STOP Ransomware - descifrador gratuito (STOPDecrypter v2.1.0.10)

‘STOP Ransomware’ aumenta el número de victimas en los últimos meses

Durante el mes de diciembre y en lo que llevamos de enero, se han distribuido hasta 17 variantes de este ransomware** . Todas ellas han sido distribuidas a través de sitios de descarga de cracks y software pirata como KMSPico, Cubase y Photoshop, entre otros.

Las variantes distribuidas durante esta campaña de ransomware no incluyen cambios importantes en su código , tan solo cambia la extensión utilizada para renombrar los ficheros cifrados . Las extensiones de las muestras conocidas hasta la fecha son: puma, .pumas, .pumax, .djvu , .djvuq, .djvur, .djvut, .djvuu, .pdff, .tfude , .tfudeq, .tro, .udjvu, .uudjvu, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promorad, .promock, .promoz, .promok, .promorad2 , .kroput, .kroput1, .pulsar1, .charck, .kropun, .klope

En el apartado técnico, este ransomware utiliza Salsa20 como algoritmo de cifrado y una clave de 256 bits diferente para cada archivo. Para generar la clave de cifrado por cada fichero, usa una clave maestra que se obtiene realizando una petición al servidor de control, sin embargo, en caso de no poder realizar la conexión, usaría una clave maestra por defecto ya almacenada en el código. Una vez obtenida el hash md5 de dicha clave, se crea una cadena de texto con los primeros 5 bytes del fichero a cifrar concatenado con el hash MD5 de la clave maestra, y se utiliza como clave de cifrado el hash MD5 de esta cadena de texto. Como vector de inicialización (IV) para el algoritmo de cifrado utiliza los primeros 8 bytes de la clave.

Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153600 bytes del fichero. Por el momento, el investigador y analista de malware, Michael Gillespie, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware.

Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de días, ya que mientras el servidor de control esté activo es posible obtener la clave de cifrado replicando la misma petición realizada por el malware.

Fuente: BleepingComputer

5 me gusta

STOPDecrypter v2.1.0.10

Actualizado al 14 de Junio

Debido a las constantes variantes del ransomware STOP, reflejadas en sus extensiones de archivos, con la intención de poder ayudar mejor a los usuarios infectados centralizando la información…


STOP Ransomware notas de rescate:

!!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, !readme.txt, _openme.txt, ._readme.txt.


Mas información: (ingles)


Nuevas variantes de STOP ransomware que aun no se pueden desencriptar:

.grovat, .roland, .ferosas, .redmat, .pidom, .vesad




STOPDecrypter v2.1.0.10 extensiones que puede desencriptar:

puma, .pumas, .pumax, .djvu, .djvuq, .djvur, .djvut, .djvuu, .pdff, .tfude, .tfudeq, .tro, .udjvu, .uudjvu, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promorad, .promock, .promoz, .promok, .promorad2, .kroput, …kroput1, .charck, .kropun, .doples, .luces, .luceq, .chech, .pulsar1, .proden, .drume, .tronas, .trosak, .grovas, .shadow, .fordan, .codnat , .dotmap, .skymap, .mogera, .rezuc, .stone, .lanset, .davda, .poret, .pidon, .heroset, .muslat, .boston, .gerosan



Cuando se ejecuta el STOP ransomware, tiene un determinado servidor con el que intenta hablar (cada variante tiene un servidor diferente o una ruta diferente que consulta). Esta es esencialmente una “clave en línea” (ONLINE KEY), y no existe forma de reproducir esta clave actualmente, y es única por víctima .

Si el ransomware no pudo hablar con el servidor, por ejemplo, un problema de red, o si el servidor se agotó o tuvo un error, entonces el malware se rendirá (generalmente 4 intentos) y recurrirá a una clave codificada : esta es la clave fuera de línea. (OFFLINE KEY)



Actualizaremos este post en base a las actualizaciones de la herramienta de descifrado, como también de las nuevas extensiones (variantes) del ransomware STOP.

5 me gusta