Table of Contents
ToggleDezembro de 2018 marcou o surgimento de uma ameaça digital inovadora conhecida como Djvu, um ransomware que pode ser uma variante do STOP. Este malware se espalhou significativamente através de downloads de cracks e pacotes de adware.
Inicialmente, o Djvu marcava seus alvos com a extensão .djvu, mas em versões mais recentes começou a utilizar .tro.
Desencriptar Ransomware STOP DJVU
Recuperação de Dados Afetados pelo Ransomware STOP DJVU
O método de distribuição deste ransomware era inicialmente desconhecido, a amostra do instalador principal era difícil de encontrar. Analisando os relatos das vítimas em fóruns e outros lugares, identificamos um padrão comum: a maioria das vítimas afirma ter sido infectada ao descarregar cracks de software.
Esta campanha tem sido altamente eficaz, como evidenciado pelos inúmeros envios diários para o ID-Ransomware.
Desencriptar Ransomware STOP DJVU
Envios para o ID-Ransomware
A boa notícia é que é possível obter ajuda para recuperar os teus arquivos. Se estás a ser infectado com o ransomware STOP (.djvu, .tro ou .rumba), consulta os nossos serviços de desencriptação de ransomware, e nós ajudaremos a recuperar os teus dados criptografados.
Oferecemos a PRÉ-ANÁLISE GRATUITA.
Recuperação de Dados Afetados pelo Ransomware STOP DJVU com LABS 4 Recovery
Para obter ajuda dos profissionais da LABS 4 Recovery e recuperar os teus dados, oferecemos suporte de ajuda muito simples em apenas alguns passos.
- Contata os nossos técnicos em Serviços de desencriptação de Ransomware.
- Envie o teu endereço de rede obtido através do comando getmac /v.
- Ao recebermos at ua solicitação de ajuda, enviaremos uma página web segura para carregar amostras dos arquivos criptografados e a nota de resgate.
- Após a análise, entraremos em contato para avançar com a recuperação de dados.
Após enviar estas informações, faremos o possível para ajudáar-te, têm paciência durante o processo.
Para casos específicos e complexos como estes, disponibilizamos um contato de suporte 24 horas para manter-te totalmente informado durante todo o processo e resolver qualquer dúvida que possa ter.
Desencriptar Ransomware STOP DJVU
Como o Ransomware DJVU Encripta um Computador
Este ransomware é instalo nos computadores das vítimas através de cracks e pacotes de adware. O instalador principal é colocado em %LocalAppData%[guid][random].exe e é executado. Este programa é o componente principal do ransomware e, inicialmente, baixa os seguintes arquivos na mesma pasta:
- %LocalAppData%[guid]1.exe
- %LocalAppData%[guid]2.exe
- %LocalAppData%[guid]3.exe
- %LocalAppData%[guid]updatewin.exe
O 1.Exe executa vários comandos para eliminar as configurações do Windows Defender e desativar várias funções. Além disso, executa um script PowerShell chamado Script.ps1, que desabilita o monitoramento em tempo real do Windows Defender.
O ransomware então executa o 2.exe, que adiciona vários sites de segurança e download ao arquivo HOSTS do Windows, impedindo que as vítimas acessem esses sites em busca de ajuda. Sites como o BleepingComputer estão proibidos, como mostrado abaixo.
Arquivo HOSTS
Arquivo HOSTS
Um arquivo chamado 3.exe é executado, embora não tenhamos uma amostra e, portanto, não saibamos sua função.
Durante este processo, o ransomware gera uma identificação exclusiva para a máquina, que, segundo Michael Gillespie, é um MD5 do endereço MAC do sistema. Ele se conecta ao servidor de Comando e Controle.
Se a rede utilizar tráfego sflow, netflow ou sniffing, pode ser possível recuperar a chave de criptografia quando o servidor C2 a envia para um computador da vítima.
Atualizações Falsas do Windows
O ransomware começa a criptografar os arquivos em um computador e, simultaneamente, executa o updatewin.exe. Este exibe uma falsa tela de atualização do Windows para distrair o usuário enquanto os arquivos são criptografados, simulando um aumento na atividade do disco.
Arquivos TRO Criptografados
Arquivos TRO Criptografados
Durante a cifragem, quase todos os arquivos do computador são afetados, incluindo executáveis. A variante mais antiga adicionava uma variante da string .djvu ao nome do arquivo criptografado. As variantes mais recentes utilizam a extensão .tro, como mostrado na imagem abaixo.
Tarefas Programadas
Por fim, o ransomware cria uma tarefa programada chamada “Time Trigger Task”, que inicia a extorsão em intervalos para cifrar novos arquivos.
Ao criptografar arquivos, o ransomware deixa notas de resgate chamadas openme.txt em cada pasta afetada. Estas notas contêm informações sobre o ocorrido e instruções de pagamento.
Em muitos casos, os cibercriminosos que perpetram ataques de ransomware DJVU solicitam somas relativamente pequenas de dinheiro como resgate. No entanto, efetuar o pagamento não garante a devolução total dos dados afetados.
Às vezes, os atacantes fornecem apenas uma fração das informações solicitadas e exigem um pagamento adicional, muitas vezes dez vezes maior, para liberar o restante dos dados.
Em situações ainda mais problemáticas, os criminosos podem optar por não responder, deixando a vítima com a perda tanto de dados quanto de dinheiro. Este enfoque cruel e impiedoso destaca a natureza pouco confiável e arriscada de negociar com aqueles que se dedicam a atividades criminosas online.
Arquiteto Afetado pelo Ransomware STOP DJVU
CASO REAL LABS 4 Recovery
Recebemos uma situação de um arquiteto dedicado a projetos inovadores e à criação de espaços únicos. Um dia, este profissional talentoso se depara com uma situação devastadora: seu computador e o sistema de armazenamento em rede (NAS) são infectados pelo ransomware DJVU.
Esta ameaça virtual coloca em risco não apenas os dados essenciais dos projetos em andamento, mas também as valiosas informações armazenadas no NAS, representando anos de trabalho árduo e inspiração. O arquiteto se vê diante da perspectiva de perder não apenas dados, mas também a essência criativa de muitos projetos significativos.
Neste momento crítico, entra em cena a equipe especializada da LABS 4 Recovery. Com experiência comprovada em recuperação de dados, nossa equipe assume o desafio de restaurar não apenas os arquivos convencionais, mas também os dados intrincados armazenados no sistema NAS.
O compromisso da LABS 4 Recovery com a excelência em recuperação de dados é a garantia de que nenhum detalhe, por menor que seja, será deixado para trás.
Utilizando tecnologias avançadas, nossos especialistas trabalham incansavelmente para desvendar a complexidade do ransomware e desbloquear o acesso aos dados essenciais. O processo envolve a aplicação de técnicas avançadas de descriptografia, garantindo que cada arquivo seja recuperado com máxima precisão e integridade.
Desencriptar Ransomware STOP DJVU com Sucesso
Ao final do processo, o arquiteto recebe não apenas seus dados de volta, mas também a tranquilidade de saber que sua visão criativa e o trabalho investido estão seguros. Esta experiência reforça a confiança no trabalho da LABS 4 Recovery, destacando-nos como uma equipe capaz de superar desafios digitais complexos e devolver a nossos clientes não apenas dados, mas também a confiança e a alegria perdidas.
Agora, o arquiteto pode retomar seus projetos com renovado entusiasmo, ciente de que a LABS 4 Recovery é a companheira confiável na recuperação de dados críticos. Esta história destaca não apenas a eficácia de nossos serviços de descriptografia de ransomware, mas também o compromisso de restituir não apenas dados, mas também a paz mental a nossos valiosos clientes.
Solicita a nossa Ajuda Imediata para Desencriptar Ransomware
Não permitas que um ataque de ransomware pare a tua vida e o teu negócio.
Estás a um clique de entrar em contato com os especialistas que podem ajudar-te, estamos prontos para recuperar seus dados e devolver a tranquilidade
Pré-análise do teu equipamento gratuito, encontramos a melhor solução para ti!
Problemas com Ransomware?
Contacta LABS 4 Recovery
Na LABS 4 Recovery somos especialistas em solucionar vírus informáticos e ataques de ransomware
- Windows bitlocker
- Desencriptação de ransomware
- Passwords Perdidas
- Ataque de vírus
Desencriptação de Máquinas Virtuais afectadas por Ransomware
Desencriptação de Base de Dados afectadas por Ransomware
Temos um grande conhecimento e experiência em trabalhar com projectos e empresas nacionais e internacionais. Contacta-nos para podermos ajudar-te!
Como conseguimos ajudar tantas empresas ao redor do mundo?
Fácil, embora a LABS 4 Recovery seja uma empresa com apenas 4 sedes na Península Ibérica, estamos em crescimento. Contamos com uma rede de técnicos experientes e confiáveis em todo o mundo. Dessa forma, podemos alcançar todas as regiões e auxiliar várias empresas com projetos simultâneos, seja por meio de trabalho remoto ou presencial.
- Desencriptação de Ransomware