пятница, 1 февраля 2019 г.

STOP-Djvu Decryption: Сбор данных

STOP-DJVU DECRYPTION

Translation into English


Специальная статья: Сбор данных для дешифрования

Читайте основную статью про STOP-Djvu Decrypter >>


Из-за особенностей дешифрования файлов, зашифрованных шифровальщиками группы STOP-Djvu Ransomware, от Вас требуется предоставить данные на будущее. Если специалисты в будущем смогут дешифровать Ваши файлы, то вам придет сообщение. 

Для этого просим Вас зарегистрироваться на форуме bleepingcomputer.com и предоставить в теме поддержки STOP Ransomware только следующие данные (ни больше, ни меньше):
- расширение, которое получили ваши файлы после шифрования;
- MAC-адрес (физический адрес) сетевой карты (сетевого устройства);
- персональный ID, указанный в оставленной на ПК записке о выкупе.

Если файлы зашифрованы на нескольких компьютерах, то столбиком укажите эти данные для каждого компьютера. 
Указывайте только MAC-адрес того сетевого устройства, с которого вы выходили в Интернет во время атаки шифровальщика (это сетевая карта или Wi-Fi). 

Не добавляйте сюда эту информацию. Я не расшифрую ваши файлы. Регистрируйтесь сами по ссылкам выше. Отправляйте данные по ссылкам только Майклу на форум Bleeping Computer. 


Алгоритм получения MAC-адреса (физического адреса) сетевого устройства
Русская версия
English version
нажать Win+R
вписать cmd
нажать OK
там, где _
вписать ipconfig/all
нажать Enter
записать Физический адрес
press Win+R
write cmd
press OK
see _
write ipconfig/all
press Enter
copy Physical address


Скриншот в помощь!

Согласно исследованиям Джонсона-Эванса, некоторые люди лучше понимают графические элементы статьи, другие - табличные формы, а третьи - только текст. Если комбинировать все три типа оформления, то поймут все! 😊

---
Ответы Майкла Джиллеспи на вопросы*

Майкл Джиллеспи ака Demonslay335: "Следуйте инструкциям в первом посте темы поддержки, чтобы отправить мне персональный ID, MAC-адрес зараженного ПК и новое расширение ваших файлов. Я заархивирую вашу информацию и свяжусь с вами, если  появится возможность расшифровки. Если вы просто отправите мне сообщение "Помоги мне", я вас проигнорирую и отправлю вам ссылку на эту тему, как бот. У меня нет времени на людей, которые не умеют читать." Оригинальный FAQ на английском.

Вопрос 1: Может ли STOPDecrypter расшифровать мои файлы?
Краткий ответ: Да и нет. 
Подробный ответ: Может расшифровать, если файлы были зашифрованы OFFLINE-ключами. 
Иначе - нет. Можно только заархивировать ваши данные на будущее, если появится возможность расшифровки ваших файлов. 

Вопрос 2: Почему новая версия STOPDecrypter не работает для моих файлов?
Краткий ответ: Смотрите ответ на 1-й вопрос. 
Подробный ответ: Как сказано выше, STOPDecrypter может расшифровать файлы, если они были зашифрованы OFFLINE-ключами. Если ваш ID не совпадает с одним из перечисленных в STOPDecrypter, то он на данный момент вам не поможет. 
На данный момент у меня есть более 300 данных пострадавших в надежде на расшифровку в будущем. Согласно статистике, было успешно восстановлено только около 5% ключей пострадавших. 

Вопрос №3: Как я могу отправить вам файлы?
Краткий ответ: Файлы сейчас не нужны. 
Подробный ответ: Мне не нужны никакие файлы в данный момент. Просто предоставьте мне (в теме поддержки или в ЛС, или в Twitter - выберите что-то одно!) запрашиваемую информацию в виде текста, и это всё. У меня нет времени, чтобы загружать zip-архивы с материалами или сохранять скриншоты. Нужны только буквы и цифры в виде текста, чтобы я мог вставить его в свою огромную электронную таблицу и продолжить свой рабочий день. 

Вопрос №4: Где я могу скачать новейшую версию?
Краткий ответ: По той же ссылке. 
Подробный ответ: Новейшая версия всегда находится по этой ссылке для скачивания и никогда не меняется. 

Вопрос №5: У моих файлов расширение отличается от показанных в "About STOPDecrypter". Будет ли обновление для него?
Краткий ответ: Обновление делается регулярно. 
Подробный ответ: STOPDecrypter ищет определенный файловый маркер, используемый шифровальщиком для маркировки зашифрованных им файлов и обновляется для каждого нового расширения, если в новой версии шифровальщика используются новые OFFLINE-ключи.
Если у вас есть новое расширение, но ваш персональный ID совпадает с одним из автономных, то для корректной расшифровки мне нужен исполняемый файл шифровальщика для обновления STOPDecrypter под ваш случай. 

Вопрос №6: ID, указанный в STOPDecrypter, отличается от указанного в моей записке о выкупе? 
Краткий ответ: Ваш персональный ID из записки не является вашим ключом. 
Подробный ответ: Идентификатор, извлеченный из зашифрованного файла, почти такой же, как в записке, кроме 3-х добавленных к нему цифр, маркирующих "версию" шифровальщика. В остальном, оставшиеся 40 символов такие же, как и встроенные в зашифрованные файлы (и следовательно, в список STOPDecrypter). 
Например, ваш персональный ID: 027D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB
Загруженный ключ: D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB

Вопрос №7: Вот мой MAC-адрес с другого ПК, с которого я смотрю файлы. Можете их расшифровать? 
Краткий ответ: Это неверное действие. 
Подробный ответ: Этот адрес бесполезен для расшифровки. Для каталогизации вашего случая и запрашиваемых файлов нужен MAC-адрес сетевой карты вашего зараженного ПК.

Вопрос №8: У меня персональный компьютер, но это не MAC?
Краткий ответ: MAC-адрес - это физический адрес сетевой карты вашего ПК.
Подробный ответ: Честно говоря, такой вопрос задают довольно часто. MAC-адрес является уникальным идентификатором вашего компьютера, не имеет ничего общего с компьютерами Macintosh или Apple. Каждое вычислительное устройство имеет MAC-адрес, если оно подключается к сети любого типа. 

Вопрос №9: Но я если перезагружу мой ПК, мой MAC-адрес изменится?
Краткий ответ: Нет, он не изменится.  
Подробный ответ: MAC-адрес привязан к вашей физической сетевой карте, поэтому он никогда не изменится, если вы не сделаете физическую замену сетевой карты или не переключитесь на другую сетевую карту, у которой есть свой MAC-адрес. В некоторых ПК может быть несколько  LAN-карт, а также Wi-Fi-адаптер, Wi-Fi-USB и прочие устройства для подключения к Интернет, и у каждого есть свой MAC-адрес. Известны способы подделки MAC-адреса, но у встроенной в чипсет сетевой карты он не меняется. 

Вопрос №10: Экран настроек запрашивает ключ? Я вставил ключ, но почему-то STOPDecrypter не может расшифровать файлы? 
Краткий ответ: Не трогайте опцию "Settings", если вы не сказали мне об этом. 
Подробный ответ: Если вы введете в этом окне что-то неправильное, то STOPDecrypter может повредить ваши зашифрованные файлы.  
Невозможно программно проверить действительно ли расшифровка работает, кроме ID в файле, совпадающего с тем, что вы сообщили. Т.к. первые 5 байтов файла не шифруются, то нет возможности обнаружить "магический заголовок", чтобы сказать, что файл выглядит нормально, не имея очень глубоких знаний о каждом типе файла.

Вопрос №11: Могу ли я помочь, взяв под контроль мой ключ?
Краткий ответ: Нет, не сможете. 
Подробный ответ: Если ваша инфекция связалась с сервером, то только сервер имеет ключ, и невозможно догадаться, как он генерирует ключ,  состоящий из 40 буквенно-цифровых символов. По моим подсчетам это будет равно ~62 в 40-й степени возможных ключей. Если бы брутфорс тут мог помочь, то уже все ключи были бы найдены.

Вопрос №12: Что такое OFFLINE-ключ (автономный ключ) и как мне получить его?
Краткий ответOFFLINE-ключ - это жестко закодированный ключ.
Подробный ответ: Когда шифровальщик запустится, у него есть определенный сервер, с которым он пытается установить связь (у каждого варианта есть свой сервер или другой путь, который он запрашивает). Этот "онлайн-ключ" уникален для каждой жертвы и пока нет способа воспроизвести этот ключ. Если шифровальщик не может связаться с сервером, например, из-за проблем с сетью, или время ответа сервера истекло, или произошла ошибка, то шифровальщик после нескольких попыток (обычно, 4-х) прибегнет к жестко закодированному ключу - этот  OFFLINE-ключ и встроен в STOPDecrypter. 

Вопрос №13: После запуска STOPDecrypter у мои файлов пропало расширение, но они всё равно не открываются?
Краткий ответ: Это исправлено в STOPDecrypter версии 2.0.1.6.
Подробный ответ: Вероятно, STOPDecrypter сообщил вам, что не может расшифровать файл из-за отсутствия ключа для ID файла. Разработчик  
STOPDecrypter обнаружил и исправил ошибку, из-за которой STOPDecrypter не может "самоочиститься". 

Вопрос №14: STOPDecrypter не работает и вылетает без открытия с ошибкой "Fatal Error: The Typeinitializer for Alphaleonis.Win32.Filesystem.NativeMethods caused an exception"
Краткий ответ: Обновите .NET Framework до 4.5.2 или более новой версии. 
Подробный ответ: У вас установлена устаревшая или поврежденная .NET Framework. Почти все мои расшифровщики требуют .NET Framework 4.5.2 или более поздней версии; он был выпущен в 2014 году и работает вплоть даже в Vista SP2. Видимо ваш ПК дажно не получал обновлений безопасности и потому имеет множество проблем с безопасностью Windows и приложений.
⏩ Скачайте и установите (обновите) платформу .NET Framework Microsoft до версии 4.5.2 и соответствующие языковые пакеты (ссылка). 

Вопрос №15: Я получаю ошибки "Access denied" (Доступ запрещен) при запуске STOPDecrypter.
Подробный ответ: Скорее всего, вам нужно запустить дешифратор с правами администратора, чтобы у него были права на чтение файлов. Тем не менее, вы никогда не должны запускать программы из папки Windows. Запускайте STOPDecrypter с вашего Рабочего стола или что-то в этом роде. Если это не помогает, то ваша Windows повреждена. Также обновите платформу .NET Framework Microsoft до версии 4.5.2 (см. ответ на вопрос №14). 

Вопрос №16: Когда я смогу расшифровать мои файлы? У тебя есть мой ключ? Пожалуйста? Я заплачу тебе!!!
Подробный ответ: Стоп. Я не могу гарантировать, что смогу расшифровать чьи-либо файлы, если они не были зашифрованы OFFLINE-ключом. Я стараюсь помочь, но это не всегда возможно. Если вы прислали мне запрошенную информацию, изложенную в первом посте темы и других моих постах, то вы больше ничего не сможете сделать. Я свяжусь с вами лично, если что-то изменится для вашего случая.

Вопрос №17: Мои файлы не дешифруются? Но мне нужны мои данные сейчас!!!
Подробный ответ: Если ваши данные настолько важны, то восстанавливайте их из резервных копий. У вас нет резервных копий? Тогда мое мнение таково, что данные не так важны для вас, как вы говорите. Если ранее вы узнали, как загрузить Torrent или нелегальные программы, которые стали причиной инфекции на вашем ПК, то вы можете узнать, как потратить 10 минут на резервное копирование ваших данных на флэш-диск или в облачную службу. Нет оправдания тому, что в 2019 году у вас не было резервных копий. Платные облачные услуги стоят недорого, а большинство из них предоставляют 5-10 ГБ бесплатно. Флэш-накопители стоят около 20 долларов за 64 Гб+.

Вопрос №18: Как узнать, что у меня был использован OFFLINE-ключ?
Подробный ответ:  Если ваш персональный ID содержит один из идентификаторов, перечисленных в STOPDecrypter, когда он открывается, то вы были зашифрованы одним из автономных ключей. Если STOPDecrypter смог расшифровать ваши файлы, то вы были зашифрованы одним из автономных ключей. И наоборот, если STOPDecrypter пропускает ваши файлы, то вы были зашифрованы онлайн-ключом. У некоторых жертв может быть и то, и другое, из-за того, что шифровальщик запускался несколько раз, поэтому, честно говоря, стоит попытаться расшифровать некоторые файлы, т.к. одни файлы могут быть зашифрованы OFFLINE-ключом, а другие - онлайн-ключом.

Дополнение №1:
1) Персональный ID содержит 43 символа, OFFLINE-ключ - 40 символов. 
Если символов больше, значит при шифровании использовался онлайн-ключ, полученный с сервера. Его длина - более 43 символов. 
2) В следующих версиях вымогатели увеличили длину ключей, добавив им символов (60 или больше). 

Вопрос №19: kNN не отвечает нам! / KNN не может получать новые сообщения.
Подробный ответУчастник BC-форума kNN больше не помогает пострадавшим. Он был очень полезен в прошлом, когда помогал пострадавшим и сотрудничал с Майклом... Сейчас Майкл в основном единственный человек, помогающий жертвам STOP Ransomware...

Вопрос №20: Почему вы продолжаете говорить "Читайте FAQ", когда я задаю вопросы?
Подробный ответ МайклаЕсли я продолжаю повторять это, как бот, то только потому, что каждый вопрос, который вы мне задаете, находится в этом FAQ. У меня нет времени на то, чтобы повторять всем каждый пункт FAQ. Пожалуйста, прочитайте.
Кроме того, говорю еще раз, если вы разместили запрошенную информацию в теме на форуме, мне через PM или мне в Twitter, то вам не нужно публиковать ее снова. Никогда. Я постоянно слежу за этой темой и архивирую информацию каждого.

И ради любви к котятам НЕ присылайте мне в личку несколько веток!!! Если я ответил вам через личку (PM), продолжайте в том же ветке. Достаточно тяжело просыпаться каждое утро с 50 новыми ветками сообщений, из которых только 5 являются повторениями от тех же 3 человек. Всё это очень замедляет попытки помощи кому-либо, если мне приходится сверяться со всеми ссылками на все, что вы опубликовали, и проверять, есть ли у меня ваша информация, когда ваше имя выглядит смутно знакомым. Это серьезная трата времени. 

Дополнение №2:

Дополнение из поста в теме поддержки
Как я могу получить OFFLINE-ключ в OFFLINE-режиме? 
Подробный ответ МайклаСтатический OFFLINE-ключ встроен в исполняемый файл вредоноса. Он используется для шифрования файлов, если по какой-то причине ему не удалось подключиться к своему серверу. Вредонос может запускаться несколько раз, иногда он может пообщаться с сервером, а иногда нет, поэтому некоторые файлы шифруются с помощью OFFLINE-ключа, а другие - с помощью ONLINE-ключа.
Я вырываю OFFLINE-ключ прямо из исполняемого файла вредоносной программы. Существует только ОДИН ключ на каждое расширение, на исполняемый файл вредоноса. Я не имею ничего общего с генерацией этого ключа, преступники создали его и внедрили в свою вредоносную программу. Это единственный ключ, который я могу получить, потому что он находится прямо во вредоносной программе. ONLINE-ключи генерируются на их сервере, к которому у меня, конечно же, нет доступа, чтобы выяснить, как они генерируются, и могу ли я их воспроизвести (я уже несколько месяцев пытался слепо угадывать алгоритмы). ONLINE-ключи уникальны для каждой жертвы.

Вы серьезно думаете, что я просто выбираю идентификаторы из шапки, чтобы расшифровать их для людей? Если бы я обладал такой магией, я бы генерировал ключи для всех. Но у меня нет такой магии. И нет никакого способа брутфорсить ключи.

---
* Содержание вопросов и ответов еще раз обновлено 28 апреля 2019. Вопросы и ответы адаптированы для русскоязычного пользователя. Переводчик Google при переводе текста может перестроить порядок слов и текст будет непонятен для вашего языка. Тогда используйте оригинальные текст на английском языке. 

Original FAQ (in English) - обновлен 31 августа 2019. 

👉 Разработчик STOP-Djvu Decrypter-а сообщил, что больше не будет собирать информацию для обновления дешифровщика. Версия 2.2.0.0 была последней. 
В новой версии разработчики STOP Ransomware внесли изменения, которые делают шифрование более безопасным для взлома, т.к. расшифровать файлы прежним способом не получится. В новой версии используются открытые ключи RSA-2048. Если STOP-Djvu Decrypter не удалось связаться с сервером, то он будет использовать жёстко закодированный открытый ключ RSA-2048. Таким образом, даже если разработчику дешифровщика удастся извлечь автономный ключ, то он будет бесполезен без закрытого ключа RSA-2048, который есть только у вымогателей. 


© Amigo-A (Andrew Ivanov): All blog articles.