Ransomware

Vírus VEPI (.arquivo vepi) Ransomware

Vepi is a ransomware variant from the Djvu family that we discovered during an analysis of samples submitted to VirusTotal. Ransomware is a type of malware that encrypts files and demands payment for their decryption. In addition to encrypting files, Vepi appends its extension (“.vepi”) to filenames and provides a ransom note (“_README.txt“).

An example of how files encrypted by Vepi are renamed: “1.jpgis changed to1.jpg.vepi“, “2.png” para “2.png.vepi“, and so on. Since Vepi is part of the Djvu family, it may be distributed alongside information stealers like Vidar and RedLine.

Screenshot of files encrypted by Vepi ransomware:

Vepi Files Ransomware

Vepi Files

Vepi ransom note overview

Vepi’s ransom note informs victims that their files are encrypted and that purchasing a decryption tool and a unique key is the only way to recover them. It also says that the attackers offer to decrypt one file (not containing valuable information) for free. The note provides two contact emails: support@freshingmail.top and datarestorehelpyou@airmail.cc.

It provides the price of decryption $999 and says it can be reduced to $499 if victims contact threat actors within 72 horas. Lastly, it ensures victims that data cannot be restored without payment.

Bilhete de resgate: _readme.txt

Bilhete de resgate: _readme.txt

NomeVepi Virus
Família 1PARAR/Djvu Ransomware
Extensão.vepi
Nota sobre ransomware_readme.txt
ResgateDe $499 para $999 (em Bitcoins)
Contatosuporte@freshingmail.top, datarestorehelpyou@airmail.cc
Sintomas
  • Criptografa a maioria dos seus arquivos (fotos, vídeos, documentos) e adiciona um determinado “.vepi” extensão;
  • Exclui cópias do Volume Shadow para impossibilitar tentativas de restauração de dados para a vítima;
  • Adiciona uma lista de domínios ao arquivo HOSTS para bloquear o acesso a determinados sites relacionados à segurança;
  • Instala um Trojan que rouba senhas no sistema, como Vidar Stealer ou RedLine Stealer;
  • Consegue instalar um Porta dos fundos do SmokeLoader;
RecuperaçãoInicie a recuperação com um abrangente verificação antivírus. Embora nem todos os arquivos possam ser recuperáveis, nosso guia descreve vários métodos possíveis para recuperar o acesso a arquivos criptografados.

Djvu ransomware initiates its activities by utilizing multi-stage shellcodes, leading to file encryption. Adicionalmente, the malware integrates loops to extend its execution duration, making it harder for security systems to identify the malware.

Also, Djvu ransomware employs dynamic API resolution to access vital tools covertly. Later, it utilizes process hollowing, creating a replica of itself masked as another process to conceal its true intent.

How Vepi ransomware infect my PC?

Cybercriminals distribute ransomware in various ways. Djvu ransomware is commonly delivered via pirated software (or cracking tools and key generators) and shady pages posing as platforms for downloading videos from YouTube. Emails containing malicious attachments and links are also used as malware distribution channels.

Adicionalmente, computer infections can occur through software vulnerabilities, malicious advertisements, compromised websites, drive-by downloads, compromised USB drives, P2P networks, unofficial pages, and similar channels. Overall, most cybercriminals aim to lure users into performing actions resulting in computer infections.

Como remover?

Remove Vepi Virus with Gridinsoft Anti-Malware

Também temos usado este software em nossos sistemas desde, e sempre teve sucesso na detecção de vírus. Ele bloqueou o Ransomware mais comum como mostrado em nossos testes com o software, and we assure you that it can remove Vepi Virus as well as other malware hiding on your computer.

Antimalware Gridinsoft - Tela principal

Para usar Gridinsoft para remover ameaças maliciosas, Siga os passos abaixo:

1. Comece baixando Gridinsoft Anti-Malware, acessível através do botão azul abaixo ou diretamente do site oficial gridinsoft. com.

2.Assim que o arquivo de configuração do Gridinsoft (setup-gridinsoft-fix.exe) foi baixado, execute-o clicando no arquivo. Follow the installation setup wizard's instructions diligently.

Assistente de configuração do Gridinsoft

3. Acesse o "Guia Digitalizar" on the application's start screen and launch a comprehensive "Verificação completa" para examinar todo o seu computador. Esta varredura inclusiva abrange a memória, itens de inicialização, o registro, Serviços, motoristas, e todos os arquivos, garantindo que ele detecte malware oculto em todos os locais possíveis.

Scan for Vepi Virus Ransomware

Ser paciente, as the scan duration depends on the number of files and your computer's hardware capabilities. Use esse tempo para relaxar ou realizar outras tarefas.

4. Após a conclusão, O Anti-Malware apresentará um relatório detalhado contendo todos os itens maliciosos e ameaças detectados em seu PC.

The Vepi Virus was Found

5. Selecione todos os itens identificados no relatório e clique com segurança no "Limpa agora" botão. Esta ação removerá com segurança os arquivos maliciosos do seu computador, transferindo-os para a zona de quarentena segura do programa anti-malware para evitar quaisquer outras ações prejudiciais.

The Vepi Virus has been removed

6. Se solicitado, reinicie o seu computador para finalizar o procedimento de verificação completa do sistema. Esta etapa é crucial para garantir a remoção completa de quaisquer ameaças remanescentes. Após o reinício, O Gridinsoft Anti-Malware abrirá e exibirá uma mensagem confirmando a conclusão da verificação.

Lembre-se de que Gridinsoft oferece um teste gratuito de 6 dias. Isso significa que você pode aproveitar o período de teste sem nenhum custo para experimentar todos os benefícios do software e evitar futuras infecções por malware em seu sistema.. Embrace this opportunity to fortify your computer's security without any financial commitment.

Guia de vídeo

How To Decrypt .vepi Files?

Primeiro, tente excluir o “.vepi” extensão de alguns arquivos grandes e depois abri-los. Este malware luta com a criptografia de arquivos grandes. The virus either failed to lock the file upon access or encountered a bug and omitted to add the file marker. Se seus arquivos excederem 2 GB de tamanho, o último cenário é mais provável.

Os criminosos lançaram as mais novas extensões no final de agosto 2019 depois de fazer várias alterações.

As mudanças dos criminosos tornaram o STOPDecrypter sem suporte, levando à sua substituição pelo Emsisoft Decryptor para STOP Djvu Ransomware desenvolvido pela Emsisoft.

  1. Baixe e execute a ferramenta de descriptografia: Download ferramenta de descriptografia. Certifique-se de executar o utilitário de descriptografia como administrador e concordar com os termos de licença que aparecem clicando no botão “Sim” botão. Ao aceitar os termos da licença.
  2. Selecione pastas para descriptografia: O descriptografador, por padrão, seleciona automaticamente diretórios em unidades conectadas e de rede para descriptografia. Use o “Adicionar” botão para selecionar locais adicionais. Dependendo da família de malware, descriptografadores oferecem várias opções, que você pode ativar ou desativar na guia Opções. Abaixo, você encontrará uma lista detalhada das opções atualmente ativas.
  3. Inicie a descriptografia clicando no “Descriptografar” Botão. Depois de adicionar todos os locais desejados à lista, Clique no “Descriptografar” botão para iniciar o processo de descriptografia. O descriptografador irá informá-lo após a conclusão do processo de descriptografia. Se necessário para documentação, você pode salvar o relatório clicando no botão “Salvar registro” botão. Também é possível copiar o relatório para a área de transferência para colar em e-mails ou mensagens.

How to Restore .vepi Files?

In some cases, ransomware não consegue criptografar seus arquivos…

The Vepi ransomware encryption process involves encrypting each file byte-by-byte, criando uma duplicata, e depois deletando (não sobrescrevendo) o arquivo original. Esta exclusão significa que o disco físico não lista mais o arquivo em seu sistema, embora o arquivo original permaneça na unidade. O setor que continha o arquivo ainda pode contê-lo, mas como o sistema não o lista, novos dados podem sobrescrevê-los. No entanto, software especial pode recuperar seus arquivos.

Solução 1Solução 2
Este vírus conseguiu contornar dois programas antivírus e dois combatentes de malware e infectar meu PC.

Percebendo que era um algoritmo online, Eu sabia que recuperar meus arquivos criptografados era impossível. Minha unidade de backup, conectado durante a infecção, parecia infectado também. Todas as pastas da minha unidade de backup pareciam criptografadas. Apesar disso, Consegui me recuperar quase 80% do meu armazenamento de 2 TB.

Examinando as pastas, Encontrei notas de resgate em cada. A abertura de alguns revelou que apenas os arquivos que não estavam nas subpastas foram criptografados. Delving into subfolders in other folders, Eu descobri arquivos não criptografados. Ao contrário das minhas unidades C e D, onde todas as pastas, incluindo subpastas, foi criptografado, as subpastas da minha unidade de backup foram salvas 80% dos meus dados.

Considero que foi uma sorte encontrar essa brecha na minha unidade de backup. Adicionalmente, recuperei outro 10% dos meus dados de um disco rígido em um PC diferente. Por isso, meu conselho para usar uma unidade de backup é criar subpastas. Foi em parte sorte, mas também o infortúnio que o vírus atingiu durante as transferências de arquivos do meu backup.

Espero que esta experiência possa ajudar outras pessoas em situações semelhantes.

Jamie Newland
Here are some tips for Vepi file recovery and repair (aplicável a todas as variantes STOP/DJVU):

  • Verifique pastas aninhadas mais profundas, pois algumas variantes Stop/Djvu não conseguem criptografá-las, deixando-os descriptografados.
  • Como este ransomware salva dados criptografados em um novo arquivo e exclui o original, há uma chance de recuperar partes do arquivo excluído usando software de recuperação de arquivos. Embora seja improvável restaurar a estrutura de pastas, uma ferramenta como PhotoRec pode funcionar bem.
  • O ransomware criptografa parcialmente os arquivos (sobre o primeiro 150 KB), tornando possível recuperar a parte não criptografada dependendo do tamanho e tipo do arquivo.
  • Joep
    Brendan Smith
    Brendan Smith
    Especialista em segurança de TI
    Tente usar o GridinSoft Anti-Malware
    Não se esqueça de compartilhar sua experiência na resolução do problema. Por favor deixe um comentário aqui! Isto pode ajudar outras vítimas a compreender que não estão sozinhas. E juntos encontraremos maneiras de lidar com esse problema.
    Antimalware
    Avaliação de 6 dias do Gridinsoft Anti-Malware disponível.
    EULA | política de Privacidade | 10% Cupom de desconto

    Recover Vepi Files with PhotoRec

    FotoRec, projetado para recuperação de arquivos de discos danificados ou exclusão acidental, agora suporta restauração 400 tipos de arquivo, making it useful after a Vepi attack.

    Primeiro, baixar PhotoRec. É grátis, mas o desenvolvedor não oferece garantia para restauração de arquivos. PhotoRec vem empacotado com TestDisk, outra ferramenta do mesmo desenvolvedor, sob o nome TestDisk. No entanto, PhotoRec está incluído no arquivo.

    Para iniciar o PhotoRec, abra o “qphotorec_win.exe” arquivo. Nenhuma instalação é necessária, pois o programa contém todos os arquivos necessários, permitindo que ele seja executado a partir de uma unidade USB.

    1. Meus arquivos são criptografados por ransomware, o que eu deveria fazer agora?

    Sobre o autor

    Brendan Smith

    I'm Brendan Smith, um jornalista apaixonado, investigador, e desenvolvedor de conteúdo web. Com grande interesse em tecnologia de informática e segurança, Sou especializado em fornecer conteúdo de alta qualidade que educa e capacita os leitores a navegar no cenário digital.

    Focado em tecnologia de informática e segurança, Estou empenhado em compartilhar meu conhecimento e insights para ajudar indivíduos e organizações a se protegerem na era digital. Minha experiência em princípios de segurança cibernética, dados privados, e as melhores práticas permitem-me fornecer dicas e conselhos práticos que os leitores podem implementar para melhorar a sua segurança online.

    Deixe um comentário