Jika imej, dokumen atau fail disulitkan dengan sambungan Boot, ini bermakna komputer anda dijangkiti perisian tebusan STOP (DJVU) .
Ransomware STOP (DJVU) menyulitkan dokumen peribadi pada komputer mangsa, kemudian memaparkan mesej yang menawarkan untuk menyahsulit data jika membayar dengan Bitcoin. Arahan untuk menyahkod fail dipaparkan dalam fail _readme.txt. Artikel ini akan membimbing anda cara memadam perisian tebusan dan mencipta fail .boot.
Amaran: Panduan ini akan membantu anda mengalih keluar perisian tebusan yang mencipta fail .boot, tetapi tidak akan membantu memulihkan fail. Anda boleh mencuba ShadowExplorer atau perisian pemulihan fail percuma untuk memulihkan data.
Arahan untuk mengalih keluar perisian tebusan yang mencipta fail .boot
Ransomware mencipta fail ekor boleh boot yang diedarkan melalui e-mel yang mengandungi lampiran yang dijangkiti ransomware atau dimasukkan dengan mengeksploitasi kelemahan dalam sistem pengendalian dan perisian yang dipasang.
E-mel spam penjenayah siber dengan maklumat pengepala palsu, memperdaya anda supaya mempercayai mel itu daripada syarikat perkapalan seperti DHL atau FedEx. E-mel memberitahu anda bahawa anda mempunyai pesanan tetapi atas sebab tertentu ia tidak boleh dihantar kepada anda. Atau kadangkala e-mel yang mengesahkan pesanan yang telah anda buat. Sama ada cara, ia membuatkan orang ingin tahu dan membuka lampiran (atau klik pada pautan yang dibenamkan dalam e-mel). Akibatnya, komputer anda dijangkiti perisian tebusan yang mencipta fail .boot.
Ransomware yang mencipta fail .boot juga boleh menyerang dengan menggodam port Perkhidmatan Desktop Jauh (RDP). Penyerang mengimbas sistem yang menjalankan RDP (port TCP 3389) dan kemudian melakukan serangan kekerasan pada kata laluan sistem
Keluarga ransomware : STOP (DJVU) ransomware
Sambungan : But
Fail tebusan : _readme.txt
Tebusan : Dari 490 USD hingga 980 USD (dalam Bitcoin)
Hubungi : gorentos@bitmessage.ch, gerentoshelp@firemail.cc atau @datarestore di Telegram
Ransomware mencipta fail .boot yang menyekat akses kepada data dengan menyulitkan fail. Ia kemudian cuba memeras ugut mangsa dengan menuntut wang tebusan dalam mata wang kripto Bitcoin untuk mendapatkan semula akses kepada data. Perisian tebusan jenis ini menyasarkan semua versi Windows termasuk Windows 7, Windows 8 dan Windows 10. Apabila pertama kali dipasang pada komputer, perisian tebusan ini mencipta fail boleh laku yang dinamakan secara rawak dalam folder %AppData% atau %LocalAppData%. Fail boleh laku ini akan dilancarkan dan mula mengimbas semua huruf pemacu pada komputer untuk mencari fail data yang disulitkan.
Ransomware mencipta fail .boot yang mencari fail dengan sambungan fail khusus untuk disulitkan. Fail yang disulitkannya selalunya merupakan dokumen dan fail penting seperti .doc, .docx, .xls, .pdf, dsb. Apabila ia menjumpai fail ini, ia akan menukar sambungan fail kepada Boot supaya ia tidak lagi boleh dibuka. .
Di bawah ialah senarai sambungan fail yang disasarkan oleh perisian tebusan jenis ini:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, dompet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Apabila fail disulitkan dengan sambungan Boot, perisian tebusan ini akan mencipta fail _readme.txt, menerangkan cara mendapatkan semula fail dan menuntut wang tebusan dalam setiap folder tempat fail telah disulitkan dan pada desktop Windows. Fail ini diletakkan dalam setiap folder dengan fail yang disulitkan dan mengandungi maklumat tentang cara menghubungi penjenayah siber untuk mendapatkan semula fail tersebut.
Apabila ia selesai mengimbas komputer, ia juga memadamkan semua Salinan Volume Bayangan pada komputer yang dijangkiti supaya ia tidak boleh digunakan untuk memulihkan fail yang disulitkan.
Apabila komputer dijangkiti perisian tebusan ini, ia mengimbas semua huruf pemacu untuk mencari jenis fail sasaran, menyulitkannya dan kemudian menambah sambungan Boot. Apabila fail ini disulitkan, anda tidak akan dapat membukanya dengan program biasa. Apabila perisian tebusan ini selesai menyulitkan fail mangsa, ia juga memaparkan fail yang mengandungi arahan tentang cara menghubungi penjenayah siber (gorentos@bitmessage.ch atau gerentoshelp@firemail.cc).
Berikut ialah mesej permintaan tebusan dalam fail _readme.txt:
Malangnya, jawapannya tidak. Anda tidak boleh memulihkan fail yang disulitkan dengan perisian tebusan yang mencipta fail .boot kerana kunci peribadi diperlukan untuk membuka kunci fail yang disulitkan, yang hanya dimiliki oleh penjenayah siber.
Jangan bayar untuk memulihkan fail. Walaupun anda membayarnya, tiada jaminan anda akan mendapat semula akses fail.
Amaran: Adalah penting untuk ambil perhatian bahawa dengan kaedah ini anda mungkin kehilangan fail. Malwarebytes dan HitmanPro boleh mengesan dan mengalih keluar perisian tebusan ini, tetapi program ini tidak dapat memulihkan dokumen, foto atau fail. Oleh itu, anda perlu mengambil kira sebelum melakukan proses ini.
Malwarebytes ialah salah satu perisian anti-malware yang paling popular dan paling banyak digunakan untuk Windows. Ia boleh memusnahkan banyak jenis perisian hasad yang mungkin terlepas oleh perisian lain.
Rujuk artikel Antivirus berkesan dengan perisian Malwarebytes Premium untuk mengetahui cara menggunakan perisian anti- malware ini .
HitmanPro ialah pengimbas yang melaksanakan pendekatan berasaskan awan yang unik untuk mengimbas perisian hasad. HitmanPro mengimbas gelagat fail aktif dan juga fail di lokasi di mana perisian hasad sering berada untuk melakukan aktiviti yang mencurigakan. Jika fail mencurigakan yang tidak diketahui ditemui, HitmanPro akan menghantarnya ke awan untuk diimbas oleh dua alat antivirus terbaik hari ini, Bitdefender dan Kaspersky.
Walaupun HitmanPro ialah perisian kongsi, ia berharga $24.95 untuk setahun dengan satu komputer, tetapi mempunyai pengimbasan tanpa had. Terhad hanya jika anda mempunyai keperluan untuk mengalih keluar atau mengkuarantin perisian hasad yang dikesan oleh HitmanPro pada sistem dan kemudian anda boleh mengaktifkan percubaan setiap 30 hari sekali untuk pembersihan.
Langkah 1. Muat turun HitmanPro
Langkah 2. Pasang HitmanPro
Selepas memuat turun, klik dua kali pada "hitmanpro.exe" (untuk Windows 32-bit) atau "hitmanpro_x64.exe" (untuk Windows 64-bit) untuk memasang program pada komputer anda. Biasanya, fail yang dimuat turun akan disimpan dalam folder Muat Turun.
Jika anda melihat mesej UAC muncul, klik Ya .
Langkah 3. Ikut arahan pada skrin
Apabila anda memulakan HitmanPro, anda akan melihat skrin permulaan seperti di bawah. Klik butang Seterusnya untuk melakukan imbasan sistem.
Langkah 4. Tunggu sehingga proses pengimbasan selesai
HitmanPro akan mula mengimbas komputer anda untuk program berniat jahat. Proses ini mungkin mengambil masa beberapa minit.
Langkah 5 . Klik Seterusnya
Apabila HitmanPro selesai mengimbas, ia akan memaparkan senarai semua perisian hasad yang ditemui. Klik Seterusnya untuk mengalih keluar program berniat jahat.
Langkah 6 . Klik Aktifkan lesen percuma
Klik butang Aktifkan lesen percuma untuk memulakan percubaan percuma 30 hari anda dan mengalih keluar fail berniat jahat daripada komputer anda.
Setelah proses selesai, anda boleh menutup HitmanPro dan meneruskan tutorial yang lain.
Dalam sesetengah kes, adalah mungkin untuk memulihkan versi sebelumnya fail yang disulitkan menggunakan Boot Restore atau perisian pemulihan lain yang selalunya mengandungi salinan bayangan fail tersebut.
Di bawah ialah alat untuk menyahsulit fail yang disulitkan oleh STOP ransomware, yang dicipta oleh pakar di forum keselamatan Bleeping Computer. Anda boleh mencubanya untuk melihat sama ada anda boleh mendapatkan semula data anda. Jika ini tidak berjaya, cuba penyelesaian lain di bawah.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipPilihan 1: Pulihkan fail yang disulitkan dengan perisian tebusan mencipta sambungan fail .boot dengan ShadowExplorer
Ransomware yang mencipta sambungan fail .boot akan cuba memadam semua salinan bayangan pada kali pertama mana-mana fail boleh laku dilancarkan pada komputer selepas dijangkiti ransomware. Nasib baik, perisian tebusan tidak boleh mengalih keluar semua salinan bayangan, jadi anda harus cuba memulihkan fail anda menggunakan kaedah ini.
Langkah 1 . Muat turun ShadowExplorer menggunakan pautan muat turun di bawah.
Langkah 2. Pasang program dengan tetapan lalai.
Langkah 3. Program akan berjalan secara automatik selepas pemasangan. Jika tidak, klik dua kali pada ikon ShadowExplorer.
Langkah 4 . Anda boleh melihat senarai juntai bawah di bahagian atas panel. Pilih pemacu dan salinan bayangan terbaharu yang anda mahu pulihkan sebelum dijangkiti perisian tebusan yang mencipta sambungan fail .boot.
Langkah 5 . Klik kanan Pemacu , Folder atau Fail yang anda mahu pulihkan dan klik Eksport…
Langkah 6 . Akhir sekali, ShadowExplorer akan memberitahu anda di mana anda ingin menyimpan salinan fail yang dipulihkan.
Pilihan 2: Pulihkan fail yang disulitkan dengan sambungan Boot menggunakan perisian pemulihan fail
Apabila fail disulitkan, perisian tebusan ini mula-mula membuat salinannya, menyulitkan salinan dan kemudian memadamkan yang asal. Oleh itu, terdapat peluang kecil anda boleh menggunakan perisian pemulihan fail untuk memulihkan fail yang dipadam seperti Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Pilihan 3: Gunakan alat Versi Sebelumnya Windows
Windows Vista dan Windows 7 mempunyai ciri yang dipanggil Versi Sebelumnya . Walau bagaimanapun, alat ini hanya boleh digunakan jika titik pemulihan dibuat sebelum jangkitan ransomware mencipta sambungan fail .boot. Untuk menggunakan alat ini dan memulihkan fail yang dijangkiti ransomware, ikut langkah berikut:
Langkah 1 . Buka Komputer Saya atau Windows Explorer .
Langkah 2. Klik kanan pada fail atau folder yang dijangkiti ransomware. Daripada senarai juntai bawah, klik Pulihkan versi sebelumnya .
Langkah 3 . Tetingkap baharu akan dibuka menunjukkan semua sandaran fail dan folder yang ingin anda pulihkan. Pilih fail yang sesuai dan klik Buka , Salin atau Pulihkan . Pulihkan fail terpilih yang menimpa fail yang disulitkan sedia ada pada komputer.
Untuk menghalang komputer anda daripada perisian tebusan mencipta sambungan fail .boot, anda perlu memasang program anti-virus pada komputer anda dan sentiasa membuat sandaran dokumen peribadi. Anda juga boleh menggunakan program yang dipanggil HitmanPro.Alert untuk menghalang perisian hasad penyulitan fail daripada dijalankan pada sistem.
Semoga berjaya!
Adakah anda melihat pemberitahuan pengaktifan Windows 10 di sudut kanan skrin? Artikel ini akan membimbing anda cara memadamkan notis permintaan hak cipta pada Windows 10.
Baru-baru ini Microsoft mengeluarkan kemas kini kumulatif terkini untuk pengguna PC Windows 10 yang dipanggil Build 14393.222. Kemas kini yang dikeluarkan untuk Windows 10 ini terutamanya membetulkan pepijat berdasarkan maklum balas pengguna dan meningkatkan pengalaman prestasi sistem pengendalian.
Adakah anda mempunyai komputer pada rangkaian tempatan anda yang memerlukan akses luaran? Menggunakan hos benteng sebagai penjaga pintu untuk rangkaian anda boleh menjadi penyelesaian yang baik.
Kadangkala anda mungkin perlu memadamkan log peristiwa lama sekaligus. Dalam panduan ini, Quantrimang.com akan menunjukkan kepada anda 3 cara untuk memadam semua log peristiwa dalam Windows 10 Event Viewer dengan cepat.
Jika anda lebih suka menggunakan papan kekunci klasik lama, seperti IBM Model M, yang tidak termasuk kekunci Windows fizikal, terdapat kaedah mudah untuk menambah lagi, dengan meminjam kunci yang anda jarang gunakan. .
WindowTop ialah alat yang mempunyai keupayaan untuk meredupkan semua tetingkap aplikasi dan program yang dijalankan pada komputer Windows 10. Atau anda boleh menggunakan antara muka latar belakang gelap pada tingkap.
Dalam banyak artikel sebelumnya, kami telah menyebut bahawa kekal tanpa nama dalam talian adalah sangat penting. Maklumat peribadi dibocorkan setiap tahun, menjadikan keselamatan dalam talian semakin diperlukan. Itulah juga sebab kita harus menggunakan alamat IP maya. Di bawah, kita akan belajar tentang kaedah untuk mencipta IP palsu!
Bar Bahasa pada Windows 8 ialah bar alat bahasa kecil yang direka untuk dipaparkan secara automatik pada skrin Desktop. Walau bagaimanapun, ramai orang ingin menyembunyikan bar bahasa ini pada Bar Tugas.
Memaksimumkan kelajuan Internet adalah penting untuk mengoptimumkan sambungan rangkaian anda. Anda boleh menikmati hiburan dan pengalaman kerja yang optimum menggunakan komputer, TV sedia Internet, konsol permainan, dsb.
Kesambungan wayarles adalah satu keperluan hari ini dan kerana itu, keselamatan wayarles adalah penting untuk memastikan keselamatan dalam rangkaian dalaman anda.
