Si des images, des documents ou des fichiers sont cryptés avec l'extension bora, cela signifie que votre ordinateur est infecté par le ransomware STOP (DJVU) .
Ransomware STOP (DJVU) crypte les documents personnels sur l'ordinateur de la victime, puis affiche un message proposant de décrypter les données en cas de paiement avec Bitcoin. Les instructions pour décrypter le fichier sont placées dans le fichier _readme.txt sur le bureau de la victime. Cet article vous expliquera comment supprimer le ransomware qui crée une extension de fichier .bora.
Avertissement : ce guide vous aidera à supprimer les ransomwares qui créent des fichiers .bora, mais ne vous aidera pas à restaurer les fichiers. Vous pouvez essayer ShadowExplorer ou un logiciel gratuit de récupération de fichiers pour récupérer des données.
1. Comment un ransomware crée-t-il des fichiers .bora pour infiltrer l'ordinateur
Ransomware crée des fichiers .bore qui sont distribués via des courriers indésirables contenant des pièces jointes infectées par un ransomware ou exploitant des vulnérabilités du système d'exploitation et des logiciels installés.
Les cybercriminels envoient des spams avec de fausses informations d'en-tête, faisant croire aux destinataires qu'ils proviennent d'une compagnie maritime comme DHL ou FedEx. Un e-mail vous informe que vous avez une commande à recevoir mais qu'elle ne peut pas être livrée pour une raison quelconque. Ou parfois un email confirme votre achat. Quoi qu’il en soit, cela rend le destinataire curieux et ouvre le fichier joint (ou clique sur le lien intégré dans l’e-mail). Et ce faisant, votre ordinateur sera infecté par un ransomware qui crée des fichiers .bora.
Le ransomware crée des fichiers .bora pour attaquer les victimes en piratant les ports ouverts des services de bureau à distance (RDP). Les attaquants analysent les systèmes exécutant RDP (port TCP 3389), puis effectuent une attaque par force brute sur le mot de passe du système.
2. Qu'est-ce qu'un ransomware qui crée des fichiers .bora ?
Famille de ransomwares : ransomware STOP (DJVU)
Extension : Bora
Fichier de rançon : _readme.txt
Rançon : De 490 USD à 980 USD (en Bitcoin)
Contact : [email protected], [email protected] ou @datarestore sur Telegram
Ransomware crée des fichiers .bora qui restreignent l'accès aux données en cryptant le fichier. Faites ensuite chanter la victime en exigeant une rançon en Bitcoin pour retrouver l’accès aux données. Ce type de ransomware cible toutes les versions de Windows, y compris Windows 7, Windows 8 et Windows 10. Lors de sa première installation sur l'ordinateur, ce ransomware crée un fichier exécutable nommé de manière aléatoire dans le dossier %AppData% ou %LocalAppData%. Ce fichier exécutable se lancera et commencera à analyser toutes les lettres de lecteur sur l'ordinateur pour trouver les fichiers de données cryptés.
Ransomware crée des fichiers .bora à la recherche d'extensions de fichiers spécifiques à chiffrer. Les fichiers qu'il crypte sont souvent des documents et fichiers importants tels que .doc, .docx, .xls, .pdf, etc. Lorsqu'il trouve ces fichiers, il change l'extension du fichier en bora afin qu'il ne puisse plus être ouvert.
Vous trouverez ci-dessous une liste des extensions de fichiers ciblées par ce type de ransomware :
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Lorsqu'un fichier est crypté par l'extension bora, ce ransomware crée un fichier _readme.txt, expliquant comment récupérer le fichier et exigeant une rançon dans chaque dossier où le fichier a été crypté et sur le bureau Windows. Ces fichiers sont placés dans chaque dossier contenant des fichiers cryptés et contiennent des informations sur la façon de contacter les cybercriminels pour récupérer les fichiers.
Une fois l'analyse de l'ordinateur terminée, il supprime également tous les clichés instantanés de volumes sur l'ordinateur infecté afin qu'ils ne puissent pas être utilisés pour récupérer des fichiers cryptés.
3. Votre ordinateur est-il infecté par un ransomware qui crée des fichiers .bora ?
Lorsqu'un ordinateur est infecté par ce ransomware, il analyse toutes les lettres de lecteur pour trouver le type de fichier cible, les crypte puis ajoute l'extension bora. Lorsque ces fichiers sont cryptés, vous ne pourrez pas les ouvrir avec des programmes classiques. Lorsque ce ransomware a fini de chiffrer les fichiers de la victime, il affiche également un fichier contenant des instructions sur la façon de contacter les cybercriminels ([email protected] ou [email protected]).
Il s'agit du message de demande de rançon dans le fichier _readme.txt.
4. Est-il possible de décrypter les fichiers cryptés avec un ransomware qui crée des fichiers .bora ?
Malheureusement, vous ne pouvez pas récupérer les fichiers cryptés avec un ransomware qui crée des fichiers .bora, car pour les déverrouiller, une clé privée est nécessaire, ce que seuls les cybercriminels possèdent.
Cependant, vous ne devriez pas payer pour restaurer des fichiers. Même si vous les payez, rien ne garantit que vous retrouverez l’accès aux fichiers.
5. Comment supprimer le ransomware qui crée des fichiers .bora
Reportez-vous à la section sur la façon de supprimer un ransomware dans l'article Comment supprimer un ransomware qui crée des fichiers .boot pour savoir comment supprimer un ransomware qui crée des fichiers .bora.
Pour empêcher votre ordinateur de créer des fichiers ransomware avec l'extension .bora, vous devez installer un programme antivirus sur votre ordinateur et toujours sauvegarder vos documents personnels. Vous pouvez également utiliser un programme appelé HitmanPro.Alert pour empêcher l'exécution de logiciels malveillants de cryptage de fichiers sur le système.
Je vous souhaite du succès !
