шкала интенсивности:  
  (99/100)

Удаление вируса STOP (Руководство по удалению) - обновлено Окт 2020

от Gabriel E. Hall - - | Тип: Вымогательское ПО

STOP вымогатель все еще активный вирус, шифрующий файлы, который использует сложную схему для вымогательства денег

Криптовирус STOP

STOP вымогатель — это блокировщик данных, впервые появившийся в декабре 2017 года. Для шифрования данных и добавления .STOP расширения паразит использует комбинацию алгоритмов AES и RSA. Однако новые версии появляются почти каждый месяц, и на данный момент вирус добавляет следующие расширения: .SAVEfiles, .puma, .pumas, .pumax, .shadow и .keypass. Также стоит упомянуть, что одним из наиболее известных вариантов являются Keypass вымогатель и Djvu вымогатель, которые попали в заголовки новостей, когда они поразили жертв из более чем 20 стран. На данный момент Djvu вымогатель является наиболее активной версией STOP вымогателя, которая требует от $300 до $600 за дешифрование данных. Вредоносная программа использует _openme.txt, !readme.txt или аналогичные заметки с требованием выкупа и призывает пользователей связываться с мошенниками с помощью restorejvu@firemail.cc, stopfilesrestore@bitmessage.ch, helphadow@india.com или аналогичного адреса электронной почты.

Описание кибер-угрозы
Имя STOP вымогатель
Тип Криптовирус
Алгоритм шифрования AES и RSA-1024
Добавленные файл-расширения .STOP, .SUSPENDED , .WAITING, .CONTACTUS, .DATASTOP, .PAUSA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu. .djvuu. .djvus, .udjvu, .uudjvu
Записки о выкупе

!!! YourDataRestore !!! txt,
!!RestoreProcess!!!.txt,
!!!!RESTORE_FILES!!!.txt,
!!!DATA_RESTORE!!!.txt
!!!DECRYPTION__KEYPASS__INFO!!!.txt
!!!WHY_MY_FILES_NOT_OPEN!!!.txt
!!SAVE_FILES_INFO!!!.txt
!readme.txt

Размер выкупа $300 — $600
Контактные email адреса

stopfilesrestore@bitmessage.ch
topfilesrestore@india.com
suspendedfiles@bitmessage.ch
suspendedfiles@india.com
decryption@bitmessage.ch
BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
keypassdecrypt@india.com
decryptionwhy@india.com
savefiles@india.com
helpshadow@india.com
helpshadow@firemail.cc
restoredjvu@india.com
restoredjvu@firemail.cc 

Методы распространения Вредоносные спам-эмейлы, взломанные веб-сайты, эксплойты, навязчивые атаки, другие.
Дешифровщик Загрузите тут (прямая загрузка)
Чтобы удалить XXX, установите Reimage Reimage Cleaner Intego и запустите полное сканирование системы

STOP вымогатель впервые был обнаружен в декабре 2017 года. Однако новые варианты появились в августе 2018 года, а некоторые в предыдущих месяцах. Все они ведут себя одинаково, но добавляют новые расширения файлов к целевым данным, предоставляют немного отличающиеся примечания по выкупу и используют новые контактные адреса электронной почты.

Оригинальная версия вредоносного ПО добавляет расширение файла .STOP, чтобы сделать файлы недоступными на зараженном компьютере Windows. Как только STOP вымогатель завершает процедуру шифрования, вирус отправляет записку о выкупе в “!!! YourDataRestore !!! txt” файле. Сообщение мошенников говорит о том, что жертвы должны заплатить выкуп на протяжении 72 часов.

Авторы STOP вируса требуют заплатить 600 долларов за три дня. Чтобы предоставить подтверждение, хакеры разрешают для теста отправлять 1-3 «не очень больших» файла для бесплатной расшифровки, по адресу stopfilesrestore@bitmessage.ch или stopfilesrestore@india.com. Однако это могут быть единственные файлы, которые вам удастся получить после атаки вымогателей. Как только вы заплатите выкуп, мошенники могут исчезнуть, получив от вас то, что им нужно.

Однако мы хотим подчеркнуть, что оплата требуемой цены киберпреступникам — очень рискованная задача, которая может привести к огромной потере денег. Как только вы заплатите эти 600 долларов, вас могут попросить заплатить больше. Если вы не согласны или останетесь без обещанного варианта расшифровки, никто не поможет вам отследить преступников и получить ваши деньги. Так что лучше избегайте любых контактов с мошенниками и ознакомьтесь с официальным расшифровщиком STOP вируса, который вы найдете ниже в этой статье.

STOP files вирус

Поэтому мы настоятельно рекомендуем забыть о восстановлении данных на данный момент. Наиболее важной задачей является удаление STOP вымогателя с компьютера, чтобы сделать систему безопасной. По этой причине мы рекомендуем сканировать зараженный компьютер с помощью антивирусного программного обеспечения, такого как Reimage Reimage Cleaner Intego, чтобы удалить вымогательский STOP вирус.

Крайне важно использовать профессиональные средства безопасности, потому что эта киберугроза может изменить реестр Windows, создать новые ключи, установить вредоносные файлы или повлиять на законные системные процессы. Это означает, что ручное завершение практически невозможно. Если вы попытаетесь найти и удалить эти записи самостоятельно, это может привести к повреждению вашего компьютера. Следовательно, не рискуйте!

После того, как вы позаботитесь об удалении STOP вымогателя, вы можете безопасно подключить внешний накопитель с резервными копиями или экспортировать необходимые файлы из облачного хранилища. Если вы еще не создали резервную копию своих файлов и не можете выполнить полное восстановление данных, вам следует попробовать сторонние инструменты, которые мы упоминали в конце статьи. Надеюсь, некоторые файлы будут спасены. Кроме того, эксперты недавно выпустили оригинальный расшифровщик для этого вымогателя, который может восстановить некоторые данные, и мы предоставили его ниже статьи.

Вирус-вымогатель STOPStop вирус-вымогатель имеет две версии; однако они обе просят заплатить 600 долларов в обмен на расшифровщика.

Новые варианты вымогателей в 2020 году появлялись почти каждый месяц Suspended вымогатель

В начале года, в феврале, исследователи вредоносных программ сообщили о STOP версии, в которой для блокировки документов, мультимедиа, баз данных, архивов и многих других файлов используется .SUSPENDED расширение. Поведение вымогателей аналогично предыдущей версии, но после шифрования файлов оно загружает другое примечание о выкупе.

Suspended вымогатель предоставляет инструкции по восстановлению в ”!!RestoreProcess!!!.txt файле и просит отправить ID жертвы и предпочтительные файлы примеров для тестовой расшифровки на email: подвескиfile@bitmessage.ch или подвескаfiles@india.com. Размер выкупа и срок остаются неизменными.

STOP вирус, шифрующий данные

CONTACTUS вымогатель

В конце мая появился еще один вариант вирус-вымогателя STOP. Для блокировки целевых файлов эта версия использует расширение файла .CONTACTUS. Был изменен не только добавленный суффикс. Мошенники также переименовал инструкции по восстановлению данных, и теперь документ, в котором указаны все параметры восстановления, называется !!!RESTORE_FILES!!!.txt. Контактные адреса электронной почты были изменены на decryption@bitmessage.ch и decryption@india.com:

All your important files were encrypted on this PC.
All files with .CONTACTUS extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.

To decrypt your files, you need to obtain private key + decrypt software.

To retrieve the private key and decrypt software, you need to CONTACTUS us by email decryption@bitmessage.ch send us an email your !!!RESTORE_FILES!!!.txt file and wait for further instructions.

For you to be sure, that we can decrypt your files — you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $600 if you contact us first 72 hours.

Your personal id:
[redacted 40 characters]

E-mail address to contact us:
decryption@bitmessage.ch

Reserve e-mail address to contact us:
decryption@india.com

SaveFiles вымогатель

Другая версия STOP вымогателя появилась в сентябре 2018 года. После использования urpress.exe файла в качестве основного исполняемого файла эта программа-вымогатель шифрует ваши данные и помечает заблокированные файлы с помощью .SAVEfiles расширения. Как и другие версии, эта угроза делает это с помощью методов шифрования AES и RSA. После изменения файла вымогатель помещает записку с выкупом под названием !!!SAVE_FILES_INFO!!!.txt на каждую папку, содержащую зашифрованные данные.

Примечание выкупа содержит следующий текст:

WARNING!

Your files, photos, documents, databases and other important files are encrypted and have the extension: .SAVEfiles
The only method of recovering files is to purchase an decrypt software and unique private key.

After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.

You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.

For you to be sure, that we can decrypt your files — you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.

Price for decryption $500.
This price avaliable if you contact us first 72 hours.

E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Reserve e-mail address to contact us:
savefiles@india.com

Your personal id:

Как видите, разработчики вирусов утверждают, что у них есть инструмент для восстановления и расшифровки файлов, и призывают людей связаться с ними по электронной почте savefiles@india.com. Вы не должны этого делать, потому что преступники не заслуживают вашего доверия. Лучше следовать предоставленному руководству по удалению STOP вымогателя. Для этого вы можете использовать такие программы, как Reimage Reimage Cleaner Intego или SpyHunter 5Combo Cleaner. Выполните полное сканирование системы для дальнейшей очистки вашей системы. Затем попробуйте инструменты для восстановления данных или программы, чтобы восстановить ваши файлы.

Puma вымогатель

Puma вымогатель — дешифруемый вирус. Если вы заразились им, вы можете назвать себя счастливее других жертв, потому что у вас есть шанс восстановить зашифрованные файлы. Однако только данные, имеющие .puma, .pumas и .pumax расширения, могут быть разблокированы с помощью специального дешифратора (предоставлена прямая ссылка) от экспертов по вирусам. Однако обязательно пробуйте этот дешифратор только после того, как сначала вы удалите вредоносное ПО из системы. В противном случае процедура шифрования может быть запущена еще раз.

Находясь внутри системы, вирус роняет записку с требованием выкупа !readme.txt, чтобы сообщить своей жертве о текущей ситуации. Перед этим вредоносная программа запускает процедуру шифрования (для этого она использует алгоритмы AES и RSA), чтобы сделать все файлы, установленные в системе, бесполезными. Пострадавшему дается 72 часа, чтобы связаться с хакерами. Однако, чтобы предотвратить дальнейшие проблемы на вашем компьютере вы никогда не должны делать это.

Дешифровщик STOP вымогателя

Shadow вымогатель

В начале декабря 2018 года исследователи обнаружили вариант, который добавляет .shadow расширение к зараженным файлам. Это расширение файла впервые использовалось вирус-вымогателем BTCWare еще в 2017 году, и теперь, похоже, авторы STOP паразитов также приняли его.

Вирус-вымогатель Shadow использует записку с требованием выкупа !readme.txt, которая объясняет, как выполнить платеж в биткоинах. Мошенники предлагают бесплатно расшифровать один файл, чтобы доказать, что дешифратор действительно работает. Контактные адреса электронной почты helphadow@india.com или helphadow@firemail.cc должны помочь в общении. Предположительно, скидка 50% от цены выкупа действует в течение первых 72 часов после заражения.

Как обычно, мы рекомендуем избегать любых контактов с субъектами угрозы. Хотя этот .shadow файл не является дешифруемым во время написания, вам следует подождать, пока не выйдет бесплатный расшифровщик, как это произошло с Puma вымогателем.

Djvu вымогатель

Последняя версия Djvu вымогателя, которая добавляет несколько расширений: .djvu, .djvus, .djvuu, .udjvu, .uudjvu, .djvuq, .djvur. Вирус уже затронул тысячи пользователей во всем мире, используя самую популярную схему, используемую вымогателями для проникновения в целевую систему — спам. Жертвы обычно получают электронное письмо, в котором предлагается узнать больше об их посылке, счете, отчете или доставке. Однако загрузка вложения означает попадание вируса в систему.

Djvu вымогатель не расшифровывается, поэтому единственный способ восстановить зашифрованные данные — сначала удалить вирус, а затем попробовать сторонние инструменты. Конечно, если вы делали резервные копии своих файлов до того, как они были зашифрованы, вы не должны беспокоиться. Просто удалите зашифрованные файлы из системы и установите хорошие.

Криптовирус может попасть в систему, как только вы откроете вредоносную спам-почту

Исполняемый файл вируса с шифрованием файлов обычно распространяется по вредоносным спам-сообщениям, которые содержат вложения. С помощью социальной инженерии преступники обманом заставляют жертв открывать запутанные вложения и пускать вредоносное ПО в систему. Вы можете отличить опасное письмо благодаря этим признакам:

  • Вы не ожидали получить это электронное письмо (например, вы ничего не заказывали из Amazon, и вы не ожидаете, что курьер FedEx доставит какую-либо посылку).
  • В письме отсутствуют учетные данные, такие как логотип компании или подпись.
  • Письмо полно ошибок или странно структурированных предложений.
  • В письме нет строки темы, тело пустое и содержит только вложение.
  • Содержание письма настоятельно рекомендует проверить информацию во вложении.
  • Адрес электронной почты отправителя кажется подозрительным.

Вредоносная угроза STOP

Однако специалисты NoVirus.uk говорят, что вредоносное ПО также может проникнуть в систему, когда пользователь нажимает на вредоносное объявление, загружает поврежденную программу или ее обновление и применяет любые другие методы.

По этой причине пользователи интернета должны научиться определять потенциальные риски, которые могут скрываться в сети. Мы хотим напомнить, что любое программное обеспечение безопасности может полностью защитить вас от атаки вымогателей. По этой причине нужно быть внимательными с кликами и загрузками, а также создание и регулярное обновление резервных копий являются обязательными!

Избавьтесь от STOP вымогателя, чтобы восстановить ваши файлы

Прежде всего, мы хотим отговорить вас от ручного удаления вымогателей. Эта киберугроза включает в себя множество файлов и компонентов, которые могут выглядеть как законные системные процессы. Таким образом, вы можете легко удалить неправильные записи и причинить большой ущерб. Поэтому, вы должны выбрать автоматическое удаление STOP вымогателя.

Вирус может заблокировать доступ к программному обеспечению безопасности, которое необходимо для удаления, поэтому сначала следует отключить вирус, загрузившись в безопасном режиме с поддержкой сети. Инструкции ниже объяснят вам, как это делается. Неважно, какая версия вредоносного ПО затронула ваш компьютер, руководство по удалению остается прежним.

В безопасном режиме загрузите, установите и обновите Reimage Reimage Cleaner Intego, Malwarebytes или SpyHunter 5Combo Cleaner. Затем запустите полное сканирование системы и подождите, пока программа закончит очистку системы и поможет вам удалить STOP вымогателя. Позже вы можете подключить резервные копии для восстановления ваших файлов или попробовать альтернативные методы, представленные ниже.

Предложение
Сделать!
Загрузить
Reimage Счастье
Гаранти-
ровано
Загрузить
Intego Счастье
Гаранти-
ровано
Совместимость с Microsoft Windows Supported versions Совместимость с OS X Supported versions
Что делать, если не удалось?
Если вам не удалось удалить вирусные повреждения с помощью Reimage Intego, задайте вопрос в нашу службу поддержки и предоставьте как можно больше подробностей.
Reimage Intego имеет бесплатный ограниченный сканер. Reimage Intego предлагает дополнительную проверку при покупке полной версии. Когда бесплатный сканер обнаруживает проблемы, вы можете исправить их с помощью бесплатного ручного ремонта или вы можете приобрести полную версию для их автоматического исправления.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Reimage, попробуйте запустить SpyHunter 5.
Другие программы
Разное программное обеспечение имеет различное назначение. Если вам не удалось исправить поврежденные файлы с помощью Intego, попробуйте запустить Combo Cleaner.

Руководство по ручному удалению вируса STOP:

Удалите STOP, используя Safe Mode with Networking

Выполните следующие действия, чтобы перезагрузить компьютер в безопасном режиме с поддержкой сети, что позволит отключить STOP вымогателя:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Safe Mode with Networking Выберите 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Networking. Выберите 'Enable Safe Mode with Networking'
  • Шаг 2: Удалить STOP

    Авторизируйтесь, используя Ваш зараженный аккаунт, и запустите браузер. Загрузите Reimage Reimage Cleaner Intego или другую надежную антишпионскую программу. Обновите её перед сканированием и удалите вредоносные файлы, относящиеся к программе-вымогателю, и завершите удаление STOP.

Если программа-вымогатель блокирует Safe Mode with Networking, попробуйте следующий метод.

Удалите STOP, используя System Restore

Этот метод также может помочь автоматически избавиться от вируса:

  • Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Щелкните Start Shutdown Restart OK.
    2. Когда Ваш компьютер станет активным, нажмите F8 несколько раз, пока не появится окно Advanced Boot Options.
    3. В списке выберите Command Prompt Выберите 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. В окне логина Windows нажмите кнопку Power. Затем нажмите и удерживайте клавишу Shift и щелкните Restart..
    2. Теперь выберите Troubleshoot Advanced options Startup Settings и нажмите Restart.
    3. Когда Ваш компьютер станет активным, в окне Startup Settings выберите Enable Safe Mode with Command Prompt. Выберите 'Enable Safe Mode with Command Prompt'
  • Шаг 2: Восстановите Ваши системные файлы и настройки
    1. После появления окна Command Prompt, введите cd restore и щелкните Enter Введите 'cd restore' без кавычек и нажмите 'Enter'
    2. Теперь введите rstrui.exe и снова нажмите Enter.. Введите 'rstrui.exe' без кавычек и нажмите 'Enter'
    3. После появления нового окна, щелкните Next и выберите Вашу точку восстановления, предшествующую заражению STOP. После этого нажмите Next. В появившемся окне 'System Restore' выберите 'Next' Выберите Вашу точку восстановления и щелкните 'Next'
    4. Теперь щелкните Yes для начала восстановления системы. Щелкните 'Yes' и начните восстановление системы
    После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с убедитесь, что удаление рошло успешно.

Бонус: Восстановите ваши данные

Руководство, представленное выше, должно помочь вам удалить STOP с вашего компьютера. Для восстановления зашифрованных файлов, мы рекомендуем использовать подробную инструкцию, подготовленную экспертами по безопасности bedynet.ru.

Если ваши файлы зашифрованные STOP, вы можете использовать несколько методов, чтобы восстановить их:

Попробуйте Data Recovery Pro

Первоначально этот инструмент предназначен для восстановления файлов после системной поломки или удаления. Тем не менее, это может быть полезно и после атаки вымогателей.

  • Загрузить Data Recovery Pro;
  • Следуйте шагам по Data Recovery Установите и настройте программу на вашем компьютере;
  • Запустите ее и просканируйте ваш компьютер на файлы, зашифрованные STOP вымогателем;
  • Восстановите их.

Используйтесь преимуществом функции предыдущие версии Windows

Этот метод позволяет копировать ранее сохраненные версии файлов, если восстановление системы было включено до атаки вымогателей.

  • Чтобы восстановить зашифрованный файл, вам нужно щелкнуть по нем правой кнопкой мыши;
  • Выберите “Properties”, а затем “Previous versions”;
  • Здесь, проверьте каждую копию файла “Folder versions”. Вы должны выбрать версию, которую вы хотите восстановить и нажать “Restore”.

Попробуйте ShadowExplorer

ShadowExplorer может восстанавливать файлы из теневых копий томов, если STOP вымогатель не удалил их.

  • Загрузите Shadow Explorer (http://shadowexplorer.com/);
  • Следуйте настройкам Shadow Explorer, и установите это приложение на ваш компьютер;
  • Запустите программу и зайдите в меню, в верхнем левом углу, чтобы выбрать диск с вашими зашифрованными данными. Также проверьте, какие там папки ;
  • Правый щелчок на папку, которую вы хотите восстановить, и выберите “Export”. Также, вы можете выбрать куда вы хотите это восстановить.

STOP вымогатель был обнаружен недавно. Вы можете найти его тут  (прямая ссылка на загрузку)

Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от STOP и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner или Malwarebytes

О авторе
Gabriel E. Hall
Gabriel E. Hall - Пылкий исследователь интернета

Если эта бесплатная инструкция по удалению помогла Вам и Вы довольны нашим сервисом, пожалуйста рассмотрите возможность оплаты взноса с целью оказания поддержки сервису. Будем благодарны даже за наименьшую сумму.

Обратитесь к Gabriel E. Hall
О компании Esolutions

Источник: https://www.2-spyware.com/remove-stop-ransomware.html
Руководство по удалению на другом языке

Ваше мнение по поводу к STOP ransomware