中了STOP勒索病毒，后缀.format，求解 bbs.ikaka.com

mingze888 - 2019-8-1 11:46:00

共享里面的文件被加密了，后缀.format，附件是勒索信和几个加密的文件，以及原版文件，请看一下是不是能解

用户系统信息：Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 BIDUBrowser/8.7 Safari/537.36

mingze888 - 2019-8-1 11:47:00

附件太大，删了几个，请看一下

附件: 234.rar

麦青儿 - 2019-8-1 11:57:00

装的什么安全软件？
很遗憾，这个目前还解不了。如果文件实在重要，可以先留个备份，以备将来万一能恢复。勒索病毒重在防御，推荐使用瑞星之剑来防护；如果还没杀毒，可下载瑞星安全云终端安装升级后全盘扫一遍，这俩目前都可以免费用。

wanlang321 - 2019-8-2 13:10:00

工程师在么，我也总了 STOP 病毒，用了大神的STOPDecrypter2.1.0.21版本软件中，已经跟新出后缀名.madek. 但是在添加 ID 和密码中就是密码错误无法解算，有的说用MSCS：地址能解算出密码，怎么解算呢

附件中的箭头ID 是密码么

XywCloud - 2019-8-2 14:02:00

根据你截图里的提示，解密工具是识别出来文件可以解密的
请不要把未被加密的文件和待解密的文件放在一起
另建议上传一下勒索信，有助于进一步确认

麦青儿 - 2019-8-2 14:08:00

工程师在看了，请稍等

wanlang321 - 2019-8-2 14:10:00

ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-JBwR4re7bR
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
varasto@firemail.cc

Our Telegram account:
@datarestore
Mark Data Restore

Your personal ID:
120Asdu374idfgIJUc0UfnrvMx4BMHBs8a7a6yCnCaonIltJp0nNN4

wanlang321 - 2019-8-2 14:16:00

工程师解密成功后的文件图片音频视频都无

法正常使用这是怎情况

XywCloud - 2019-8-2 14:50:00

看来是这个工具看到后缀后强行载入了这个后缀目前已知的一个离线密钥进行解密
实际上根据你提供的Personal ID，这个Personal ID目前是没有对应的离线密钥的
意味着这个很可能是联网加密，而联网加密的话目前是无解的。

wanlang321 - 2019-8-2 15:26:00

回复楼上兄弟看看这个，解密已经更新这个.madek 后缀了~

并且

网站也更新有ID 了

不知道这个ID 是不是密码还是什么

XywCloud - 2019-8-2 15:37:00

这个ID和你刚刚提供的勒索信里的ID不一致
STOP勒索在离线模式下加密时，对于不同的变种，各自会生成一个固定的Personal ID（这个Personal ID对应着一对解密密钥，但这个ID并不是解密密钥）
如果你勒索信内的ID在上面的列表里找不到，就意味着很可能是联网加密
你的ID是：IJUc0UfnrvMx4BMHBs8a7a6yCnCaonIltJp0nNN4

wanlang321 - 2019-8-2 19:48:00

楼上兄弟现在我该怎么办呢大神给指点一下呗

麦青儿 - 2019-8-5 11:24:00

目前解不了，只能把重要的文件留个备份，留待将来万一能恢复了。
如果还没杀毒，下载瑞星安全云终端安装升级后全盘扫一遍；勒索病毒重在防御，推荐使用瑞星之剑来防护；这俩目前可以免费用。

瑞星卡卡安全论坛