Jeśli obrazy, dokumenty lub pliki są zaszyfrowane za pomocą rozszerzenia bora, oznacza to, że Twój komputer jest zainfekowany oprogramowaniem ransomware STOP (DJVU) .
Ransomware STOP (DJVU) szyfruje dokumenty osobiste na komputerze ofiary, a następnie wyświetla komunikat oferujący odszyfrowanie danych w przypadku płatności Bitcoinem. Instrukcje dotyczące odszyfrowania pliku umieszczane są w pliku _readme.txt na pulpicie ofiary. W tym artykule dowiesz się, jak usunąć oprogramowanie ransomware tworzące rozszerzenie pliku .bora.
Ostrzeżenie: ten przewodnik pomoże Ci usunąć oprogramowanie ransomware tworzące pliki .bora, ale nie pomoże w ich przywróceniu. Aby odzyskać dane , możesz wypróbować ShadowExplorer lub darmowe oprogramowanie do odzyskiwania plików.
1. W jaki sposób oprogramowanie ransomware tworzy pliki .bora w celu infiltracji komputera
Ransomware tworzy pliki .bore, które są dystrybuowane za pośrednictwem wiadomości spamowych zawierających załączniki zainfekowane ransomware lub wykorzystujące luki w zabezpieczeniach systemu operacyjnego i zainstalowanego oprogramowania.
Cyberprzestępcy spamują wiadomości e-mail zawierające fałszywe informacje w nagłówkach, oszukując odbiorców, aby uwierzyli, że pochodzą one od firmy spedycyjnej, takiej jak DHL lub FedEx. E-mail poinformuje Cię, że masz zamówienie do odebrania, ale z jakiegoś powodu nie może ono zostać dostarczone. Czasami e-mail potwierdza zakup. Tak czy inaczej, wzbudzi to ciekawość odbiorcy i otworzy załączony plik (lub kliknie link osadzony w wiadomości e-mail). Robiąc to, Twój komputer zostanie zainfekowany oprogramowaniem ransomware tworzącym pliki .bora.
Ransomware tworzy pliki .bora w celu atakowania ofiar poprzez hakowanie otwartych portów usług pulpitu zdalnego (RDP). Osoby atakujące skanują systemy z uruchomionym protokołem RDP (port TCP 3389), a następnie przeprowadzają atak brute-force na hasło systemowe.
2. Co to jest oprogramowanie ransomware tworzące pliki .bora?
Rodzina ransomware : ransomware STOP (DJVU).
Rozszerzenie : Bora
Plik okupu : _readme.txt
Okup : od 490 USD do 980 USD (w Bitcoinach)
Kontakt : gorentos@bitmessage.ch, gerentoshelp@firemail.cc lub @datarestore na Telegramie
Ransomware tworzy pliki .bora, które ograniczają dostęp do danych poprzez szyfrowanie pliku. Następnie szantażuj ofiarę, żądając okupu w Bitcoinach za odzyskanie dostępu do danych. Ten typ oprogramowania ransomware atakuje wszystkie wersje systemu Windows, w tym Windows 7, Windows 8 i Windows 10. Po pierwszej instalacji na komputerze to oprogramowanie ransomware tworzy plik wykonywalny o losowej nazwie w folderze %AppData% lub %LocalAppData%. Ten plik wykonywalny zostanie uruchomiony i rozpocznie skanowanie wszystkich liter dysków na komputerze w celu znalezienia zaszyfrowanych plików danych.
Ransomware tworzy pliki .bora poszukujące określonych rozszerzeń plików do zaszyfrowania. Pliki, które szyfruje, to często ważne dokumenty i pliki, takie jak .doc, .docx, .xls, .pdf itp. Kiedy znajdzie te pliki, zmieni rozszerzenie pliku na bora, tak aby nie można było go już otworzyć.
Poniżej znajduje się lista rozszerzeń plików, na które celują tego typu ransomware:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portfel, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Kiedy plik jest szyfrowany przez rozszerzenie bora, to ransomware tworzy plik _readme.txt, wyjaśniając, jak odzyskać plik i żądając okupu w każdym folderze, w którym plik został zaszyfrowany, oraz na pulpicie systemu Windows. Pliki te są umieszczane w każdym folderze z zaszyfrowanymi plikami i zawierają informacje, jak skontaktować się z cyberprzestępcami w celu odzyskania plików.
Po zakończeniu skanowania komputera usuwa również wszystkie kopie woluminów w tle na zainfekowanym komputerze, więc nie można ich użyć do odzyskania zaszyfrowanych plików.
3. Czy Twój komputer jest zainfekowany oprogramowaniem ransomware tworzącym pliki .bora?
Kiedy komputer zostaje zainfekowany tym ransomware, skanuje wszystkie litery dysków w celu znalezienia docelowego typu pliku, szyfruje je, a następnie dodaje rozszerzenie bora. Gdy te pliki zostaną zaszyfrowane, nie będzie można ich otworzyć za pomocą zwykłych programów. Kiedy to ransomware zakończy szyfrowanie plików ofiary, wyświetla również plik zawierający instrukcje dotyczące sposobu skontaktowania się z cyberprzestępcami (gorentos@bitmessage.ch lub gerentoshelp@firemail.cc).
To jest wiadomość z żądaniem okupu w pliku _readme.txt.
4. Czy można odszyfrować pliki zaszyfrowane oprogramowaniem ransomware tworzącym pliki .bora?
Niestety nie można odzyskać plików zaszyfrowanych ransomware tworzącym pliki .bora, ponieważ do ich odblokowania potrzebny jest klucz prywatny, którym dysponują tylko cyberprzestępcy.
Nie należy jednak płacić za przywracanie plików. Nawet jeśli za nie zapłacisz, nie ma gwarancji, że odzyskasz dostęp do plików.
5. Jak usunąć oprogramowanie ransomware tworzące pliki .bora
Zapoznaj się z sekcją dotyczącą usuwania oprogramowania ransomware w artykule Jak usunąć oprogramowanie ransomware tworzące pliki .boot, aby dowiedzieć się, jak usunąć oprogramowanie ransomware tworzące pliki .bora.
Aby uniemożliwić komputerowi tworzenie plików ransomware z rozszerzeniem .bora, musisz zainstalować na swoim komputerze program antywirusowy i zawsze tworzyć kopie zapasowe swoich osobistych dokumentów. Możesz także użyć programu o nazwie HitmanPro.Alert, aby zapobiec uruchomieniu w systemie złośliwego oprogramowania szyfrującego pliki.
Życzę powodzenia!
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
