Μεγάλη έξαρση αυτό το διάστημα υπάρχειο στον ιό Ransomware STOP (Djvu) ή Ransomware .Rumba ή Ransomware .tfudet ο οποίος κρυπτογραφεί τα αρχεία των χρηστών με τις καταλήξεις .tfude .tfudet .rumba.
Στη χώρα μας έχει λάβει πολύ μεγάλες διαστάσεις το θέμα και έχουν αναλυθεί στο εργαστήριο μας πάρα πολλά κρούσματα του ιού αυτού και σε κάποια είχαμε και επιτυχία να αποκρυπτογραφήσουμε ή να ανακτήσουμε αρχεία χωρίς να πληρώσουμε τα λύτρα που ζητάνε οι Hackers.
Ο Michael Gillespie στις 19/1/2019 ανάρτησε στο twitter του αυτό το Ransomware όπως θα δείτε στο Twitter του και οι προσπάθειες εύρεσης των κλειδιών αποκρυπτογράφησης ακόμα συνεχίζουνται.
Πώς γίνεται η μόλυνση με το STOP Ransomware;
Το Ransomware STOP αυτό κάνει κυρίως την εμφάνιση του σε Websites με παράνομο περιεχόμενο, δηλαδή Sites τα οποία διαμοιράζουν Warez, Cracks και σπασμένα προγράμματα.
Αν λοιπόν κατεβάζετε παράνομο λογισμικό ή μπαίνετε σε παράνομες ιστοσελίδες διακίνησης παράνομου λογισμικού, ταινιών ή μουσικής τότε διατρέχετε μεγάλο κίνδυνο να μολυνθείτε και να κλειδωθούν τα αρχεία σας.
Ουσιαστικά πρόκειται και για μια “τιμωρία” σε όσους επισκέπτονται τα εν λόγω Websites.
Μεγάλη προσοχή λοιπόν αν δεν έχετε μολυνθεί ακόμα, διατρέχετε μεγάλο κίνδυνο!
Καλό είναι να επικοινωνήσετε άμεσα μαζί μας για να ξεκινήσετε την υπηρεσία Cloud Backup για να εχετε την καλύτερη δυνατή προστασία.
Ποιές καταλήξεις έχουν τα κρυπτογραφημένα αρχεία του Ransomware STOP;
Το Ransomware κρυπτογραφεί τα αρχεία σας με τις παρακάτω καταλήξεις αρχείων μεταξύ άλλων:
- .STOP Ransomware
- .verasto
- .hrosas
- .kiratos
- .todarius
- .hofos
- .roldat
- .dutan
- .sarut
- .fedasot
- .forasom
- .berost
- .fordan
- .codnat
- .codnat1
- .bufas
- .dotmap
- .radman
- .ferosas
- .rectot
- .skymap
- .mogera
- .rezuc
- .stone
- .redmat
- .lanset
- .davda
- .poret
- .pidon
- .heroset
- .myskle
- .boston
- .muslat
- .gerosan
- .vesad
- .horon
- .neras
- .truke
- .dalle
- .lotep
- .nusar
- .litar
- .besub
- .cezor
- .lokas
- .godes
- .budak
- .vusad
- .herad
- .berosuce
- .gehad
- .gusau
- .madek
- .tocue
- .darus
- .lapoi
- .todar
- .dodoc
- .bopador
- .novasof
- .ntuseg
- .ndarod
- .access
- .format
- .nelasod
- .mogranos
- .cosakos
- .nvetud
- .lotej
- .kovasoh
- .prandel
- .zatrov
- .masok
- .brusaf
- .londec
- .krusop
- .mtogas
- .coharos
- .nasoh
- .nacro
- .pedro
- .nuksus
- .vesrato
- .masodas
- .stare
- .cetori
- .carote
- .shariz
- .gero
- .hese
- .geno
- .xoza
- .seto
- .peta
- .moka
- .meds
- .kvag
- .domn
- .karl
- .nesa
- .boot
- .noos
- .kuub
- .reco
- .tfude Ransomware
- .tfudeq Ransomware
- .tfudet Ransomware
- .rumba Ransomware
Όλα τα παραπάνω encryptions ανήκουν σε μετάλλαξη του ίδιου Ransomware, δηλαδή του STOP (DJVU) Ransomware
Σε όλες τις μολύνσεις ο ιός αφήνει ένα αρχείο_openme.txt το οποίο περιέχει το παρακάτω κείμενο συνήθως με λίγες παραλλαγές και ζητάει λύτρα σε Bitcoin.
Το σημείωμα του Ransomware που απαιτεί λύτρα σε Bitcoin
Παρακάτω είναι το κείμενο το οποίο αφήνει το συγκεκριμένο Ransomware:
—
Don’t worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can download video overview decrypt tool:
https://www.sendspace.com/file/xxxxxx
Don’t try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.
—————————————————————————————————————————
To get this software you need write on our e-mail:
pdfhelp@india.com
Reserve e-mail address to contact us:
pdfhelp@firemail.cc
Your personal ID:
0248Kgg4g0y20VxxxxxxxxxxxxB4KNHIf0ht91Kp61pF3
—
Η συγκεκριμένη εκδοχή του ιού Ransomware .tfudet .tfude .rumba ζητάει λύτρα 300$ – 1000$ για να παραδώσει στο χρήστη το κλειδί της αποκρυπτογράφησης και αυτό δυστυχώς δεν είναι πάντα σίγουρο καθώς έχουμε να κάνουμε με εγκληματίες εκβιαστές οι οποίοι παραμένουν ανώνυμοι.
Μπορώ να αποκρυπτογραφήσω τα αρχεία από το Ransomware STOP χωρίς να πληρώσω τα λύτρα;
Να σημειώσουμε ότι έχει βρεθεί λύση σε κάποιες από τις εκδοχές του ιού Ransomware STOP (Djvu) χωρίς να πληρώσετε τα λύτρα, όμως δυστυχώς όχι σε όλες.
Μπορούμε να σας βοηθήσουμε όμως στις περισσότερες περιπτώσεις.
Αλλιώς μπορούμε να κρατήσουμε το δείγμα απο τα αρχεία σας και να σας ενημερώσουμε μόλις βρεθεί λύση χωρίς να πληρώσουμε τα λύτρα.
Δυστυχώς λόγω του μεγάλου όγκου περιστατικών που έχουμε λάβει θα χρειαστεί να κάνετε λίγο υπομονή για να εξυπηρετηθείτε.
Τι πρέπει να κάνω αν έχω μολυνθεί με τον ιό STOP Djvu .tfudet .tfude .rumba ;
Κατ’ αρχήν στείλτε μας ένα emai στο info@tictac.gr το οποίο θα περιέχει τα εξής στοιχεία, για να γίνει μια αρχική διάγνωση:
- Τα στοιχεία επικοινωνίας σας (όνομα, τηλέφωνο και email)
- Το αρχείο _openme.txt το οποίο περιέχει στοιχεία επικοινωνίας του Hacker και το ID σας
- Ένα αρχέιο .doc, .docx, .xls, .xlsx επιμολυσμένο με την κρυπτογραφημένη μορφή του (μετά το συμβάν)
- Το ΙΔΙΟ αρχείο όπως ήταν ΠΡΙΝ την κρυπτογράφηση (αναζητήστε π.χ. ένα αρχείο το οποίο στείλατε με email την προηγούμενη ημέρα σε ένα συνεργάτη ή που το έχετε απαράλαχτο όπως ήταν πριν την αποκρυπτογράφηση). Αυτό ειναι σημαντικό για να δούμε τις αλλαγές που έγιναν στο ίδιο αρχείο πριν και μετά και να μπορέσουμε να αναλύσουμε σωστά το αρχέιο. Δεν θα δεχτούμε περιστατικά που δεν μας στέλνουν το ίδιο αρχέιο πριν και μετά την αποκρυπτογράφηση.
- Ένα τρίτο αρχείο κρυπτογραφημένο που δεν έχετε προηγούμενη μορφή του (.doc, .docx, .xls, .xlsx) για να δοκιμάσουμε μετά την έρευνα μας αν μπορούμε να το αποκρυπτογραφήσουμε.
- Την MAC Address του υπολογιστή σας (αν έχετε πολλαπλές στείλτε μας όλες τις MAC addresses που έχει ο υπολογιστής σας). Αν δεν γνωρίζετε πώς να βρείτε την MAC Address κάντε κλικ εδώ.
- Κρατήστε άμεσα ένα Backup των κρίσιμων αρχείων του υπολογιστή σας σε εξωτερικό δίσκο, είτε συνεργαστείτε μαζί μας είτε όχι, είτε πληρώσετε τα λύτρα είτε όχι, γιατι μπορεί να βρεθεί στο μέλλον λύση για το Ransomware STOP για όλες τις περιπτώσεις, χωρίς να χρειαστεί να πληρώσετε!
Αν δεν έχετε πρόθεση να πληρώσετε τα λύτρα, που σας συστήνουμε ανεπιφύλακτα να μην το κάνετε, καθώς έτσι επικροτούμε τις εγκληματικές ενέργειες των Hackers, τότε μπορείτε να επικοινωνήσετε μαζί μας για τις πρώτες συμβουλές και δούμε μαζί πώς είναι καλύτερο να προχωρήσετε.
Κάποιες δωρεάν λύσεις υπάρχουν στη σελίδα της Europol https://www.nomoreransom.org/en/decryption-tools.html οπότε αν γνωρίζετε το τεχνικό κομμάτι επισκεφτείτε τη σελίδα αυτή, η οποία ειναι μια προσπάθεια να καταπολεμηθεί η μάστιγα των Ransomware.