خبری بسیار خوش برای قربانیان باج‌افزار STOP

شرکت ام‌سی‌سافت با مشارکت یک محقق امنیتی موفق به ساخت ابزاری شده که امکان رمزگشایی 148 گونه از باج‌افزار مخرب STOP را فراهم می‌کند.

گرچه پیش‌تر نیز ابزاری برای این منظور عرضه شده بود اما ابزار قبلی صرفا قادر به رمزگشایی فایل‌های آن دسته از سیستم‌های آلوده شده به STOP بود که در جریان دست‌درازی به فایل‌ها، از کلید رمزگذاری آفلاین (و نه آنلاین) استفاده می‌شد.

بر اساس گزارشی که در شهریور ماه سایت BleepingComputer آن را منتشر کرد، STOP، فعال‌ترین باج‌افزار سال میلادی جاری بوده است. مهاجمان این باج‌افزار به کرات سیستم کاربران و سازمان‌های ایرانی را هدف حملات خود قرار داده‌اند.

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار STOP که نخستین نسخه آن در آذر 1397 شناسایی شد از روش‌های مختلفی برای آلوده کردن سیستم‌ها بهره می‌گیرد. در یکی از این روش‌ها، گردانندگان STOP با تزریق کد مخرب به برخی برنامه‌های موسوم به Crack،وKey Generator و Activator و به‌اشتراک‌گذاری آنها در سطح اینترنت دستگاه کاربرانی را که اقدام به دریافت و اجرای این برنامه‌ها می‌کنند را به باج‌افزار آلوده می‌سازند. متأسفانه این شیوه، اصلی‌ترین دلیل انتشار موفق STOP در سطح کشور است. به‌خصوص آنکه در زمان اجرای چنین برنامه‌هایی بسیاری از کاربران اقدام به غیرفعال کردن موقت ضدویروس خود کرده و همین مدت کم، برای اجرا شدن باج‌افزار و شروع فرایند رمزگذاری کافی خواهد بود.

از جمله برنامه‌های مورد استفاده توسط نویسندگان STOP می‌توان به Crack نرم‌افزارهای KMSPico،وCubase،وPhotoshop و برنامه‌های ضدویروس اشاره کرد.

انتشار ابزار رمزگشایی جدید دستاورد بزرگی برای جامعه امنیت فناوی اطلاعات در مقابله با تهبکاران و باج‌گیران سایبری است.

ابزار عرضه شده جدید که در اینجا قابل استفاده است از پسوندهای زیر پشتیبانی می‌کند:

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

131 پاسخ

  1. سلام من دچار باج افزار promoz شدم بعد فایل ا.رجینال ندارم ک بدم

    پاسخ

  2. سلام من با ویروس باج گیر که آخر فایلهایم را باkodc رمز گذاشته درلب تاپم مواجه شدم میشه کاری کرد نمونه فایل سالم رو ندارم همه کدگذاری شده

    پاسخ

    1. با سلام؛
      برای این منظور می توانید از فایل های پیش فرض، نظیر تصاویر Windows در دستگاهی با سیستم عامل یکسان با سیستم عامل دستگاه آلوده شده استفاده کنید.

      پاسخ

  3. با سلام
    من با مشکل بسیار بدی مواجه شدم و اون اینکه تمام فایلهای من پسوند topi گرفتن. خواهش میکنم کمکم کنید

    پاسخ

    1. با سلام؛

      لطفاً ابزار اشاره شده در این خبر را مورد استفاده و بررسی قرار دهید.

      پاسخ

  4. ببخشید من هم با مشکل بسیار بدی مواجه شدم و اون اینکه تمام فایلهای من پسوند topi گرفتن. خچکار باید کرد

    پاسخ

    1. با سلام؛

      لطفاً ابزار اشاره شده در این خبر را مورد استفاده و بررسی قرار دهید.

      پاسخ

    1. با سلام؛

      لطفاً ابزار اشاره شده در این خبر را مورد استفاده و بررسی قرار دهید.

      پاسخ

  8. سلام من دچار بدافزار alka شدم اما فعلا فایل اطلاعیه باج گیری برام ارسال نشده همه فایلهام رمزنگاری شدن میشه راهنماییم کنید
    نرم افزار Malwarebytes را نصب کردم اما بعد از سه دقیقه از شروع اسکن کامپیوترم خاموش میشه
    هر فایلی هم از اینترنت دانلود میکنم رمزگذاری نمیشه

    پاسخ

  10. سلام تمام فایل های من سفید شدن و اخر همشونnemty_bu9su1nاومده چیکار کنم توروخدا بگین تمام عکسای بچم از نوزادیش ایتجوری شده داغونمممم

    پاسخ

  11. با سلام
    تمام فایلهام از پنج شنبه هفته پیش با پسوند ALK رمزنگاری شده تا به امروز هم هیچ فایلی مربوط به اطلاعیه باج گیر برام ارسال نشده لطفا راهنماییم کنید

    پاسخ

  12. سلام توروخدا اگه میشه راهی برای رمز گشایی فایلهایی که با kodacرمز گذاشته شده اگه هست به من بدید

    پاسخ

  13. سلام
    تمامی عکس و فیلم های لب تابم رمز گذاری شده با پسوند budak. حدود 4.5 ماه پیش یبارم ویندوز عوض کردم ولی فایلام همون جوری مونده تروخدا بگید فایلام برمیگرده؟ چیکار کنم؟؟

    پاسخ

  14. سلام ببخشید من تمام فایل ها این پسوند ظاهر شده
    id-D4E6D0C4.[admin@sectex.net].bot
    میشه راهنمایی کنید از چه برنامه ای میتونم استفاده کنم.
    لیک دانلود نرم افزار که شما معرفی کردید باز نمیشه
    خیلی ممنون

    پاسخ

      1. سلام و خسته نباشید.
        فایلهای من هم همین مشکل رو دارند، آیا تونستید برای ایشون کاری انجام بدید؟
        لطفا من رو هم راهنمایی کنید.
        ممنونم

        پاسخ

    2. سلام نمونه فایل ارسال کردم ممنون میشم پیگیری کنید.تشکر

      پاسخ

  15. سلام . من امروز لپ تاب رو روشن کردم تمام فایل هام پسوند .remk گرفتن و قابل استفاده نیستن هیچ نسخه پشتیبانی هم ندارم باید چکار کنم؟ فایل های مهمی هم هستن

    پاسخ

  16. سلام
    تمام فایل هام با پسوند nspk ذخیره شدن ویندوزم هم عوض کردم جواب نداد
    فایل هام رو هیچ سیستم عامل دیگه جواب نمیده
    تو هر پوشه ای یه تکست به نام _readme هستش که درخواست پول کرده
    راهنماییم کنید
    ممنون

    پاسخ

  17. سیستم من هک شد. ( djvur) ، برای نجات اطلاعات من چه باید بکنم
    لطفا در صورت وجود راهی برای رمزگشایی پرونده ها به من کمک کنید ..
    متشکرم!

    ضمناً بعد از استفاده از از نرم افزار STOPDecrypter این پیام داده می شود :

    [*] ID: w5rW7tzhatWr9HBqR1hAR4YH5MEHskxZpZVxsvPC (.djvur )
    Please archive these IDs and the following MAC addresses in case of future decryption:
    [*] MACs: 00:24:1D:D1:EC:60
    This info has also been logged to STOPDecrypter-log.txt

    و بعد از استفاده از از نرم افزار Emsisoft این پیام داده می شود :
    Starting…

    File: F:\parsa\09eaf3b6-dbcf-42ee-bdd0-5a244d16ee89.jpg.djvur
    Unable to decrypt Old Variant ID: w5rW7tzhatWr9HBqR1hAR4YH5MEHskxZpZVxsvPC
    First 5 bytes: FFD8FFE000

    لطفا توجه داشته باشید که این تنها به ابزار امکان رمزگشایی پرونده هایی که با معیارهای زیر مطابقت دارند ، می دهد:

    • با بایت شروع می شود: FFD8FFE169
    • با شناسه رمزگذاری شد: w5rW7tzhatWr9HBqR1hAR4YH5MEHskxZpZVxsvPC

    پاسخ

  18. فایهای من با پسوند opqz قفل شدن. emsisoft میگه از خانواده (Djvu)STOP است ولی فایل دانلود شده اش نمیتونه بازگشایی قفل رو انجام بده

    پاسخ

    1. در صورتی که ابزار مذکور کارساز نبوده، کلید این نمونه از باج افزار STOP که فایل ها را رمزگذاری کرده از نوع آنلاین است. متأسفانه در حال حاضر راهکاری برای رمزگشایی این نوع فایل ها بدون در اختیار داشتن کلید فراهم نیست. با این حال در برخی مواقع به دلایلی نظیر مصادره سرورهای حاوی کلید یا شناسایی باگی در فرایند رمزگذاری این امکان فراهم می شود که فایل ها را به رایگان به حالت اولیه بازگرداند. بنابراین توصیه می شود که فایل هایی که پسوند آنها تغییر کرده را به همراه فایل Ransom Note آنها در محلی نگهداری کنید تا هر زمان که راهکاری جدید برای رمزگشایی کشف شد بتوان این فایل ها را بازگردانی کرد.

      پاسخ

    2. متاسفانه منم یه هفته پیش دچارش شدم و دارم رو پایان نامه م کار می کنم و خیلی کلافه و ناراحتم

      پاسخ

  19. سلام
    تمام فایل های کامپیوتر بنده با پسوند npsk رمزگذاری شدن،چکار می تونم بکنم
    لطفا راهنمایی کنید

    پاسخ

    2. سلام من هم فایل های سیستمم با همین پسوند آلوده شده شما به نتیجه ای رسیدید؟

      پاسخ

  20. سلام
    تمام اطلاعات من تو ی هارد بود که فرمت remk شده چه راهی داره برای برگردوندنش؟

    پاسخ

  21. با سلام
    دو روز پیش لپ تاپ من توسط باج افزار کد شده و تمامی فایل ها با پسوند lalo. کد شده اند برای رمزگشایی ممکنه راهنمایی کنید. متشکرم

    پاسخ

  22. سلام فایلهای سیستم الوده به بد افزار شده میتوانید راهنمیایی کنید که مربوط به کدام بدافزار میباشد اخر فایل ها laloتغییر کرده و چه روشی رو توصیه میکنید برای تعمیر فایلها

    پاسخ

    2. سلام من هم همین مشکل رو پیدا کردم شما چه اقداماتی انجام دادید؟تونستید فایل هاتون رو برگردونید؟

      پاسخ

  23. سلام متاسفانه سیستم من هم به باج افزار lalo آلوده شده.لطفا در صورت امکان راهنمایی فرمائید.ممنون

    پاسخ

  24. سلام من با ویروس باج گیر با پسوند lalo درگیر شدم چی کارکنم؟

    پاسخ

  25. من جدیدشو دارم، پسوند lezp گرفته!!!
    یه جورایی قید هارد رو زدم!

    پاسخ

  26. سلام مال من lalo است ایا وصل شدن به اینترنت ازطریق این سیستم میتونه خطرناک باشه یا یه مشکل جدید ایجاد کنه؟

    پاسخ

    1. سلام؛
      قبل از هر اقدامی از حذف شدن فایل مخرب باج افزار توسط ضدویروس اطمینان حاصل کنید.

      پاسخ

    2. به نظرم دیگه مهم نیست وصل بشی یا نه، فقط یه آنتی مالور نصب کن تا فایلای جدیدت کد نخورن

      پاسخ

  27. سلام من با باج افزار با پسوند lezp الوده شده سیستمم ایا راهی برای شکستن قفلش هست ؟

    پاسخ

  28. Lalo بيچارمون كرد :(((((((
    من ايميل كردم براتون. تروخدا يه راهى پيدا كنيد كمك كنيد. همه زندگيمون تو هارد بود و اين پسوند رو گرفت.

    پاسخ

  29. سلام
    کامپیوتر منم حدود 2ماه است که با پسوند righ آلوده شده و 3بارهم ویندوز عوض کردم ولی درست نشده..
    آیا راهی برای بازگرداندن عکسها و فیلمهایم وجود داره؟
    لطفا راهنمایی بفرمایید..ممنون

    پاسخ

  30. سلام فایلهای سیستم الوده به بد افزار شده میتوانید راهنمیایی کنید که مربوط به کدام بدافزار میباشد اخر فایل ها laloتغییر کرده و چه روشی رو توصیه میکنید برای تعمیر فایلها

    پاسخ

  31. سلام.فایل هام چند وقت پیش توسط باج گیر ها رمز گذاری شد ولی تونستم ویروسو بکشم ولی فایل ها ی رمز گذاری شده رو هنوز دارم که پسوند lalo به آن ها اضافه شده.لطفا کمک کنید

    پاسخ

  32. سلام اطلاعات هارد من به ویروسlitarمواجه شده لطفا راهنمایی کنین میشه کاریش کرد؟

    پاسخ

  34. سلام وقتتون بخیر توروخدا اگه میتونید ب من کمک کنید تمام فایلای لپ تابم و حتی هارد اکسترنالم با پسوند nlah مسدود شدن و برا همشونم پیغام پرداخت هزینه 980 دلاری زده شده راهی نیس فایلام برگردن تمام کار تحقیقاتیم دیتاهاش قفل شده

    پاسخ

  35. سلام تمام فایل های من به باج افزار repl آلوده شده لطفا کمک کنید

    پاسخ

  36. سلام دستگاه من توسط باج افزار covm آلوده شده .
    لطفا به من کمک کنید تا فایل هایم را برگردانم.

    پاسخ

  37. با سلام خدمت اساتید
    من مدتی است فایل هایم پسوند zida گرفته نمونه از فایل هم خدمتتان ارسال کردم
    ویروس کشی کردم اما فایل هایم همچنان قفل می باشد
    تو رو خدا کمکم کنید

    پاسخ

  38. درود…تمام فایلهای لبتاب من پسوند leto گرفتن….کاش تکنولوژی راهی پیدا کنه.چقدرگفتن پشتیبان….اما اونقدر هزینه هارد بالاست که نمیشه .افسوس که نشد.

    پاسخ

  39. با سلام وخسته نباشید
    سیستم من مبتلا به باج افزاری شده که فایل هام رو به Tro. تبدیل کرده از آموزش هاتون استفاده کردم دو سه فایل کم حجم srt رو به عنوان یادگیری سیستم آ‍‍ژلود کردم درجواب گفت رمزگشایی موفق آمیز بود و لینک داد و دانلود کردم ولی باز هم نمیتونه فایل های سیستممو رمزگشایی کنه چکار باید بکنم اینم نمونه جواب سایت
    Your file pair for “.srt” files was processed.
    Please note this will only allow the tool to decrypt files that match the following criteria:

    • Starts with the bytes: EFBBBF310D
    • Were encrypted with ID: qWOjzwNOvfMRFXdSKbbM0sWvhYpO5DSwAHQadDYJ
    Next Steps
    After uploading as many file pairs as you can, you may download and run the decryptor on your files.

    Click here to download the decryptor

    پاسخ

  40. سلام به باج افزار Djvu با پسوند .vvoa گرفتار شدم چیکار کنممممممممممممممممممممممممم؟

    پاسخ

  41. سلام فایلهای سیستم الوده به بد افزار شده میتوانید راهنمیایی کنید که مربوط به کدام بدافزار میباشد اخر فایل ها besub تغییر کرده و چه روشی رو توصیه میکنید برای تعمیر فایلها?

    پاسخ

  42. سلام خسته نباشید فایلهای من همه توسط DjVu رمز گذاری شدن و پسوند Nobu گرفتن ، ویروس کشی رو نرم افزار های MalwareBytes و Comodo انجام دادم ولی هنوز Decryted هستن حالا برای رمزگشاییشون باید چکار کنم ؟؟؟

    پاسخ

  43. سلام دستگاه من هم دقیقا همینطور شده ویندوز هم عوض کردم ولی متاسفانه تمام فایل های صوتی و تصویری و ورد و اکسل و پی دی اف و حتی فایلهای نرم افزارها و کلیه مطالب درسی و دانشگاهی ام از بین رفته و قابل اجرا نمیباشد و همه پسوند nobu گرفته عاجزانه درخواست میکنم اگر دوستی چاره و راه حلی و درمانی دارد مرا نیز راهنمایی کند. بسیار ممنون

    پاسخ

  44. سلام و عرض ادب و احترام خدمت مهندسین عزیز
    ببخشید من دچار باج افزار به نام igdm شدم آیا راه حلی وجود داره که بشه از شرش خلاص شد. و امکان رمزگشایی اون وجود داره آیا؟
    بنده بوسیله آنتی ویروس سیستم خودمو ویروس کشی کردم الان دیگ پسوندی به فایل هام اضافه نمیشه ولی فایل های قبلیم همچنان قفل شده هستند ممنون میشم راه حلی پیشنهاد بدین.

    پاسخ

  45. سلام
    لب تاب بنده دچار باج افزاری شده که پسوند تمام فایل ها (عکس و ویدیو برنامه) رو به پسوندOMFL رمز گذاری کرده ، یک برنامه جهت رمزگشایی معرفی می فرمایید. باتشکر

    پاسخ

  46. سلام وقت بخیر
    هارد من حدود یک سال هستش که با پسوند npsk رمز گزاری شده است، آیا راهی برای رمزگشایی وجود دارد؟ممنون از کمکتون

    پاسخ

  47. سلام
    بیش از 1 سال است مورد حمله باج افزار nasoh قرار گرفتم.ازتون خواهش میکنم کمک بفرمایید

    پاسخ

  48. باسلام و عرض ادب
    از اینکه کمک و همیاری میکنید و با حوصله با کامنتهای دوستان جواب میدید ممنونم
    بنظرم فعال ساز ویندوزی که نصب کردم با ویندوزم رو فعالسازی کنم به این مشکل دچار شدم.
    من هم مثل دوستان تمامی فایل هام قفل شدن البته با پسوند Readme.
    خواهش میکنم یه کمک یا راهنمایی کنین ببینم میشه حداقل بفهمم که آنلاینه یا آفلاین؟
    فایلهارو براتون ارسال میکنم .زحمت تون میشه. لطفا یه نگاهی بندازین.ممنون میشم
    البته برای من 10 ترابایته-برا همین خیلی ناراحتم که اینجوری شد :/
    یا علی

    پاسخ

  49. عرض سلام واحترام
    من گرفتار باج افزارباپسوندvari.شدم میشه لطف کنین راهنمایی کنین

    پاسخ

  50. سلام لپ تاپم توسط باج افزار igal الوده شده و فرمت همه فایل هام به igal تغییر پیدا کرده راهی هست برشون گردونم؟

    پاسخ

  51. با سلام وقت بخیر

    لب تاب من به ویروس masodas آلوده شده . بالا نوشتید اطلاعیه باج گیر رو بفرستیم ولی من این طلاعیه رو ندارم
    چیکار کنم لطفا راهنمایی کنید

    پاسخ

      1. با سلام و خسته نباشید فایل های من به باج افزار .hoop آلوده شدند راهی برای بازگردانی شأن هست؟؟

        پاسخ

      2. سلام و وقت بخیر و خسته نباشید
        من نمونه فایل رو فرستادم خدمتتون

        پاسخ

  52. سلام مدت یکسالی گذشته و من هنوز فایلهای الوده به باجگیر YGKZ را نگهداشته ام به امید اینکه نرم افزاری بیاد که این باجگیر رمز گشایی کنه ایا چنین نرم افزاری امده است ؟ اگر هست ممنون میشم راهنمایی کنید چگونه بدستش بیاورم و چنانچه هزینه ای دارد چگونه پرداخت کنم تا اطلاعات و عکسها و فیلمهایم رمز گشایی بشه با تشکر علیرضا هستم

    پاسخ

    1. با سلام؛
      ابزارهای رمزگشایی که منتشر می شوند تقریبا در همه موارد رایگان هستند.
      برای بررسی انتشار چنین ابزاری نیاز به نمونه ای از فایل رمز شده و فایل اطلاعیه باج گیری (Ransom Note) داریم. لطفا در صورت امکان فایل های مذکور را به سامانه https://my.shabakeh.net یا به ایمیل info@shabakeh.net ارسال کنید .

      پاسخ

  53. با سلام و خسته نباشید
    چند وقتی میشه که فایل های من به باج افزار .hoop آلوده شده اند راهی برای بازگردانی شان وجود دارد؟

    پاسخ

  54. با سلام تمام فایل های عکس و ویدیوی سیستم من با پسوند muuq رمزگذاری شده و قابل خواندن نیستن لطفا راهنمایی کنید که آیا راهی برای بازگردانی به حالت اولیه هست یا خیر؟؟؟

    پاسخ

  55. سلام وخسته نباشید قایلهای بنده نیز وست باج افزار به پسوند rigdتبدیل شدن فابلهام خیلی مهم هستن کمک و راهنمایی کنید ممنون میشم….

    پاسخ

  58. سلام روزخير ببخشيد سيستم من به باج افزارtisc آلوده شده و فرمت تمام فايل هام به TISC تبديل شدن اطلاعات بسيار مهمهي هستن كه واقعا بهشون نياز دارم ممنون ميشم راهنمايي كنيد چطور اون فايل هارو برگردونم

    پاسخ

  59. با سلام
    وقت بخیر
    فایل‌های من با پسوند coos کدگذاری شده اند آیا راهی برای بازگرداندن آنها هست؟

    پاسخ

  60. با سلام
    وقت بخیر
    فایل‌های من با پسوند berost کدگذاری شده اند آیا راهی برای بازگرداندن آنها هست؟

    پاسخ

  61. سلام فایل های سیستم من دچار باج افزار coos شده اند راهی برای خروج از این برنامه اومده یا نه

    پاسخ

  62. سلام. فایلهای بنده به دو نوع باج افزار با پسوندهای hgew و hgml مبتلا شده. واستون ایمیل نمودم لطفاً بررسی نمایید. تشکر

    پاسخ

  63. سلام وقت بخیر خسته نباشید.
    سیستمم الان چند روزیه دچار باج افزاری بنام waqa شده الان دسترسی اصلا به فایلهام ندارم readme.txt و personal id رو دارم میخواستم بدونم چیکار باید بکنم ایا نرم افزاری هست بتونم فایلهام رو برگردونم مرسی فقط یکم زود جواب بدید.ممنونم از سایت خوبتون

    پاسخ

    1. این باج افزار از خانواده djvu هست به سایت .nomoreransom.org مراجعه کنید و از ابزار رمزگشایی مخصوص به djvu استفاده نمایید.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *