DJVU/DETENER:archivos cuya extensión se cambia a:
.coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco , .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, . memoria, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss. .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq , .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, . kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos , .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, . rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .miis, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc , .wiot, .koom, .rigd, .tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, . qdla, .qmak, .futm, .utjg, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .sbpg, .xcmb, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf , .maak, .yber, .qqqw, .qqqe, .qqqr, .yoqs, .bbbw, .bbbe, .bbbr, .maiv, .avyu, .cuag, .iips, .qnty, .ccps, .ckae, . gcyi, .eucy, .ooii, .jjtt, .rtgf, .fgui, .fgnh, .sdjm, .iiof, .fopa, .qbba, .vyia, .vtym, .kqgs, .xcbg, .bpqd, .vlff, .eyrv, .rguy, .uigd, .hfgd, .kkia, .ssoi, .mmuz, .pphg, .wdlo, .kxde, .udla, .voom, .mpag, .gtys, .tuid, .uyjh, .ghas , .hajd, .qpps, .qall, .dwqs, .vomm, .ygvb, .nuhb, .msjd, .jhdd, .dmay, .jhbg, .jhgn, .dewd, .ttii, .hhjk, .mmob, . mía, .sijr, .xcvf, .bbnm, .egfg, .byya, .hruu, .kruu, .ifla, .errz, .dfwe, .fefg, .fdcv, .nnuz, .zpps, .qlln, .uihj, .zfdv, .ewdf, .rrbb, .rrcc, .rryy, .bnrs, .eegf, .bbyy, .bbii, .bbzz, .hkg, .eijy, .efvc, .lltt, .lloo, .llee, .llqq , .dkrf, .eiur, .ghsd, .jjyy, .jjww, .jjll, ..hhye, .hhew, .hhyu, .hhwq, .hheo, .ggew, .masscan, .ggyu, .ggwq, .ggeo, .oori, .ooxa, .vvew, .vvyu, .vvwq, .vveo, .cceq. .ccew, .ccyu, .ccwq, .cceo, .ccza, .qqmt, .qqri, .qqlo, .qqlc, .qqjj, .qqpp, .qqkk, .oopu, .oovb, .oodt, .mmpu, .mmvb , .mmdt, .eewt, .eeyu, .eemv, .eebn, .aawt, .aayu, .aamv, .aabn, .oflg, .ofoq, .ofww, .adlg, .adww, .tohj, .towz, . pohj, .powz, .tuis, .tuow, .tury, .nuis, .nury, .powd, .pozq, .bowd, .bozq
¿Qué sucedió?
¿Puedo recuperar mis archivos?
DJVU, también llamado STOP, es uno de los ransomware/malware más longevos y temibles que se está propagando estas semanas a través de correos electrónicos infectados, ataques de escritorio remoto y visores de equipos.
Una extensión como una de las muchas enumeradas en el título, , según la versión del malware, se agrega a los archivos cifrados.
El malware infecta casi todos los archivos de usuario con un cifrado muy fuerte, específicamente RSA de 2048 bits y clave AES de 128 bits, lo que hace que el descifrado directo sea muy difícil para los programadores y desarrolladores que tienen que buscar el código del virus para encontrar una solución técnica para recuperar la clave o rastros de ella. , para que los archivos vuelvan a ser legibles.
El usuario podría encontrar en su pc un archivo de texto, con un nombre aleatorio que contiene un mensaje que lo dirige a una página web oa un correo electrónico para la compra de la clave y la posterior descarga de un descifrador.
El archivo de texto se puede nombrar de muchas formas, entre ellas: !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt , !!!!RESTORE_ARCHIVOS!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!POR QUÉ_MIS_ARCHIVOS_NO_ABREN!!!.txt , !!!GUARDAR_ARCHIVOS_INFO!!!.txt y !léame.txt
No recomendamos en absoluto que se comunique con la página web o el correo electrónico, ya que el pirata informático aún puede tener acceso a su PC/Servidor y le recordará que tiene acceso a su red. Como consecuencia, es posible que tenga más accesos no deseados y quizás la instalación de otras puertas traseras o rootkits que son muy difíciles de eliminar.
Tengo Windows Server y me infecté, ¿cómo es posible?
Este malware altamente avanzado se propaga principalmente a través de ataques directos en el puerto RDP, generalmente en máquinas que ejecutan el siguiente sistema operativo:
Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (septiembre de 2005)
Windows Server 2008 (abril de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)
Windows Server 2012 R2 (octubre de 2013)
Windows Server 2016 (septiembre de 2016)
Windows Server 2019 (octubre de 2018)
Windows Server 2022 (agosto de 2021)
¿Qué se recomienda hacer después de la infección?
Es recomendable desconectar de la red los PC/servidores infectados y contactar inmediatamente con un experto para averiguar el origen de la infección. Por lo general, el sistema operativo no está dañado, pero es muy probable que haya puertas traseras de malware o rootkits ocultos dentro del sistema. Probar técnicas de recuperación "tradicionales" u otras solo pondrá en riesgo aún más la ya baja probabilidad de recuperar todos sus documentos.
Mi contraseña RDP era muy segura, ¿cómo la encontraron?
Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, generalmente muy segura, no existe una protección efectiva ya que se utilizan exploits en el puerto RDP, lo que permite de manera efectiva eludir la contraseña.
La cuenta de administrador fue deshabilitada, ¿qué pasó?
A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?
Todo esto sucede a través de una "escalada de privilegios", es decir, te conectas a través de un usuario "normal", se elevan los privilegios de este usuario que a su vez crea o reactiva la cuenta de administrador, a la que te conectarás más tarde para realizar la encriptación.
Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban?
¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet.
Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.
El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio?
Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000 buscando el servicio RDP.
Entonces, ¿qué puedo hacer para protegerme de futuros ataques STOP/DJVU?
Los dos consejos que damos a nuestros clientes para protegerse de la infección son:
- cierre inmediatamente el servicio RDP en todas las máquinas locales y remotas
- instale nuestro script de protección contra ransomware, más info AQUÍ
¿Dónde han ido mis copias de seguridad? ¿Qué pasa con las máquinas virtuales?
Después de la infección puma/Aurora, los archivos .backup .save .vmx .vdmx se eliminan y, a menudo, también cualquier máquina virtual (VMware, Oracle VM VirtualBox, etc.), que se inicia y luego se elimina o cifra._d04a07d8-9cd1 -3239- 9149-20813d6c673b_
Cómo descifrar archivos cifrados porDJVU/DETENER?
¿Pueden recuperar mis datos?
¡Sí, para algunas versiones de puma/aurora, podemos recuperar todos sus archivos!
Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y su número de teléfono móvil;
¡Te responderemos lo más pronto posible!
¿Qué extensión pueden tener los archivos infectados por STOP DJVU? ¿Es cierto que este malware se actualiza continuamente?
Las extensiones posibles y actualmente descubiertas son: .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot , .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod , . mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .ratones, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss. .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq , .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer, .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, . kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, .qlkm, .coos , .wbxd, .pola, .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, . rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .miis, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .ufwj, .moqs, .hhqa, .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf, .iwan, .lqqw, .efdc , .wiot, .koom, .rigd, .tisc, .mded, .nqsq, .irjg, .vtua, .maql, .zaps, .rugj, .rivd, .cool, .palq, .stax, .irfk, . qdla, .qmak, .futm, .utjg, .iisa, .pqgs, .robm, .rigj, .moia, .yqal, .wnlu, .hgsh, .mljx, .yjqs, .shgv, .hudf, .nnqp, .sbpg, .xcmb, .miia, .loov, .dehd, .vgkf, .nqhd, .zaqi, .vfgj, .fhkf , .maak, .yber, .qqqw, .qqqe, .qqqr, .yoqs, .bbbw, .bbbe, .bbbr, .maiv, .avyu, .cuag, .iips, .qnty, .ccps, .ckae, . gcyi, .eucy, .ooii, .jjtt, .rtgf, .fgui, .fgnh, .sdjm, .iiof, .fopa, .qbba, .vyia, .vtym, .kqgs, .xcbg, .bpqd, .vlff, .eyrv, .rguy, .uigd, .hfgd, .kkia, .ssoi, .mmuz, .pphg, .wdlo, .kxde, .udla, .voom, .mpag, .gtys, .tuid, .uyjh, .ghas , .hajd, .qpps, .qall, .dwqs, .vomm, .ygvb, .nuhb, .msjd, .jhdd, .dmay, .jhbg, .jhgn, .dewd, .ttii, .hhjk, .mmob, . mía, .sijr, .xcvf, .bbnm, .egfg, .byya, .hruu, .kruu, .ifla, .errz, .dfwe, .fefg, .fdcv, .nnuz, .zpps, .qlln, .uihj, .zfdv, .ewdf, .rrbb, .rrcc, .rryy, .bnrs, .eegf, .bbyy, .bbii, .bbzz, .hkg, .eijy, .efvc, .lltt, .lloo, .llee, .llqq , .dkrf, .eiur, .ghsd, .jjyy, .jjww, .jjll, ..hhye, .hhew, .hhyu, .hhwq, .hheo, .ggew, .ggyu, .ggwq, .ggeo, .oori, .ooxa, .vvew, .vvyu, .vvwq, .vveo, .cceq. .ccew, .ccyu, .ccwq, .cceo, .ccza, .qqmt, .qqri, .qqlo, .qqlc, .qqjj, .qqpp, .qqkk, .oopu, .oovb, .oodt, .mmpu, .mmvb , .mmdt, .eewt, .eeyu, .eemv, .eebn, .aawt, .aayu, .aamv, .aabn, .oflg, .ofoq, .ofww, .adlg, .adww, .tohj, .towz, . pohj, .powz, .tuis, .tuow, .tury, .nuis, .nury, .powd, .pozq, .bowd, .bozq .manw .maos .matu .hebem .lucknite .xllm .btnw .btos .bttu . zoqw .RYKCRYPT .KoRyA .zouu .znto .upsil0n .bpsm .bpws .bpto .hardbit2 .fatp .ZeRy .DRCRM .Anthraxbulletproof .mppn .mbtf .ety .uyro .uyit .iswr
¿Tiene alguna otra pregunta o necesita más información?
Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.
Archivos posteriores a la infección de puma/aurora, ilegibles y con extensiones modificadas.
Borrar
Criptobloqueadores
cerrojos
Fobos
Impostor del globo
FÁCIL, RÁPIDO, SEGURO