STOP/DJVU 랜섬웨어는 Salsa20 암호화 알고리즘을 사용하여 희생자의 파일을 암호화하는 악성 프로그램입니다. 이 암호화 알고리즘은 해독 키 없이는 해독하기가 어려운 고강도 암호화 기술입니다. 파일이 암호화되면 STOP/DJVU 랜섬웨어는 “.wrui”, “.pcqq”, “.ytbn”, “.nusm” 등 수십 개의 확장자 중 하나를 파일 이름 끝에 추가합니다.
STOP/DJVU 랜섬웨어의 사이버 범죄자들은 암호화된 파일을 해독할 수 있는 해독 키를 얻기 위해 랜섬을 요구합니다. 랜섬 메모는 일반적으로 데스크톱이나 암호화된 파일이 포함된 모든 폴더에 위치한 텍스트 파일입니다. 이 메모에는 랜섬을 지불하는 방법에 대한 지침이 포함되어 있으며, 해독 키 없이 악성 코드를 제거하거나 파일을 복원하려는 시도를 하면 안 되는 경고가 포함되어 있습니다.
랜섬노트 “_readme.txt”에는 다음 텍스트가 포함되어 있습니다:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: helpmanager@mail.ch Reserve e-mail address to contact us: restoremanager@firemail.cc Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
중요한 것은, 랜섬을 지불한다고 해서 반드시 해독 키가 제공되는 것은 아니며, 랜섬을 지불한 후에도 사이버 범죄자가 해독 키를 전달하지 않은 경우가 있었습니다. 따라서 랜섬웨어 공격으로부터 자신을 보호하기 위한 예방 조치를 취하는 것이 중요합니다.
STOP/DJVU 랜섬웨어와 같은 랜섬웨어가 컴퓨터에 감염되는 것을 방지하려면, 운영 체제와 소프트웨어를 최신 상태로 유지하고, 수상한 이메일 첨부 파일을 열지 않으며, 신뢰할 수 있는 소스에서 소프트웨어를 다운로드하는 등 안전한 컴퓨팅 관행을 따라야 합니다. 또한 중요한 파일은 정기적으로 외장 장치나 클라우드 기반 스토리지 플랫폼에 백업하는 것이 좋습니다.
먼저, 당신은 PC에서 악성 코드를 삭제해야 합니다. 그렇지 않으면 기기가 잠길 수 있거나 데이터가 여러 번 암호화될 수 있습니다. 현재 사용 중인 안티바이러스 도구가 이 악성 코드를 삭제하지 못하는 경우 GridinSoft Anti-Malware를 이용하여 삭제할 수 있습니다.
만약 윈도우 원격 데스크톱 기능을 이용해 시스템이 감염되었다면, 원격 로그인이 허용된 모든 사용자의 비밀번호를 변경하고, 온라인 사기꾼들이 생성할 수 있는 추가 계정이 있는지 지역 사용자 계정을 확인하는 것이 좋습니다.
또한 읽어보기: Gridinsoft Anti-malware를 선택해야 하는 15가지 이유
경고: 이 어플리케이션은 서버에서 복호화 지침을 받기 위해 활성화되어 있는 동안 웹에 연결되어야 합니다.
만약 STOP/DJVU 랜섬웨어에 감염된 것 같다면, 다른 장치로의 악성코드 전파를 막기 위해 즉시 인터넷 연결을 끊고, 전문적인 악성코드 제거 서비스의 도움을 받아 시스템에서 악성코드를 안전하게 제거하는 것이 좋습니다.
2021년 8월 19일 업데이트
STOP 랜섬웨어의 .moqs 변종의 오프라인/개인 키가 Emsisoft 서버에 추가되었습니다.
2021년 7월 12일 업데이트
2021년 7월 2일 업데이트
Emsisoft가 .sspq, .iqll, .ddsg 변종의 오프라인 키를 회복했습니다. 이 3가지 변종의 키로 암호화된 파일을 가진 피해자는 자신의 파일을 복구할 수 있습니다.
2020년 5월 31일 업데이트
Emsisoft가 .covm 변종의 오프라인 키를 회복하고 Emsisoft Decryptor 서버에 추가했습니다.
2020년 5월 1일 업데이트
Emsisoft가 .opqz, .nppp, .npsk 변종의 오프라인 키를 회복하고 Emsisoft Decryptor 서버에 업로드했다고 발표했습니다.
2020년 2월 6일 업데이트
Emsisoft가 .alka, .repp 변종의 오프라인 키를 회복하고 Emsisoft Decryptor 서버에 업로드했다고 발표했습니다.
2020년 1월 20일 업데이트
Emsisoft Decryptor가 .nbes, .mkos STOP (Djvu) 변종 랜섬웨어의 새로운 오프라인 키를 획득하고 서버에 업로드했습니다.
2020년 1월 6일 업데이트
Emsisoft가 복호화 가능한 148가지 새로운 Stop/Djvu 변종 목록입니다.
.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote
2019년 12월 2일 업데이트
Emsisoft가 복호화 가능한 새로운 Stop/Djvu 변종 목록입니다. 오프라인 키 전용!
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk
2019년 11월 25일 업데이트
Emsisoft Decryptor가 다음 새로운 STOP (Djvu) 변종의 오프라인 키를 얻었고 서버에 업로드했습니다.
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg
2019년 11월 9일 업데이트
Emsisoft Decryptor v.1.0.0.1은 현재 다음 확장자로 새로운 Stop/Djvu 변종을 복호화할 수 있습니다:
.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp
약관: 오프라인 키로 암호화된 파일만 가능합니다.
모든 STOP Djvu 버전에 대해, Emsisoft Decryptor 개발자가 보유하고 있는 오프라인 키를 사용하여 암호화된 파일을 복호화할 수 있습니다. Old Djvu의 경우, 암호화된/원본 파일 쌍을 STOP Djvu Submission portal에 제출함으로써 파일을 복호화할 수 있습니다. 다만, 2019년 8월 이후에 개발된 New Djvu에는 해당되지 않습니다.
“파일 쌍”이란 무엇인가요?
두 개의 파일 쌍으로 구성된 것으로, 두 파일은 완전히 동일합니다. 하나의 파일은 암호화되었고, 다른 하나는 암호화되지 않은 것입니다. STOP Djvu Submission portal은 암호화된 파일과 동일한 파일의 원본 사본 간의 차이를 분석하여 파일을 복호화하는 방법을 결정할 수 있습니다. 오래된 Stop/Djvu 변종을 가진 대다수 피해자들에게는 파일 쌍을 제출하는 것이 파일을 복원하는 유일한 방법입니다.
파일 복원하는 방법?
- 해독 도구 다운로드를 시작하세요.1
- 해독 유틸리티를 관리자 권한으로 실행하세요. 표시된 사용권 계약에 동의해야 합니다. 이를 위해 “예” 버튼을 클릭하세요:
- 사용권 계약을 수락하면 메인 해독 프로그램 사용자 인터페이스가 나타납니다:
- 기본 설정에 따라 해독 도구는 현재 사용 가능한 드라이브(연결된 드라이브 및 네트워크 드라이브 포함)를 해독하기 위한 위치를 자동으로 채웁니다. 추가(선택 사항) 위치는 “추가” 버튼을 사용하여 선택할 수 있습니다.
- 해독 도구는 일반적으로 특정 악성 코드 패밀리를 고려해 여러 옵션을 제안합니다. 현재 가능한 옵션은 “옵션” 탭에 표시되며, 해당 위치에서 활성화 또는 비활성화할 수 있습니다. 현재 활성화된 옵션에 대한 자세한 목록을 찾을 수 있습니다.
- 원하는 모든 위치를 목록에 추가하면 “복호화” 버튼을 클릭하여 복호화 프로세스를 시작하세요. 메인 화면은 현재 진행 중인 프로세스 및 데이터의 복호화 통계를 알려주는 상태 보기로 전환될 수 있습니다:
- 복호화 과정이 완료되면 복호화 도구에서 알림이 표시됩니다. 개인 문서를 위해 보고서가 필요한 경우 “로그 저장” 버튼을 선택하여 저장할 수 있습니다. 이를 이메일이나 포럼 메시지에 직접 복사하여 붙여넣을 수도 있습니다.
복호화 도구 옵션
현재 복호화 도구는 다음과 같은 옵션을 수행합니다:
- 암호화된 파일 보관
랜섬웨어는 암호 해독 관련 데이터를 저장하지 않으므로, 복호화 도구는 암호화되기 전 문서와 동일하지 않을 수 있습니다. 이에 따라, 기본 설정에 따라 복호화 도구는 해독된 파일이 삭제되지 않도록 하여 안전성을 유지합니다. 그러나 복호화 후 암호화된 문서를 삭제하려면 이 기능을 비활성화할 수 있습니다. 단, 하드 드라이브 공간이 제한적인 경우 이 기능을 사용하는 것이 좋습니다.
Frequently Asked Questions
복호화 도구는 Microsoft .NET Framework의 4.5.2 버전 이상을 필요로 합니다. 이는 .NET Framework 버전이 오래되어 사용할 수 없는 것일 수 있습니다. 따라서 최신 버전의 .NET Framework (이 글을 작성하는 시점에서는 4.8)을 설치한 후 복호화 도구를 다시 실행해보시기 바랍니다.
복호화 도구를 실행하면 암호화된 파일을 찾습니다. 따라서, 복호화 도구가 “시작 중”이라는 메시지를 보여주는 것은 복호화할 파일을 찾지 못하고 있는 것입니다.
JPEG/JPG 이미지는 파일 형식의 일반적인 특성이 아니라, 각 사진 소스에 대해 파일 쌍이 특정되는 형식 이상을 갖습니다. 예를 들어, 두 개의 다른 카메라에서 가져온 사진이 있다면, 한 카메라에서 가져온 사진 그룹에서 파일 쌍을 제출하면 복호화 도구는 해당 파일 쌍이 속한 카메라에서만 파일을 복호화할 수 있습니다. 따라서 모든 JPEG/JPG 이미지를 복호화하려면, 해당 사진을 가져온 모든 소스에서 파일 쌍을 제출해야 합니다.
DNS 문제를 나타냅니다. 먼저 HOSTS 파일을 기본값으로 재설정하는 것을 권장합니다. Microsoft에는 이와 관련한 문서가 있습니다:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default
STOP Djvu 랜섬웨어는 파일의 처음 150KB만 암호화합니다. MP3 파일은 상당히 크기 때문에 몇몇 미디어 플레이어 (예: Winamp)에서는 파일을 재생할 수 있지만, 암호화된 부분인 처음 3-5초는 누락될 것입니다.
암호화되기 전의 원래 파일의 사본을 찾아볼 수 있습니다:
- 인터넷에서 다운로드한 암호화된 파일 중 원본을 다시 다운로드할 수 있는 파일
- 가족이나 친구들과 공유한 사진 중 다시 보낼 수 있는 사본
- 소셜 미디어나 Carbonite, OneDrive, iDrive, Google Drive 등의 클라우드 서비스에 업로드한 사진
- 저장한 이메일 첨부 파일
- 감염된 컴퓨터로 데이터를 전송한 이전 컴퓨터, 플래시 드라이브, 외장 드라이브, 카메라 메모리 카드 또는 아이폰에 있는 파일
그렇지 않으면, 시스템 복원 기능인 복원 지점을 통해 파일을 복원해 볼 수 있습니다.
또한, 몇 개의 큰 파일에서 랜섬웨어 확장자를 제거하고 열어보세요. STOP/Djvu 랜섬웨어는 파일을 읽었지만 암호화하지 않았거나 FileMaker를 추가하지 않았을 수도 있습니다. 파일이 매우 큰 경우 (2GB 이상), 후자가 가장 가능성이 높습니다.
How to decrypt DJVU Ransomware files? Emsisoft Decryptor
Name: Emsisoft Decryptor
Description: The STOP Djvu ransomware encrypts victim's files with Salsa20, and appends one of dozens of extensions to filenames. For all versions of STOP Djvu, files can be successfully decrypted if they were encrypted by an offline key. Unfortunately, this tool will not work for every victim as it can only recover files encrypted by 148 of the 160 variants. This will enable approximately 70% of victims to recover their data. For people affected by the remaining 12 variants, no solution currently exists and we are unable to offer further assistance at this point in time. For that those who find themselves in this position archive the encrypted data in case a solution becomes available in the future.
Offer price: 0.0
Operating System: Windows
Application Category: System Tools
User Review
( votes)References
- DJVU Decryption Tool: https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
