Als afbeeldingen, documenten of bestanden worden gecodeerd met de bora-extensie, betekent dit dat uw computer is geïnfecteerd met STOP (DJVU) ransomware .
Ransomware STOP (DJVU) codeert persoonlijke documenten op de computer van het slachtoffer en geeft vervolgens een bericht weer waarin wordt aangeboden de gegevens te decoderen als u met Bitcoin betaalt. Instructies voor het decoderen van het bestand worden in het bestand _readme.txt op het bureaublad van het slachtoffer geplaatst. In dit artikel wordt uitgelegd hoe u ransomware verwijdert die een .bora-bestandsextensie creëert.
Waarschuwing: deze handleiding helpt u bij het verwijderen van ransomware die .bora-bestanden aanmaakt, maar helpt niet bij het herstellen van bestanden. U kunt ShadowExplorer of gratis software voor bestandsherstel proberen om gegevens te herstellen.
1. Hoe maakt ransomware .bora-bestanden aan om de computer te infiltreren
Ransomware maakt .bore-bestanden aan die worden verspreid via spam-e-mails met met ransomware geïnfecteerde bijlagen of waarbij kwetsbaarheden in het besturingssysteem en de geïnstalleerde software worden misbruikt.
Cybercriminelen spammen e-mails met valse kopinformatie, waardoor de ontvangers zich laten geloven dat deze afkomstig zijn van een transportbedrijf als DHL of FedEx. U ontvangt een e-mail met de melding dat u een bestelling wilt ontvangen, maar dat deze om de een of andere reden niet kan worden afgeleverd. Of soms bevestigt een e-mail uw aankoop. Hoe dan ook, het maakt de ontvanger nieuwsgierig en opent het bijgevoegde bestand (of klikt op de link die in de e-mail is ingesloten). En door dit te doen, wordt uw computer geïnfecteerd met ransomware die .bora-bestanden aanmaakt.
Ransomware maakt .bora-bestanden aan om slachtoffers aan te vallen door open Remote Desktop Services (RDP)-poorten te hacken. Aanvallers scannen systemen waarop RDP wordt uitgevoerd (TCP-poort 3389) en voeren vervolgens een brute force-aanval uit op het systeemwachtwoord.
2. Wat is ransomware die .bora-bestanden aanmaakt?
Ransomwarefamilie : STOP (DJVU) ransomware
Extensie : Bora
Losgeldbestand : _readme.txt
Losgeld : van 490 USD tot 980 USD (in Bitcoin)
Contact : gorentos@bitmessage.ch, gerentoshelp@firemail.cc of @datarestore op Telegram
Ransomware maakt .bora-bestanden aan die de gegevenstoegang beperken door het bestand te versleutelen. Chanteer vervolgens het slachtoffer door losgeld in Bitcoin te eisen om weer toegang te krijgen tot de gegevens. Dit type ransomware richt zich op alle versies van Windows, inclusief Windows 7, Windows 8 en Windows 10. Wanneer deze ransomware voor het eerst op de computer wordt geïnstalleerd, creëert deze ransomware een uitvoerbaar bestand met een willekeurige naam in de map %AppData% of %LocalAppData%. Dit uitvoerbare bestand wordt gestart en begint met het scannen van alle stationsletters op de computer om gecodeerde gegevensbestanden te vinden.
Ransomware creëert .bora-bestanden op zoek naar specifieke bestandsextensies om te versleutelen. De bestanden die het versleutelt, zijn vaak belangrijke documenten en bestanden zoals .doc, .docx, .xls, .pdf, etc. Wanneer het deze bestanden vindt, verandert het de bestandsextensie in bora zodat het niet meer kan worden geopend.
Hieronder vindt u een lijst met bestandsextensies waarop dit type ransomware zich richt:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Wanneer een bestand wordt gecodeerd door de bora-extensie, maakt deze ransomware een _readme.txt-bestand aan, waarin wordt uitgelegd hoe u het bestand kunt ophalen en losgeld wordt gevraagd in elke map waar het bestand is gecodeerd en op het Windows-bureaublad. Deze bestanden worden in elke map met gecodeerde bestanden geplaatst en bevatten informatie over hoe u contact kunt opnemen met cybercriminelen om de bestanden terug te krijgen.
Wanneer het scannen van de computer is voltooid, worden ook alle schaduwvolumekopieën op de geïnfecteerde computer verwijderd, zodat deze niet kunnen worden gebruikt om gecodeerde bestanden te herstellen.
3. Is uw computer geïnfecteerd met ransomware die .bora-bestanden aanmaakt?
Wanneer een computer is geïnfecteerd met deze ransomware, scant deze alle stationsletters om het doelbestandstype te vinden, codeert deze en voegt vervolgens de bora-extensie toe. Wanneer deze bestanden gecodeerd zijn, kunt u ze niet met reguliere programma's openen. Wanneer deze ransomware klaar is met het versleutelen van de bestanden van het slachtoffer, wordt er ook een bestand weergegeven met instructies over hoe u contact kunt opnemen met cybercriminelen (gorentos@bitmessage.ch of gerentoshelp@firemail.cc).
Dit is het bericht met het verzoek om losgeld in het bestand _readme.txt.
4. Is het mogelijk om bestanden te decoderen die zijn versleuteld met ransomware die .bora-bestanden aanmaakt?
Helaas kun je geen bestanden herstellen die zijn versleuteld met ransomware die .bora-bestanden aanmaakt, omdat er een privésleutel nodig is om deze te ontgrendelen, die alleen cybercriminelen hebben.
U moet echter niet betalen om bestanden te herstellen. Zelfs als u ervoor betaalt, is er geen garantie dat u weer toegang tot de bestanden krijgt.
5. Hoe ransomware te verwijderen die .bora-bestanden aanmaakt
Raadpleeg de sectie over het verwijderen van ransomware in het artikel Hoe verwijder ik ransomware die .boot-bestanden maakt om te leren hoe u ransomware verwijdert die .bora-bestanden maakt.
Om te voorkomen dat uw computer ransomwarebestanden met de .bora-extensie aanmaakt, moet u een antivirusprogramma op uw computer installeren en altijd een back-up maken van uw persoonlijke documenten. U kunt ook een programma genaamd HitmanPro.Alert gebruiken om te voorkomen dat bestandsversleutelende malware op het systeem wordt uitgevoerd.
Ik wens je succes!
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
