วิธีลบแรนซัมแวร์ที่สร้างไฟล์ .boot

หากรูปภาพ เอกสาร หรือไฟล์ถูกเข้ารหัสด้วยส่วนขยาย Boot แสดงว่าคอมพิวเตอร์ของคุณติดแรนซัมแวร์ STOP (DJVU)

Ransomware STOP (DJVU) เข้ารหัสเอกสารส่วนตัวบนคอมพิวเตอร์ของเหยื่อ จากนั้นแสดงข้อความเสนอให้ถอดรหัสข้อมูลหากชำระเงินด้วย Bitcoin คำแนะนำในการถอดรหัสไฟล์จะแสดงอยู่ในไฟล์ _readme.txt บทความนี้จะแนะนำวิธีการลบแรนซัมแวร์และสร้างไฟล์ .boot

คำเตือน:คู่มือนี้จะช่วยคุณลบแรนซัมแวร์ที่สร้างไฟล์ .boot แต่จะไม่ช่วยกู้คืนไฟล์ คุณสามารถลองใช้ ShadowExplorer หรือซอฟต์แวร์กู้คืนไฟล์ฟรีเพื่อกู้คืนข้อมูลได้

คำแนะนำในการลบแรนซัมแวร์ที่สร้างไฟล์ .boot

• 1. Ransomware สร้างไฟล์ .boot มันเข้าไปในคอมพิวเตอร์ของคุณได้อย่างไร?
• 2. แรนซัมแวร์ที่สร้างไฟล์ .boot คืออะไร
• 3. คอมพิวเตอร์ของคุณติดแรนซัมแวร์ที่สร้างไฟล์ .boot หรือไม่
• 4. เป็นไปได้หรือไม่ที่จะถอดรหัสไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างไฟล์ .boot
• 5. วิธีลบแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot
  • ใช้ Malwarebytes เพื่อลบแรนซัมแวร์ที่สร้างไฟล์ .boot
  • ใช้ HitmanPro เพื่อสแกนหามัลแวร์และโปรแกรมที่ไม่พึงประสงค์
  • กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ที่สร้างไฟล์ .boot ด้วยซอฟต์แวร์กู้คืน
• 6. วิธีป้องกันคอมพิวเตอร์ของคุณจากการติดแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot

1. Ransomware สร้างไฟล์ .boot มันเข้าไปในคอมพิวเตอร์ของคุณได้อย่างไร?

Ransomware สร้างไฟล์ส่วนท้ายที่สามารถบูตได้ซึ่งแจกจ่ายผ่านอีเมลที่มีไฟล์แนบที่ติดไวรัส Ransomware หรือป้อนโดยการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการและซอฟต์แวร์ที่ติดตั้ง

อาชญากรไซเบอร์ส่งอีเมลขยะพร้อมข้อมูลส่วนหัวปลอม หลอกให้คุณเชื่อว่าอีเมลนั้นมาจากบริษัทขนส่งเช่น DHL หรือ FedEx อีเมลแจ้งให้คุณทราบว่าคุณมีคำสั่งซื้อ แต่ไม่สามารถส่งถึงคุณได้ด้วยเหตุผลบางประการ หรือบางครั้งอีเมลยืนยันการสั่งซื้อที่คุณทำ ไม่ว่าจะด้วยวิธีใดก็ตาม มันทำให้ผู้คนอยากรู้และเปิดไฟล์แนบ (หรือคลิกลิงก์ที่ฝังอยู่ในอีเมล) ส่งผลให้คอมพิวเตอร์ของคุณติดแรนซัมแวร์ที่สร้างไฟล์ .boot

แรนซัมแวร์ที่สร้างไฟล์ .boot ยังสามารถโจมตีโดยการแฮ็กพอร์ต Remote Desktop Services (RDP) ได้อีกด้วย ผู้โจมตีสแกนระบบที่ใช้ RDP (พอร์ต TCP 3389) จากนั้นทำการโจมตีแบบดุร้ายกับรหัสผ่านระบบ

2. แรนซัมแวร์ที่สร้างไฟล์ .boot คืออะไร

กลุ่มแรนซัมแวร์ : STOP (DJVU) แรนซัมแวร์

ส่วนขยาย : Boot

ไฟล์ค่าไถ่ : _readme.txt

ค่าไถ่ : จาก 490 USD ถึง 980 USD (ในสกุลเงิน Bitcoin)

ติดต่อ : [email protected], [email protected] หรือ @datarestore บนTelegram

Ransomware สร้างไฟล์ .boot ที่จำกัดการเข้าถึงข้อมูลโดยการเข้ารหัสไฟล์ จากนั้นจะพยายามแบล็กเมล์เหยื่อโดยเรียกร้องค่าไถ่ในสกุลเงินดิจิทัล Bitcoin เพื่อเข้าถึงข้อมูลอีกครั้ง แรนซัมแวร์ประเภทนี้กำหนดเป้าหมายไปที่ Windows ทุกเวอร์ชัน รวมถึง Windows 7, Windows 8 และ Windows 10 เมื่อติดตั้งครั้งแรกบนคอมพิวเตอร์ แรนซัมแวร์นี้จะสร้างไฟล์ปฏิบัติการที่มีชื่อแบบสุ่มในโฟลเดอร์ %AppData% หรือ %LocalAppData% ไฟล์ปฏิบัติการนี้จะเปิดตัวและเริ่มสแกนอักษรระบุไดรฟ์ทั้งหมดบนคอมพิวเตอร์เพื่อค้นหาไฟล์ข้อมูลที่เข้ารหัส

Ransomware สร้างไฟล์ .boot ที่ค้นหาไฟล์ที่มีนามสกุลไฟล์ เฉพาะ เพื่อเข้ารหัส ไฟล์ที่เข้ารหัสมักจะเป็นเอกสารและไฟล์สำคัญ เช่น .doc, .docx, .xls, .pdf เป็นต้น เมื่อพบไฟล์เหล่านี้ มันจะเปลี่ยนนามสกุลไฟล์เป็น Boot เพื่อไม่ให้เปิดได้อีกต่อไป .

ด้านล่างนี้เป็นรายการนามสกุลไฟล์ที่แรนซัมแวร์ประเภทนี้กำหนดเป้าหมาย:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, กระเป๋าเงิน, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

เมื่อไฟล์ถูกเข้ารหัสด้วยนามสกุล Boot แรนซัมแวร์นี้จะสร้างไฟล์ _readme.txt ซึ่งอธิบายวิธีนำไฟล์กลับมาและเรียกค่าไถ่ในแต่ละโฟลเดอร์ที่ไฟล์ถูกเข้ารหัสและบนเดสก์ท็อป Windows ไฟล์เหล่านี้จะถูกวางไว้ในทุกโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสและมีข้อมูลเกี่ยวกับวิธีการติดต่ออาชญากรไซเบอร์เพื่อรับไฟล์กลับ

เมื่อสแกนคอมพิวเตอร์เสร็จแล้ว ระบบจะลบ Shadow Volume Copies ทั้งหมดบนคอมพิวเตอร์ที่ติดไวรัสด้วย ดังนั้นจึงไม่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสได้

3. คอมพิวเตอร์ของคุณติดแรนซัมแวร์ที่สร้างไฟล์ .boot หรือไม่

เมื่อคอมพิวเตอร์ติดไวรัสแรนซัมแวร์นี้ มันจะสแกนอักษรระบุไดรฟ์ทั้งหมดเพื่อค้นหาประเภทไฟล์เป้าหมาย เข้ารหัสพวกมัน แล้วเพิ่มนามสกุล Boot เมื่อไฟล์เหล่านี้ถูกเข้ารหัส คุณจะไม่สามารถเปิดไฟล์เหล่านี้ด้วยโปรแกรมทั่วไปได้ เมื่อแรนซัมแวร์นี้เข้ารหัสไฟล์ของเหยื่อเสร็จแล้ว ก็จะแสดงไฟล์ที่มีคำแนะนำเกี่ยวกับวิธีการติดต่อกับอาชญากรไซเบอร์ ([email protected] หรือ [email protected])

นี่คือข้อความร้องขอค่าไถ่ในไฟล์ _readme.txt:

4. เป็นไปได้หรือไม่ที่จะถอดรหัสไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างไฟล์ .boot

น่าเสียดายที่คำตอบคือไม่ คุณไม่สามารถกู้คืนไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างไฟล์ .boot ได้ เนื่องจากจำเป็นต้องใช้คีย์ส่วนตัวเพื่อปลดล็อคไฟล์ที่เข้ารหัส ซึ่งมีเฉพาะอาชญากรไซเบอร์เท่านั้นที่มี

ไม่ต้องจ่ายเงินเพื่อกู้คืนไฟล์ แม้ว่าคุณจะจ่ายเงินก็ตาม ก็ไม่รับประกันว่าคุณจะสามารถเข้าถึงไฟล์ได้อีกครั้ง

5. วิธีลบแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot

คำเตือน:โปรดทราบว่าด้วยวิธีนี้คุณอาจสูญเสียไฟล์ Malwarebytes และ HitmanPro สามารถตรวจจับและลบแรนซัมแวร์นี้ได้ แต่โปรแกรมเหล่านี้ไม่สามารถกู้คืนเอกสาร รูปภาพ หรือไฟล์ได้ ดังนั้นคุณต้องพิจารณาก่อนดำเนินการตามขั้นตอนนี้

ใช้ Malwarebytes เพื่อลบแรนซัมแวร์ที่สร้างไฟล์ .boot

Malwarebytes เป็นหนึ่งในซอฟต์แวร์ป้องกันมัลแวร์ที่ได้รับความนิยมและใช้มากที่สุดสำหรับ Windows สามารถทำลายมัลแวร์หลายประเภทที่ซอฟต์แวร์อื่นอาจพลาดได้

โปรดดูบทความโปรแกรมป้องกันไวรัสที่มีประสิทธิภาพด้วยซอฟต์แวร์ Malwarebytes Premium เพื่อเรียนรู้วิธีใช้ ซอฟต์แวร์ ป้องกัน มัลแวร์นี้

ใช้ HitmanPro เพื่อสแกนหามัลแวร์และโปรแกรมที่ไม่พึงประสงค์

HitmanPro เป็นสแกนเนอร์ที่ใช้วิธีการสแกนหามัลแวร์บนคลาวด์ที่เป็นเอกลักษณ์ HitmanPro จะสแกนพฤติกรรมของไฟล์ที่ใช้งานอยู่และไฟล์ในตำแหน่งที่มัลแวร์มักอาศัยอยู่เพื่อทำกิจกรรมที่น่าสงสัย หากพบไฟล์ที่น่าสงสัยที่ไม่รู้จัก HitmanPro จะส่งไฟล์นั้นไปยังคลาวด์เพื่อให้สแกนโดยเครื่องมือป้องกันไวรัส ที่ดีที่สุดสองรายการ ในปัจจุบัน ได้แก่ Bitdefender และ Kaspersky

แม้ว่า HitmanPro จะเป็นแชร์แวร์ แต่ก็มีราคา 24.95 ดอลลาร์สหรัฐฯ ต่อปีสำหรับคอมพิวเตอร์เครื่องเดียว แต่มีการสแกนไม่จำกัด จำกัดเฉพาะในกรณีที่คุณต้องการลบหรือกักกันมัลแวร์ที่ HitmanPro ตรวจพบบนระบบ จากนั้นคุณสามารถเปิดใช้งานการทดลองใช้ทุกๆ 30 วันเพื่อทำความสะอาด

ขั้นตอนที่ 1ดาวน์โหลด HitmanPro

• ดาวน์โหลด HitmanPro สำหรับ Windows 32 บิต
• ดาวน์โหลด HitmanPro สำหรับ Windows 64 บิต

ขั้นตอนที่ 2ติดตั้ง HitmanPro

หลังจากดาวน์โหลด ให้ดับเบิลคลิกที่ “hitmanpro.exe” (สำหรับ Windows 32 บิต) หรือ “hitmanpro_x64.exe” (สำหรับ Windows 64 บิต) เพื่อติดตั้งโปรแกรมบนคอมพิวเตอร์ของคุณ โดยปกติ ไฟล์ที่ดาวน์โหลดจะถูกบันทึกไว้ในโฟลเดอร์ Downloads

หากคุณเห็น ข้อความUAC ปรากฏขึ้น ให้คลิกใช่

ขั้นตอนที่ 3ทำตามคำแนะนำบนหน้าจอ

เมื่อคุณเริ่ม HitmanPro คุณจะเห็นหน้าจอเริ่มต้นดังต่อไปนี้ คลิก ปุ่ม ถัดไปเพื่อทำการสแกนระบบ

ขั้นตอนที่ 4รอให้กระบวนการสแกนเสร็จสิ้น

HitmanPro จะเริ่มสแกนคอมพิวเตอร์ของคุณเพื่อหาโปรแกรมที่เป็นอันตราย กระบวนการนี้อาจใช้เวลาสักครู่

ขั้นตอน ที่5คลิกถัดไป

เมื่อ HitmanPro เสร็จสิ้นการสแกน มันจะแสดงรายการมัลแวร์ทั้งหมดที่พบ คลิกถัดไปเพื่อลบโปรแกรมที่เป็นอันตราย

ขั้นตอน ที่6คลิกเปิดใช้งานใบอนุญาตฟรี

คลิก ปุ่ม เปิดใช้งานใบอนุญาตฟรีเพื่อเริ่มการทดลองใช้ฟรี 30 วันและลบไฟล์ที่เป็นอันตรายออกจากคอมพิวเตอร์ของคุณ

เมื่อกระบวนการเสร็จสมบูรณ์ คุณสามารถปิด HitmanPro และดำเนินการต่อในบทช่วยสอนที่เหลือได้

กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ที่สร้างไฟล์ .boot ด้วยซอฟต์แวร์กู้คืน

ในบางกรณี คุณสามารถกู้คืนไฟล์ที่เข้ารหัสเวอร์ชันก่อนหน้าได้โดยใช้ Boot Restore หรือซอฟต์แวร์กู้คืนอื่นๆ ที่มักจะมีShadow Copyของไฟล์ อยู่

ด้านล่างนี้เป็นเครื่องมือในการถอดรหัสไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ STOP ที่สร้างโดยผู้เชี่ยวชาญในฟอรัมความปลอดภัยของ Bleeping Computer คุณสามารถลองใช้เพื่อดูว่าคุณสามารถดึงข้อมูลของคุณกลับมาได้หรือไม่ หากไม่ได้ผล ให้ลองวิธีแก้ไขปัญหาอื่นๆ ด้านล่างนี้

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

ตัวเลือกที่ 1: กู้คืนไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot ด้วย ShadowExplorer

แรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot จะพยายามลบ Shadow Copy ทั้งหมดในครั้งแรกที่ไฟล์ปฏิบัติการใดๆ ถูกเปิดใช้งานบนคอมพิวเตอร์หลังจากติดไวรัสแรนซัมแวร์ โชคดีที่แรนซัมแวร์ไม่สามารถลบ Shadow Copy ได้ทั้งหมด ดังนั้นคุณควรลองกู้คืนไฟล์โดยใช้วิธีนี้

ขั้นตอนที่ 1 . ดาวน์โหลด ShadowExplorer โดยใช้ลิงก์ดาวน์โหลดด้านล่าง

• ดาวน์โหลด ShadowExplorer สำหรับ Windows

ขั้นตอนที่ 2ติดตั้งโปรแกรมด้วยการตั้งค่าเริ่มต้น

ขั้นตอนที่ 3โปรแกรมจะทำงานโดยอัตโนมัติหลังการติดตั้ง ถ้าไม่เช่นนั้น ให้ดับเบิลคลิกที่ไอคอน ShadowExplorer

ขั้นตอน ที่4คุณสามารถดูรายการแบบเลื่อนลงที่ด้านบนของแผง เลือกไดรฟ์และ Shadow Copy ล่าสุดที่คุณต้องการกู้คืนก่อนที่จะติดไวรัสแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot

ขั้นตอน ที่5คลิกขวาที่ไดรฟ์โฟลเดอร์หรือไฟล์ที่คุณต้องการกู้คืน แล้วคลิกส่งออก...

ขั้นตอน ที่6ในที่สุด ShadowExplorer จะแจ้งให้คุณทราบว่าคุณต้องการบันทึกสำเนาไฟล์ที่กู้คืนไว้ที่ใด

ตัวเลือกที่ 2: กู้คืนไฟล์ที่เข้ารหัสด้วยนามสกุล Boot โดยใช้ซอฟต์แวร์กู้คืนไฟล์

เมื่อไฟล์ถูกเข้ารหัส แรนซัมแวร์นี้จะสร้างสำเนาของไฟล์เหล่านั้นก่อน เข้ารหัสสำเนา จากนั้นจึงลบไฟล์ต้นฉบับ ดังนั้นจึงมีโอกาสเล็กน้อยที่คุณสามารถใช้ซอฟต์แวร์กู้คืนไฟล์เพื่อกู้คืนไฟล์ที่ถูกลบเช่น Recuva, EaseUS Data Recovery Wizard Free, R-Studio

ตัวเลือกที่ 3: ใช้เครื่องมือเวอร์ชันก่อนหน้าของ Windows

Windows Vista และ Windows 7 มีคุณลักษณะที่เรียกว่าPrevious Versionsอย่างไรก็ตาม เครื่องมือนี้สามารถใช้ได้ก็ต่อเมื่อมีการสร้างจุดคืนค่าก่อนที่การติดไวรัสแรนซัมแวร์จะสร้างนามสกุลไฟล์ .boot หากต้องการใช้เครื่องมือนี้และกู้คืนไฟล์ที่ติดแรนซัมแวร์ ให้ทำตามขั้นตอนเหล่านี้:

ขั้นตอนที่ 1 . เปิดMy ComputerหรือWindows Explorer

ขั้นตอนที่ 2คลิกขวาที่ไฟล์หรือโฟลเดอร์ที่ติดแรนซัมแวร์ จากรายการแบบเลื่อนลง คลิกคืนค่าเวอร์ชันก่อนหน้า

ขั้นตอน ที่3หน้าต่างใหม่จะเปิดขึ้นเพื่อแสดงข้อมูลสำรองทั้งหมดของไฟล์และโฟลเดอร์ที่คุณต้องการกู้คืน เลือกไฟล์ที่เหมาะสมแล้วคลิกเปิดคัดลอกหรือคืนค่า กู้คืนไฟล์ที่เลือกซึ่งเขียนทับไฟล์ที่เข้ารหัสที่มีอยู่ในคอมพิวเตอร์

6. วิธีป้องกันคอมพิวเตอร์ของคุณจากการติดแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot

เพื่อป้องกันไม่ให้คอมพิวเตอร์ของคุณจากแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot คุณจะต้องติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ของคุณและสำรองเอกสารส่วนตัวไว้เสมอ คุณยังสามารถใช้โปรแกรมชื่อ HitmanPro.Alert เพื่อป้องกันไม่ให้มัลแวร์เข้ารหัสไฟล์ทำงานบนระบบ

ขอให้คุณประสบความสำเร็จ!