Comment décrypter les fichiers verrouillés par STOP/DJVU Ransomware ?

by Brendan Smith
mai 8, 2023
Written by Brendan Smith

Le ransomware STOP/DJVU est un programme malveillant qui chiffre les fichiers des victimes avec l’algorithme de chiffrement Salsa20. Cet algorithme de chiffrement est un cryptage de haute sécurité qui est difficile à casser sans la clé de déchiffrement. Une fois les fichiers chiffrés, STOP/DJVU Ransomware ajoute l’une des dizaines d’extensions aux noms de fichiers, telles que “.wrui”, “.pcqq”, “.ytbn”, “.nusm”, et ainsi de suite.

Les cybercriminels derrière le ransomware STOP/DJVU demandent une rançon en échange de la clé de déchiffrement pour déverrouiller les fichiers chiffrés. La note de rançon est généralement un fichier texte placé sur le bureau ou dans chaque dossier contenant des fichiers chiffrés. La note contient des instructions sur la façon de payer la rançon et met en garde contre toute tentative de supprimer le logiciel malveillant ou de déchiffrer les fichiers sans la clé de déchiffrement.

La note de rançon “_readme.txt” contient le texte suivant :

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

helpmanager@mail.ch

Reserve e-mail address to contact us:

restoremanager@firemail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Il est important de noter que payer la rançon ne garantit pas que la clé de déchiffrement sera fournie, et il y a eu des cas où les cybercriminels n’ont pas fourni la clé de déchiffrement même après avoir reçu le paiement de la rançon. Il est donc crucial de prendre des mesures préventives pour se protéger contre les attaques de ransomware.

Pour empêcher le ransomware STOP/DJVU et d’autres types de ransomware d’infecter votre ordinateur, vous devez suivre des pratiques informatiques sûres telles que maintenir votre système d’exploitation et vos logiciels à jour, éviter d’ouvrir des pièces jointes d’e-mails suspects et télécharger des logiciels à partir de sources réputées. De plus, vous devez sauvegarder régulièrement vos fichiers importants sur un support externe ou une plateforme de stockage basée sur le cloud.

Note!

Tout d’abord, vous devez supprimer le logiciel malveillant de votre PC, sinon il verrouillera votre appareil ou cryptera vos données plusieurs fois. Si votre outil antivirus actuel ne supprime pas ce logiciel malveillant, il peut être supprimé à l’aide de GridinSoft Anti-Malware.

Si votre système a été infecté en utilisant la fonction Bureau à distance de Windows, nous vous conseillons vivement de changer tous les mots de passe de tous les utilisateurs autorisés à se connecter de manière distante et d’inspecter les comptes d’utilisateurs locaux pour vérifier la présence d’autres comptes supplémentaires que les fraudes en ligne pourraient éventuellement générer.
Lire aussi : 15 raisons de choisir Gridinsoft Anti-malware

Avertissement : Cette application doit être connectée à Internet lorsqu’elle est active pour obtenir les instructions de déchiffrement depuis le serveur.

Si vous soupçonnez que votre ordinateur a été infecté par STOP/DJVU Ransomware, vous devez immédiatement vous déconnecter d’Internet pour empêcher le logiciel malveillant de se propager à d’autres appareils. Ensuite, demandez l’aide d’un service professionnel de suppression de logiciels malveillants pour supprimer en toute sécurité le logiciel malveillant de votre système.

Mise à jour du 19 août 2021

La clé privée hors ligne pour la variante .moqs du ransomware STOP a été ajoutée au serveur Emsisoft.

Mise à jour du 12 juillet 2021

Les clés hors ligne des variantes .omfl, .geno, .nile et .maas ont été récupérées par Emsisoft.

Mise à jour du 02 juillet 2021

Les clés hors ligne des variantes .sspq, .iqll et .ddsg ont été récupérées par Emsisoft. Toutes les victimes de ces trois variantes dont les fichiers ont été chiffrés par la clé hors ligne peuvent récupérer leurs fichiers.

Mise à jour du 31 mai 2020

La clé hors ligne de la variante .covm a été récupérée par Emsisoft et ajoutée au serveur de décryptage d’Emsisoft.

Mise à jour du 01 mai 2020

Emsisoft a annoncé que les clés hors ligne pour les variantes .opqz, .nppp et .npsk ont été récupérées et téléchargées sur le serveur de décryptage d’Emsisoft.

Mis à jour le 06 Février 2020

Emsisoft a annoncé que les clés hors ligne pour les variantes .alka et .repp ont été récupérées et téléchargées sur le serveur Emsisoft Decryptor.

Mis à jour le 20 Janvier 2020

Emsisoft Decryptor a obtenu de nouvelles clés hors ligne pour les variantes .nbes et .mkos du ransomware STOP (Djvu), et les a téléchargées sur le serveur.

Mis à jour le 06 Janvier 2020

Liste des nouvelles variantes Stop/Djvu pour lesquelles Emsisoft peut décrypter 148 variantes.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

Mis à jour le 02 Décembre 2019

Liste des nouvelles variantes Stop/Djvu pour lesquelles Emsisoft peut décrypter. POUR LES CLÉS HORS LIGNE UNIQUEMENT !

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk

Mis à jour le 25 Novembre 2019

Emsisoft Decryptor a obtenu et téléchargé sur le serveur les clés hors ligne pour la nouvelle variante STOP (Djvu) suivante :

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg

Mis à jour le 9 Novembre 2019

Le Decryptor v.1.0.0.1 d’Emsisoft peut actuellement décrypter la nouvelle variante Stop/Djvu avec l’extension de fichier suivante :

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp

Conditions : Fichiers cryptés avec CLÉ HORS LIGNE.

Il existe certaines limitations quant aux fichiers qui peuvent être restaurés. En ce qui concerne toutes les versions de STOP Djvu, vous pouvez décrypter correctement les informations si elles ont été chiffrées à l’aide d’une clé hors ligne disponible auprès des développeurs de l’Emsisoft Decryptor. Quant aux anciennes versions de Djvu, les fichiers peuvent également être décryptés à l’aide de paires de fichiers chiffrés/originaux fournis sur le portail de soumission STOP Djvu. Gardez à l’esprit que cela ne s’applique pas à New Djvu qui a été élaboré après août 2019.

Qu’est-ce qu’une “paire de fichiers” ?

Il s’agit d’une paire de fichiers identiques (c’est-à-dire qu’ils sont exactement les mêmes données), sauf que l’un des fichiers est chiffré et l’autre ne l’est pas. Le portail de soumission STOP Djvu peut analyser les différences entre un fichier chiffré et une copie originale du même fichier, ce qui lui permet de déterminer comment décrypter ce fichier. Pour la plupart des victimes d’une ancienne variante de STOP/Djvu, la soumission de paires de fichiers sera le seul moyen de récupérer leurs fichiers.

Comment restaurer vos fichiers ?

  1. Commencez par télécharger l’outil de décryptage 1 via le même site web qui a développé ce guide “Comment faire”.
  2. Assurez-vous de lancer l’utilitaire de décryptage en tant qu’administrateur. Vous devez accepter les termes de la licence qui s’afficheront. Pour cela, cliquez sur le bouton “Oui” : Emsisoft Decryptor - license terms
  3. Dès que vous acceptez les termes de la licence, l’interface utilisateur principale du décrypteur s’affiche :Emsisoft Decryptor - interface utilisateur
  4. Sur la base des paramètres par défaut, le décrypteur va automatiquement remplir les emplacements disponibles pour décrypter les lecteurs actuellement connectés, y compris les lecteurs réseau. Des emplacements supplémentaires (facultatifs) peuvent être sélectionnés à l’aide du bouton “Ajouter”.
  5. Les décrypteurs suggèrent généralement plusieurs options en fonction de la famille de logiciels malveillants spécifique. Les options actuellement possibles sont présentées dans l’onglet Options et peuvent être activées ou désactivées à partir de là. Vous pouvez trouver une liste détaillée des options actives ci-dessous.
  6. Dès que vous avez ajouté tous les emplacements souhaités pour le décryptage dans la liste, cliquez sur le bouton “Décrypter” pour lancer la procédure de décryptage. Notez que l’écran principal peut vous montrer une vue d’état, vous informant du processus actif et des statistiques de décryptage de vos données :Emsisoft Decryptor - les statistiques de décryptage
  7. Le décrypteur vous informera dès que la procédure de décryptage sera terminée. Si vous avez besoin du rapport pour vos documents personnels, vous pouvez l’enregistrer en choisissant le bouton “Enregistrer le journal”. Notez qu’il est également possible de le copier directement dans votre presse-papiers et de le coller dans des e-mails ou des messages de forum si nécessaire.

Options de décryptage

Le décrypteur effectue actuellement les options suivantes :

  • Garder les fichiers chiffrés
    Étant donné que le rançongiciel ne stocke aucune donnée concernant les documents non chiffrés, le décrypteur ne garantit pas que le fichier décrypté sera identique à celui qui a été initialement chiffré. Par conséquent, sur la base des paramètres par défaut, le décrypteur ne supprimera pas les documents chiffrés après leur décryptage, par mesure de sécurité. Si vous souhaitez que le décrypteur supprime les documents chiffrés une fois qu’ils ont été décryptés, il est possible de désactiver cette fonction. Notez que cela peut être applicable si l’espace sur votre disque dur est limité.

Frequently Asked Questions

Pourquoi le décrypteur ne fonctionne-t-il pas ?

Le décrypteur nécessite la version 4.5.2 ou une version plus récente du Framework Microsoft .NET, ce qui pourrait signifier que votre version du Framework .NET est obsolète. Nous vous recommandons d’installer la dernière version du Framework .NET (4.8 au moment de la rédaction de cet article) et de réessayer le décrypteur.

Pourquoi le décrypteur est-il bloqué sur “Démarrage” ?

Lorsque vous exécutez le décrypteur, celui-ci recherche des fichiers chiffrés. Par conséquent, il indiquera “Démarrage” jusqu’à ce qu’il en trouve. Si le décrypteur reste bloqué sur “Démarrage” pendant une longue période, cela signifie qu’il ne peut pas trouver de fichiers chiffrés.

Le décrypteur ne peut pas décrypter toutes mes images même si j’ai soumis des paires de fichiers pour elles ?

Les images JPEG/JPG ont une particularité de format qui fait que les paires de fichiers sont spécifiques à chaque source d’image plutôt qu’au format de fichier en général. Par exemple, si vous avez des photos provenant de deux appareils photo différents et que vous soumettez une paire de fichiers du groupe de photos provenant de l’un des appareils photo, le décrypteur ne pourra décrypter que les fichiers provenant de l’appareil photo à partir duquel la paire de fichiers a été soumise. Par conséquent, pour décrypter toutes les images JPEG/JPG, vous devrez soumettre des paires de fichiers provenant de chaque source à partir de laquelle vous avez obtenu ces images.

Que signifie “Remote name could not be resolved” ?

C’est une indication d’un problème DNS. Notre première recommandation est de réinitialiser votre fichier HOSTS par défaut. Microsoft a un article à ce sujet :

https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

J’ai une clé en ligne. Que puis-je faire ?

Le ransomware STOP Djvu ne chiffre que les premiers 150 Ko des fichiers. Les fichiers MP3 sont plutôt grands. Certains lecteurs multimédias (comme Winamp, par exemple) peuvent être capables de lire les fichiers, mais les premières 3-5 secondes (la partie chiffrée) manqueront.

Vous pouvez essayer de trouver une copie d’un fichier original qui a été chiffré :

  • Des fichiers que vous avez téléchargés sur Internet qui ont été chiffrés et que vous pouvez télécharger à nouveau pour obtenir l’original.
  • Des photos que vous avez partagées avec votre famille et vos amis et qu’ils peuvent vous renvoyer.
  • Des photos que vous avez téléchargées sur des réseaux sociaux ou des services de cloud comme Carbonite, OneDrive, iDrive, Google Drive, etc.
  • Des pièces jointes dans des e-mails que vous avez envoyés ou reçus et que vous avez enregistrées.
  • Des fichiers sur un ancien ordinateur, une clé USB, un disque dur externe, une carte mémoire d’appareil photo ou un iPhone où vous avez transféré des données vers l’ordinateur infecté.

Sinon, vous pouvez essayer de restaurer les fichiers grâce à la fonction système – Point de restauration.

Essayez également de supprimer l’extension de rançongiciel sur quelques gros fichiers et de les ouvrir. Le rançongiciel STOP/Djvu a lu le fichier sans le chiffrer ou a buggé et n’a pas ajouté le FileMaker. Si vos fichiers sont énormes (2 Go ou plus), c’est probablement le cas.

Critique de GridinSoft Anti-Malware
Il vaut mieux prévenir que guérir et regretter!
Lorsque nous parlons de l'intrusion de programmes inconnus dans le fonctionnement de votre ordinateur, le proverbe "Prévenir, c'est prévoir" décrit la situation aussi précisément que possible. Gridinsoft Anti-Malware est exactement l'outil qui est toujours utile d'avoir dans votre arsenal : rapide, efficace, à jour. Il est approprié de l'utiliser en tant qu'aide d'urgence au moindre soupçon d'infection.
TÉLÉCHARGER MAINTENANT
Essai gratuit de 6 jours de Gridinsoft Anti-Malware disponible.
CLUF | Politique de confidentialité | 10% Off Coupon
Abonnez-vous à notre chaîne Telegram pour être le premier à être informé des actualités et de nos documents exclusifs sur la sécurité de l'information.
How to decrypt DJVU Ransomware files? Emsisoft Decryptor

Name: Emsisoft Decryptor

Description: The STOP Djvu ransomware encrypts victim's files with Salsa20, and appends one of dozens of extensions to filenames. For all versions of STOP Djvu, files can be successfully decrypted if they were encrypted by an offline key. Unfortunately, this tool will not work for every victim as it can only recover files encrypted by 148 of the 160 variants. This will enable approximately 70% of victims to recover their data. For people affected by the remaining 12 variants, no solution currently exists and we are unable to offer further assistance at this point in time. For that those who find themselves in this position archive the encrypted data in case a solution becomes available in the future.

Offer price: 0.0

Operating System: Windows

Application Category: System Tools

Sending
User Review
3.6 (187 votes)
Comments Rating 4.77 (71 reviews)

References

  1. Outil de décryptage DJVU : https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
How to decrypt DJVU Ransomware files?
Article
How to decrypt DJVU Ransomware files?
Description
The newest version DJVU Ransomware (released around the end of August 2019) supported only the Emsisoft Decryptor tool. Files can be properly decrypted if they were encrypted by an offline key.
Author
Copyright
HowToFix.Guide
 

Anglais Allemand Japonais Espagnol Portugais - du Brésil Turc Chinois traditionnel Coréen Indonésien Hindi Italien

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

View all posts

Leave a Reply

Sending