четверг, 3 января 2019 г.

STOP-Puma Decrypter

STOP-PUMA DECRYPTER

Инструкция по использованию

Translation into English

Скачать STOP Decrypter (общий для STOP) >>>

Скачать STOP Decrypter (только для Puma) >>>


Скачайте и сохраните загруженный файл на рабочем столе или в папке "Загрузки" (по умолчанию в браузерах).
Файл декриптера

Используйте этот декриптер, только если ваши файлы были зашифрованы и переименованы шифровальщиком STOP Ransomware, которым к зашифрованным файлам добавляются следующие расширения:
.puma
.pumas
.pumax

👉 Для любых уточнений используйте только безопасный источник информации — мой дайджест-блог "Шифровальщики-вымогатели". Оригинальная статья там описывает STOP Ransomware на русском языке. 

👉 Не используйте дешифровщики для других версий или предназначенные для расшифровки файлов после совершенно других шифровальщиков. Это может повредить ваши файлы. 



Перед дешифровкой

Для начала дешифровки нужно убедиться в том, что из системы уже удалены исполняемый и вспомогательные файлы шифровальщика-вымогателя, иначе процесс шифрования будет продолжен.

Чтобы мне не повторяться, а вам продолжить, я рекомендую сначала ознакомиться с "Общими рекомендациями" и не сделать себе ещё хуже, чем уже есть. Пункты 1-й и 2-й прочтите в первую очередь. К 3-му можно вернуться и после дешифрования.

Я рекомендую не торопиться и сделать бэкап зашифрованных файлов, даже если тестовая расшифровка нескольких из них прошла успешно.



Процесс дешифровки


Я всегда рекомендую сначала попробовать дешифровать небольшое количество файлов, чтобы убедиться в корректной работе инструмента дешифровки с вашими файлами. 


После запуска скачанного файла появится следующее окно-предупреждение системы безопасности Windows на запуск скачанного файла. 
Да, в данном случае нет цифровой подписи и издатель называется "Неизвестный издатель". Антивирус может ругаться и поместить такой файл в Карантин. К сожалению...

 Увы, добавление к файлу цифровой подписи стоит немалых денег. Где взять их разработчику, который помогает пострадавшим от вредоносных программ? Сертификат надо продлевать каждый год. Возможно, он скоро будет продлен. 
Сайт BleepingComputer.com, с которого вы по моей ссылке скачали файл декриптера, много лет помогает пострадавших от Ransomware и вредоносных программ. Декриптер создан разработчиком ID Ransomware Майклом Джиллеспи (Michael Gillespie). Здесь на сайте немало дешифровщиков, созданных Майклом. Вам надо принять решение: "Остаться с кучей зашифрованных файлов" или "Попытаться расшифровать хотя бы несколько файлов". 

Если вы решили расшифровать файлы, то нажмите кнопку "Запустить". 

Появится окно декриптора. Чтобы прочитать информацию о программе и поддерживаемых расширениях, нажмите кнопку "About".
Здесь написано, какие расширения поддерживаются: "Supported Extensions": .puma, .pumas, .pumax. 

Вы получили всю необходимую информацию. Теперь можно кликнуть по опции "Bruteforcer".

Далее нужно выбрать зашифрованный файл и его оригинальную незашифрованную версию. Потом останется только нажать кнопку "Start", чтобы запустить процесс Bruteforcer и определить ключ.

Где взять оригинальные версии файлов? Прочтите мои "Особые рекомендации". 

Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). Если у вас нет и этого, тогда скачайте их с нашего Яндекс-Диска. Ссылка на архив

Процесс может занять некоторое время. После определения и загрузки ключа в окне программы, останется нажать кнопку "Select Directory" и выбрать диск, на котором находятся зашифрованные файлы, например диск C:\. Как только вы выберете диск, кнопка "Decrypt" станет активной и вы сможете расшифровать файлы. 

После дешифрования не забудьте про мои "Общие рекомендации", 3-й пункт.

Detailed usage guide (in English)

Удачной дешифровки!

ЕСЛИ НЕ ПОМОГАЕТ...

Если декриптер не может дешифровать файлы, значит они зашифрованы новой или ранее  неизвестной версией шифровальщика. Рекомендую вам лично связаться с разработчиком (на форуме BC, в Твиттере), отправить ему собранные образцы вредоносных файлов и несколько зашифрованных (несколько PDF-файлов, документы Word и несколько изображений в форматах JPG и PNG, размером как у фотографий). Не пугайтесь английского языка на странице. 


© Amigo-A (Andrew Ivanov): All blog articles.

1 комментарий:

  1. Hi
    My files have been encrypted
    After using
    STOPDecrypter
    Starting decryption ...
    Decrypted 0 files!
    [!] No keys were found for the following IDs:
    [*] ID: pS27dAC9YXYlrdyd0tSAGzTOH392lb7vrc1EzNtA (.masok)
    [*] ID: pS27dAC9YXYlrdyd0tSAGzTOH392lb7vrc1EzNtA (.ico)
    [*] ID: pS27dAC9YXYlrdyd0tSAGzTOH392lb7vrc1EzNtA (.scx)
    [*] ID: pS27dAC9YXYlrdyd0tSAGzTOH392lb7vrc1EzNtA (.sct)
    Please archive these IDs and the following MAC addresses in case of future decryption:
    [*] MACs: D0: 53: 49: 5D: DB: 7D, D0: 53: 49: 5D: DB: 7E, 0A: 00: 27: 00: 00: 10
    This info has also been logged to STOPDecrypter-log.txt
    ----------------------
    sample_extension: .masok
    personal ID:
    140nMhFJuttFpS27dAC9YXYlrdyd0tSAGzTOH392lb7vrc1EzNtA
    sample_bytes: [0x169DB - 0x169F5] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357D
    -------------------------------------
    Please help send a way to decrypt a file
    I will be happy to return the files
    Thank you

    ОтветитьУдалить