці переживання викликають розчарування. Ще гірше, коли причиною проблеми є атаки-вимогливі програми. У цій публікації ми обговоримо, як зупинити цю загрозу, особливо вимога-програму STOP.

Вірус STOP - один із останніх і найпоширеніших варіантів крипто-шкідливого програмного забезпечення. Вперше він був виявлений в 2017 році, але з тих пір з’явилися нові варіанти. Власне, нові версії програми-вимагателя з'являються майже щомісяця. Користувачі спостерігали файли з дивними розширеннями, такі як .keypass, .shadow, .todar, .lapoi, .daris, .tocue, .gusau, .docdoc, .madek, .novasof, .djvuu та багатьох інших розширень. Але найактивнішими є вимога-програвач Djvu та програма-вимога Keypass.

Огляд вірусу STOP

Вірус використовує комбінацію алгоритмів RSA та AES для шифрування даних, а потім додає розширення файлу .STOP, що унеможливлює відкриття або використовувати ці дані. Він може блокувати відео, картинки, документи, музику та інші файли. Вимагачі вимагають, щоб ви заплатили викуп за відновлення цих файлів.

Нещодавно дослідники безпеки підрахували, що вірус постраждав понад півмільйона жертв у всьому світі. У середньому вірус вимагав викуп від 300 до 600 доларів, щоб розшифрувати дані. Це шкідливе корисне навантаження зазвичай поширюється через злами програмного забезпечення, кейгени, вкладення електронної пошти та інструменти, такі як KMSPico.

Зараження небезпечним вірусом STOP може призвести до серйозних проблем із безпекою. На щастя, у цьому посібнику щодо видалення вірусів STOP ми включимо деякі інструменти, якими ви можете запобігти атакам-вимагателям. Деякі жертви відновили свої файли за допомогою Djvu STOP Ransomware Decryptor and Removal. Це інструмент, розроблений Emsisoft та Майклом Гіллеспі, який здатний розшифрувати більше 100 варіантів вірусів.

Короткий опис загрози

Назва: STOP вимога-програма

Категорія: Криптовірус

Технологія шифрування: AES та RSA-1024

Варіанти: .STOP, .WAITING, .SUSPENDED, .CONTACTUS, .KEYPASS, .PAUSA, .DATASTOP, .DATAWAIT, .WHY, .INFOWAIT, .SAVEfiles, .puma, .shadow , .djvuu, .djvu, .udjvu, .djvus, .uudjvu, .charck, .chech ,. Kroput1, .kropun, .doples, .luceq, .luces, .proden, .daris, .tocue, .lapoi, .pulsar1, .docdoc, .gusau, .todar, .ntuseg та .madek, серед інших.

Викупні повідомлення : !!! YourDataRestore !!! txt, !! RestoreProcess !!!. txt, !!! DATA_RESTORE !!!. txt, !!! WHY_MY_FILES_NOT_OPEN !!!. txt, !!!! RESTORE_FILES !!!. txt, !! SAVE_FILES_INFO !!!. txt . Зазвичай ці файли з’являються на вашому робочому столі після завершення шифрування файлів.

Викуп: Він становить від 300 до 600 доларів. Іноді шахраї можуть запропонувати знижку 50% тим, хто прислухається до їхнього дзвінка протягом 72 годин.

Контактні адреси електронної пошти: [захищено електронною поштою]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; [електронна пошта захищена]; та [захищений електронною поштою]

Методи розповсюдження: Зламані веб-сайти, неправомірні вкладення електронної пошти, грубі атаки, тріщини, експлойти та ключові файли.

Модифікація системи : Вірус серед інших модифікацій може змінювати реєстр Windows, видаляти тіньові копії томів, створювати заплановані завдання та запускати / зупиняти певний процес.

Видалення: Щоб позбутися цього вірусу, запустіть повне сканування системи, використовуючи потужну програму проти шкідливих програм. Крім цього, вам потрібно розблокувати файли за допомогою надійного дешифрувача. Більшість версій можна дешифрувати.

ЗУПИНИТЕ Варіанти вимогачів

Як зазначалося раніше, нові варіанти загрози з часом знову з’являються. Однією з його поширених версій є вимога-програвач Djvu, яку можна ідентифікувати за кількома розширеннями, включаючи .djvu, .udjvu, .djvus, .uudjvu, .djvur та .djvuq. Окрім програми-вимогателя Djvu, серед інших нових та найпопулярніших варіантів шкідливого програмного забезпечення є:

  • Вимагальна програма CONTACTUS
  • Викупна програма SaveFiles
  • Вимагальна програма Keypass
  • Вимога-вимога Puma
  • Призупинене вимога-вимога
  • Викупник-тінь

У грудні 2019 року на сцену було представлено кілька нових варіантів. До них належать .nawk, .kodg, .toec, .coot, .mosk, .derp, .lokf, .mbed, .peet, .meka, .rote, .righ, .zobm, .grod, .merl, .mkos, .msop та .nbes. Станом на січень 2020 року також було виявлено кілька додаткових варіантів. Найвідоміші з них: .kodc, .alka, .topi, .npsg, .reha, .repp та .nosu.

Як вірус STOP міг потрапити у ваш комп’ютер

Вірус, як правило, поширюється через електронні листи зі спамом, які мають шкідливі вкладення. За допомогою соціальної інженерії хакери можуть обдурити користувачів відкриттям шкідливих вкладень, таким чином впускаючи шкідливе програмне забезпечення до своїх систем. Тим не менш, ви можете легко виявити ці електронні листи, шукаючи такі ознаки:

  • Ви не очікували отримати такий електронний лист. Наприклад, ви можете отримати електронне повідомлення від Amazon, але ви нічого не замовили в магазині.
  • Електронне повідомлення сповнене дивно структурованих речень або помилок.
  • В електронному листі відсутні такі дані, як логотип компанії або підпис.
  • Електронний лист не має заголовка теми чи тексту. Він включає лише вкладення. Іноді електронний лист може запропонувати перевірити інформацію в доданих документах.
  • Адреса електронної пошти відправника видається підозрілою.

Окрім електронної пошти зі спамом, вірус також може проникнути у вашу систему, якщо ви завантажуєте пошкоджену програму або її оновлення, клацаєте на шкідливі оголошення чи інші подібні методи. Тому дуже важливо для користувачів Інтернету дізнатись, як визначити потенційні небезпеки, які можуть ховатися в Інтернеті.

Як зупинити атаки-викупники?

Сплата заявленої викупної плати не є найефективнішим способом вирішити проблему, створену вірусом STOP. Насправді ви заохочуєте зловмисників продовжувати розповсюдження криптовірусу, лише якщо ви заплатите викуп. Отже, замість того, щоб платити викупну плату, плануйте негайно позбутися вірусу, а потім знайдіть інші ефективні способи відновити ваші дані.

Варіант 1: Видалення вірусу STOP вручну Крок 1: Завантажте комп’ютер у безпечний режим

Запуск комп’ютера в безпечному режимі дозволить вам ізолювати всі файли, яким заважає програма-вимагатель, щоб їх можна було безпечно видалити. Вірус STOP може заблокувати доступ до вашого програмного забезпечення для захисту, необхідного для позбавлення від вірусу. У цій ситуації ви можете повторно активувати свій вірус, лише завантажившись у безпечний режим із мережею. Щоб завантажити комп’ютер у безпечний режим, дотримуйтесь інструкцій нижче:

  • Натисніть клавіші Windows і R разом, щоб відкрити Запустити window.
  • Коли вікно з’явиться, введіть у нього msconfig , а потім натисніть Enter.
  • Зачекайте, поки З'явиться вікно Конфігурація , а потім перейдіть на вкладку Завантаження .
  • Поставте прапорець Безпечне завантаження , а потім виконайте те саме для опції Мережа теж.
  • Натисніть Застосувати , а потім Добре , щоб активувати налаштування.
  • Крок 2: Відображення прихованих файлів

    Як часто це відбувається, програма-вимагатель може приховати деякі зловмисні файли у вашій системі. З цієї причини ви повинні показати всі приховані файли. Ось як це зробити:

  • Перейдіть до Мій комп’ютер або Цей ПК , залежно від того, як він названий на вашому ПК.
  • Якщо ви використовуєте Windows 7, натисніть кнопку Упорядкувати , а потім виділіть опції Папка та пошук . Потім можна перейти на вкладку Перегляд , а потім перейти до розділу Приховані файли та папки та встановити прапорець Показати приховані файли та папки .
  • Для Windows 8/10 перейдіть безпосередньо до вкладки Перегляд , а потім поставте прапорець Приховані елементи .
  • Тепер натисніть Застосувати , а потім Добре .
  • Крок 3. За допомогою Диспетчера завдань зупиніть шкідливі процеси

    Щоб відкрити диспетчер завдань, скористайтесь комбінацією клавіш CTRL + Shift + ESC , а потім виконайте такі дії:

  • Перейдіть на вкладку Процеси .
  • Знайдіть усі підозрілі процеси, а потім клацніть правою кнопкою миші на кожному з них і виберіть Відкрити розташування файлу .
  • Після цього поверніться до у вікні диспетчера завдань та припинити зловмисні процеси. Для цього клацніть правою кнопкою миші підозрілий процес, а потім виберіть Завершити процес .
  • Щоб повністю його позбутися, перейдіть до папки, де знаходиться підозрілий файл, і видаліть файл звідти.
  • Крок 4: Відновлення реєстру Windows

    Щоб видалити незаконні записи в реєстрі Windows, виконайте наведені нижче дії.

  • Скористайтеся комбінацією клавіш Windows + R , щоб відкрити вікно Виконати .
  • Введіть regedit у вікно пошуку, а потім натисніть Введіть .
  • Тепер натисніть ярлик CTRL + F , а потім введіть ім’я шкідливого файлу в поле пошуку, щоб знайти файл.
  • Якщо ви знайдете будь-який розділ реєстру та значення, пов'язане з цим ім'ям файлу, видаліть їх. Але слід бути обережним, щоб не видалити законні ключі.
  • Крок 5: Відновити зашифровані файли

    Є кілька способів відновити деякі втрачені дані. Ось найпоширеніші.

    1. Використовуйте поточні резервні копії

    Зазвичай рекомендується зберігати резервну копію ваших найцінніших даних на зовнішньому диску або хмарному сховищі. Таким чином, ви можете швидко відновити файли, якщо вони будуть знищені, пошкоджені або вкрадені.

    2. Використовуйте функцію відновлення системи

    Або можна скористатися утилітою відновлення системи, щоб повернутися до попередньої робочої точки. Цей параметр буде можливим лише у тому випадку, якщо ви створили точки відновлення до зараження, тобто ви не зможете відновити файли та програми, які були введені пізніше.

    Щоб відновити файли за допомогою утиліти «Відновлення системи», виконайте наведені нижче дії.

  • Натисніть клавішу Windows і введіть відновлення системи в вікно пошуку та натисніть Ввести.
  • Тепер виберіть Відкрити відновлення системи , а потім дотримуйтесь інструкцій, які далі. Цей параметр відображатиметься, якщо у вас активна точка відновлення.
  • 3. Використовувати історію файлів

    Ось як це відбувається:

  • Перейдіть Пуск , а потім введіть відновити файли в поле пошуку.
  • Ви побачите опцію Відновити файли за допомогою історії файлів .
  • Клацніть на ній, а потім введіть ім’я файлу в рядок пошуку або просто виберіть папку.
  • Клацніть на кнопку Відновити .
  • 4. Використовуйте професійні засоби відновлення

    Спеціалізоване програмне забезпечення для відновлення може відновити дані, розділи, фотографії, документи та понад 300 типів файлів, які могли зникнути під час атаки. Одним з найефективніших способів відновлення є інструмент Djvu STOP Ransomware Decryptor and Removal.

    За даними Emsisoft, засіб може відновити дані для понад 70% усіх жертв. На жаль, нові варіанти вірусу постійно з’являються, тому засіб може розшифровувати лише файли, заблоковані офлайн-ключами. У більшості випадків вилучення офлайн-ключів займає деякий час.

    Як дізнатися, чи використовувались у шифруванні офлайн-або онлайнові ключі?

    Якщо вірус STOP заразив ваш комп’ютер після серпня 2019 року, вам доведеться з’ясувати, чи хакери використовували онлайн або офлайн-ключі для шифрування ваших файлів.

    Остання версія програми-вимагателя зазвичай шифрує файли за допомогою Інтернет-клавіш, якщо вона може підключитися до своєї Command & amp; Сервер управління під час атаки. Але якщо це неможливо, тоді він буде використовувати офлайн-ключ. Ключ, як правило, однаковий для всіх жертв певного варіанту програми-вимогателя.

    Якщо програма-вимагавач шифрує файли за допомогою автономного ключа, у вас є більше шансів негайно відновити всі ваші дані. На жаль, цього не можна сказати про онлайн-ключі. Щоб дізнатись, якими ключами працює програма-вимога, використовуйте для шифрування файли, виконайте такі дії:

  • Перейдіть до C: disk , а потім відкрийте SystemID папку.
  • Опинившись там, запустіть файл PersonalID.txt , а потім перевірте всі перелічені в ньому клавіші.
  • Якщо будь-яка з клавіш закінчується t1 , можна відновити деякі дані.
  • Варіант 2. Автоматичне видалення вірусу STOP

    Як правило, ручне видалення вірусу STOP вимагає знання реєстрів та системних файлів. Ця кіберзагроза може змінити ваш реєстр, створити нові ключі, перешкоджати законним процесам або навіть встановлювати шкідливі файли. Тому ручне видалення може бути не найефективнішим способом повернути шкоду та позбутися всіх слідів цього вірусу.

    Кіберзагроза включає кілька файлів та компонентів, які нагадують законні системні процеси. Отже, пошук та видалення деяких записів може завдати шкоди вашому комп’ютеру, ще більше погіршивши ситуацію. Ось чому для видалення вірусу STOP слід використовувати професійні засоби безпеки. Завантажте надійний інструмент, наприклад Outbyte Anti-Malware , щоб перевірити свою систему на наявність вірусу та видалити його.

    Якщо вірус відключає або блокує доступ до ваших рішень безпеки, спробуйте завантажити комп’ютер у безпечний режим, а потім запустити антивірусну програму для виявлення та видалення вірусу. Позбувшись вірусу STOP, ви можете експортувати необхідні файли із хмарного сховища або підключити зовнішній диск для зберігання із файлами резервних копій.

    Як запобігти атакам-вимагателям?

    Більшість хакерів спокушаються швидкі та легкі корисні навантаження, які пропонує програма-вимогатель. Проблема цих атак полягає в тому, що вони виходять за рамки крадіжки ваших грошей. Вони можуть уникнути вашої цінної інформації, наприклад імен користувачів та паролів, персональних ідентифікаційних номерів та банківських реквізитів, піддаючи вас більшому ризику. І якщо ви перебуваєте в мережі, кожен пристрій у цій мережі знаходиться під загрозою.

    Вимагаючі програми можуть проникнути на ваші комп’ютери, планшети та навіть смартфони. Отже, якщо ви думали, що ваш пристрій iOS захищений від програм-вимагачів, вам слід знати. Як правило, усі пристрої вразливі до атак-вимагачів, лише деякі з них вразливіші за інші.

    Користувачі iOS, як правило, безпечніші за інших користувачів пристроїв, але ви все одно можете зіткнутися з вимогами, якщо ваш пристрій зламано. Одним з методів, який шахраї використовують для здійснення атак-вимогливців, є отримання облікових даних iCloud для користувачів iOS, блокування їх пристроїв, а потім спонукання пристроїв відображати повідомлення про викуп.

    Отже, не чекайте СТОП вірус, щоб потрапити у вашу систему. З такими нападами, що зростають, ви повинні надати пріоритет профілактиці. Нижче наведено загальноприйняті способи захисту від атак-вимагачів:

    1. Створіть резервну копію важливих файлів

    Регулярно створюйте резервні копії комп’ютера, щоб мінімізувати випадки втрати даних. Ви можете зберігати ці файли локально в автономній системі або хмарі. За допомогою цього заходу ваша інформація буде резервно копійована в безпечному місці, вільному від хакерів. Крім того, ви можете легко відновити свої файли, навіть якщо ваш пристрій заразиться вимогами.

    2. Уникайте вимог до встановлення спливаючих вікон

    Ви завжди повинні сприймати спливаючі вікна як свого ворога, особливо якщо ви отримуєте їх при підключенні до Інтернету. Якщо з’явиться спливаюче вікно із запитом завантажити або оновити плагін, негайно закрийте його. Це може бути зловмисний імідж, який намагається проникнути на ваш пристрій за допомогою програми-вимогателя.

    3. Оновіть свій антивірус

    Щоб захиститися від невблаганних програм-вимагачів, встановіть високоякісну антивірусну програму. Щомісяця випускаються нові варіанти програм-вимагачів, тому вам доведеться постійно оновлювати антивірусну програму.

    4. Будьте обережні, натискаючи посилання

    Як ви вже могли знати, фішинг-шахрайство все ще залишається головним шляхом, який хакери використовують для розповсюдження вірусу STOP. Отже, вам слід перевірити свої зображення електронної пошти перед натисканням будь-якого посилання чи вкладення в цих електронних листах, навіть якщо вони видаються нешкідливими.

    5. Уникайте піратських додатків

    Незважаючи на те, що існує кілька законних ринків програмного забезпечення для ПК, сторонні магазини програм мають репутацію гарячих точок хакерів. Отже, коли ви встановлюєте програми, краще дотримуватися надійних зображень, таких як Apple App Store, Microsoft Store або Google Play Store.

    6. Постійно оновлюйте свої програми та операційні системи

    Ransomware часто використовує уразливі місця у вашій системі, тому ми не можемо перестати підкреслювати, наскільки важливо постійно оновлювати ваш комп’ютер. Обов’язково захищайте його регулярними виправленнями та оновленнями безпеки.

    7. Створення точок відновлення та відновлення

    Якщо ви користувач Windows, створіть точки відновлення за допомогою функцій відновлення системи. У випадку, якщо вірус шифрує деякі ваші файли, ви можете повернутися до попередньої робочої точки.

    8. Застосування надійної безпеки паролем

    Статистика показує, що звичайний користувач комп’ютера використовує однакові облікові дані для входу на кілька сайтів. Ще більш занепокоєнням є те, що третина з них використовує значно слабкий пароль, що ще більше полегшує проникнення хакерів. Звичайно, запам’ятати кілька паролів для різних облікових записів не завжди легко, але цю проблему можна вирішити за допомогою системи управління паролями.

    9. Блокуйте підозрілі адреси електронної пошти на своєму сервері

    Ви можете відфільтрувати підозрілі електронні листи, відкинувши всі листи з виконуваними вкладеннями. Ви також можете покращити це, налаштувавши поштовий сервер відхиляти адреси відомих спамерів. Навіть якщо у вас немає власного поштового сервера, служба безпеки швидше за все дозволить вам фільтрувати вхідні листи.

    Ви навіть можете покращити безпеку електронної пошти, додавши контроль вірусів на рівні поштового сервера. Встановіть на свій поштовий сервер антивірусну програму, щоб вона працювала як захист.

    10. Блокувати вразливі плагіни

    Кіберзлочинці можуть використовувати кілька плагінів, щоб потрапити у ваш комп’ютер. Найпоширенішими є Flash та Java, оскільки на них легко атакувати та є стандартними для більшості сайтів. З цієї причини намагайтеся регулярно оновлювати їх. Або ж ви можете їх повністю заблокувати.

    Останні думки

    Сподіваємось, наш посібник із видалення вірусів STOP допоможе вам відновити вкрадені файли. Навіть після відновлення системи, ми рекомендуємо сканувати систему за допомогою потужної антивірусної програми. У більшості випадків ви не знайдете залишків шкідливого програмного забезпечення, але це не завадить ще раз перевірити.

    Крім того, ми настійно рекомендуємо запобігати потраплянню програми-вимагателя у ваш комп’ютер. Тож, пам’ятайте, що потрібно практикувати безпечне серфінг, стежити за оновленнями, часто робити резервні копії файлів, підтримувати активність та актуальність антивірусу та встановлювати програми з надійних зображень.


    Відео YouTube: Що таке STOP Ransomware і як запобігти майбутнім атакам

    03, 2024