Если изображения, документы или файлы зашифрованы с помощью расширения Boot, это означает, что ваш компьютер заражен программой-вымогателем STOP (DJVU) .
Программа-вымогатель STOP (DJVU) шифрует личные документы на компьютере жертвы, а затем отображает сообщение с предложением расшифровать данные при оплате биткойнами. Инструкции по расшифровке файла отображены в файле _readme.txt. В этой статье вы узнаете, как удалить программу-вымогатель и создать файл .boot.
Предупреждение. Это руководство поможет вам удалить программу-вымогатель, создающую загрузочный файл, но не поможет восстановить его. Вы можете попробовать ShadowExplorer или бесплатное программное обеспечение для восстановления файлов для восстановления данных.
Инструкции по удалению программы-вымогателя, создающей файл .boot
Программа-вымогатель создает загрузочные хвостовые файлы, которые распространяются по электронной почте и содержат вложения, зараженные программой-вымогателем, или вводятся путем использования уязвимостей в операционной системе и установленном программном обеспечении.
Киберпреступники рассылают спам по электронной почте с поддельной информацией в заголовке, заставляя вас поверить, что письмо пришло от таких транспортных компаний, как DHL или FedEx. На электронную почту вам придет уведомление о том, что у вас есть заказ, но по какой-то причине он не может быть вам отправлен. Или иногда электронное письмо, подтверждающее сделанный вами заказ. В любом случае это вызывает у людей любопытство и они открывают вложение (или кликают по ссылке, встроенной в электронное письмо). В результате ваш компьютер заражен программой-вымогателем, которая создает файл .boot.
Программы-вымогатели, создающие файлы .boot, также могут атаковать, взламывая порты служб удаленных рабочих столов (RDP). Злоумышленники сканируют системы, работающие по протоколу RDP (TCP-порт 3389), а затем перебирают системный пароль.
Семейство программ-вымогателей : программа-вымогатель STOP (DJVU).
Расширение : Boot
Файл выкупа : _readme.txt
Выкуп : от 490 до 980 долларов США (в биткойнах)
Контакт : [email protected], [email protected] или @datarestore в Telegram.
Программа-вымогатель создает файл .boot, который ограничивает доступ к данным путем его шифрования. Затем он пытается шантажировать жертву, требуя выкуп в криптовалюте Биткойн, чтобы восстановить доступ к данным. Этот тип вымогателей нацелен на все версии Windows, включая Windows 7, Windows 8 и Windows 10. При первой установке на компьютер этот вымогатель создает исполняемый файл со случайным именем в папке %AppData% или %LocalAppData%. Этот исполняемый файл запустится и начнет сканирование всех букв дисков на компьютере в поисках зашифрованных файлов данных.
Программа-вымогатель создает файл .boot, который ищет файлы с определенными расширениями для шифрования. Файлы, которые он шифрует, часто представляют собой важные документы и файлы, такие как .doc, .docx, .xls, .pdf и т. д. Когда он находит эти файлы, он меняет расширение файла на Boot, чтобы его больше нельзя было открыть.
Ниже приведен список расширений файлов, на которые нацелен этот тип программ-вымогателей:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, кошелек, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Когда файл зашифрован с помощью расширения Boot, этот вирус-вымогатель создаст файл _readme.txt, объясняющий, как вернуть файл, и требующий выкуп в каждой папке, где файл был зашифрован, и на рабочем столе Windows. Эти файлы помещаются в каждую папку с зашифрованными файлами и содержат информацию о том, как связаться с киберпреступниками, чтобы вернуть файлы.
По завершении сканирования компьютера он также удаляет все теневые копии томов на зараженном компьютере, поэтому его нельзя использовать для восстановления зашифрованных файлов.
Когда компьютер заражен этим вирусом-вымогателем, он сканирует все буквы дисков, чтобы найти целевой тип файла, шифрует их, а затем добавляет загрузочное расширение. Когда эти файлы зашифрованы, вы не сможете открыть их обычными программами. Когда программа-вымогатель завершает шифрование файлов жертвы, она также отображает файл с инструкциями о том, как связаться с киберпреступниками ([email protected] или [email protected]).
Вот сообщение с запросом выкупа в файле _readme.txt:
К сожалению, ответ — нет. Вы не можете восстановить файлы, зашифрованные с помощью программы-вымогателя, которая создает файлы .boot, поскольку для разблокировки зашифрованных файлов необходим закрытый ключ, который есть только у киберпреступников.
Не платите за восстановление файлов. Даже если вы заплатите за них, нет никакой гарантии, что вы восстановите доступ к файлам.
Внимание: важно отметить, что при использовании этого метода вы можете потерять файлы. Malwarebytes и HitmanPro могут обнаружить и удалить эту программу-вымогатель, но эти программы не могут восстановить документы, фотографии или файлы. Поэтому вам необходимо подумать, прежде чем выполнять этот процесс.
Malwarebytes — одно из самых популярных и часто используемых антивирусных программ для Windows. Он может уничтожить многие типы вредоносных программ, которые другие программы могут пропустить.
Чтобы узнать, как использовать это антивирусное программное обеспечение , обратитесь к статье «Эффективный антивирус с программным обеспечением Malwarebytes Premium» .
HitmanPro — это сканер, реализующий уникальный облачный подход к сканированию на наличие вредоносных программ. HitmanPro сканирует поведение активных файлов, а также файлов в местах, где часто находятся вредоносные программы, для выполнения подозрительных действий. Если будет обнаружен неизвестный подозрительный файл, HitmanPro отправит его в облако для сканирования двумя лучшими на сегодняшний день антивирусными инструментами : Bitdefender и Kaspersky.
Хотя HitmanPro является условно-бесплатной программой, она стоит 24,95 доллара в год за один компьютер, но имеет практически неограниченное сканирование. Ограничено только в том случае, если вам необходимо удалить или поместить в карантин вредоносное ПО, обнаруженное HitmanPro в системе, а затем вы можете активировать пробную версию один раз каждые 30 дней для очистки.
Шаг 1. Загрузите HitmanPro
Шаг 2. Установите HitmanPro
После загрузки дважды щелкните «hitmanpro.exe» (для 32-разрядной версии Windows) или «hitmanpro_x64.exe» (для 64-разрядной версии Windows), чтобы установить программу на свой компьютер. Обычно загруженный файл сохраняется в папке «Загрузки».
Если вы видите сообщение UAC , нажмите «Да» .
Шаг 3. Следуйте инструкциям на экране.
Когда вы запустите HitmanPro, вы увидите экран запуска, как показано ниже. Нажмите кнопку «Далее» , чтобы выполнить сканирование системы.
Шаг 4. Дождитесь завершения процесса сканирования.
HitmanPro начнет сканирование вашего компьютера на наличие вредоносных программ. Этот процесс может занять несколько минут.
Шаг 5 . Нажмите "Далее
Когда HitmanPro завершит сканирование, он отобразит список всех найденных вредоносных программ. Нажмите «Далее» , чтобы удалить вредоносную программу.
Шаг 6 . Нажмите Активировать бесплатную лицензию.
Нажмите кнопку «Активировать бесплатную лицензию» , чтобы начать 30-дневную бесплатную пробную версию и удалить вредоносные файлы с вашего компьютера.
После завершения процесса вы можете закрыть HitmanPro и продолжить работу с оставшейся частью руководства.
В некоторых случаях можно восстановить предыдущую версию зашифрованного файла с помощью Boot Restore или другого программного обеспечения для восстановления, которое часто содержит теневую копию файла.
Ниже представлен инструмент для расшифровки файлов, зашифрованных программой-вымогателем STOP, созданный экспертами форума по безопасности Bleeping Computer. Вы можете попробовать его, чтобы узнать, сможете ли вы вернуть свои данные. Если это не помогло, попробуйте другие решения ниже.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipВариант 1. Восстановите файлы, зашифрованные с помощью программы-вымогателя, создав расширение файла .boot с помощью ShadowExplorer.
Программа-вымогатель, создающая расширение файла .boot, попытается удалить все теневые копии при первом запуске любого исполняемого файла на компьютере после заражения программой-вымогателем. К счастью, программы-вымогатели не могут удалить все теневые копии, поэтому вам следует попробовать восстановить файлы с помощью этого метода.
Шаг 1 . Загрузите ShadowExplorer, используя ссылку для скачивания ниже.
Шаг 2. Установите программу с настройками по умолчанию.
Шаг 3. Программа запустится автоматически после установки. Если нет, дважды щелкните значок ShadowExplorer.
Шаг 4 . Вы можете увидеть раскрывающийся список в верхней части панели. Выберите самый последний диск и теневую копию, которую вы хотите восстановить, прежде чем он будет заражен программой-вымогателем, создающей расширение файла .boot.
Шаг 5 . Щелкните правой кнопкой мыши диск , папку или файл, который вы хотите восстановить, и нажмите «Экспортировать…».
Шаг 6 . Наконец, ShadowExplorer сообщит вам, где вы хотите сохранить восстановленную копию файла.
Вариант 2. Восстановление зашифрованных файлов с расширением Boot с помощью программного обеспечения для восстановления файлов.
Когда файлы зашифрованы, эта программа-вымогатель сначала создает их копию, шифрует копию, а затем удаляет оригинал. Поэтому существует небольшая вероятность, что вы сможете использовать программное обеспечение для восстановления файлов для восстановления удаленных файлов, такое как Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Вариант 3. Используйте инструмент «Предыдущие версии Windows»
В Windows Vista и Windows 7 есть функция « Предыдущие версии» . Однако этот инструмент можно использовать только в том случае, если точка восстановления была создана до того, как заражение программой-вымогателем создало расширение файла .boot. Чтобы использовать этот инструмент и восстановить файлы, зараженные программой-вымогателем, выполните следующие действия:
Шаг 1 . Откройте «Мой компьютер» или «Проводник Windows» .
Шаг 2. Щелкните правой кнопкой мыши файлы или папки, зараженные программой-вымогателем. В раскрывающемся списке нажмите «Восстановить предыдущие версии ».
Шаг 3 . Откроется новое окно, показывающее все резервные копии файлов и папок, которые вы хотите восстановить. Выберите соответствующий файл и нажмите «Открыть» , «Копировать» или «Восстановить» . Восстановите выбранные файлы, перезаписав существующие зашифрованные файлы на компьютере.
Чтобы защитить ваш компьютер от программ-вымогателей, создающих расширение файла .boot, вам необходимо установить на свой компьютер антивирусную программу и всегда выполнять резервное копирование личных документов. Вы также можете использовать программу HitmanPro.Alert, чтобы предотвратить запуск в системе вредоносных программ, шифрующих файлы.
Желаю вам успехов!
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
