Als afbeeldingen, documenten of bestanden worden gecodeerd met de Boot-extensie, betekent dit dat uw computer is geïnfecteerd met STOP (DJVU) ransomware .
Ransomware STOP (DJVU) codeert persoonlijke documenten op de computer van het slachtoffer en geeft vervolgens een bericht weer waarin wordt aangeboden de gegevens te decoderen als u met Bitcoin betaalt. Instructies voor het decoderen van het bestand worden weergegeven in het bestand _readme.txt. In dit artikel wordt uitgelegd hoe u ransomware verwijdert en een .boot-bestand maakt.
Waarschuwing: deze handleiding helpt u bij het verwijderen van ransomware die een .boot-bestand aanmaakt, maar helpt u niet bij het herstellen van het bestand. U kunt ShadowExplorer of gratis software voor bestandsherstel proberen om gegevens te herstellen.
Instructies voor het verwijderen van ransomware die een .boot-bestand aanmaakt
Ransomware creëert opstartbare staartbestanden die worden verspreid via e-mail met met ransomware geïnfecteerde bijlagen of die worden ingevoerd door misbruik te maken van kwetsbaarheden in het besturingssysteem en de geïnstalleerde software.
Cybercriminelen spammen e-mails met valse headerinformatie, waardoor u denkt dat de e-mail afkomstig is van transportbedrijven zoals DHL of FedEx. Een e-mail laat u weten dat u een bestelling heeft, maar deze om de een of andere reden niet naar u kan worden verzonden. Of soms een e-mail ter bevestiging van de bestelling die u heeft gedaan. Hoe dan ook, het maakt mensen nieuwsgierig en opent de bijlage (of klikt op de link die in de e-mail is ingesloten). Als gevolg hiervan is uw computer geïnfecteerd met ransomware die een .boot-bestand aanmaakt.
Ransomware die .boot-bestanden aanmaakt, kan ook aanvallen door Remote Desktop Services (RDP)-poorten te hacken. Aanvallers scannen systemen waarop RDP wordt uitgevoerd (TCP-poort 3389) en voeren vervolgens een brute force-aanval uit op het systeemwachtwoord
Ransomwarefamilie : STOP (DJVU) ransomware
Extensie : opstarten
Losgeldbestand : _readme.txt
Losgeld : van 490 USD tot 980 USD (in Bitcoin)
Contact : gorentos@bitmessage.ch, gerentoshelp@firemail.cc of @datarestore op Telegram
Ransomware maakt een .boot-bestand aan dat de toegang tot gegevens beperkt door het bestand te versleutelen. Vervolgens probeert het het slachtoffer te chanteren door losgeld in de cryptocurrency Bitcoin te eisen om weer toegang te krijgen tot de gegevens. Dit type ransomware richt zich op alle versies van Windows, inclusief Windows 7, Windows 8 en Windows 10. Wanneer deze ransomware voor het eerst op de computer wordt geïnstalleerd, creëert deze ransomware een uitvoerbaar bestand met een willekeurige naam in de map %AppData% of %LocalAppData%. Dit uitvoerbare bestand wordt gestart en begint met het scannen van alle stationsletters op de computer om gecodeerde gegevensbestanden te vinden.
Ransomware maakt een .boot-bestand aan dat zoekt naar bestanden met specifieke bestandsextensies om te versleutelen. De bestanden die het versleutelt, zijn vaak belangrijke documenten en bestanden zoals .doc, .docx, .xls, .pdf, enz. Wanneer het deze bestanden vindt, verandert het de bestandsextensie in Boot zodat het niet langer kan worden geopend.
Hieronder vindt u een lijst met bestandsextensies waarop dit type ransomware zich richt:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portemonnee, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Wanneer het bestand is gecodeerd met de Boot-extensie, maakt deze ransomware een _readme.txt-bestand aan, waarin wordt uitgelegd hoe u het bestand terug kunt krijgen en losgeld wordt geëist in elke map waar het bestand is gecodeerd en op het Windows-bureaublad. Deze bestanden worden in elke map met gecodeerde bestanden geplaatst en bevatten informatie over hoe u contact kunt opnemen met cybercriminelen om de bestanden terug te krijgen.
Wanneer het scannen van de computer is voltooid, worden ook alle schaduwvolumekopieën op de geïnfecteerde computer verwijderd, zodat deze niet kunnen worden gebruikt om gecodeerde bestanden te herstellen.
Wanneer een computer is geïnfecteerd met deze ransomware, scant deze alle stationsletters om het doelbestandstype te vinden, codeert deze en voegt vervolgens de Boot-extensie toe. Wanneer deze bestanden gecodeerd zijn, kunt u ze niet met reguliere programma's openen. Wanneer deze ransomware klaar is met het versleutelen van de bestanden van het slachtoffer, wordt er ook een bestand weergegeven met instructies over hoe u contact kunt opnemen met cybercriminelen (gorentos@bitmessage.ch of gerentoshelp@firemail.cc).
Hier is het bericht met het verzoek om losgeld in het bestand _readme.txt:
Helaas is het antwoord nee. U kunt geen bestanden herstellen die zijn versleuteld met ransomware die .boot-bestanden aanmaakt, omdat er een privésleutel nodig is om de versleutelde bestanden te ontgrendelen, die alleen cybercriminelen hebben.
Betaal niet om bestanden te herstellen. Zelfs als u ervoor betaalt, is er geen garantie dat u weer toegang tot de bestanden krijgt.
Waarschuwing: het is belangrijk op te merken dat u met deze methode mogelijk bestanden kwijtraakt. Malwarebytes en HitmanPro kunnen deze ransomware detecteren en verwijderen, maar deze programma's kunnen geen documenten, foto's of bestanden herstellen. Daarom moet u dit overwegen voordat u dit proces uitvoert.
Malwarebytes is een van de populairste en meest gebruikte antimalwaresoftware voor Windows. Het kan vele soorten malware vernietigen die andere software mogelijk over het hoofd ziet.
Raadpleeg het artikel Effectieve antivirus met Malwarebytes Premium-software om te leren hoe u deze anti -malwaresoftware kunt gebruiken .
HitmanPro is een scanner die een unieke cloudgebaseerde aanpak voor het scannen op malware implementeert. HitmanPro scant het gedrag van actieve bestanden en ook van bestanden op locaties waar malware zich vaak bevindt om verdachte activiteiten uit te voeren. Als een onbekend verdacht bestand wordt gevonden, stuurt HitmanPro dit naar de cloud om te worden gescand door twee van de beste antivirusprogramma's van dit moment: Bitdefender en Kaspersky.
Hoewel HitmanPro shareware is, kost het $24,95 voor een jaar met één computer, maar kun je vrijwel onbeperkt scannen. Alleen beperkt als u de door HitmanPro op het systeem gedetecteerde malware moet verwijderen of in quarantaine moet plaatsen. Vervolgens kunt u elke 30 dagen een proefversie activeren om deze op te schonen.
Stap 1. HitmanPro downloaden
Stap 2. Installeer HitmanPro
Dubbelklik na het downloaden op “hitmanpro.exe” (voor Windows 32-bit) of “hitmanpro_x64.exe” (voor Windows 64-bit) om het programma op uw computer te installeren. Normaal gesproken wordt het gedownloade bestand opgeslagen in de map Downloads.
Als u het UAC- bericht ziet verschijnen, klikt u op Ja .
Stap 3. Volg de instructies op het scherm
Wanneer u HitmanPro start, ziet u het opstartscherm zoals hieronder. Klik op de knop Volgende om een systeemscan uit te voeren.
Stap 4. Wacht tot het scanproces is voltooid
HitmanPro begint uw computer te scannen op schadelijke programma's. Dit proces kan enkele minuten duren.
Stap 5 . Klik volgende
Wanneer HitmanPro klaar is met scannen, wordt er een lijst weergegeven met alle gevonden malware. Klik op Volgende om het schadelijke programma te verwijderen.
Stap 6 . Klik op Gratis licentie activeren
Klik op de knop Gratis licentie activeren om uw gratis proefperiode van 30 dagen te starten en schadelijke bestanden van uw computer te verwijderen.
Zodra het proces is voltooid, kunt u HitmanPro sluiten en doorgaan met de rest van de tutorial.
In sommige gevallen is het mogelijk om een eerdere versie van een gecodeerd bestand te herstellen met Boot Restore of andere herstelsoftware die vaak een schaduwkopie van het bestand bevat.
Hieronder vindt u een hulpmiddel om bestanden te decoderen die zijn gecodeerd door de STOP-ransomware, gemaakt door experts van het Bleeping Computer-beveiligingsforum. U kunt het proberen om te zien of u uw gegevens terug kunt krijgen. Als dit niet werkt, probeer dan de andere onderstaande oplossingen.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipOptie 1: Herstel bestanden die zijn versleuteld met ransomware en maak een .boot-bestandsextensie met ShadowExplorer
Ransomware die een .boot-bestandsextensie aanmaakt, zal proberen alle schaduwkopieën te verwijderen wanneer een uitvoerbaar bestand voor de eerste keer op de computer wordt gestart nadat het met ransomware is geïnfecteerd. Gelukkig kan ransomware niet alle schaduwkopieën verwijderen, dus probeer uw bestanden met deze methode te herstellen.
Stap 1 . Download ShadowExplorer via de onderstaande downloadlink.
Stap 2. Installeer het programma met standaardinstellingen.
Stap 3. Het programma wordt na installatie automatisch uitgevoerd. Als dit niet het geval is, dubbelklikt u op het ShadowExplorer-pictogram.
Stap 4 . U kunt de vervolgkeuzelijst bovenaan het paneel zien. Selecteer de meest recente schijf en schaduwkopie die u wilt herstellen voordat u wordt geïnfecteerd met ransomware die de bestandsextensie .boot aanmaakt.
Stap 5 . Klik met de rechtermuisknop op het station , de map of het bestand dat u wilt herstellen en klik op Exporteren...
Stap 6 . Ten slotte zal ShadowExplorer u laten weten waar u de herstelde bestandskopie wilt opslaan.
Optie 2: Herstel gecodeerde bestanden met Boot-extensie met behulp van software voor bestandsherstel
Wanneer bestanden worden gecodeerd, maakt deze ransomware er eerst een kopie van, codeert de kopie en verwijdert vervolgens het origineel. Daarom is er een kleine kans dat u bestandsherstelsoftware kunt gebruiken om verwijderde bestanden te herstellen, zoals Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Optie 3: gebruik de tool Vorige versies van Windows
Windows Vista en Windows 7 hebben een functie genaamd Vorige versies . Deze tool kan echter alleen worden gebruikt als het herstelpunt is gemaakt voordat de ransomware-infectie de bestandsextensie .boot creëerde. Volg deze stappen om deze tool te gebruiken en bestanden te herstellen die zijn geïnfecteerd met ransomware:
Stap 1 . Open Mijn computer of Windows Verkenner .
Stap 2. Klik met de rechtermuisknop op bestanden of mappen die zijn geïnfecteerd met ransomware. Klik in de vervolgkeuzelijst op Vorige versies herstellen .
Stap 3 . Er wordt een nieuw venster geopend met alle back-ups van de bestanden en mappen die u wilt herstellen. Selecteer het juiste bestand en klik op Openen , Kopiëren of Herstellen . Herstel geselecteerde bestanden en overschrijf bestaande gecodeerde bestanden op de computer.
Om te voorkomen dat ransomware op uw computer een .boot-bestandsextensie aanmaakt, moet u een antivirusprogramma op uw computer installeren en altijd een back-up maken van persoonlijke documenten. U kunt ook een programma genaamd HitmanPro.Alert gebruiken om te voorkomen dat bestandsversleutelende malware op het systeem wordt uitgevoerd.
Ik wens je succes!
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
