หากรูปภาพ เอกสาร หรือไฟล์ถูกเข้ารหัสด้วยส่วนขยาย Boot แสดงว่าคอมพิวเตอร์ของคุณติดแรนซัมแวร์ STOP (DJVU)
Ransomware STOP (DJVU) เข้ารหัสเอกสารส่วนตัวบนคอมพิวเตอร์ของเหยื่อ จากนั้นแสดงข้อความเสนอให้ถอดรหัสข้อมูลหากชำระเงินด้วย Bitcoin คำแนะนำในการถอดรหัสไฟล์จะแสดงอยู่ในไฟล์ _readme.txt บทความนี้จะแนะนำวิธีการลบแรนซัมแวร์และสร้างไฟล์ .boot
คำเตือน:คู่มือนี้จะช่วยคุณลบแรนซัมแวร์ที่สร้างไฟล์ .boot แต่จะไม่ช่วยกู้คืนไฟล์ คุณสามารถลองใช้ ShadowExplorer หรือซอฟต์แวร์กู้คืนไฟล์ฟรีเพื่อกู้คืนข้อมูลได้
คำแนะนำในการลบแรนซัมแวร์ที่สร้างไฟล์ .boot
Ransomware สร้างไฟล์ส่วนท้ายที่สามารถบูตได้ซึ่งแจกจ่ายผ่านอีเมลที่มีไฟล์แนบที่ติดไวรัส Ransomware หรือป้อนโดยการใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการและซอฟต์แวร์ที่ติดตั้ง
อาชญากรไซเบอร์ส่งอีเมลขยะพร้อมข้อมูลส่วนหัวปลอม หลอกให้คุณเชื่อว่าอีเมลนั้นมาจากบริษัทขนส่งเช่น DHL หรือ FedEx อีเมลแจ้งให้คุณทราบว่าคุณมีคำสั่งซื้อ แต่ไม่สามารถส่งถึงคุณได้ด้วยเหตุผลบางประการ หรือบางครั้งอีเมลยืนยันการสั่งซื้อที่คุณทำ ไม่ว่าจะด้วยวิธีใดก็ตาม มันทำให้ผู้คนอยากรู้และเปิดไฟล์แนบ (หรือคลิกลิงก์ที่ฝังอยู่ในอีเมล) ส่งผลให้คอมพิวเตอร์ของคุณติดแรนซัมแวร์ที่สร้างไฟล์ .boot
แรนซัมแวร์ที่สร้างไฟล์ .boot ยังสามารถโจมตีโดยการแฮ็กพอร์ต Remote Desktop Services (RDP) ได้อีกด้วย ผู้โจมตีสแกนระบบที่ใช้ RDP (พอร์ต TCP 3389) จากนั้นทำการโจมตีแบบดุร้ายกับรหัสผ่านระบบ
กลุ่มแรนซัมแวร์ : STOP (DJVU) แรนซัมแวร์
ส่วนขยาย : Boot
ไฟล์ค่าไถ่ : _readme.txt
ค่าไถ่ : จาก 490 USD ถึง 980 USD (ในสกุลเงิน Bitcoin)
ติดต่อ : [email protected], [email protected] หรือ @datarestore บนTelegram
Ransomware สร้างไฟล์ .boot ที่จำกัดการเข้าถึงข้อมูลโดยการเข้ารหัสไฟล์ จากนั้นจะพยายามแบล็กเมล์เหยื่อโดยเรียกร้องค่าไถ่ในสกุลเงินดิจิทัล Bitcoin เพื่อเข้าถึงข้อมูลอีกครั้ง แรนซัมแวร์ประเภทนี้กำหนดเป้าหมายไปที่ Windows ทุกเวอร์ชัน รวมถึง Windows 7, Windows 8 และ Windows 10 เมื่อติดตั้งครั้งแรกบนคอมพิวเตอร์ แรนซัมแวร์นี้จะสร้างไฟล์ปฏิบัติการที่มีชื่อแบบสุ่มในโฟลเดอร์ %AppData% หรือ %LocalAppData% ไฟล์ปฏิบัติการนี้จะเปิดตัวและเริ่มสแกนอักษรระบุไดรฟ์ทั้งหมดบนคอมพิวเตอร์เพื่อค้นหาไฟล์ข้อมูลที่เข้ารหัส
Ransomware สร้างไฟล์ .boot ที่ค้นหาไฟล์ที่มีนามสกุลไฟล์ เฉพาะ เพื่อเข้ารหัส ไฟล์ที่เข้ารหัสมักจะเป็นเอกสารและไฟล์สำคัญ เช่น .doc, .docx, .xls, .pdf เป็นต้น เมื่อพบไฟล์เหล่านี้ มันจะเปลี่ยนนามสกุลไฟล์เป็น Boot เพื่อไม่ให้เปิดได้อีกต่อไป .
ด้านล่างนี้เป็นรายการนามสกุลไฟล์ที่แรนซัมแวร์ประเภทนี้กำหนดเป้าหมาย:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, กระเป๋าเงิน, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
เมื่อไฟล์ถูกเข้ารหัสด้วยนามสกุล Boot แรนซัมแวร์นี้จะสร้างไฟล์ _readme.txt ซึ่งอธิบายวิธีนำไฟล์กลับมาและเรียกค่าไถ่ในแต่ละโฟลเดอร์ที่ไฟล์ถูกเข้ารหัสและบนเดสก์ท็อป Windows ไฟล์เหล่านี้จะถูกวางไว้ในทุกโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสและมีข้อมูลเกี่ยวกับวิธีการติดต่ออาชญากรไซเบอร์เพื่อรับไฟล์กลับ
เมื่อสแกนคอมพิวเตอร์เสร็จแล้ว ระบบจะลบ Shadow Volume Copies ทั้งหมดบนคอมพิวเตอร์ที่ติดไวรัสด้วย ดังนั้นจึงไม่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสได้
เมื่อคอมพิวเตอร์ติดไวรัสแรนซัมแวร์นี้ มันจะสแกนอักษรระบุไดรฟ์ทั้งหมดเพื่อค้นหาประเภทไฟล์เป้าหมาย เข้ารหัสพวกมัน แล้วเพิ่มนามสกุล Boot เมื่อไฟล์เหล่านี้ถูกเข้ารหัส คุณจะไม่สามารถเปิดไฟล์เหล่านี้ด้วยโปรแกรมทั่วไปได้ เมื่อแรนซัมแวร์นี้เข้ารหัสไฟล์ของเหยื่อเสร็จแล้ว ก็จะแสดงไฟล์ที่มีคำแนะนำเกี่ยวกับวิธีการติดต่อกับอาชญากรไซเบอร์ ([email protected] หรือ [email protected])
นี่คือข้อความร้องขอค่าไถ่ในไฟล์ _readme.txt:
น่าเสียดายที่คำตอบคือไม่ คุณไม่สามารถกู้คืนไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างไฟล์ .boot ได้ เนื่องจากจำเป็นต้องใช้คีย์ส่วนตัวเพื่อปลดล็อคไฟล์ที่เข้ารหัส ซึ่งมีเฉพาะอาชญากรไซเบอร์เท่านั้นที่มี
ไม่ต้องจ่ายเงินเพื่อกู้คืนไฟล์ แม้ว่าคุณจะจ่ายเงินก็ตาม ก็ไม่รับประกันว่าคุณจะสามารถเข้าถึงไฟล์ได้อีกครั้ง
คำเตือน:โปรดทราบว่าด้วยวิธีนี้คุณอาจสูญเสียไฟล์ Malwarebytes และ HitmanPro สามารถตรวจจับและลบแรนซัมแวร์นี้ได้ แต่โปรแกรมเหล่านี้ไม่สามารถกู้คืนเอกสาร รูปภาพ หรือไฟล์ได้ ดังนั้นคุณต้องพิจารณาก่อนดำเนินการตามขั้นตอนนี้
Malwarebytes เป็นหนึ่งในซอฟต์แวร์ป้องกันมัลแวร์ที่ได้รับความนิยมและใช้มากที่สุดสำหรับ Windows สามารถทำลายมัลแวร์หลายประเภทที่ซอฟต์แวร์อื่นอาจพลาดได้
โปรดดูบทความโปรแกรมป้องกันไวรัสที่มีประสิทธิภาพด้วยซอฟต์แวร์ Malwarebytes Premium เพื่อเรียนรู้วิธีใช้ ซอฟต์แวร์ ป้องกัน มัลแวร์นี้
HitmanPro เป็นสแกนเนอร์ที่ใช้วิธีการสแกนหามัลแวร์บนคลาวด์ที่เป็นเอกลักษณ์ HitmanPro จะสแกนพฤติกรรมของไฟล์ที่ใช้งานอยู่และไฟล์ในตำแหน่งที่มัลแวร์มักอาศัยอยู่เพื่อทำกิจกรรมที่น่าสงสัย หากพบไฟล์ที่น่าสงสัยที่ไม่รู้จัก HitmanPro จะส่งไฟล์นั้นไปยังคลาวด์เพื่อให้สแกนโดยเครื่องมือป้องกันไวรัส ที่ดีที่สุดสองรายการ ในปัจจุบัน ได้แก่ Bitdefender และ Kaspersky
แม้ว่า HitmanPro จะเป็นแชร์แวร์ แต่ก็มีราคา 24.95 ดอลลาร์สหรัฐฯ ต่อปีสำหรับคอมพิวเตอร์เครื่องเดียว แต่มีการสแกนไม่จำกัด จำกัดเฉพาะในกรณีที่คุณต้องการลบหรือกักกันมัลแวร์ที่ HitmanPro ตรวจพบบนระบบ จากนั้นคุณสามารถเปิดใช้งานการทดลองใช้ทุกๆ 30 วันเพื่อทำความสะอาด
ขั้นตอนที่ 1ดาวน์โหลด HitmanPro
ขั้นตอนที่ 2ติดตั้ง HitmanPro
หลังจากดาวน์โหลด ให้ดับเบิลคลิกที่ “hitmanpro.exe” (สำหรับ Windows 32 บิต) หรือ “hitmanpro_x64.exe” (สำหรับ Windows 64 บิต) เพื่อติดตั้งโปรแกรมบนคอมพิวเตอร์ของคุณ โดยปกติ ไฟล์ที่ดาวน์โหลดจะถูกบันทึกไว้ในโฟลเดอร์ Downloads
หากคุณเห็น ข้อความUAC ปรากฏขึ้น ให้คลิกใช่
ขั้นตอนที่ 3ทำตามคำแนะนำบนหน้าจอ
เมื่อคุณเริ่ม HitmanPro คุณจะเห็นหน้าจอเริ่มต้นดังต่อไปนี้ คลิก ปุ่ม ถัดไปเพื่อทำการสแกนระบบ
ขั้นตอนที่ 4รอให้กระบวนการสแกนเสร็จสิ้น
HitmanPro จะเริ่มสแกนคอมพิวเตอร์ของคุณเพื่อหาโปรแกรมที่เป็นอันตราย กระบวนการนี้อาจใช้เวลาสักครู่
ขั้นตอน ที่5คลิกถัดไป
เมื่อ HitmanPro เสร็จสิ้นการสแกน มันจะแสดงรายการมัลแวร์ทั้งหมดที่พบ คลิกถัดไปเพื่อลบโปรแกรมที่เป็นอันตราย
ขั้นตอน ที่6คลิกเปิดใช้งานใบอนุญาตฟรี
คลิก ปุ่ม เปิดใช้งานใบอนุญาตฟรีเพื่อเริ่มการทดลองใช้ฟรี 30 วันและลบไฟล์ที่เป็นอันตรายออกจากคอมพิวเตอร์ของคุณ
เมื่อกระบวนการเสร็จสมบูรณ์ คุณสามารถปิด HitmanPro และดำเนินการต่อในบทช่วยสอนที่เหลือได้
ในบางกรณี คุณสามารถกู้คืนไฟล์ที่เข้ารหัสเวอร์ชันก่อนหน้าได้โดยใช้ Boot Restore หรือซอฟต์แวร์กู้คืนอื่นๆ ที่มักจะมีShadow Copyของไฟล์ อยู่
ด้านล่างนี้เป็นเครื่องมือในการถอดรหัสไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ STOP ที่สร้างโดยผู้เชี่ยวชาญในฟอรัมความปลอดภัยของ Bleeping Computer คุณสามารถลองใช้เพื่อดูว่าคุณสามารถดึงข้อมูลของคุณกลับมาได้หรือไม่ หากไม่ได้ผล ให้ลองวิธีแก้ไขปัญหาอื่นๆ ด้านล่างนี้
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zipตัวเลือกที่ 1: กู้คืนไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot ด้วย ShadowExplorer
แรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot จะพยายามลบ Shadow Copy ทั้งหมดในครั้งแรกที่ไฟล์ปฏิบัติการใดๆ ถูกเปิดใช้งานบนคอมพิวเตอร์หลังจากติดไวรัสแรนซัมแวร์ โชคดีที่แรนซัมแวร์ไม่สามารถลบ Shadow Copy ได้ทั้งหมด ดังนั้นคุณควรลองกู้คืนไฟล์โดยใช้วิธีนี้
ขั้นตอนที่ 1 . ดาวน์โหลด ShadowExplorer โดยใช้ลิงก์ดาวน์โหลดด้านล่าง
ขั้นตอนที่ 2ติดตั้งโปรแกรมด้วยการตั้งค่าเริ่มต้น
ขั้นตอนที่ 3โปรแกรมจะทำงานโดยอัตโนมัติหลังการติดตั้ง ถ้าไม่เช่นนั้น ให้ดับเบิลคลิกที่ไอคอน ShadowExplorer
ขั้นตอน ที่4คุณสามารถดูรายการแบบเลื่อนลงที่ด้านบนของแผง เลือกไดรฟ์และ Shadow Copy ล่าสุดที่คุณต้องการกู้คืนก่อนที่จะติดไวรัสแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot
ขั้นตอน ที่5คลิกขวาที่ไดรฟ์โฟลเดอร์หรือไฟล์ที่คุณต้องการกู้คืน แล้วคลิกส่งออก...
ขั้นตอน ที่6ในที่สุด ShadowExplorer จะแจ้งให้คุณทราบว่าคุณต้องการบันทึกสำเนาไฟล์ที่กู้คืนไว้ที่ใด
ตัวเลือกที่ 2: กู้คืนไฟล์ที่เข้ารหัสด้วยนามสกุล Boot โดยใช้ซอฟต์แวร์กู้คืนไฟล์
เมื่อไฟล์ถูกเข้ารหัส แรนซัมแวร์นี้จะสร้างสำเนาของไฟล์เหล่านั้นก่อน เข้ารหัสสำเนา จากนั้นจึงลบไฟล์ต้นฉบับ ดังนั้นจึงมีโอกาสเล็กน้อยที่คุณสามารถใช้ซอฟต์แวร์กู้คืนไฟล์เพื่อกู้คืนไฟล์ที่ถูกลบเช่น Recuva, EaseUS Data Recovery Wizard Free, R-Studio
ตัวเลือกที่ 3: ใช้เครื่องมือเวอร์ชันก่อนหน้าของ Windows
Windows Vista และ Windows 7 มีคุณลักษณะที่เรียกว่าPrevious Versionsอย่างไรก็ตาม เครื่องมือนี้สามารถใช้ได้ก็ต่อเมื่อมีการสร้างจุดคืนค่าก่อนที่การติดไวรัสแรนซัมแวร์จะสร้างนามสกุลไฟล์ .boot หากต้องการใช้เครื่องมือนี้และกู้คืนไฟล์ที่ติดแรนซัมแวร์ ให้ทำตามขั้นตอนเหล่านี้:
ขั้นตอนที่ 1 . เปิดMy ComputerหรือWindows Explorer
ขั้นตอนที่ 2คลิกขวาที่ไฟล์หรือโฟลเดอร์ที่ติดแรนซัมแวร์ จากรายการแบบเลื่อนลง คลิกคืนค่าเวอร์ชันก่อนหน้า
ขั้นตอน ที่3หน้าต่างใหม่จะเปิดขึ้นเพื่อแสดงข้อมูลสำรองทั้งหมดของไฟล์และโฟลเดอร์ที่คุณต้องการกู้คืน เลือกไฟล์ที่เหมาะสมแล้วคลิกเปิดคัดลอกหรือคืนค่า กู้คืนไฟล์ที่เลือกซึ่งเขียนทับไฟล์ที่เข้ารหัสที่มีอยู่ในคอมพิวเตอร์
เพื่อป้องกันไม่ให้คอมพิวเตอร์ของคุณจากแรนซัมแวร์ที่สร้างนามสกุลไฟล์ .boot คุณจะต้องติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ของคุณและสำรองเอกสารส่วนตัวไว้เสมอ คุณยังสามารถใช้โปรแกรมชื่อ HitmanPro.Alert เพื่อป้องกันไม่ให้มัลแวร์เข้ารหัสไฟล์ทำงานบนระบบ
ขอให้คุณประสบความสำเร็จ!
ล่าสุด Microsoft เปิดตัวการอัปเดตสะสมล่าสุดสำหรับผู้ใช้พีซี Windows 10 ที่เรียกว่า Build 14393.222 การอัปเดตนี้เผยแพร่สำหรับ Windows 10 โดยส่วนใหญ่จะแก้ไขจุดบกพร่องตามคำติชมของผู้ใช้ และปรับปรุงประสบการณ์ด้านประสิทธิภาพของระบบปฏิบัติการ
คุณมีคอมพิวเตอร์บนเครือข่ายท้องถิ่นที่ต้องการการเข้าถึงจากภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็นผู้ดูแลเครือข่ายของคุณอาจเป็นทางออกที่ดี
หากคุณต้องการใช้แป้นพิมพ์คลาสสิกรุ่นเก่า เช่น IBM Model M ที่ไม่มีคีย์ Windows มาให้ มีวิธีง่ายๆ ในการเพิ่มคีย์เพิ่มเติมโดยการยืมคีย์ที่คุณไม่ได้ใช้บ่อย
บางครั้งคุณอาจต้องลบบันทึกเหตุการณ์เก่าทั้งหมดพร้อมกัน ในคู่มือนี้ Quantrimang.com จะแสดง 3 วิธีในการลบบันทึกเหตุการณ์ทั้งหมดใน Windows 10 Event Viewer อย่างรวดเร็ว
ในบทความก่อนหน้านี้หลายบทความ เราได้กล่าวไว้ว่าการไม่เปิดเผยตัวตนทางออนไลน์เป็นสิ่งสำคัญอย่างยิ่ง ข้อมูลส่วนตัวรั่วไหลทุกปี ทำให้การรักษาความปลอดภัยออนไลน์มีความจำเป็นมากขึ้น นั่นคือเหตุผลที่เราควรใช้ที่อยู่ IP เสมือน ด้านล่างนี้เราจะเรียนรู้เกี่ยวกับวิธีการสร้าง IP ปลอม!
WindowTop เป็นเครื่องมือที่มีความสามารถในการหรี่หน้าต่างแอปพลิเคชันและโปรแกรมทั้งหมดที่ทำงานบนคอมพิวเตอร์ Windows 10 หรือคุณสามารถใช้อินเทอร์เฟซพื้นหลังสีเข้มบน windows ได้
แถบภาษาบน Windows 8 เป็นแถบเครื่องมือภาษาขนาดเล็กที่ออกแบบมาเพื่อแสดงบนหน้าจอเดสก์ท็อปโดยอัตโนมัติ อย่างไรก็ตาม หลายๆ คนต้องการซ่อนแถบภาษานี้บนทาสก์บาร์
การเชื่อมต่อไร้สายถือเป็นสิ่งจำเป็นในปัจจุบัน และด้วยเหตุนี้ การรักษาความปลอดภัยแบบไร้สายจึงถือเป็นสิ่งสำคัญในการรับรองความปลอดภัยในเครือข่ายภายในของคุณ
การเพิ่มความเร็วอินเทอร์เน็ตให้สูงสุดถือเป็นสิ่งสำคัญในการเพิ่มประสิทธิภาพการเชื่อมต่อเครือข่ายของคุณ คุณสามารถมีความบันเทิงและประสบการณ์การทำงานที่ดีที่สุดโดยใช้คอมพิวเตอร์ ทีวีที่เชื่อมต่ออินเทอร์เน็ต เครื่องเล่นเกม ฯลฯ
หากคุณกำลังแชร์คอมพิวเตอร์กับเพื่อนหรือสมาชิกในครอบครัว หรือจัดการคอมพิวเตอร์หลายเครื่องโดยเฉพาะ คุณอาจเผชิญกับสถานการณ์ที่ไม่พึงประสงค์ซึ่งคุณต้องการเตือนพวกเขาด้วยบันทึกย่อก่อนที่พวกเขาจะเข้าสู่ระบบคอมพิวเตอร์ต่อไป
