Escala de gravidade:  
  (99/100)

Ransomware STOP. Como remover ? (Guia de desinstalação)

Gabriel E. Hall de escrito por... - - | Digite: Ransomware

O ransomware STOP é um vírus ativo que bloqueia ficheiros e utiliza um esquema elaborado para extorquir dinheiro em 2019 

Criptovírus STOP

O ransomware STOP é um bloqueador de ficheiros que surgiu em dezembro de 2017. O malware utiliza uma combinação de algoritmos AES e RSA para encriptar dados e adicionar a extensão .STOP a todos os ficheiros. No entanto, têm surgido novas versões quase mensalmente e de momento, o vírus anexa as seguintes extensões: .SAVEfiles, .puma, .pumas, .pumax, .shadow, e .keypass. Também é importante salientar que uma das variantes mais notáveis é o ransomware Keypass e ransomware Djvu que fizeram manchetes quando atacaram vítimas em mais de 20 países. Atualmente, o ransomware Djvu é a versão mais ativa do ransomware STOP, exigindo um resgate entre $300 – $600 pelo descodificador de ficheiros. O malware utiliza _openme.txt, !readme.txt ou notas de resgate semelhantes, advertindo os utilizadores a contactarem o e-mail restoredjvu@firemail.cc, stopfilesrestore@bitmessage.ch, helpshadow@india.com ou endereços similares.

Resumo da ameaça informática
Nome Ransomware STOP
Tipo Cryptovirus (Criptovírus)
Algortimo de Encriptação AES e RSA-1024
Extensões de ficheiro anexadas .STOP, .SUSPENDED , .WAITING, .CONTACTUS, .DATASTOP, .PAUSA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu. .djvuu. .djvus, .udjvu, .uudjvu
Notas de resgate

!!! YourDataRestore !!! txt,
!!RestoreProcess!!!.txt,
!!!!RESTORE_FILES!!!.txt,
!!!DATA_RESTORE!!!.txt
!!!DECRYPTION__KEYPASS__INFO!!!.txt
!!!WHY_MY_FILES_NOT_OPEN!!!.txt
!!SAVE_FILES_INFO!!!.txt
!readme.txt

Valor do resgate $300 – $600
Endereços de e-mail para contacto

stopfilesrestore@bitmessage.ch
topfilesrestore@india.com
suspendedfiles@bitmessage.ch
suspendedfiles@india.com
decryption@bitmessage.ch
BM-2cUMY51WfNRG8jGrWcMzTASeUGX84yX741@bitmessage.ch
keypassdecrypt@india.com
decryptionwhy@india.com
savefiles@india.com
helpshadow@india.com
helpshadow@firemail.cc
restoredjvu@india.com
restoredjvu@firemail.cc 

Métodos de Distribuição E-mails maliciosos não solicitados (spam), websites hackeados, exploits, ataques de força bruta, etc.
Descodificador Descarregue aqui (download direto)
Para remover o ransomware, instale o Reimage e efetue uma análise completa ao sistema

O ransomware STOP foi descoberto inicialmente em dezembro de 2017. No entanto, surgiram novas versões em meados de agosto de 2018. Todas estas variantes se comportam de forma similar, mas anexam novos extensões de ficheiro nos dados alvo, providenciam notas de resgate ligeiramente diferentes e utilizam novos endereços de e-mail para contacto.

A versão original do malware adiciona a extensão .STOP para impedir o acesso aos ficheiros no computador Windows afetado. Assim que o ransomware STOP termina o processo de encriptação, o vírus entrega uma nota de resgate no ficheiro “!!! YourDataRestore !!!.txt”. A mensagem dos criminosos informa as vítimas de que estas necessitam de pagar o resgate em 72 horas.

Os autores do vírus STOP exigem o pagamento de $600 em três dias. De forma a dar uma prova, os hackers permitem que o utilizador envie 1-3 ficheiros “não demasiado grandes” para descodificação, via stopfilesrestore@bitmessage.ch ou stopfilesrestore@india.com. No entanto, estes poderão ser os únicos ficheiros que recupere após o ataque do ransomware. Os criminosos podem simplesmente desaparecer após pagar o resgate, uma vez que já obtiveram de si tudo o que queriam.

Portanto, gostaríamos de salientar que o pagamento do resgate aos cibercriminosos é uma tarefa bastante arriscada, que pode significar uma perda significativa de dinheiro. Após pagar os $600, os criminosos poderão exigir ainda mais. Caso não concorde ou não receba qualquer ferramenta de descodificação como prometido, ninguém o ajudará a localizar os criminosos e recuperar o seu dinheiro. Por isso, evite qualquer forma de contacto com os criminosos e verifique o website oficial do descodificador para o vírus STOP, que poderá encontrar no final deste artigo.

Vírus de ficheiros STOP

Desta forma, recomendamos que não se preocupe com a recuperação dos seus ficheiros nesta etapa inicial. A tarefa mais importante é remover o ransomware STOP do seu computador, de forma a garantir a segurança do sistema. Por esta razão, sugerimos que analise a máquina infetada com um software anti-malware, tal como o Reimage, para remover o vírus do ransomware STOP.

A utilização de ferramentas profissionais de segurança é crucial, uma vez que esta ameaça informática possui a capacidade de alterar o Registo do Windows, criar novas chaves, instalar ficheiros maliciosos ou afetar processos legítimos do sistema. Isto significa que a eliminação manual é praticamente impossível. Caso tente localizar e eliminar pessoalmente estas entradas, poderá danificar a sua máquina. Portanto, não arrisque!

Depois de concluir a remoção do ransomware STOP, você terá o nível de segurança necessário para ligar um disco externo com cópias de segurança, ou exportar ficheiros necessários do seu armazenamento em cloud. Caso ainda não tenha efetuado quaisquer cópias de segurança dos seus ficheiros e não consiga efetuar a recuperação total dos dados, deverá experimentar as ferramentas de entidades terceiras que mencionámos no final deste artigo. Com alguma sorte, poderá resgatar alguns dos ficheiros danificados. Para além disso, especialistas disponibilizaram recentemente um descodificador original para este ransomware, para que consiga recuperar os seus dados. Poderá encontrar esta opção no final do artigo.

Surgiram novas versões deste ransomware em quase todos os meses de 2018

Ransomware Suspended

No início do ano, em fevereiro, investigadores de malware relataram acerca de uma variante do malware STOP que utiliza a extensão .SUSPENDED para bloquear documentos, multimédia, bases de dados, arquivos e muitos outros ficheiros. O comportamento deste ransomware é semelhante à versão anterior, mas descarrega uma nota de resgate diferente após a encriptação.

O ransomware Suspended providencia as instruções de recuperação no ficheiro ”!!RestoreProcess!!!.txt e solicita o ID único do utilizador e alguns ficheiros para descodificação para o endereço suspendedfiles@bitmessage.ch ou suspendedfiles@india.com. O valor do resgate e a data de pagamento mantêm-se.

Dados encriptados pelo vírus STOP

Ransomware CONTACTUS

No final de maio, veio à superfície outra versão do ransomware STOP. Esta versão utilizava a extensão .CONTACTUS para bloquear os ficheiros afetados. Não foi apenas a extensão afixada que mudou. Os criminosos deram um novo nome às instruções para recuperação dos ficheiros, e desta vez o documento onde todas as opções de recuperação eram providenciadas chamava-se !!!RESTORE_FILES!!!.txt. Os e-mails providenciados para estabelecer contacto também foram alterados para decryption@bitmessage.ch e decryption@india.com:

Todos os seus ficheiros importantes foram encriptados neste PC.
Todos os ficheiros com a extensão .CONTACTUS estão encriptados.
A encriptação foi efetuada com a utilização de uma chave privada única RSA-1024, criada para este computador.

Para descodificar os seus ficheiros, necessita de obter uma chave privada + software de descodificação.

Para resgatar a sua chave privada e o software de descodificação, necessita de nos CONTACTAR através do e-mail decryption@bitmessage.ch, enviar-nos o seu ficheiro !!!RESTORE_FILES!!!.txt e aguardar instruções.

Para que tenha a certeza de que conseguimos descodificar os seus ficheiros, poderá enviar-nos 1-3 ficheiros encriptados, não muito grandes, e devolveremos a versão original dos mesmos, GRÁTIS.
O preço da descodificação é de $600 se nos contactar nas primeiras 72 horas.

O seu ID pessoal:
[redacted 40 characters]

E-mail para nos contactar:
decryption@bitmessage.ch

E-mail alternativo para nos contactar:
decryption@india.com

Ransomware SaveFiles

Outra versão do ransomware STOP emergiu em setembro de 2018. Após utilizar o ficheiro urpress.exe como o principal executável, este ransomware codifica os seus dados e assinala os ficheiros bloqueados com a extensão .SAVEfiles. Como em outras versões, esta ameaça executa este processo com a ajuda dos métodos de encriptação AES e RSA. Após a modificação dos ficheiros, o ransomware coloca uma nota de resgate com o nome !!!SAVE_FILES_INFO!!!.txt em cada pasta que contenha dados encriptados.

A nota de resgate contém o seguinte texto:

AVISO!

Os seus ficheiros, fotografias, documentos, bases de dados e outros ficheiros importantes foram encriptados e possuem a extensão: .SAVEfiles
O único método de recuperação dos ficheiros depende da compra de um software de descodificação e uma chave privada única.

Após a compra, você deve executar o seu software de descodificação e introduzir a sua chave privada única para descodificar todos os seus dados. Só nós conseguimos providenciar esta chave e apenas nós conseguiremos desbloquear os seus ficheiros.

Necessita de nos contactar através do e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch, enviar-nos o seu ID pessoal e aguardar instruções.

Para que tenha a certeza de que conseguimos descodificar os seus ficheiros, poderá enviar-nos 1-3 ficheiros encriptados, não muito grandes, e devolveremos a versão original dos mesmos, GRÁTIS.

Preço da descodificação: $500.
Este preço estará disponível caso nos contacte nas primeiras 72 horas.

E-mail para nos contactar:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

E-mail alternativo para nos contactar:
savefiles@india.com

O seu ID pessoal:

Como pode ver, os criadores do vírus afirmam ter a ferramenta necessária para a descodificação e recuperação dos ficheiros e manipulam os utilizadores a estabelecerem contacto através do e-mail savefiles@india.com. Aconselhamos a não contactar os criminosos, pois estes não são dignos da sua confiança. A melhor opção é seguir o guia providenciado para remover o ransomware STOP. Para realizar essa tarefa, pode utilizar programas como o Reimage ou Malwarebytes MalwarebytesCombo Cleaner. Efetue uma análise completa ao sistema para remover completamente qualquer componente malicioso.

Puma ransomware

O ransomware Puma é um vírus decifrável. Caso tenha sido infetado, pode considerar-se com mais sorte do que as restantes vítimas, uma vez que terá a oportunidade de recuperar os seus dados encriptados. No entanto, apenas os dados com as extensões .puma, .pumas e .pumax podem ser desbloqueados através de um descodificador especial (link de download direto providenciado), criado por especialistas. De qualquer forma, experimente este descodificador apenas depois de remover o malware do seu sistema. Caso contrário, o processo de encriptação pode ser executado novamente.

Após invadir o sistema, o malware entrega a nota de resgate !readme.txt, informando as vítimas da situação atual. Antes disso, o malware executa um processo de encriptação (utilizando algoritmos AES e RSA) para inutilizar todos os ficheiros guardados no sistema. A vítima recebe um prazo de 72 horas para contactar os hackers. No entanto, aconselhamos que nunca o faça para prevenir futuros problemas no seu computador.

Descodificador do ransomware STOP

Ransomware Shadow 

No início de dezembro de 2018, alguns investigadores descobriram uma nova versão que anexa a extensão .shadow aos ficheiros infetados. Esta extensão de ficheiros foi inicialmente utilizada pelo ransomware BTCWare em 2017, e foi adotada atualmente pelos criadores do malware STOP.

O ransomware Shadow utiliza uma nota de resgate !readme.txt para explicar aos utilizadores como proceder com o pagamento em Bitcoin. Os criminosos oferecem-se para descodificar um ficheiro gratuitamente, para provarem que o descodificador funciona de verdade. Os e-mails helpshadow@india.com ou helpshadow@firemail.cc devem ajudar com a comunicação. Alegadamente, o desconto de 50% no preço do resgate é válido apenas durante as primeiras 72 horas.

Como sempre, recomendamos que evite qualquer forma de contacto com os autores da ameaça. Embora este vírus .shadow não seja decifrável no momento de redação deste artigo, você deverá esperar até que seja desenvolvido um descodificador gratuito, tal como já aconteceu para o ransomware Puma.

Ransomware Djvu

A última versão deste vírus é o ransomware Djvu que aplica várias extensões diferentes: .djvu, .djvus, .djvuu, .udjvu, .uudjvu, .djvuq, .djvur. O vírus já afetou milhares de utilizadores em todo o mundo, utilizando o esquema mais popular de extorsão, utilizado pela maioria das versões de ransomware, com o intuito de invadir o sistema – spam. Tipicamente, as vítimas recebem um e-mail com supostos detalhes acerca de encomendas, faturas, relatórios ou entregas. No entanto, descarregar o anexo possibilita a entrada do vírus no sistema.

O ransomware Djvu não é decifrável, portanto a única forma de recuperar os ficheiros encriptados consiste em remover primeiro o vírus e posteriormente recorrer a ferramentas de entidades terceiras. Claro que, caso tenha efetuado cópias de segurança dos seus ficheiros antes do ataque, não terá quaisquer problemas. Basta remover os ficheiros encriptados do sistema e substitui-los pelas suas versões originais.

Os “criptovírus” podem invadir o sistema assim que abrir um e-mail malicioso

O executável de um vírus de bloqueio de ficheiros é tipicamente distribuído com a ajuda de e-mails maliciosos não solicitados (spam) que incluem anexos. Através de engenharia social, os criminosos enganam as vítimas e convencem as mesmas a abrir um determinado anexo, permitindo a entrada do malware no sistema. É possível identificar um e-mail malicioso através deste sinais:

  • Você não está à espera de receber este e-mail (ex: não efetuou qualquer encomenda na Amazon, nem está à espera de uma entrega por parte da FedEx).
  • As mensagens não possuem credenciais, tais como o logótipo da empresa ou assinatura.
  • O e-mail encontra-se repleto de erros gramaticais ou frases mal estruturadas.
  • A mensagem não contém informação no campo “assunto”, o corpo está vazio e inclui apenas um anexo.
  • O conteúdo do e-mail força a visualização da informação em anexo.
  • O endereço eletrónico do remetente parece suspeito. 

Malware STOP

No entanto, os especialistas da NoVirus.uk afirmam que o malware também pode invadir o sistema quando um utilizador clica num anúncio publicitário malicioso, descarrega um programa corrompido, ou através de outras técnicas nocivas.

Por esta razão, os utilizadores da Internet devem aprender a identificar potenciais riscos que espreitam a cada esquina na web. Queremos relembrar-lhe que nenhum software de segurança é capaz de o proteger totalmente contra um ataque de ransomware. Por esta razão, é crucial prestar atenção aos seus cliques e downloads, assim como criar e atualizar regularmente cópias de segurança dos seus ficheiros!

Eliminar o ransomware STOP para recuperar os seus ficheiros

Em primeiro lugar, queremos desencorajar os nossos leitores de tentarem remover o ransomware manualmente. Esta ameaça informática inclui inúmeros ficheiros e componentes que parecem processos legítimos do sistema. Portanto, é fácil eliminar acidentalmente as entradas erradas e causar ainda mais estragos. Por esta razão, terá que optar pela remoção automática do ransomware STOP.

O vírus poderá bloquear o acesso ao seu software de segurança, necessário para a eliminação, por isso deverá desativar o vírus ao iniciar primeiro o seu sistema em Modo de Segurança com Rede. As instruções providenciadas abaixo explicam como realizar esta etapa. Independentemente da versão do malware que tenha afetado o seu PC, o guia de eliminação é o mesmo.

Em Modo de Segurança, descarregue, instale e atualize o Reimage, Plumbytes Anti-MalwareMalwarebytes Malwarebytes ou Malwarebytes MalwarebytesCombo Cleaner. De seguida, efetue uma análise completa ao seu sistema e aguarde até que o programa termine a limpeza e o ajude a remover o ransomware STOP. Posteriormente, poderá recorrer às suas cópias de segurança para recuperar os ficheiros ou experimentar os métodos alternativos apresentados abaixo.

Oferta
faça agora!
Baixe
Reimage (software de remoção) Felicidade
garantida
Baixe
Reimage (software de remoção) Felicidade
garantida
Compatível com Microsoft Windows Supported versions Compatível com OS X Supported versions
O que fazer se falhou?
Caso não consiga reverter os danos causados pelo vírus com o Reimage, submeta uma questão à nossa equipa de apoio e providencie o maior número de detalhes possível.
Recomendamos o Reimage para reverter os danos causados pelo vírus. Scanner gratuito permite que você verifique se o seu PC está infectado ou não. Se você precisar remover malwares, você tem que comprar a versão licenciada do Reimage ferramenta remoção de malware.

Guia de remoção manual de virus STOP:

remover STOP usando Safe Mode with Networking

Siga estes passos para reiniciar o computador em Modo de Segurança com Rede, permitindo a desativação do ransomware STOP:

  • Passo 1: Reinicie seu computador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Safe Mode with Networking da lista Selecionar 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Networking de Startup Settings janela. Selecionar 'Enable Safe Mode with Networking'
  • Passo 2: Removendo o STOP

    Efetuar login em sua conta e infectados inicie o navegador. Download Reimage ou outras legítimas programa anti-spyware. Atualize-o antes de uma varredura completa do sistema e remover arquivos mal-intencionados que pertencem ao seu ransomware e completa STOP extracção.

Se o ransomware é bloquear Safe Mode with Networking, tente outro método.

remover STOP usando System Restore

Este método também poderá ajudar na eliminação automática do vírus:

  • Passo 1: Reinicie seu computador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Command Prompt da lista Selecionar 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela. Selecionar 'Enable Safe Mode with Command Prompt'
  • Passo 2: Restaurar os arquivos e configurações de sistema
    1. Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter. Digite 'cd restore' sem aspas e pressione 'Enter'
    2. Agora digite rstrui.exe e pressione Enter novamente.. Digite 'rstrui.exe' sem aspas e pressione 'Enter'
    3. Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de STOP. Após fazer isso, clique em Next. Quando 'System Restore' janela mostra, selecionar 'Next' Selecione seu ponto de restauração e clique em 'Next'
    4. Agora clique em Yes para iniciar restauração do sistema. Clique em 'Yes' e iniciar restauração do sistema
    Depois de restaurar o seu sistema para uma data anterior, faça o download e analise o seu computador com Reimage e certifique-se de que STOP a remoção é realizada com sucesso.

Bonus: Recuperar os seus dados

O guia acima tem como objectivo remover STOP do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurança

Se os seus ficheiros estão encriptados por STOP, pode usar diversos metodos para os recuperar

Experimente o Data Recovery Pro

Originalmente, esta ferramenta foi criada para recuperar ficheiros após a destruição do sistema ou eliminações acidentais. No entanto, pode ser bastante útil após um ataque de ransomware.

  • Data Recovery Pro de descargas;
  • Siga os passos do setup de Data Recovery e instale este programa no seu computador
  • Execute e verifique o seu computador para encontrar os ficheiros encriptadas por STOP ransomware;
  • Repare-os

Usufrua da funcionalidade de Versões Anteriores do Windows

Este método permite-lhe copiar versões previamente guardadas dos ficheiros, caso a função de Restauro do Sistema estivesse ativada antes do ataque do ransomware.

  • Encontre o ficheiro encriptado que precisa e clique com o butão direito do rato para o reparar
  • Selecione “Properties” e va para o separador “Previous versions”
  • Aqui, verifique as copias disponiveis do ficheiro em “Folder versions”. Deve selecionar a versao que quer reparar e clique “Restore”.

Experimente o ShadowExplorer

O ShadowExplorer pode recuperar ficheiros através das suas Shadow Volume Copies (cópias sombra) caso não tenham sido eliminadas pelo ransomware STOP.

  • Download Shadow Explorer (http://shadowexplorer.com/);
  • Siga as intruções de intalação de Shadow Explorer e instale esta aplicação no seu computador
  • Execute o programa e explore o menu no canto superior esquerdo ate encontrar o seu disco com os dados encriptados. Verifique que pastas estão lá.
  • Clique no butão direito do rato nas pastas que quer recuperar e selecione “Export”. Também pode selecionar onde quer guardar.

O descodificador para o ransomware STOP foi descoberto recentemente. Poderá encontrar esta ferramenta aqui (link de download direto)

Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de STOP e outros ransomwares, use um anti-spyware respeitável, como Reimage, Malwarebytes MalwarebytesCombo Cleaner ou Plumbytes Anti-MalwareMalwarebytes Malwarebytes

Sobre o autor

Gabriel E. Hall
Gabriel E. Hall - Apaixonada investigadora de vírus

Se este guia de remoção livre ajudou você e você está satisfeito com o nosso serviço, por favor, considere fazer uma doação para manter este serviço vivo. Mesmo uma quantidade menor será apreciada.

Contato do Gabriel E. Hall
Sobre a empresa Esolutions

Fonte: https://www.2-spyware.com/remove-stop-ransomware.html

Guias de remoção em outras línguas