Come eliminare il ransomware che crea un file .boot

Se immagini, documenti o file sono crittografati con l'estensione Boot, significa che il tuo computer è infetto dal ransomware STOP (DJVU) .

Il ransomware STOP (DJVU) crittografa i documenti personali sul computer della vittima, quindi visualizza un messaggio che offre di decrittografare i dati in caso di pagamento con Bitcoin. Le istruzioni per decodificare il file vengono visualizzate nel file _readme.txt. Questo articolo ti guiderà come eliminare il ransomware e creare un file .boot.

Avvertenza: questa guida ti aiuterà a rimuovere il ransomware che crea un file .boot, ma non ti aiuterà a ripristinare il file. Puoi provare ShadowExplorer o un software di recupero file gratuito per recuperare i dati.

Istruzioni per rimuovere il ransomware che crea un file .boot

• 1. Il ransomware crea un file .boot, come entra nel tuo computer?
• 2. Cos'è il ransomware che crea un file .boot?
• 3. Il tuo computer è infetto da un ransomware che crea un file .boot?
• 4. È possibile decrittografare i file crittografati con un ransomware che crea file .boot?
• 5. Come rimuovere il ransomware che crea un'estensione di file .boot
  • Utilizza Malwarebytes per rimuovere il ransomware che crea file .boot
  • Utilizza HitmanPro per cercare malware e programmi indesiderati
  • Recupera i file crittografati dal ransomware creando file .boot con un software di ripristino
• 6. Come impedire che il tuo computer venga infettato da un ransomware che crea un'estensione di file .boot

1. Il ransomware crea un file .boot, come entra nel tuo computer?

Il ransomware crea file di coda avviabili che vengono distribuiti via e-mail contenenti allegati infetti da ransomware o inseriti sfruttando le vulnerabilità del sistema operativo e del software installato.

I criminali informatici inviano spam a e-mail con informazioni di intestazione false, inducendoti a credere che la posta provenga da compagnie di spedizione come DHL o FedEx. Un'e-mail ti avvisa che hai un ordine ma per qualche motivo non può essere inviato. O a volte un'e-mail di conferma dell'ordine che hai effettuato. In ogni caso, incuriosisce le persone e le fa aprire l'allegato (o fare clic sul collegamento incorporato nell'e-mail). Di conseguenza, il tuo computer viene infettato da un ransomware che crea un file .boot.

Il ransomware che crea file .boot può anche attaccare hackerando le porte RDP (Remote Desktop Services). Gli aggressori scansionano i sistemi che eseguono RDP (porta TCP 3389) e quindi eseguono un attacco di forza bruta sulla password del sistema

2. Cos'è il ransomware che crea un file .boot?

Famiglia di ransomware : ransomware STOP (DJVU).

Estensione : avvio

File di riscatto : _readme.txt

Riscatto : da 490 USD a 980 USD (in Bitcoin)

Contatto : [email protected], [email protected] o @datarestore su Telegram

Il ransomware crea un file .boot che limita l'accesso ai dati crittografando il file. Tenta quindi di ricattare la vittima chiedendo un riscatto nella criptovaluta Bitcoin per riottenere l'accesso ai dati. Questo tipo di ransomware prende di mira tutte le versioni di Windows, inclusi Windows 7, Windows 8 e Windows 10. Quando viene installato per la prima volta sul computer, questo ransomware crea un file eseguibile con un nome casuale nella cartella %AppData% o %LocalAppData%. Questo file eseguibile verrà avviato e inizierà la scansione di tutte le lettere di unità sul computer per trovare file di dati crittografati.

Il ransomware crea un file .boot che cerca file con estensioni di file specifiche da crittografare. I file che crittografa sono spesso documenti e file importanti come .doc, .docx, .xls, .pdf, ecc. Quando trova questi file, cambierà l'estensione del file in Boot in modo che non possa più essere aperto. .

Di seguito è riportato un elenco delle estensioni di file prese di mira da questo tipo di ransomware:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portafoglio, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Quando il file viene crittografato con l'estensione Boot, questo ransomware creerà un file _readme.txt, spiegando come recuperare il file e chiedendo un riscatto in ogni cartella in cui il file è stato crittografato e sul desktop di Windows. Questi file vengono inseriti in ogni cartella con file crittografati e contengono informazioni su come contattare i criminali informatici per recuperare i file.

Al termine della scansione del computer, elimina anche tutte le copie shadow del volume sul computer infetto, quindi non può essere utilizzato per recuperare file crittografati.

3. Il tuo computer è infetto da un ransomware che crea un file .boot?

Quando un computer viene infettato da questo ransomware, esegue la scansione di tutte le lettere di unità per trovare il tipo di file di destinazione, le crittografa e quindi aggiunge l'estensione Boot. Quando questi file sono crittografati, non sarai in grado di aprirli con i normali programmi. Quando questo ransomware termina di crittografare i file della vittima, visualizza anche un file contenente le istruzioni su come contattare i criminali informatici ([email protected] o [email protected]).

Ecco il messaggio di richiesta di riscatto nel file _readme.txt:

4. È possibile decrittografare i file crittografati con un ransomware che crea file .boot?

Sfortunatamente la risposta è no. Non è possibile recuperare file crittografati con un ransomware che crea file .boot perché per sbloccare i file crittografati è necessaria una chiave privata, di cui dispongono solo i criminali informatici.

Non pagare per ripristinare i file. Anche se li paghi, non vi è alcuna garanzia che riacquisterai l'accesso ai file.

5. Come rimuovere il ransomware che crea un'estensione di file .boot

Avvertenza: è importante notare che con questo metodo potresti perdere file. Malwarebytes e HitmanPro possono rilevare e rimuovere questo ransomware, ma questi programmi non possono recuperare documenti, foto o file. Pertanto, è necessario considerare prima di eseguire questo processo.

Utilizza Malwarebytes per rimuovere il ransomware che crea file .boot

Malwarebytes è uno dei software anti-malware più popolari e utilizzati per Windows. Può distruggere molti tipi di malware che altri software potrebbero non rilevare.

Consulta l'articolo Antivirus efficace con il software Malwarebytes Premium per sapere come utilizzare questo software anti- malware .

Utilizza HitmanPro per cercare malware e programmi indesiderati

HitmanPro è uno scanner che implementa un approccio unico basato su cloud alla ricerca di malware. HitmanPro analizza il comportamento dei file attivi e anche dei file in posizioni in cui spesso risiede il malware per eseguire attività sospette. Se viene trovato un file sospetto sconosciuto, HitmanPro lo invierà al cloud per essere scansionato da due dei migliori strumenti antivirus oggi, Bitdefender e Kaspersky.

Sebbene HitmanPro sia shareware, costa $ 24,95 per un anno con un computer, ma ha una scansione praticamente illimitata. Limitato solo se è necessario rimuovere o mettere in quarantena il malware rilevato da HitmanPro sul sistema e quindi è possibile attivare una prova una volta ogni 30 giorni per la pulizia.

Passaggio 1. Scarica HitmanPro

• Scarica HitmanPro per Windows a 32 bit
• Scarica HitmanPro per Windows 64 bit

Passaggio 2. Installa HitmanPro

Dopo il download, fai doppio clic su "hitmanpro.exe" (per Windows a 32 bit) o ​​"hitmanpro_x64.exe" (per Windows a 64 bit) per installare il programma sul tuo computer. Normalmente, il file scaricato verrà salvato nella cartella Download.

Se viene visualizzato il messaggio UAC , fare clic su Sì .

Passaggio 3. Seguire le istruzioni sullo schermo

Quando avvii HitmanPro, vedrai la schermata di avvio come di seguito. Fare clic sul pulsante Avanti per eseguire una scansione del sistema.

Passaggio 4. Attendi il completamento del processo di scansione

HitmanPro inizierà la scansione del tuo computer alla ricerca di programmi dannosi. Questo processo potrebbe richiedere alcuni minuti.

Passaggio 5 . Fare clic su Avanti

Al termine della scansione, HitmanPro visualizzerà un elenco di tutti i malware rilevati. Fare clic su Avanti per rimuovere il programma dannoso.

Passaggio 6 . Fare clic su Attiva licenza gratuita

Fai clic sul pulsante Attiva licenza gratuita per avviare la prova gratuita di 30 giorni e rimuovere file dannosi dal tuo computer.

Una volta completato il processo, puoi chiudere HitmanPro e continuare con il resto del tutorial.

Recupera i file crittografati dal ransomware creando file .boot con un software di ripristino

In alcuni casi, è possibile ripristinare una versione precedente di un file crittografato utilizzando Boot Restore o un altro software di ripristino che spesso contiene una copia shadow del file.

Di seguito è riportato uno strumento per decrittografare i file crittografati da STOP ransomware, creato dagli esperti del forum sulla sicurezza di Bleeping Computer. Puoi provarlo per vedere se riesci a recuperare i tuoi dati. Se il problema persiste, prova le altre soluzioni di seguito.

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

Opzione 1: recupera i file crittografati con ransomware creando un'estensione di file .boot con ShadowExplorer

Il ransomware che crea un'estensione di file .boot tenterà di eliminare tutte le copie shadow la prima volta che un file eseguibile viene avviato sul computer dopo essere stato infettato dal ransomware. Fortunatamente, il ransomware non può rimuovere tutte le copie shadow, quindi dovresti provare a recuperare i tuoi file utilizzando questo metodo.

Passo 1 . Scarica ShadowExplorer utilizzando il collegamento di download riportato di seguito.

• Scarica ShadowExplorer per Windows

Passaggio 2. Installa il programma con le impostazioni predefinite.

Passaggio 3. Il programma verrà eseguito automaticamente dopo l'installazione. In caso contrario, fare doppio clic sull'icona ShadowExplorer.

Passaggio 4 . Puoi vedere l'elenco a discesa nella parte superiore del pannello. Seleziona l'unità e la copia shadow più recenti che desideri ripristinare prima di essere infettato dal ransomware che crea l'estensione del file .boot.

Passaggio 5 . Fare clic con il pulsante destro del mouse sull'unità , sulla cartella o sul file che si desidera ripristinare e fare clic su Esporta...

Passaggio 6 . Infine, ShadowExplorer ti avviserà dove desideri salvare la copia del file recuperato.

Opzione 2: recupera i file crittografati con estensione Boot utilizzando il software di recupero file

Quando i file vengono crittografati, questo ransomware ne crea prima una copia, crittografa la copia e quindi elimina l'originale. Pertanto, c'è una piccola possibilità che tu possa utilizzare un software di recupero file per recuperare file cancellati come Recuva, EaseUS Data Recovery Wizard Free, R-Studio.

Opzione 3: utilizzare lo strumento Versioni precedenti di Windows

Windows Vista e Windows 7 dispongono di una funzionalità denominata Versioni precedenti . Tuttavia, questo strumento può essere utilizzato solo se il punto di ripristino è stato creato prima che l'infezione ransomware creasse l'estensione del file .boot. Per utilizzare questo strumento e recuperare file infetti da ransomware, attenersi alla seguente procedura:

Passo 1 . Apri Risorse del computer o Esplora risorse .

Passaggio 2. Fare clic con il pulsante destro del mouse su file o cartelle infetti da ransomware. Dall'elenco a discesa, fare clic su Ripristina versioni precedenti .

Passaggio 3 . Si aprirà una nuova finestra che mostra tutti i backup dei file e delle cartelle che desideri ripristinare. Selezionare il file appropriato e fare clic su Apri , Copia o Ripristina . Recupera i file selezionati sovrascrivendo i file crittografati esistenti sul computer.

6. Come impedire che il tuo computer venga infettato da un ransomware che crea un'estensione di file .boot

Per evitare che il tuo computer venga ransomware creando un'estensione di file .boot, devi installare un programma antivirus sul tuo computer ed eseguire sempre il backup dei documenti personali. Puoi anche utilizzare un programma chiamato HitmanPro.Alert per impedire l'esecuzione di malware di crittografia dei file nel sistema.

Ti auguro successo!