إذا تم تشفير الصور أو المستندات أو الملفات بامتداد Boot، فهذا يعني أن جهاز الكمبيوتر الخاص بك مصاب ببرنامج الفدية STOP (DJVU) .
يقوم برنامج Ransomware STOP (DJVU) بتشفير المستندات الشخصية على كمبيوتر الضحية، ثم يعرض رسالة تعرض فك تشفير البيانات في حالة الدفع باستخدام Bitcoin. يتم عرض إرشادات فك تشفير الملف في ملف _readme.txt. سترشدك هذه المقالة إلى كيفية حذف برامج الفدية وإنشاء ملف .boot.
تحذير: سيساعدك هذا الدليل على إزالة برامج الفدية التي تنشئ ملف .boot، لكنه لن يساعد في استعادة الملف. يمكنك تجربة ShadowExplorer أو برنامج استرداد الملفات المجاني لاستعادة البيانات.
تعليمات لإزالة برامج الفدية التي تقوم بإنشاء ملف .boot
تقوم برامج الفدية بإنشاء ملفات ذيل قابلة للتمهيد يتم توزيعها عبر البريد الإلكتروني التي تحتوي على مرفقات مصابة ببرامج الفدية أو يتم إدخالها عن طريق استغلال الثغرات الأمنية في نظام التشغيل والبرامج المثبتة.
يقوم مجرمو الإنترنت بإرسال رسائل بريد إلكتروني غير مرغوب فيها تحتوي على معلومات رأسية مزيفة، مما يخدعك للاعتقاد بأن البريد من شركات الشحن مثل DHL أو FedEx. تُعلمك رسالة بريد إلكتروني بأن لديك طلبًا ولكن لسبب ما لا يمكن إرساله إليك. أو في بعض الأحيان رسالة بريد إلكتروني تؤكد الطلب الذي قمت به. وفي كلتا الحالتين، فإنه يثير فضول الأشخاص ويفتحون المرفق (أو ينقرون على الرابط المضمن في البريد الإلكتروني). ونتيجة لذلك، يصاب جهاز الكمبيوتر الخاص بك ببرنامج الفدية الذي يقوم بإنشاء ملف .boot.
يمكن أيضًا لبرامج الفدية التي تنشئ ملفات .boot أن تهاجم عن طريق اختراق منافذ خدمات سطح المكتب البعيد (RDP). يقوم المهاجمون بفحص الأنظمة التي تقوم بتشغيل RDP (منفذ TCP 3389) ثم يقومون بهجوم عنيف على كلمة مرور النظام
عائلة برامج الفدية : STOP (DJVU) برامج الفدية
التمديد : التمهيد
ملف الفدية : _readme.txt
الفدية : من 490 دولارًا أمريكيًا إلى 980 دولارًا أمريكيًا (بالبيتكوين)
جهة الاتصال : gorentos@bitmessage.ch أو gerentoshelp@firemail.cc أو @datarestore على Telegram
تقوم برامج الفدية بإنشاء ملف .boot الذي يقيد الوصول إلى البيانات عن طريق تشفير الملف. ثم يحاول ابتزاز الضحية من خلال المطالبة بفدية بالعملة المشفرة Bitcoin لاستعادة الوصول إلى البيانات. يستهدف هذا النوع من برامج الفدية جميع إصدارات Windows بما في ذلك Windows 7 وWindows 8 وWindows 10. عند تثبيت برنامج الفدية هذا لأول مرة على الكمبيوتر، يقوم بإنشاء ملف قابل للتنفيذ مسمى عشوائيًا في المجلد %AppData% أو %LocalAppData%. سيتم تشغيل هذا الملف القابل للتنفيذ والبدء في فحص جميع أحرف محركات الأقراص الموجودة على الكمبيوتر للعثور على ملفات البيانات المشفرة.
تقوم برامج الفدية بإنشاء ملف .boot يبحث عن الملفات ذات امتدادات ملفات محددة لتشفيرها. غالبًا ما تكون الملفات التي يقوم بتشفيرها عبارة عن مستندات وملفات مهمة مثل .doc و.docx و.xls و.pdf وما إلى ذلك. وعندما يعثر على هذه الملفات، فإنه سيغير امتداد الملف إلى Boot بحيث لا يمكن فتحه بعد الآن. .
فيما يلي قائمة بامتدادات الملفات التي يستهدفها هذا النوع من برامج الفدية:
.sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf ، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mddata، .itl، .itdb، .icxs، .hvpl، .hplg، . hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، .mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، .iwd، .vpk، .tor، .psk، .rim، .w3x ، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta، .vfs0، .mpqge، .kdb، .db0، .dba، . rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa، .apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، Wallet، .wotreplay، .xxx، .desc، .py، .m3u، .flv، .js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، .pfx، .pem، .crt، .cer، .der، .x3f، .srw، .pef، .ptx، .r3d، .rw2، .rwl، .raw، .raf ، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2، .srf، .arw، .3fr، .dng، .jpe، . jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، .rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm ، .odp، .ods، .odt
عندما يتم تشفير الملف بامتداد Boot، سيقوم برنامج الفدية هذا بإنشاء ملف _readme.txt، موضحًا كيفية استعادة الملف والمطالبة بفدية في كل مجلد تم تشفير الملف فيه وعلى سطح مكتب Windows. يتم وضع هذه الملفات في كل مجلد يحتوي على ملفات مشفرة وتحتوي على معلومات حول كيفية الاتصال بمجرمي الإنترنت لاستعادة الملفات.
وعندما ينتهي من فحص الكمبيوتر، فإنه يقوم أيضًا بحذف كافة نسخ Shadow Volume الموجودة على الكمبيوتر المصاب بحيث لا يمكن استخدامه لاستعادة الملفات المشفرة.
عندما يصاب جهاز كمبيوتر ببرنامج الفدية هذا، فإنه يقوم بفحص كافة أحرف محركات الأقراص للعثور على نوع الملف المستهدف، ويقوم بتشفيرها ثم يضيف ملحق التمهيد. عندما يتم تشفير هذه الملفات، لن تتمكن من فتحها بالبرامج العادية. عندما ينتهي برنامج الفدية هذا من تشفير ملفات الضحية، فإنه يعرض أيضًا ملفًا يحتوي على تعليمات حول كيفية الاتصال بمجرمي الإنترنت (gorentos@bitmessage.ch أو gerentoshelp@firemail.cc).
إليك رسالة طلب الفدية في ملف _readme.txt:
وللأسف، فإن الجواب هو لا. لا يمكنك استعادة الملفات المشفرة باستخدام برامج الفدية التي تنشئ ملفات .boot لأن هناك حاجة إلى مفتاح خاص لفتح الملفات المشفرة، والتي لا يمتلكها سوى مجرمي الإنترنت.
لا تدفع لاستعادة الملفات. وحتى لو دفعت ثمنها، فليس هناك ما يضمن أنك ستستعيد إمكانية الوصول إلى الملفات.
تحذير: من المهم ملاحظة أنه باستخدام هذه الطريقة قد تفقد الملفات. يمكن لـ Malwarebytes وHitmanPro اكتشاف برامج الفدية هذه وإزالتها، لكن لا تستطيع هذه البرامج استرداد المستندات أو الصور أو الملفات. ولذلك، عليك أن تنظر قبل القيام بهذه العملية.
يعد Malwarebytes أحد أشهر برامج مكافحة البرامج الضارة وأكثرها استخدامًا لنظام التشغيل Windows. يمكنه تدمير العديد من أنواع البرامج الضارة التي قد تفشل فيها البرامج الأخرى.
راجع المقالة برنامج مكافحة الفيروسات الفعال باستخدام برنامج Malwarebytes Premium للتعرف على كيفية استخدام برنامج مكافحة البرامج الضارة هذا .
HitmanPro هو ماسح ضوئي يطبق أسلوبًا فريدًا قائمًا على السحابة للبحث عن البرامج الضارة. يقوم HitmanPro بفحص سلوك الملفات النشطة وكذلك الملفات الموجودة في المواقع التي توجد بها البرامج الضارة غالبًا لتنفيذ أنشطة مشبوهة. إذا تم العثور على ملف مشبوه غير معروف، فسوف يرسله HitmanPro إلى السحابة ليتم فحصه بواسطة اثنتين من أفضل أدوات مكافحة الفيروسات اليوم، Bitdefender وKaspersky.
على الرغم من أن برنامج HitmanPro عبارة عن برنامج تجريبي، إلا أنه يكلف 24.95 دولارًا أمريكيًا لمدة عام باستخدام جهاز كمبيوتر واحد، ولكنه يتمتع عمليًا بمسح غير محدود. يقتصر فقط إذا كنت بحاجة إلى إزالة البرامج الضارة التي اكتشفها HitmanPro على النظام أو عزلها، ومن ثم يمكنك تنشيط النسخة التجريبية مرة كل 30 يومًا للتنظيف.
الخطوة 1. قم بتنزيل HitmanPro
الخطوة 2. قم بتثبيت HitmanPro
بعد التنزيل، انقر نقرًا مزدوجًا فوق "hitmanpro.exe" (لنظام Windows 32 بت) أو "hitmanpro_x64.exe" (لنظام Windows 64 بت) لتثبيت البرنامج على جهاز الكمبيوتر الخاص بك. عادةً، سيتم حفظ الملف الذي تم تنزيله في مجلد التنزيلات.
إذا رأيت رسالة UAC تظهر، فانقر فوق نعم .
الخطوة 3. اتبع التعليمات التي تظهر على الشاشة
عند بدء تشغيل HitmanPro، سترى شاشة بدء التشغيل على النحو التالي. انقر فوق الزر " التالي " لإجراء فحص النظام.
الخطوة 4. انتظر حتى تكتمل عملية المسح
سيبدأ HitmanPro في فحص جهاز الكمبيوتر الخاص بك بحثًا عن البرامج الضارة. قد تستغرق هذه العملية بضع دقائق.
الخطوة 5 . انقر فوق {التالي
عندما ينتهي HitmanPro من الفحص، سيعرض قائمة بجميع البرامج الضارة التي تم العثور عليها. انقر فوق "التالي " لإزالة البرنامج الضار.
الخطوة 6 . انقر فوق تنشيط الترخيص المجاني
انقر فوق الزر تنشيط الترخيص المجاني لبدء النسخة التجريبية المجانية لمدة 30 يومًا وإزالة الملفات الضارة من جهاز الكمبيوتر الخاص بك.
بمجرد اكتمال العملية، يمكنك إغلاق HitmanPro ومتابعة بقية البرنامج التعليمي.
في بعض الحالات، من الممكن استعادة إصدار سابق من ملف مشفر باستخدام Boot Restore أو برنامج استرداد آخر يحتوي غالبًا على نسخة ظلية من الملف.
يوجد أدناه أداة لفك تشفير الملفات المشفرة بواسطة برنامج STOP Ransomware، والتي أنشأها خبراء في منتدى أمان Bleeping Computer. يمكنك تجربتها لمعرفة ما إذا كان بإمكانك استعادة بياناتك. إذا لم ينجح ذلك، فجرّب الحلول الأخرى أدناه.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipالخيار 1: استرداد الملفات المشفرة باستخدام برنامج الفدية عبر إنشاء ملحق الملف .boot باستخدام ShadowExplorer
ستحاول برامج الفدية التي تنشئ امتداد ملف .boot حذف جميع النسخ الاحتياطية في المرة الأولى التي يتم فيها تشغيل أي ملف قابل للتنفيذ على الكمبيوتر بعد إصابته ببرنامج الفدية. لحسن الحظ، لا يمكن لبرنامج الفدية إزالة جميع النسخ الاحتياطية، لذا يجب أن تحاول استرداد ملفاتك باستخدام هذه الطريقة.
الخطوة 1 . قم بتنزيل ShadowExplorer باستخدام رابط التنزيل أدناه.
الخطوة 2. قم بتثبيت البرنامج بالإعدادات الافتراضية.
الخطوة 3. سيتم تشغيل البرنامج تلقائيًا بعد التثبيت. إذا لم يكن الأمر كذلك، فانقر نقرًا مزدوجًا على أيقونة ShadowExplorer.
الخطوة 4 . يمكنك رؤية القائمة المنسدلة في أعلى اللوحة. حدد أحدث نسخة من محرك الأقراص والنسخة الخلفية التي تريد استعادتها قبل الإصابة ببرنامج الفدية الذي ينشئ ملحق الملف .boot.
الخطوة 5 . انقر بزر الماوس الأيمن فوق محرك الأقراص أو المجلد أو الملف الذي تريد استعادته ثم انقر فوق تصدير...
الخطوة 6 . وأخيرًا، سيعلمك ShadowExplorer بالمكان الذي تريد حفظ نسخة الملف المسترد فيه.
الخيار 2: استرداد الملفات المشفرة بامتداد Boot باستخدام برنامج استرداد الملفات
عندما يتم تشفير الملفات، يقوم برنامج الفدية هذا أولاً بإنشاء نسخة منها، ثم يقوم بتشفير النسخة ثم يقوم بحذف النسخة الأصلية. لذلك، هناك فرصة صغيرة لاستخدام برامج استرداد الملفات لاستعادة الملفات المحذوفة مثل Recuva وEaseUS Data Recovery Wizard Free وR-Studio.
الخيار 3: استخدم أداة الإصدارات السابقة من Windows
يحتوي نظاما التشغيل Windows Vista وWindows 7 على ميزة تسمى الإصدارات السابقة . ومع ذلك، لا يمكن استخدام هذه الأداة إلا إذا تم إنشاء نقطة الاستعادة قبل أن تقوم إصابة برنامج الفدية بإنشاء ملحق الملف .boot. لاستخدام هذه الأداة واستعادة الملفات المصابة ببرامج الفدية، اتبع الخطوات التالية:
الخطوة 1 . افتح جهاز الكمبيوتر أو مستكشف Windows .
الخطوة 2. انقر بزر الماوس الأيمن على الملفات أو المجلدات المصابة ببرامج الفدية. من القائمة المنسدلة، انقر فوق استعادة الإصدارات السابقة .
الخطوه 3 . سيتم فتح نافذة جديدة تعرض جميع النسخ الاحتياطية للملفات والمجلدات التي تريد استعادتها. حدد الملف المناسب ثم انقر فوق فتح أو نسخ أو استعادة . قم باستعادة الملفات المحددة من خلال الكتابة فوق الملفات المشفرة الموجودة على جهاز الكمبيوتر.
لمنع جهاز الكمبيوتر الخاص بك من إنشاء برامج الفدية بامتداد ملف .boot، تحتاج إلى تثبيت برنامج مكافحة فيروسات على جهاز الكمبيوتر الخاص بك وإجراء نسخ احتياطي للمستندات الشخصية دائمًا. يمكنك أيضًا استخدام برنامج يسمى HitmanPro.Alert لمنع تشغيل البرامج الضارة التي تقوم بتشفير الملفات على النظام.
أتمنى لك النجاح!
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
