Results 1 to 1 of 1

Thread: Cách xóa ransomware tạo file đuôi .boot
      

  1. #1
    Join Date
    Nov 2017
    Posts
    217
    Thanks
    14
    Thanked 21 Times in 17 Posts

    Default Cách xóa ransomware tạo file đuôi .boot

    Nếu hình ảnh, tài liệu hoặc file được mã hóa bằng phần mở rộng .Boot, điều đó có nghĩa là máy tính của bạn đã bị nhiễm ransomware STOP (DJVU).

    Ransomware STOP (DJVU) mã hóa các tài liệu cá nhân trên máy tính nạn nhân, sau đó hiển thị thông báo cung cấp giải mã dữ liệu nếu thanh toán bằng Bitcoin. Hướng dẫn giải mã tập tin hiển thị trong file _readme.txt. Bài viết này sẽ hướng dẫn các bạn cách xóa ransomware tạo file đuôi .boot.

    Cảnh báo: Hướng dẫn này sẽ giúp bạn xóa ransomware tạo file đuôi .boot, nhưng không giúp khôi phục file. Bạn có thể thử "ShadowExplorer" hoặc phần mềm khôi phục file miễn phí để khôi phục lại dữ liệu.

    1. Ransomware tạo file đuôi .boot làm cách nào để vào máy tính của bạn?

    Ransomware tạo file đuôi .boot được phân phối qua email chứa các file đính kèm bị nhiễm ransomware hoặc đi vào bằng cách khai thác các lỗ hổng trong hệ điều hành và phần mềm được cài đặt.

    Các tội phạm mạng spam email với thông tin tiêu để giả mạo, lừa bạn về các tin thư đến từ công ty vận chuyển như DHL hoặc FedEx. Email thông báo bạn có một đơn hàng nhưng vì một số lý do không gửi đến cho bạn được. Hoặc đôi khi là email thông báo xác nhận đơn hàng bạn đã thực hiện. Dù bằng cách nào, nó khiến mọi người tò mò và mở file đính kèm (hoặc click vào liên kết nhúng trong email). Và kết quả là máy tính của bạn bị nhiễm ransomware tạo file đuôi .boot.

    Ransomware tạo file đuôi .boot cũng có thể tấn công bằng cách hack các cổng Remote Desktop Services (RDP). Những kẻ tấn công quét các hệ thống đang chạy RDP (cổng TCP 3389) và sau đó thực hiện tấn công brute force mật khẩu hệ thống.

    2. Ransomware tạo file đuôi .boot là gì?

    - Dòng ransomware: STOP (DJVU) ransomware
    - Phần mở rộng: Boot
    - File đòi tiền chuộc: _readme.txt
    - Tiền chuộc: Từ 490 USD đến 980 USD (bằng Bitcoin)
    Liên hệ: [email protected], [email protected] hoặc @datarestore trên Telegram

    Ransomware tạo file đuôi .boot hạn chế quyền truy cập vào dữ liệu bằng cách mã hóa file. Sau đó nó cố gắng tống tiền nạn nhân bằng cách yêu cầu tiền chuộc bằng tiền điện tử Bitcoin để lấy lại quyền truy cập vào dữ liệu. Loại ransomware này nhắm vào tất cả các phiên bản Windows bao gồm Windows 7, Windows 8 Windows 10.

    Khi lần đầu được cài đặt trên máy tính, ransomware này sẽ tạo một file thực thi có tên ngẫu nhiên trong thư mục %AppData% or %LocalAppData%. File thực thi này sẽ khởi chạy và bắt đầu quét tất cả các ký tự ổ đĩa trên máy tính để tìm các file dữ liệu nhằm mã hóa.

    Ransomware tạo file đuôi .boot tìm kiếm các file có phần mở rộng file cụ thể để mã hóa. Các file nó mã hóa thường là tài liệu và file quan trọng như .doc, .docx, .xls, .pdf, v.v… Khi tìm thấy các file này, nó sẽ thay đổi đuôi file thành .Boot để không thể mở chúng được nữa.

    Dưới đây là danh sách các phần mở rộng file mà loại ransomware này nhắm tới:

    .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

    Khi file bị mã hóa bằng phần mở rộng .Boot, ransomware này sẽ tạo file _readme.txt, giải thích cách thức lấy lại file và yêu cầu tiền chuộc trong mỗi thư mục mà file đã bị mã hóa và trên desktop Windows. Những file này được đặt trong mọi thư mục có file bị mã hóa và chứa thông tin về cách liên lạc với tội phạm mạng để lấy lại file.

    Khi quét xong máy tính, nó cũng xóa tất cả Shadow Volume Copy trên máy tính bị nhiễm để không thể sử dụng nó để khôi phục file bị mã hóa.

    3. Có phải máy tính của bạn bị nhiễm ransomware tạo file đuôi .boot?

    Khi máy tính bị nhiễm ransomware này, nó sẽ quét tất cả các ký tự ổ đĩa để tìm loại file mục tiêu, mã hóa chúng và sau đó thêm phần mở rộng .Boot. Khi các file này bị mã hóa, bạn sẽ không thể mở chúng với các chương trình thông thường. Khi ransomware này hoàn tất quy trình mã hóa file của nạn nhân, nó cũng hiển thị một file gồm hướng dẫn cách thức liên lạc với tội phạm mạng ([email protected] hoặc [email protected])

    Đây là thông báo yêu cầu nộp tiền chuộc trong file _readme.txt:


    4. Có thể giải mã các tập tin được mã hóa bằng ransomware tạo file đuôi .boot không?

    Thật không may, câu trả lời là không. Bạn không thể khôi phục các file được mã hóa bằng ransomware tạo file đuôi .boot vì cần có khóa riêng để mở khóa các file bị mã hóa mà khóa này chỉ có bọn tội phạm mạng mới có.
    Đừng trả tiền để khôi phục file. Ngay cả khi trả tiền cho chúng, cũng không có gì đảm bảo bạn sẽ lấy lại được quyền truy cập file.

    5. Cách xóa ransomware tạo đuôi file .boot

    Cảnh báo: Điều quan trọng cần lưu ý là với cách thực hiện này bạn có bị mất file. MalwarebytesHitmanPro có thể phát hiện và loại bỏ ransomware này tuy nhiên những phần mềm này không thể khôi phục tài liệu, ảnh hoặc file. Do đó cần cân nhắc trước khi thực hiện quá trình này.

    * Sử dụng Malwarebytes để xóa ransomware tạo file đuôi .boot

    Malwarebytes là một trong những phần mềm anti-malware phổ biến nhất và được sử dụng nhiều nhất cho Windows. Nó có thể tiêu diệt nhiều loại phần mềm độc hại mà các phần mềm khác có thể bỏ lỡ.
    Tham khảo bài viết Diệt virus hiệu quả với phần mềm Malwarebytes Premium để biết cách sử dụng phần mềm diệt malware này.

    * Sử dụng HitmanPro để quét malware và chương trình không mong muốn

    HitmanPro là một phần mềm quét thực hiện một phương pháp dựa trên đám mây độc đáo để quét các phần mềm độc hại. HitmanPro quét hành vi của các file đang hoạt động và cả các file ở vị trí mà malware thường ẩn náu để thực hiện các hoạt động đáng ngờ. Nếu tìm thấy một file đáng ngờ chưa được biết đến, HitmanPro sẽ gửi nó tới đám mây để hai trong số các công cụ diệt virus tốt nhất hiện nay BitdefenderKaspersky quét.

    Mặc dù HitmanPro là phần mềm chia sẻ, nó có giá 24,95 USD cho một năm với một máy tính, nhưng thực tế nó không giới hạn quét. Giới hạn chỉ khi bạn có nhu cầu loại bỏ hoặc cách ly phần mềm độc hại được HitmanPro phát hiện trên hệ thống và sau đó bạn có thể kích hoạt bản dùng thử 30 ngày một lần để dọn dẹp.

    Bước 1. Tải HitmanPro



    Bước 2. Cài đặt HitmanPro
    Sau khi tải xong, click đúp vào "hitmanpro.exe" (cho Windows 32-bit) hoặc "hitmanpro_x64.exe" (cho Windows 64-bit) để cài đặt chương trình này trên máy tính. Thông thường, file tải xuống sẽ được lưu vào thư mục Downloads của máy.



    Nếu thấy thông báo UAC hiện ra, click vào Yes.


    Bước 3. Thực hiện theo hướng dẫn trên màn hình
    Khi khởi động HitmanPro, bạn sẽ thấy màn hình khởi động như bên dưới. Click vào nút Next để thực hiện quét hệ thống.





    Bước 4. Chờ quá trình quét hoàn tất
    HitmanPro sẽ bắt đầu quét máy tính để tìm chương trình độc hại. Quá trình này có thể mất vài phút.




    Bước 5. Click vào Next
    Khi HitmanPro kết thúc quá trình quét, nó sẽ hiển thị một danh sách tất cả các malware đả tìm thấy. Click vào Next để xóa các chương trình độc hại.



    Bước 6. Click vào Activate free license
    Click vào nút Activate free license để bắt đầu dùng thử 30 ngày miễn phí và xóa file độc hại ra khỏi máy tính.




    Khi quá trình hoàn tất, bạn có thể đóng HitmanPro và tiếp tục phần còn lại của hướng dẫn.

    Khôi phục file bị mã hóa bởi ransomware tạo file đuôi .boot với phần mềm khôi phục

    Trong một số trường hợp, có thể khôi phục phiên bản trước đó của file bị mã hóa sử dụng Boot Restore hoặc phần mềm khôi phục khác có chứa Shadow copy của file.

    Dưới đây là công cụ giải mã các file bị ransomware STOP mã hóa, được các chuyên gia trên diễn đàn bảo mật Bleeping Computer tạo ra, bạn có thể thử để xem có lấy lại dữ liệu của mình không. Nếu cách này không hiệu quả, hãy thử thêm các giải pháp khác dưới đây.

    https://download.bleepingcomputer.co...PDecrypter.zip

    Tùy chọn 1: Khôi phục file bị mã hóa bằng ransomware tạo đuôi file .boot với "ShadowExplorer"

    Ransomware tạo đuôi file .boot sẽ cố gắng xóa tất cả các Shadow copy khi lần đầu khởi chạy bất cứ file thực thi nào trên máy tính sau khi bị nhiễm ransomware này. May thay, nó lại không thể loại bỏ hết các Shadow copy, vì vậy bạn nên thử khôi phục file của mình bằng phương pháp này.

    Bước 1. Tải ShadowExplorer theo link tải bên dưới.


    Bước 2. Cài đặt chương trình với thiết lập mặc định.
    Bước 3. Chương trình sẽ chạy tự động sau khi cài đặt. Nếu không, click đúp vào icon ShadowExplorer.
    Bước 4. Bạn có thể xem danh sách thả xuống trên đầu bảng điều khiển. Chọn ổ đĩa và Shadow copy gần đây nhất bạn muốn khôi phục trước khi bị nhiễm ransomware tạo đuôi file .boot.



    Bước 5. Click chuột phải vào Drive, Folder hoặc File bạn muốn khôi phục và click vào Export
    Bước 6. Cuối cùng, ShadowExplorer sẽ thông báo vị trí bạn muốn lưu bản sao file đã khôi phục.

    Tùy chọn 2: Khôi phục file bị mã hóa với phần mở rộng Boot bằng phần mềm khôi phục file

    Khi file bị mã hóa, ransomware này đầu tiên tạo một bản sao của chúng, mã hóa bản sao và sau đó xóa bản gốc. Do đó, có một cơ hội nhỏ bạn có thể sử dụng phần mềm khôi phục file để khôi phục file đã xóa như Recuva, EaseUS Data Recovery Wizard Free, R-Studio.

    Tùy chọn 3: Sử dụng công cụ Previous Versions của Windows

    Windows VistaWindows 7 có một chức năng gọi là Previous Versions. Tuy nhiên, công cụ này chỉ có thể sử dụng được nếu điểm khôi phục được thực hiện trước khi bị nhiễm ransomware tạo đuôi file .boot. Để sử dụng công cụ này và khôi phục các file bị nhiễm ransomware, thực hiện theo các bước sau:

    Bước 1. Mở My Computer hoặc Windows Explorer.
    Bước 2. Click chuột phải vào các tập tin hoặc thư mục bị nhiễm ransomware. Từ danh sách thả xuống, click vào Restore previous versions.
    Bước 3. Cửa sổ mới sẽ mở hiển thị tất cả các bản sao lưu của các file và thư mục bạn muốn khôi phục. Chọn file thích hợp và click vào Open, Copy hoặc Restore. Khôi phục các file đã chọn ghi đè lên các file được mã hóa hiện tại trên máy tính.

    6. Cách ngăn máy tính khỏi bị nhiễm ransomware tạo đuôi file .boot

    Để ngăn máy tính khỏi ransomware tạo đuôi file .boot, bạn cần cài đặt chương trình diệt virus trên máy tính và luôn nhớ sao lưu các tài liệu cá nhân. Ngoài ra bạn có thể sử dụng chương trình có tên là HitmanPro.Alert để ngăn phần mềm độc hại mã hóa file chạy trên hệ thống

    Chúc các bạn thực hiện thành công!
    Last edited by sangtao70; 10-07-2019 at 08:47 PM.

 

 

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

     

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
All times are GMT -8. The time now is 10:33 AM. Powered by vBulletin® Version 4.2.5
Copyright © 2019 vBulletin Solutions Inc. All rights reserved.
vb4 Watermark Generator provided by Purgatory-Labs.de

If you see any picture hosted here that you believe infringes your copyright rights you may send a DMCA (Digital Millennium Copyright Act) notification to [email protected]
iVietnamese.com is absolutly legal and contain only links to other sites on the Internet : ( rapidshare.com, dailymotion.com, veoh.com, youku.com, youtube.com and others.. ) We do not host or upload any video, films, media files. iVietnamese.com is not responsible for the accuracy, compliance, copyright, legality, decency, or any other aspect of the content of other linked sites. If you have any legal issues please contact appropriate media file owners / hosters.