Pouu utilizza una chiave univoca per ogni vittima, con un’eccezione:
- Se Pouu non riesce a stabilire una connessione al proprio server di comando e controllo (Server C&C) prima di avviare il processo di crittografia, utilizza la chiave offline. Questa chiave è la stessa per tutte le vittime e consente di decrittografare i file crittografati durante un attacco ransomware.
Ho raccolto una raccolta completa di tutte le possibili soluzioni, suggerimenti e pratiche per neutralizzare il virus Pouu e decrittare i file. In alcuni casi, è facile recuperare i file. E a volte è semplicemente impossibile.
Esistono diversi metodi universali per il recupero di file .pouu crittografati, che verranno illustrati di seguito. È fondamentale leggere attentamente l’intero manuale di istruzioni e assicurarsi di capirlo tutto. Non saltare alcun passaggio. Ognuno di questi passaggi è molto importante e deve essere completato da te.
Pouu virus?
☝️ Pouu può essere correttamente identificato come virus di tipo ransomware STOP/DJVU.
Pouu
🤔 Pouu virus è un ransomware che ha origine dalla famiglia DJVU/STOP. Il suo scopo principale è crittografare i file che sono importanti per te. Dopo che il virus ransomware chiede alle sue vittime una tassa di riscatto ($490-$980) in BitCoin.
Il ransomware Pouu è un tipo specifico di minaccia che crittografa i tuoi file e quindi ti costringe a pagare per ripristinarli. Tieni presente che la famiglia Djvu/STOP ransomware è stata rivelata e scoperta per la prima volta dall’analista di virus Michael Gillespie.
Il virus Pouu è sostanzialmente simile ad altri ransomware DJVU come: Poqw, Zouu , Zoqw. Questo virus crittografa tutti i tipi di file più diffusi e aggiunge la propria estensione “.pouu” a tutti i file. Ad esempio, il file “1.jpg”, verrà modificato in “1.jpg.pouu“. Non appena la crittografia è completata, il virus rilascia uno speciale file di testo “_readme.txt” e lo inserisce in tutte le cartelle che contengono i file modificati.
L’immagine sotto dà una visione chiara di come appaiono i file con estensione “.pouu”:
File Pouu (STOP/DJVU ransomware)
| Nome | Virus Pouu |
| Famiglia ransomware1 td> | DJVU/STOP2 ransomware |
| Estensione | .pouu |
| Nota ransomware | _readme.txt |
| Riscatto | Da $ 490 a $ 980 (in Bitcoin) |
| Contatta | [email protected], [email protected] |
| Rilevamento3 | Crytex.Virus.FileInfector.DDS, Win32/Filecoder.OLC, Malware-Cryptor.InstallCore.5 |
| Sintomi |
|
| Strumento di correzione |
Per rimuovere possibili infezioni da malware, scansiona il tuo PC:
Prova gratuita di 6 giorni disponibile. |
Questo messaggio che chiede il pagamento è per recuperare i file tramite la chiave di decrittazione:
_readme.txt (STOP/DJVU Ransomware) – L’avviso spaventoso che chiede agli utenti di pagare il riscatto per decifrare i dati codificati contiene questi avvertimenti frustranti
Il ransomware Pouu arriva come un insieme di processi che hanno lo scopo di eseguire diverse attività sul computer di una vittima. Uno dei primi ad essere lanciato è winupdate.exe, un processo complicato che visualizza un falso prompt di aggiornamento di Windows durante l’attacco. Questo ha lo scopo di convincere la vittima che un improvviso rallentamento del sistema è causato da un aggiornamento di Windows. Tuttavia, allo stesso tempo, il ransomware esegue un altro processo (di solito denominato da quattro caratteri casuali) che avvia la scansione del sistema per i file di destinazione e la crittografia. Successivamente, il ransomware elimina le copie shadow del volume dal sistema utilizzando il seguente comando CMD:
vssadmin.exe Delete Shadows /All /Quiet
Una volta eliminato, diventa impossibile ripristinare lo stato precedente del computer utilizzando i punti di ripristino del sistema. Il fatto è che gli operatori di ransomware si stanno sbarazzando di qualsiasi metodo basato sul sistema operativo Windows che potrebbe aiutare la vittima a ripristinare i file gratuitamente. Inoltre, i truffatori modificano il file HOSTS di Windows aggiungendo un elenco di domini e mappandoli all’IP localhost. Di conseguenza, la vittima incontrerà un errore DNS_PROBE_FINISHED_NXDOMAIN quando accede a uno dei siti Web bloccati.
Abbiamo notato che il ransomware tenta di bloccare i siti Web che pubblicano varie guide pratiche per gli utenti di computer. È evidente che limitando domini specifici, i truffatori cercano di impedire alla vittima di accedere a informazioni pertinenti e utili relative agli attacchi ransomware online. Il virus salva anche due file di testo sul computer della vittima che forniscono dettagli relativi all’attacco: la chiave di crittografia pubblica e l’ID personale della vittima. Questi due file sono chiamati bowsakkdestx.txt e PersonalID.txt.
Dopo tutte queste modifiche, il malware non si ferma. Le varianti di STOP/DJVU tendono a rilasciare Trojan AZORULT per il furto di password sui sistemi compromessi. Questa minaccia ha un lungo elenco di funzionalità, come ad esempio:
- Rubare login/password di Steam, Telegram, Skype;
- Rubare portafogli di criptovaluta;
- Scaricare malware sul computer ed eseguirlo;
- Rubare cookie del browser, password salvate, cronologia di navigazione e altro;
- Visualizzazione e manipolazione di file sul computer della vittima;
- Consentire agli hacker di eseguire altre attività in remoto sul computer della vittima.
L’algoritmo di crittografia utilizzato dal virus DJVU/STOP è AES-256. Quindi, se i tuoi dati sono stati crittografati con una chiave di decrittazione online, che è totalmente unica. La triste realtà è che è impossibile decrittografare i file senza la chiave univoca.
Nel caso in cui Pouu abbia funzionato in modalità online, è impossibile accedere alla chiave AES-256. È memorizzato su un server distante di proprietà dei criminali che promuovono il virus Pouu.
Per ricevere la chiave di decrittazione il pagamento dovrebbe essere di $980. Per ottenere i dettagli del pagamento, le vittime sono incoraggiate dal messaggio a contattare i truffatori via e-mail ([email protected]).
Il messaggio del ransomware riporta le seguenti informazioni:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: [email protected] Reserve e-mail address to contact us: [email protected] Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Non pagare per Pouu!
Per favore, prova a utilizzare i backup disponibili o lo strumento Decrypter
Il file _readme.txt indica anche che i proprietari del computer devono mettersi in contatto con i rappresentanti di Pouu durante 72 ore a partire dal momento in cui i file sono stati crittografati. A condizione di essere contattati entro 72 ore, agli utenti verrà concesso uno sconto del 50%. Quindi l’importo del riscatto sarà ridotto al minimo fino a $ 490). Eppure, stai lontano dal pagare il riscatto!
Consiglio vivamente di non contattare queste frodi e di non pagare. Una delle soluzioni più vere per recuperare i dati persi – semplicemente usando i backup disponibili, oppure usa Decrypter strumento.
La particolarità di tutti questi virus applica un insieme simile di azioni per generare la chiave di decrittazione univoca per recuperare i dati cifrati.
Pertanto, a meno che il ransomware non sia ancora in fase di sviluppo o non possieda alcuni difetti difficili da rilevare, il ripristino manuale dei dati cifrati è una cosa che non puoi eseguire. L’unica soluzione per prevenire la perdita dei tuoi preziosi dati è eseguire regolarmente backup dei tuoi file cruciali.
Nota che anche se mantieni questi backup regolarmente, dovrebbero essere messi in una posizione specifica senza bighellonare, senza essere collegati alla tua workstation principale.
Ad esempio, il backup può essere conservato sull’unità flash USB o su un disco rigido esterno alternativo. Facoltativamente, puoi fare riferimento all’aiuto dell’archiviazione delle informazioni online (cloud).
Inutile dire che quando mantieni i tuoi dati di backup sul tuo dispositivo comune, potrebbero essere cifrati in modo simile così come altri dati.
Per questo motivo, individuare il backup sul computer principale non è sicuramente un’idea saggia.
Come sono stato contagiato?
Il ransomware ha vari metodi da incorporare nel tuo sistema. Ma non importa quale metodo abbia avuto luogo nel tuo caso.
Attacco di virus Pouu a seguito di un tentativo di phishing riuscito.
- installazione nascosta insieme ad altre app, in particolare le utility che funzionano come freeware o shareware;
- collegamento dubbio nelle e-mail di spam che portano al programma di installazione del virus
- risorse di hosting gratuito online;
- utilizzo di risorse peer-to-peer (P2P) illegali per scaricare software piratato.
Ci sono stati casi in cui il virus Pouu è stato camuffato da uno strumento legittimo, ad esempio, nei messaggi che richiedono l’avvio di alcuni software indesiderati o aggiornamenti del browser. Questo è in genere il modo in cui alcune frodi online mirano a costringerti a installare manualmente il ransomware Pouu, facendoti effettivamente partecipare direttamente a questo processo.
Sicuramente, l’avviso di aggiornamento fasullo non indicherà che stai per iniettare effettivamente il virus. Questa installazione sarà nascosta sotto alcuni avvisi che menzionano che dovresti aggiornare Adobe Flash Player o qualche altro programma dubbioso di sorta.
Naturalmente, anche le app crackate rappresentano il danno. L’utilizzo di P2P è illegale e può comportare l’iniezione di malware gravi, incluso il ransomware Pouu.
Per riassumere, cosa puoi fare per evitare l’iniezione del ransomware Pouu nel tuo dispositivo? Anche se non esiste una garanzia al 100% per evitare che il tuo PC si danneggi, ci sono alcuni suggerimenti che voglio darti per prevenire la penetrazione di Pouu. Devi essere cauto durante l’installazione di software gratuito oggi.
Assicurati di leggere sempre cosa offrono gli installatori oltre al programma gratuito principale. Evita di aprire allegati e-mail dubbi. Non aprire file da destinatari sconosciuti. Naturalmente, il tuo attuale programma di sicurezza deve essere sempre aggiornato.
Il malware non parla apertamente di se stesso. Non sarà menzionato nell’elenco dei tuoi programmi disponibili. Tuttavia, verrà mascherato da alcuni processi dannosi in esecuzione regolarmente in background, a partire dal momento in cui avvii il PC.
Come rimuovere il virus Pouu?
Oltre a codificare i file di una vittima, l’infezione Pouu ha anche iniziato a installare lo Azorult Spyware sul sistema per rubare credenziali dell’account, portafogli di criptovaluta, file desktop e altro ancora.4
Motivi per cui consiglierei GridinSoft5
-
Esegui il file di installazione.
-
Premi il pulsante “Installa”.
-
Una volta installato, Anti-Malware verrà eseguito automaticamente.
-
Wait for complete.
-
Fare clic su “Pulisci ora”.
Leave a Comment