Dacă imaginile, documentele sau fișierele sunt criptate cu extensia Boot, înseamnă că computerul este infectat cu ransomware STOP (DJVU) .
Ransomware STOP (DJVU) criptează documentele personale de pe computerul victimei, apoi afișează un mesaj care oferă decriptarea datelor dacă plătiți cu Bitcoin. Instrucțiunile pentru decodarea fișierului sunt afișate în fișierul _readme.txt. Acest articol vă va ghida cum să ștergeți ransomware și să creați un fișier .boot.
Avertisment: acest ghid vă va ajuta să eliminați ransomware-ul care creează un fișier .boot, dar nu vă va ajuta la restaurarea fișierului. Puteți încerca ShadowExplorer sau software-ul gratuit de recuperare a fișierelor pentru a recupera datele.
Instrucțiuni pentru eliminarea ransomware-ului care creează un fișier .boot
Ransomware-ul creează fișiere bootable care sunt distribuite prin e-mail care conțin atașamente infectate cu ransomware sau introduse prin exploatarea vulnerabilităților din sistemul de operare și software-ul instalat.
Infractorii cibernetici spam e-mailuri cu informații false din antet, păcălindu-vă să credeți că e-mailurile provin de la companii de transport precum DHL sau FedEx. Un e-mail vă anunță că aveți o comandă, dar din anumite motive nu vă poate fi trimisă. Sau uneori un e-mail care confirmă comanda pe care ați făcut-o. În orice caz, îi face pe oameni curioși și deschid atașamentul (sau faceți clic pe linkul încorporat în e-mail). Ca rezultat, computerul dvs. este infectat cu ransomware care creează un fișier .boot.
Ransomware-ul care creează fișiere .boot poate ataca, de asemenea, prin piratarea porturilor Remote Desktop Services (RDP). Atacatorii scanează sistemele care rulează RDP (portul TCP 3389) și apoi efectuează un atac cu forță brută asupra parolei sistemului
Familia de ransomware : ransomware STOP (DJVU).
Extensie : Boot
Fișier de răscumpărare : _readme.txt
Răscumpărare : de la 490 USD la 980 USD (în Bitcoin)
Contact : gorentos@bitmessage.ch, gerentoshelp@firemail.cc sau @datarestore pe Telegram
Ransomware-ul creează un fișier .boot care restricționează accesul la date prin criptarea fișierului. Apoi încearcă să șantajeze victima cerând o răscumpărare în criptomoneda Bitcoin pentru a recâștiga accesul la date. Acest tip de ransomware vizează toate versiunile de Windows, inclusiv Windows 7, Windows 8 și Windows 10. Când este instalat pentru prima dată pe computer, acest ransomware creează un fișier executabil cu nume aleatoriu în folderul %AppData% sau %LocalAppData%. Acest fișier executabil se va lansa și va începe să scaneze toate literele de unitate de pe computer pentru a găsi fișiere de date criptate.
Ransomware creează un fișier .boot care caută fișiere cu anumite extensii de fișiere de criptat. Fișierele pe care le criptează sunt adesea documente și fișiere importante precum .doc, .docx, .xls, .pdf etc. Când găsește aceste fișiere, va schimba extensia fișierului în Boot, astfel încât să nu mai poată fi deschise.
Mai jos este o listă de extensii de fișiere pe care le vizează acest tip de ransomware:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .meniu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portofel, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Când fișierul este criptat cu extensia Boot, acest ransomware va crea un fișier _readme.txt, explicând cum să recuperați fișierul și solicitând o răscumpărare în fiecare folder în care fișierul a fost criptat și pe desktopul Windows. Aceste fișiere sunt plasate în fiecare folder cu fișiere criptate și conțin informații despre cum să contactați criminalii cibernetici pentru a recupera fișierele.
Când termină scanarea computerului, șterge și toate Copiile Shadow Volume de pe computerul infectat, astfel încât să nu poată fi folosit pentru a recupera fișierele criptate.
Când un computer este infectat cu acest ransomware, acesta scanează toate literele unității pentru a găsi tipul de fișier țintă, le criptează și apoi adaugă extensia Boot. Când aceste fișiere sunt criptate, nu le veți putea deschide cu programe obișnuite. Când acest ransomware termină criptarea fișierelor victimei, afișează și un fișier care conține instrucțiuni despre cum să contactați criminalii cibernetici (gorentos@bitmessage.ch sau gerentoshelp@firemail.cc).
Iată mesajul de cerere de răscumpărare din fișierul _readme.txt:
Din păcate, răspunsul este nu. Nu puteți recupera fișierele criptate cu ransomware care creează fișiere .boot, deoarece este necesară o cheie privată pentru a debloca fișierele criptate, pe care le au doar infractorii cibernetici.
Nu plătiți pentru a restaura fișierele. Chiar dacă plătiți pentru ele, nu există nicio garanție că veți recâștiga accesul la fișiere.
Atenție: Este important să rețineți că, cu această metodă, puteți pierde fișiere. Malwarebytes și HitmanPro pot detecta și elimina acest ransomware, dar aceste programe nu pot recupera documente, fotografii sau fișiere. Prin urmare, trebuie să luați în considerare înainte de a efectua acest proces.
Malwarebytes este unul dintre cele mai populare și mai utilizate programe anti-malware pentru Windows. Poate distruge multe tipuri de malware pe care alte programe software le pot pierde.
Consultați articolul Antivirus eficient cu software-ul Malwarebytes Premium pentru a afla cum să utilizați acest software anti- malware .
HitmanPro este un scaner care implementează o abordare unică bazată pe cloud pentru scanarea pentru malware. HitmanPro scanează comportamentul fișierelor active și, de asemenea, fișierele din locații unde se află adesea malware pentru a efectua activități suspecte. Dacă este găsit un fișier suspect necunoscut, HitmanPro îl va trimite în cloud pentru a fi scanat de două dintre cele mai bune instrumente antivirus de astăzi, Bitdefender și Kaspersky.
Deși HitmanPro este shareware, costă 24,95 USD pentru un an cu un singur computer, dar are scanare practic nelimitată. Limitat numai dacă aveți nevoie să eliminați sau să puneți în carantină malware-ul detectat de HitmanPro pe sistem și apoi puteți activa o perioadă de încercare o dată la 30 de zile pentru curățare.
Pasul 1. Descărcați HitmanPro
Pasul 2. Instalați HitmanPro
După descărcare, faceți dublu clic pe „hitmanpro.exe” (pentru Windows pe 32 de biți) sau pe „hitmanpro_x64.exe” (pentru Windows pe 64 de biți) pentru a instala programul pe computer. În mod normal, fișierul descărcat va fi salvat în folderul Descărcări.
Dacă vedeți că apare mesajul UAC , faceți clic pe Da .
Pasul 3. Urmați instrucțiunile de pe ecran
Când porniți HitmanPro, veți vedea ecranul de pornire ca mai jos. Faceți clic pe butonul Următorul pentru a efectua o scanare a sistemului.
Pasul 4. Așteptați finalizarea procesului de scanare
HitmanPro va începe să scaneze computerul pentru programe rău intenționate. Acest proces poate dura câteva minute.
Pasul 5 . Faceți clic pe Următorul
Când HitmanPro termină scanarea, va afișa o listă cu toate programele malware găsite. Faceți clic pe Următorul pentru a elimina programul rău intenționat.
Pasul 6 . Faceți clic pe Activare licență gratuită
Faceți clic pe butonul Activați licența gratuită pentru a începe perioada de încercare gratuită de 30 de zile și pentru a elimina fișierele rău intenționate de pe computer.
Odată ce procesul este finalizat, puteți închide HitmanPro și puteți continua cu restul tutorialului.
În unele cazuri, este posibil să restaurați o versiune anterioară a unui fișier criptat utilizând Boot Restore sau alt software de recuperare care conține adesea o copie umbră a fișierului.
Mai jos este un instrument de decriptare a fișierelor criptate de STOP ransomware, creat de experți pe forumul de securitate Bleeping Computer. Puteți să îl încercați pentru a vedea dacă vă puteți recupera datele. Dacă acest lucru nu funcționează, încercați celelalte soluții de mai jos.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipOpțiunea 1: recuperați fișierele criptate cu ransomware creând o extensie de fișier .boot cu ShadowExplorer
Ransomware-ul care creează o extensie de fișier .boot va încerca să ștergă toate copiile umbră la prima lansare a unui fișier executabil pe computer după ce a fost infectat cu ransomware. Din fericire, ransomware-ul nu poate elimina toate copiile umbre, așa că ar trebui să încercați să vă recuperați fișierele folosind această metodă.
Pasul 1 . Descărcați ShadowExplorer folosind link-ul de descărcare de mai jos.
Pasul 2. Instalați programul cu setările implicite.
Pasul 3. Programul va rula automat după instalare. Dacă nu, faceți dublu clic pe pictograma ShadowExplorer.
Pasul 4 . Puteți vedea lista derulantă în partea de sus a panoului. Selectați cea mai recentă unitate și copiere umbră pe care doriți să le restaurați înainte de a fi infectat cu ransomware care creează extensia de fișier .boot.
Pasul 5 . Faceți clic dreapta pe unitatea , folderul sau fișierul pe care doriți să îl restaurați și faceți clic pe Export...
Pasul 6 . În cele din urmă, ShadowExplorer vă va anunța unde doriți să salvați copia fișierului recuperat.
Opțiunea 2: Recuperați fișierele criptate cu extensia Boot folosind software-ul de recuperare a fișierelor
Când fișierele sunt criptate, acest ransomware face mai întâi o copie a acestora, criptează copia și apoi șterge originalul. Prin urmare, există o mică șansă să puteți utiliza un software de recuperare a fișierelor pentru a recupera fișiere șterse, cum ar fi Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Opțiunea 3: Utilizați instrumentul Versiuni anterioare din Windows
Windows Vista și Windows 7 au o caracteristică numită Versiuni anterioare . Cu toate acestea, acest instrument poate fi utilizat numai dacă punctul de restaurare a fost făcut înainte ca infecția ransomware să creeze extensia de fișier .boot. Pentru a utiliza acest instrument și a recupera fișierele infectate cu ransomware, urmați acești pași:
Pasul 1 . Deschideți Computerul meu sau Windows Explorer .
Pasul 2. Faceți clic dreapta pe fișierele sau folderele infectate cu ransomware. Din lista derulantă, faceți clic pe Restaurare versiuni anterioare .
Pasul 3 . Se va deschide o nouă fereastră care arată toate copiile de rezervă ale fișierelor și folderelor pe care doriți să le restaurați. Selectați fișierul corespunzător și faceți clic pe Deschidere , Copiere sau Restaurare . Recuperați fișierele selectate suprascriind fișierele criptate existente pe computer.
Pentru a împiedica computerul să creeze o extensie de fișier .boot ca ransomware, trebuie să instalați un program antivirus pe computer și să faceți întotdeauna copii de rezervă ale documentelor personale. De asemenea, puteți utiliza un program numit HitmanPro.Alert pentru a preveni rularea programelor malware de criptare a fișierelor pe sistem.
Vă doresc succes!
Vedeți o notificare de activare a Windows 10 în colțul din dreapta al ecranului? Acest articol vă va ghida cum să ștergeți notificarea de solicitare a drepturilor de autor pe Windows 10.
Recent, Microsoft a lansat cea mai recentă actualizare cumulativă pentru utilizatorii de PC Windows 10 numită Build 14393.222. Această actualizare lansată pentru Windows 10 remediază în principal erorile pe baza feedback-ului utilizatorilor și îmbunătățește experiența de performanță a sistemului de operare.
Aveți computere în rețeaua locală care au nevoie de acces extern? Utilizarea unei gazde bastion ca gatekeeper pentru rețeaua dvs. poate fi o soluție bună.
Uneori, poate fi necesar să ștergeți jurnalele vechi de evenimente dintr-o dată. În acest ghid, Quantrimang.com vă va arăta 3 moduri de a șterge rapid toate jurnalele de evenimente din Windows 10 Event Viewer.
Dacă preferați să utilizați o tastatură clasică veche, cum ar fi IBM Model M, care nu include o tastă fizică Windows, există o metodă ușoară de a adăuga mai multe, împrumutând o tastă pe care nu o utilizați des.
WindowTop este un instrument care are capacitatea de a estompa toate ferestrele aplicațiilor și programele care rulează pe computere cu Windows 10. Sau puteți utiliza o interfață cu fundal întunecat pe Windows.
În multe articole anterioare, am menționat că păstrarea anonimatului online este extrem de importantă. Informații private sunt scurse în fiecare an, ceea ce face securitatea online din ce în ce mai necesară. Acesta este și motivul pentru care ar trebui să folosim adrese IP virtuale. Mai jos, vom afla despre metodele de a crea IP-uri false!
Bara de limbă din Windows 8 este o bară de instrumente de limbă în miniatură concepută pentru a fi afișată automat pe ecranul desktop. Cu toate acestea, mulți oameni doresc să ascundă această bară de limbă în bara de activități.
Maximizarea vitezei de internet este esențială pentru optimizarea conexiunii la rețea. Puteți avea o experiență optimă de divertisment și de lucru folosind computere, televizoare gata de internet, console de jocuri etc.
Conectivitatea wireless este o necesitate astăzi și, din această cauză, securitatea wireless este esențială pentru a asigura siguranța în rețeaua dumneavoastră internă.
