Как удалить программу-вымогатель, создающую файл .boot

Если изображения, документы или файлы зашифрованы с помощью расширения Boot, это означает, что ваш компьютер заражен программой-вымогателем STOP (DJVU) .

Программа-вымогатель STOP (DJVU) шифрует личные документы на компьютере жертвы, а затем отображает сообщение с предложением расшифровать данные при оплате биткойнами. Инструкции по расшифровке файла отображены в файле _readme.txt. В этой статье вы узнаете, как удалить программу-вымогатель и создать файл .boot.

Предупреждение. Это руководство поможет вам удалить программу-вымогатель, создающую загрузочный файл, но не поможет восстановить его. Вы можете попробовать ShadowExplorer или бесплатное программное обеспечение для восстановления файлов для восстановления данных.

Инструкции по удалению программы-вымогателя, создающей файл .boot

• 1. Программа-вымогатель создает файл .boot. Как он попадает на ваш компьютер?
• 2. Что такое программа-вымогатель, создающая загрузочный файл?
• 3. Ваш компьютер заражен программой-вымогателем, создающей загрузочный файл?
• 4. Можно ли расшифровать файлы, зашифрованные программой-вымогателем, создающей файлы .boot?
• 5. Как удалить программу-вымогатель, создающую расширение файла .boot
  • Используйте Malwarebytes для удаления программ-вымогателей, создающих файлы .boot.
  • Используйте HitmanPro для сканирования на наличие вредоносных и нежелательных программ
  • Восстановите файлы, зашифрованные программой-вымогателем, создав файлы .boot с помощью программного обеспечения для восстановления.
• 6. Как предотвратить заражение вашего компьютера программой-вымогателем, создающей расширение файла .boot

1. Программа-вымогатель создает файл .boot. Как он попадает на ваш компьютер?

Программа-вымогатель создает загрузочные хвостовые файлы, которые распространяются по электронной почте и содержат вложения, зараженные программой-вымогателем, или вводятся путем использования уязвимостей в операционной системе и установленном программном обеспечении.

Киберпреступники рассылают спам по электронной почте с поддельной информацией в заголовке, заставляя вас поверить, что письмо пришло от таких транспортных компаний, как DHL или FedEx. На электронную почту вам придет уведомление о том, что у вас есть заказ, но по какой-то причине он не может быть вам отправлен. Или иногда электронное письмо, подтверждающее сделанный вами заказ. В любом случае это вызывает у людей любопытство и они открывают вложение (или кликают по ссылке, встроенной в электронное письмо). В результате ваш компьютер заражен программой-вымогателем, которая создает файл .boot.

Программы-вымогатели, создающие файлы .boot, также могут атаковать, взламывая порты служб удаленных рабочих столов (RDP). Злоумышленники сканируют системы, работающие по протоколу RDP (TCP-порт 3389), а затем перебирают системный пароль.

2. Что такое программа-вымогатель, создающая загрузочный файл?

Семейство программ-вымогателей : программа-вымогатель STOP (DJVU).

Расширение : Boot

Файл выкупа : _readme.txt

Выкуп : от 490 до 980 долларов США (в биткойнах)

Контакт : [email protected], [email protected] или @datarestore в Telegram.

Программа-вымогатель создает файл .boot, который ограничивает доступ к данным путем его шифрования. Затем он пытается шантажировать жертву, требуя выкуп в криптовалюте Биткойн, чтобы восстановить доступ к данным. Этот тип вымогателей нацелен на все версии Windows, включая Windows 7, Windows 8 и Windows 10. При первой установке на компьютер этот вымогатель создает исполняемый файл со случайным именем в папке %AppData% или %LocalAppData%. Этот исполняемый файл запустится и начнет сканирование всех букв дисков на компьютере в поисках зашифрованных файлов данных.

Программа-вымогатель создает файл .boot, который ищет файлы с определенными расширениями для шифрования. Файлы, которые он шифрует, часто представляют собой важные документы и файлы, такие как .doc, .docx, .xls, .pdf и т. д. Когда он находит эти файлы, он меняет расширение файла на Boot, чтобы его больше нельзя было открыть.

Ниже приведен список расширений файлов, на которые нацелен этот тип программ-вымогателей:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, кошелек, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Когда файл зашифрован с помощью расширения Boot, этот вирус-вымогатель создаст файл _readme.txt, объясняющий, как вернуть файл, и требующий выкуп в каждой папке, где файл был зашифрован, и на рабочем столе Windows. Эти файлы помещаются в каждую папку с зашифрованными файлами и содержат информацию о том, как связаться с киберпреступниками, чтобы вернуть файлы.

По завершении сканирования компьютера он также удаляет все теневые копии томов на зараженном компьютере, поэтому его нельзя использовать для восстановления зашифрованных файлов.

3. Ваш компьютер заражен программой-вымогателем, создающей загрузочный файл?

Когда компьютер заражен этим вирусом-вымогателем, он сканирует все буквы дисков, чтобы найти целевой тип файла, шифрует их, а затем добавляет загрузочное расширение. Когда эти файлы зашифрованы, вы не сможете открыть их обычными программами. Когда программа-вымогатель завершает шифрование файлов жертвы, она также отображает файл с инструкциями о том, как связаться с киберпреступниками ([email protected] или [email protected]).

Вот сообщение с запросом выкупа в файле _readme.txt:

4. Можно ли расшифровать файлы, зашифрованные программой-вымогателем, создающей файлы .boot?

К сожалению, ответ — нет. Вы не можете восстановить файлы, зашифрованные с помощью программы-вымогателя, которая создает файлы .boot, поскольку для разблокировки зашифрованных файлов необходим закрытый ключ, который есть только у киберпреступников.

Не платите за восстановление файлов. Даже если вы заплатите за них, нет никакой гарантии, что вы восстановите доступ к файлам.

5. Как удалить программу-вымогатель, создающую расширение файла .boot

Внимание: важно отметить, что при использовании этого метода вы можете потерять файлы. Malwarebytes и HitmanPro могут обнаружить и удалить эту программу-вымогатель, но эти программы не могут восстановить документы, фотографии или файлы. Поэтому вам необходимо подумать, прежде чем выполнять этот процесс.

Используйте Malwarebytes для удаления программ-вымогателей, создающих файлы .boot.

Malwarebytes — одно из самых популярных и часто используемых антивирусных программ для Windows. Он может уничтожить многие типы вредоносных программ, которые другие программы могут пропустить.

Чтобы узнать, как использовать это антивирусное программное обеспечение , обратитесь к статье «Эффективный антивирус с программным обеспечением Malwarebytes Premium» .

Используйте HitmanPro для сканирования на наличие вредоносных и нежелательных программ

HitmanPro — это сканер, реализующий уникальный облачный подход к сканированию на наличие вредоносных программ. HitmanPro сканирует поведение активных файлов, а также файлов в местах, где часто находятся вредоносные программы, для выполнения подозрительных действий. Если будет обнаружен неизвестный подозрительный файл, HitmanPro отправит его в облако для сканирования двумя лучшими на сегодняшний день антивирусными инструментами : Bitdefender и Kaspersky.

Хотя HitmanPro является условно-бесплатной программой, она стоит 24,95 доллара в год за один компьютер, но имеет практически неограниченное сканирование. Ограничено только в том случае, если вам необходимо удалить или поместить в карантин вредоносное ПО, обнаруженное HitmanPro в системе, а затем вы можете активировать пробную версию один раз каждые 30 дней для очистки.

Шаг 1. Загрузите HitmanPro

• Скачать HitmanPro для 32-разрядной версии Windows
• Скачать HitmanPro для 64-разрядной версии Windows

Шаг 2. Установите HitmanPro

После загрузки дважды щелкните «hitmanpro.exe» (для 32-разрядной версии Windows) или «hitmanpro_x64.exe» (для 64-разрядной версии Windows), чтобы установить программу на свой компьютер. Обычно загруженный файл сохраняется в папке «Загрузки».

Если вы видите сообщение UAC , нажмите «Да» .

Шаг 3. Следуйте инструкциям на экране.

Когда вы запустите HitmanPro, вы увидите экран запуска, как показано ниже. Нажмите кнопку «Далее» , чтобы выполнить сканирование системы.

Шаг 4. Дождитесь завершения процесса сканирования.

HitmanPro начнет сканирование вашего компьютера на наличие вредоносных программ. Этот процесс может занять несколько минут.

Шаг 5 . Нажмите "Далее

Когда HitmanPro завершит сканирование, он отобразит список всех найденных вредоносных программ. Нажмите «Далее» , чтобы удалить вредоносную программу.

Шаг 6 . Нажмите Активировать бесплатную лицензию.

Нажмите кнопку «Активировать бесплатную лицензию» , чтобы начать 30-дневную бесплатную пробную версию и удалить вредоносные файлы с вашего компьютера.

После завершения процесса вы можете закрыть HitmanPro и продолжить работу с оставшейся частью руководства.

Восстановите файлы, зашифрованные программой-вымогателем, создав файлы .boot с помощью программного обеспечения для восстановления.

В некоторых случаях можно восстановить предыдущую версию зашифрованного файла с помощью Boot Restore или другого программного обеспечения для восстановления, которое часто содержит теневую копию файла.

Ниже представлен инструмент для расшифровки файлов, зашифрованных программой-вымогателем STOP, созданный экспертами форума по безопасности Bleeping Computer. Вы можете попробовать его, чтобы узнать, сможете ли вы вернуть свои данные. Если это не помогло, попробуйте другие решения ниже.

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

Вариант 1. Восстановите файлы, зашифрованные с помощью программы-вымогателя, создав расширение файла .boot с помощью ShadowExplorer.

Программа-вымогатель, создающая расширение файла .boot, попытается удалить все теневые копии при первом запуске любого исполняемого файла на компьютере после заражения программой-вымогателем. К счастью, программы-вымогатели не могут удалить все теневые копии, поэтому вам следует попробовать восстановить файлы с помощью этого метода.

Шаг 1 . Загрузите ShadowExplorer, используя ссылку для скачивания ниже.

• Скачать ShadowExplorer для Windows

Шаг 2. Установите программу с настройками по умолчанию.

Шаг 3. Программа запустится автоматически после установки. Если нет, дважды щелкните значок ShadowExplorer.

Шаг 4 . Вы можете увидеть раскрывающийся список в верхней части панели. Выберите самый последний диск и теневую копию, которую вы хотите восстановить, прежде чем он будет заражен программой-вымогателем, создающей расширение файла .boot.

Шаг 5 . Щелкните правой кнопкой мыши диск , папку или файл, который вы хотите восстановить, и нажмите «Экспортировать…».

Шаг 6 . Наконец, ShadowExplorer сообщит вам, где вы хотите сохранить восстановленную копию файла.

Вариант 2. Восстановление зашифрованных файлов с расширением Boot с помощью программного обеспечения для восстановления файлов.

Когда файлы зашифрованы, эта программа-вымогатель сначала создает их копию, шифрует копию, а затем удаляет оригинал. Поэтому существует небольшая вероятность, что вы сможете использовать программное обеспечение для восстановления файлов для восстановления удаленных файлов, такое как Recuva, EaseUS Data Recovery Wizard Free, R-Studio.

Вариант 3. Используйте инструмент «Предыдущие версии Windows»

В Windows Vista и Windows 7 есть функция « Предыдущие версии» . Однако этот инструмент можно использовать только в том случае, если точка восстановления была создана до того, как заражение программой-вымогателем создало расширение файла .boot. Чтобы использовать этот инструмент и восстановить файлы, зараженные программой-вымогателем, выполните следующие действия:

Шаг 1 . Откройте «Мой компьютер» или «Проводник Windows» .

Шаг 2. Щелкните правой кнопкой мыши файлы или папки, зараженные программой-вымогателем. В раскрывающемся списке нажмите «Восстановить предыдущие версии ».

Шаг 3 . Откроется новое окно, показывающее все резервные копии файлов и папок, которые вы хотите восстановить. Выберите соответствующий файл и нажмите «Открыть» , «Копировать» или «Восстановить» . Восстановите выбранные файлы, перезаписав существующие зашифрованные файлы на компьютере.

6. Как предотвратить заражение вашего компьютера программой-вымогателем, создающей расширение файла .boot

Чтобы защитить ваш компьютер от программ-вымогателей, создающих расширение файла .boot, вам необходимо установить на свой компьютер антивирусную программу и всегда выполнять резервное копирование личных документов. Вы также можете использовать программу HitmanPro.Alert, чтобы предотвратить запуск в системе вредоносных программ, шифрующих файлы.

Желаю вам успехов!