Rançongiciel

cousu (.cousu) Suppression des virus ransomwares & Décryptage de fichiers

Qu'est-ce que le virus QEPI?

QEPI un type de ransomware STOP/Djvu, crypte les fichiers sur les ordinateurs, making them inaccessible. It targets a variety of file types, appending a “.cousu” extension to them, which renders the files unusable without a decryption key.

After infecting a system, Qepi demands a ransom in Bitcoin for decrypting files. Victims find a “_readme.txt” guide on desktops and within folders that instructs them on how to make the payment, though payment does not guarantee recovery.

The virus employs the Salsa20 encryption algorithm, which complicates decryption efforts without the attacker’s cooperation. Cependant, if Qepi cannot connect to its server before starting the encryption, it uses a standard offline key, offering a potential avenue for decryption.

Ci-dessous, an image shows the appearance of encrypted files, marked by the “.cousu” extension:

Qepi ransomware: PC infecté

Qepi ransomware: PC infecté

NomQepi Virus
Famille 1STOP/Djvu Ransomware
Extension.cousu
Remarque sur les rançongiciels_readme.txt
Une rançonDepuis $499 à $999 (en Bitcoin)
Contactsupport@freshingmail.top, datarestorehelpyou@airmail.cc
Symptômes
  • Crypte la plupart de vos fichiers (Photos, vidéos, documents) et ajoute un particulier “.cousu” extension;
  • Supprime les clichés instantanés de volume pour rendre les tentatives de restauration des données impossibles pour la victime;
  • Ajoute une liste de domaines au fichier HOSTS pour bloquer l'accès à certains sites liés à la sécurité;
  • Installe un cheval de Troie voleur de mots de passe sur le système, comme Vidar Stealer ou RedLine Stealer;
  • Parvient à installer un Porte dérobée du SmokeLoader;
RécupérationCommencez la récupération avec un programme complet analyse antivirus. Bien que tous les fichiers ne soient pas récupérables, notre guide présente plusieurs méthodes potentielles pour retrouver l'accès aux fichiers cryptés.

Qepi Virus Overview

Qepi ransomware executes a set of procedures on a victim’s computer upon arrival. It launches winupdate.exe as one of the initial processes, which displays a fraudulent Windows update prompt during the attack to convince the victim their PC is slowing down due to a Windows update.

Meanwhile, the ransomware runs another process (named with 4 random chars), which begins scanning the computer for target files and encrypting them. It then removes Volume Shadow Copies from the system using the following CMD command:

vssadmin.exe Delete Shadows /All /Quiet

Once removed, it becomes impossible to retrieve the computer’s previous state using System Restore Points. The ransomware operators eliminate any built-in Windows approaches that could help the victim restore files for free. En plus, they modify the Windows HOSTS file by adding a list of domains to it, redirecting them to the localhost IP, which results in a DNS_PROBE_FINISHED_NXDOMAIN error when the victim tries to open one of the blocked websites.

We’ve observed that the ransomware tries to restrict websites from publishing various how-to guides for computer users. Clearly, by limiting specific domains, the attackers attempt to prevent victims from accessing relevant and helpful online information related to ransomware attacks. The virus also stores two .txt files on the victim’s computer providing attack-related information – the public key of this victim and a personal ID, named bowsakkdestx.txt and PersonalID.txt.

After all these modifications, the malware doesn’t stop. Variants of STOP/DJVU often deploy the Vidar password-stealing Trojan on compromised systems, a threat with a vast list of capabilities, including:

  • Infiltrating and executing malware on the victim’s computer to gain unauthorized access.
  • Obtaining unauthorized access to login credentials of Steam, Telegram, and Skype.
  • Manipulating and viewing files on the victim’s computer without their consent.
  • Stealing cryptocurrency wallets from the victim’s system.
  • Granting the hackers remote control over the victim’s computer for various malicious purposes.
  • Extracting sensitive information such as browser cookies, saved passwords, and browsing history.

The cryptography algorithm in STOP/Djvu ransomware is Salse20. So, once it encrypts your data with an online decryption key, the chances of getting your files back become quite low. This key is unique for each victim, and finding a suitable one would take an impractical amount of time.

Retrieving the online key in another way is also nearly impossible. The hackers spread the Qepi infection on the server where it is stored. To receive the decrypting code, the payment should be $999. For payment details, the victims must contact the hackers by email (support@fishmail.top).

Note de rançon: _readme.txt

Note de rançon: _readme.txt

Comment enlever?

Remove Qepi Virus with Gridinsoft Anti-Malware

Nous utilisons également ce logiciel sur nos systèmes depuis, et il a toujours réussi à détecter les virus. Il a bloqué les Ransomwares les plus courants comme montré par nos tests avec le logiciel, and we assure you that it can remove Qepi Virus as well as other malware hiding on your computer.

Gridinsoft Anti-Malware - Écran principal

Pour utiliser Gridinsoft pour supprimer les menaces malveillantes, suivez les étapes ci-dessous:

1. Commencez par télécharger Gridinsoft Anti-Malware, accessible via le bouton bleu ci-dessous ou directement depuis le site officiel grilleinsoft.com.

2.Une fois le fichier d'installation de Gridinsoft (setup-gridinsoft-fix.exe) est téléchargé, exécutez-le en cliquant sur le fichier. Follow the installation setup wizard's instructions diligently.

Assistant de configuration de Gridinsoft

3. Accéder au "Onglet Numérisation" on the application's start screen and launch a comprehensive "Scan complet" pour examiner l'intégralité de votre ordinateur. Cette analyse inclusive englobe la mémoire, éléments de démarrage, le registre, prestations de service, Conducteurs, et tous les fichiers, s'assurer qu'il détecte les logiciels malveillants cachés dans tous les emplacements possibles.

Scan for Qepi Virus Ransomware

Sois patient, as the scan duration depends on the number of files and your computer's hardware capabilities. Profitez de ce temps pour vous détendre ou vous occuper d'autres tâches.

4. Une fois terminé, Anti-Malware présentera un rapport détaillé contenant tous les éléments malveillants et menaces détectés sur votre PC.

The Qepi Virus was Found

5. Sélectionnez tous les éléments identifiés dans le rapport et cliquez en toute confiance sur le "Nettoie maintenant" bouton. Cette action supprimera en toute sécurité les fichiers malveillants de votre ordinateur, les transférer vers la zone de quarantaine sécurisée du programme anti-malware pour éviter toute autre action nuisible.

The Qepi Virus has been removed

6. Si vous y êtes invité, redémarrez votre ordinateur pour finaliser la procédure d'analyse complète du système. Cette étape est cruciale pour garantir la suppression complète de toutes les menaces restantes.. Après le redémarrage, Gridinsoft Anti-Malware s'ouvrira et affichera un message confirmant le fin de l'analyse.

N'oubliez pas que Gridinsoft propose un essai gratuit de 6 jours. Cela signifie que vous pouvez profiter gratuitement de la période d'essai pour profiter de tous les avantages du logiciel et prévenir toute future infection par des logiciels malveillants sur votre système.. Embrace this opportunity to fortify your computer's security without any financial commitment.

Guide vidéo

How To Decrypt .qepi Files?

D'abord, essayez de supprimer le “.cousu” extension à partir de quelques gros fichiers, puis en les ouvrant. Ce malware a du mal à chiffrer les fichiers volumineux. Le virus n'a pas réussi à verrouiller le fichier lors de l'accès ou a rencontré un bug et a omis d'ajouter le marqueur de fichier.. Si la taille de vos fichiers dépasse 2 Go, ce dernier scénario est plus probable.

Les criminels ont publié les dernières extensions vers la fin août 2019 après avoir fait plusieurs modifications.

Les modifications apportées par les criminels ont rendu STOPDecrypter non pris en charge, conduisant à son remplacement par Emsisoft Decryptor pour STOP Djvu Ransomware développé par Emsisoft.

  1. Téléchargez et exécutez l'outil de décryptage: Télécharger outil de décryptage. Assurez-vous d'exécuter l'utilitaire de décryptage en tant qu'administrateur et acceptez les termes de licence qui s'affichent en cliquant sur le bouton “Oui” bouton. En acceptant les termes de la licence.
  2. Sélectionnez les dossiers pour le décryptage: Le décrypteur, par défaut, sélectionne automatiquement les répertoires sur les lecteurs connectés et réseau pour le décryptage. Utilisez le “Ajouter” bouton pour sélectionner des emplacements supplémentaires. Selon la famille de malwares, les décrypteurs offrent diverses options, que vous pouvez activer ou désactiver dans l'onglet Options. Ci-dessous, vous trouverez une liste détaillée des options actuellement actives.
  3. Lancez le décryptage en cliquant sur le “Décrypter” Bouton. Après avoir ajouté tous les emplacements souhaités à la liste, clique le “Décrypter” bouton pour démarrer le processus de décryptage. Le décrypteur vous informera une fois le processus de décryptage terminé. Si nécessaire pour la documentation, vous pouvez enregistrer le rapport en cliquant sur le “Enregistrer le journal” bouton. Il est également possible de copier le rapport dans votre presse-papiers pour le coller dans des e-mails ou des messages..

How to Restore .qepi Files?

Dans certains cas, le ransomware ne parvient pas à chiffrer vos fichiers…

The Qepi ransomware encryption process involves encrypting each file byte-by-byte, créer un duplicata, puis en supprimant (ne pas écraser) le fichier d'origine. Cette suppression signifie que le disque physique ne répertorie plus le fichier dans son système, bien que le fichier original reste sur le disque. Le secteur qui détenait le fichier pourrait encore le contenir, mais comme le système ne le répertorie pas, les nouvelles données peuvent les écraser. Cependant, un logiciel spécial peut récupérer vos fichiers.

Solution 1Solution 2
Ce virus a réussi à contourner deux programmes antivirus et deux combattants de logiciels malveillants et à infecter mon PC.

Réalisant qu'il s'agissait d'un algorithme en ligne, Je savais que récupérer mes fichiers cryptés était impossible. Mon disque de sauvegarde, connecté pendant l’infection, semblait infecté aussi. Chaque dossier de mon lecteur de sauvegarde semblait crypté. Malgré cela, J'ai réussi à récupérer presque 80% de mon stockage de 2 To.

Examiner les dossiers, J'ai trouvé des notes de rançon dans chacun. En ouvrir certains a révélé que seuls les fichiers ne se trouvant pas dans des sous-dossiers étaient cryptés. Explorer les sous-dossiers d'autres dossiers, J'ai découvert des fichiers non cryptés. Contrairement à mes lecteurs C et D où chaque dossier, y compris les sous-dossiers, a été crypté, les sous-dossiers de mon lecteur de sauvegarde sont enregistrés 80% de mes données.

Je considère que trouver cette faille sur mon disque de sauvegarde est une chance. En plus, J'en ai récupéré un autre 10% de mes données depuis un disque dur sur un autre PC. Ainsi, mon conseil pour utiliser un lecteur de sauvegarde est de créer des sous-dossiers. C'était en partie de la chance, mais aussi malheur que le virus ait frappé lors des transferts de fichiers depuis ma sauvegarde.

J'espère que cette expérience pourra aider d'autres personnes dans des situations similaires.

Jamie Newland
Here are some tips for Qepi file recovery and repair (applicable à toutes les variantes STOP/DJVU):

  • Vérifiez les dossiers imbriqués plus profondément car certaines variantes Stop/Djvu ne parviennent pas à les chiffrer, les laissant non cryptés.
  • Puisque ce ransomware enregistre les données cryptées dans un nouveau fichier et supprime l'original, il est possible de récupérer des parties du fichier supprimé à l'aide d'un logiciel de récupération de fichiers. Bien que la restauration de la structure des dossiers soit peu probable, un outil comme PhotoRec pourrait bien fonctionner.
  • Le ransomware crypte partiellement les fichiers (à propos du premier 150 Ko), permettant de récupérer la partie non chiffrée en fonction de la taille et du type du fichier.
  • Joep
    Brendan Smith
    Brendan Smith
    Expert en sécurité informatique
    Essayez d'utiliser GridinSoft Anti-Malware
    N'oubliez pas de partager votre expérience dans la résolution du problème. Veuillez laisser un commentaire ici! Cela peut aider les autres victimes à comprendre qu'elles ne sont pas seules.. Et ensemble, nous trouverons des moyens de résoudre ce problème.
    Anti-programme malveillant
    Essai de Gridinsoft Anti-Malware de 6 jours disponible.
    CLUF | politique de confidentialité | 10% Coupon de réduction

    Recover Qepi Files with PhotoRec

    Enregistrement photo, conçu pour la récupération de fichiers à partir de disques endommagés ou d'une suppression accidentelle, prend désormais en charge la restauration 400 types de fichier, making it useful after a Qepi attack.

    D'abord, Télécharger PhotoRec. C'est gratuit, mais le développeur n'offre aucune garantie pour la restauration des fichiers. PhotoRec est fourni avec TestDisk, un autre outil du même développeur, sous le nom TestDisk. Cependant, PhotoRec est inclus dans l'archive.

    Pour démarrer PhotoRec, ouvrir le “qphotorec_win.exe” déposer. Aucune installation n'est nécessaire car le programme contient tous les fichiers requis, lui permettant de fonctionner à partir d'une clé USB.

    1. Mes fichiers sont cryptés par un ransomware, Qu'est-ce que je devrais faire maintenant?

    A propos de l'auteur

    Brendan Smith

    I'm Brendan Smith, un journaliste passionné, chercheur, et développeur de contenu web. Avec un vif intérêt pour l'informatique et la sécurité, Je me spécialise dans la fourniture de contenu de haute qualité qui éduque et permet aux lecteurs de naviguer dans le paysage numérique..

    Axé sur l'informatique et la sécurité, Je m'engage à partager mes connaissances et mes idées pour aider les individus et les organisations à se protéger à l'ère numérique.. Mon expertise en principes de cybersécurité, confidentialité des données, et les meilleures pratiques me permettent de fournir des astuces et des conseils pratiques que les lecteurs peuvent mettre en œuvre pour améliorer leur sécurité en ligne..

    Laissez un commentaire