Se imagens, documentos ou arquivos forem criptografados com a extensão Boot, significa que seu computador está infectado com ransomware STOP (DJVU) .
O Ransomware STOP (DJVU) criptografa documentos pessoais no computador da vítima e, em seguida, exibe uma mensagem oferecendo a descriptografia dos dados se pagar com Bitcoin. As instruções para decodificar o arquivo são exibidas no arquivo _readme.txt. Este artigo irá guiá-lo como excluir ransomware e criar um arquivo .boot.
Aviso: Este guia irá ajudá-lo a remover ransomware que cria um arquivo .boot, mas não ajudará a restaurar o arquivo. Você pode experimentar o ShadowExplorer ou um software gratuito de recuperação de arquivos para recuperar dados.
Instruções para remover ransomware que cria um arquivo .boot
O ransomware cria arquivos finais inicializáveis que são distribuídos por e-mail contendo anexos infectados por ransomware ou inseridos através da exploração de vulnerabilidades no sistema operacional e no software instalado.
Os cibercriminosos enviam spam para e-mails com informações de cabeçalho falsas, fazendo-o acreditar que o e-mail é de empresas de transporte como DHL ou FedEx. Um e-mail notifica que você tem um pedido, mas por algum motivo ele não pode ser enviado a você. Ou às vezes um e-mail confirmando o pedido que você fez. De qualquer forma, deixa as pessoas curiosas e abrem o anexo (ou clicam no link embutido no e-mail). Como resultado, seu computador está infectado com ransomware que cria um arquivo .boot.
O ransomware que cria arquivos .boot também pode atacar hackeando portas de Serviços de Área de Trabalho Remota (RDP). Os invasores verificam os sistemas que executam RDP (porta TCP 3389) e, em seguida, executam um ataque de força bruta na senha do sistema
Família de ransomware : STOP (DJVU) ransomware
Extensão : inicialização
Arquivo de resgate : _readme.txt
Resgate : De 490 USD a 980 USD (em Bitcoin)
Contato : gorentos@bitmessage.ch, gerentoshelp@firemail.cc ou @datarestore no Telegram
O ransomware cria um arquivo .boot que restringe o acesso aos dados criptografando o arquivo. Em seguida, tenta chantagear a vítima exigindo um resgate na criptomoeda Bitcoin para recuperar o acesso aos dados. Este tipo de ransomware tem como alvo todas as versões do Windows, incluindo Windows 7, Windows 8 e Windows 10. Quando instalado pela primeira vez no computador, este ransomware cria um arquivo executável nomeado aleatoriamente na pasta %AppData% ou %LocalAppData%. Este arquivo executável será iniciado e começará a verificar todas as letras de unidade do computador para encontrar arquivos de dados criptografados.
O ransomware cria um arquivo .boot que procura arquivos com extensões específicas para criptografar. Os arquivos que ele criptografa geralmente são documentos e arquivos importantes, como .doc, .docx, .xls, .pdf, etc. Ao encontrar esses arquivos, ele alterará a extensão do arquivo para Boot para que não possa mais ser aberto.
Abaixo está uma lista de extensões de arquivo que esse tipo de ransomware tem como alvo:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, carteira, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Quando o arquivo é criptografado com a extensão Boot, este ransomware criará um arquivo _readme.txt, explicando como recuperar o arquivo e exigindo um resgate em cada pasta onde o arquivo foi criptografado e na área de trabalho do Windows. Esses arquivos são colocados em todas as pastas com arquivos criptografados e contêm informações sobre como entrar em contato com criminosos cibernéticos para recuperar os arquivos.
Ao concluir a verificação do computador, ele também exclui todas as cópias de sombra do computador infectado, para que não possa ser usado para recuperar arquivos criptografados.
Quando um computador é infectado por esse ransomware, ele verifica todas as letras das unidades para encontrar o tipo de arquivo de destino, criptografa-as e adiciona a extensão Boot. Quando esses arquivos são criptografados, você não poderá abri-los com programas normais. Quando este ransomware termina de encriptar os ficheiros da vítima, também exibe um ficheiro contendo instruções sobre como entrar em contato com criminosos cibernéticos (gorentos@bitmessage.ch ou gerentoshelp@firemail.cc).
Aqui está a mensagem de pedido de resgate no arquivo _readme.txt:
Infelizmente, a resposta é não. Você não pode recuperar arquivos criptografados com ransomware que cria arquivos .boot porque é necessária uma chave privada para desbloquear os arquivos criptografados, que apenas os cibercriminosos possuem.
Não pague para restaurar arquivos. Mesmo que você pague por eles, não há garantia de que recuperará o acesso aos arquivos.
Aviso: É importante observar que com este método você pode perder arquivos. Malwarebytes e HitmanPro podem detectar e remover este ransomware, mas estes programas não podem recuperar documentos, fotos ou arquivos. Portanto, você precisa considerar antes de realizar este processo.
Malwarebytes é um dos softwares antimalware mais populares e usados para Windows. Ele pode destruir muitos tipos de malware que outros softwares podem não perceber.
Consulte o artigo Antivírus eficaz com software Malwarebytes Premium para aprender como usar este software antimalware .
HitmanPro é um scanner que implementa uma abordagem exclusiva baseada em nuvem para verificação de malware. HitmanPro verifica o comportamento de arquivos ativos e também de arquivos em locais onde o malware geralmente reside para realizar atividades suspeitas. Se um arquivo suspeito desconhecido for encontrado, o HitmanPro o enviará para a nuvem para ser verificado por duas das melhores ferramentas antivírus da atualidade, Bitdefender e Kaspersky.
Embora HitmanPro seja shareware, custa US$ 24,95 por ano com um computador, mas tem digitalização praticamente ilimitada. Limitado apenas se você precisar remover ou colocar em quarentena o malware detectado pelo HitmanPro no sistema e então você pode ativar uma avaliação uma vez a cada 30 dias para limpeza.
Passo 1. Baixe HitmanPro
Passo 2. Instale HitmanPro
Após o download, clique duas vezes em “hitmanpro.exe” (para Windows 32 bits) ou “hitmanpro_x64.exe” (para Windows 64 bits) para instalar o programa em seu computador. Normalmente, o arquivo baixado será salvo na pasta Downloads.
Se você vir a mensagem do UAC , clique em Sim .
Passo 3. Siga as instruções na tela
Ao iniciar o HitmanPro, você verá a tela de inicialização conforme abaixo. Clique no botão Avançar para realizar uma verificação do sistema.
Passo 4. Aguarde a conclusão do processo de digitalização
HitmanPro começará a verificar seu computador em busca de programas maliciosos. Este processo pode demorar alguns minutos.
Etapa 5 . Clique em Próximo
Quando o HitmanPro terminar a verificação, ele exibirá uma lista de todos os malwares encontrados. Clique em Avançar para remover o programa malicioso.
Etapa 6 . Clique em Ativar licença gratuita
Clique no botão Ativar licença gratuita para iniciar seu teste gratuito de 30 dias e remover arquivos maliciosos do seu computador.
Assim que o processo for concluído, você pode fechar o HitmanPro e continuar com o restante do tutorial.
Em alguns casos, é possível restaurar uma versão anterior de um arquivo criptografado usando o Boot Restore ou outro software de recuperação que geralmente contém uma cópia de sombra do arquivo.
Abaixo está uma ferramenta para descriptografar arquivos criptografados pelo ransomware STOP, criada por especialistas do fórum de segurança Bleeping Computer. Você pode experimentá-la para ver se consegue recuperar seus dados. Se isso não funcionar, tente as outras soluções abaixo.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipOpção 1: recuperar arquivos criptografados com ransomware criando uma extensão de arquivo .boot com ShadowExplorer
O ransomware que cria uma extensão de arquivo .boot tentará excluir todas as cópias de sombra na primeira vez que qualquer arquivo executável for iniciado no computador após ser infectado pelo ransomware. Felizmente, o ransomware não consegue remover todas as cópias de sombra, então você deve tentar recuperar seus arquivos usando este método.
Passo 1 . Baixe ShadowExplorer usando o link de download abaixo.
Passo 2. Instale o programa com as configurações padrão.
Passo 3. O programa será executado automaticamente após a instalação. Caso contrário, clique duas vezes no ícone ShadowExplorer.
Passo 4 . Você pode ver a lista suspensa na parte superior do painel. Selecione a unidade e a cópia de sombra mais recentes que deseja restaurar antes de ser infectado pelo ransomware que cria a extensão de arquivo .boot.
Etapa 5 . Clique com o botão direito na unidade , pasta ou arquivo que deseja restaurar e clique em Exportar…
Etapa 6 . Finalmente, o ShadowExplorer irá notificá-lo onde você deseja salvar a cópia do arquivo recuperado.
Opção 2: recuperar arquivos criptografados com extensão de inicialização usando software de recuperação de arquivos
Quando os arquivos são criptografados, este ransomware primeiro faz uma cópia deles, criptografa a cópia e depois exclui o original. Portanto, há uma pequena chance de você usar um software de recuperação de arquivos para recuperar arquivos excluídos, como Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Opção 3: use a ferramenta de versões anteriores do Windows
O Windows Vista e o Windows 7 possuem um recurso chamado Versões Anteriores . No entanto, esta ferramenta só pode ser usada se o ponto de restauração tiver sido feito antes da infecção do ransomware criar a extensão de arquivo .boot. Para usar esta ferramenta e recuperar arquivos infectados com ransomware, siga estas etapas:
Passo 1 . Abra Meu Computador ou Windows Explorer .
Passo 2. Clique com o botão direito nos arquivos ou pastas infectados com ransomware. Na lista suspensa, clique em Restaurar versões anteriores .
Etapa 3 . Uma nova janela será aberta mostrando todos os backups dos arquivos e pastas que você deseja restaurar. Selecione o arquivo apropriado e clique em Abrir , Copiar ou Restaurar . Recupere arquivos selecionados substituindo arquivos criptografados existentes no computador.
Para evitar que o ransomware crie uma extensão de arquivo .boot em seu computador, você precisa instalar um programa antivírus em seu computador e sempre fazer backup de documentos pessoais. Você também pode usar um programa chamado HitmanPro.Alert para evitar a execução de malware com criptografia de arquivos no sistema.
Desejo-lhe sucesso!
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
