Comment supprimer un ransomware qui crée un fichier .boot

Comment supprimer un ransomware qui crée un fichier .boot

Si des images, des documents ou des fichiers sont cryptés avec l'extension Boot, cela signifie que votre ordinateur est infecté par le ransomware STOP (DJVU) .

Ransomware STOP (DJVU) crypte les documents personnels sur l'ordinateur de la victime, puis affiche un message proposant de décrypter les données en cas de paiement avec Bitcoin. Les instructions pour décoder le fichier sont affichées dans le fichier _readme.txt. Cet article vous expliquera comment supprimer le ransomware et créer un fichier .boot.

Avertissement : ce guide vous aidera à supprimer les ransomwares qui créent un fichier .boot, mais ne vous aidera pas à restaurer le fichier. Vous pouvez essayer ShadowExplorer ou un logiciel gratuit de récupération de fichiers pour récupérer des données.

Instructions pour supprimer le ransomware qui crée un fichier .boot

1. Le ransomware crée un fichier .boot, comment pénètre-t-il dans votre ordinateur ?

Ransomware crée des fichiers de queue de démarrage qui sont distribués par courrier électronique contenant des pièces jointes infectées par un ransomware ou saisis en exploitant les vulnérabilités du système d'exploitation et des logiciels installés.

Les cybercriminels envoient des spams avec de fausses informations d'en-tête, vous faisant croire que le courrier provient de sociétés de transport comme DHL ou FedEx. Un e-mail vous informe que vous avez une commande mais, pour une raison quelconque, elle ne peut pas vous être envoyée. Ou parfois un email confirmant la commande que vous avez passée. Quoi qu’il en soit, cela rend les gens curieux et ouvrent la pièce jointe (ou cliquent sur le lien intégré dans l’e-mail). En conséquence, votre ordinateur est infecté par un ransomware qui crée un fichier .boot.

Les ransomwares qui créent des fichiers .boot peuvent également attaquer en piratant les ports des services Bureau à distance (RDP). Les attaquants analysent les systèmes exécutant RDP (port TCP 3389), puis effectuent une attaque par force brute sur le mot de passe du système.

2. Qu'est-ce qu'un ransomware qui crée un fichier .boot ?

Famille de ransomwares : ransomware STOP (DJVU)

Extension : Démarrage

Fichier de rançon : _readme.txt

Rançon : De 490 USD à 980 USD (en Bitcoin)

Contact : [email protected], [email protected] ou @datarestore sur Telegram

Ransomware crée un fichier .boot qui restreint l'accès aux données en cryptant le fichier. Il tente alors de faire chanter la victime en exigeant une rançon en cryptomonnaie Bitcoin pour retrouver l’accès aux données. Ce type de ransomware cible toutes les versions de Windows, y compris Windows 7, Windows 8 et Windows 10. Lors de sa première installation sur l'ordinateur, ce ransomware crée un fichier exécutable nommé de manière aléatoire dans le dossier %AppData% ou %LocalAppData%. Ce fichier exécutable se lancera et commencera à analyser toutes les lettres de lecteur sur l'ordinateur pour trouver les fichiers de données cryptés.

Ransomware crée un fichier .boot qui recherche les fichiers avec des extensions de fichier spécifiques à chiffrer. Les fichiers qu'il crypte sont souvent des documents et fichiers importants tels que .doc, .docx, .xls, .pdf, etc. Lorsqu'il trouve ces fichiers, il change l'extension du fichier en Boot afin qu'il ne puisse plus être ouvert.

Vous trouverez ci-dessous une liste des extensions de fichiers ciblées par ce type de ransomware :

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Lorsque le fichier est crypté avec l'extension Boot, ce ransomware créera un fichier _readme.txt, expliquant comment récupérer le fichier et exigeant une rançon dans chaque dossier où le fichier a été crypté et sur le bureau Windows. Ces fichiers sont placés dans chaque dossier contenant des fichiers cryptés et contiennent des informations sur la façon de contacter les cybercriminels pour récupérer les fichiers.

Une fois l'analyse de l'ordinateur terminée, il supprime également tous les clichés instantanés de volumes sur l'ordinateur infecté afin qu'ils ne puissent pas être utilisés pour récupérer des fichiers cryptés.

3. Votre ordinateur est-il infecté par un ransomware qui crée un fichier .boot ?

Lorsqu'un ordinateur est infecté par ce ransomware, il analyse toutes les lettres de lecteur pour trouver le type de fichier cible, les crypte puis ajoute l'extension Boot. Lorsque ces fichiers sont cryptés, vous ne pourrez pas les ouvrir avec des programmes classiques. Lorsque ce ransomware a fini de chiffrer les fichiers de la victime, il affiche également un fichier contenant des instructions sur la façon de contacter les cybercriminels ([email protected] ou [email protected]).

Voici le message de demande de rançon dans le fichier _readme.txt :

Comment supprimer un ransomware qui crée un fichier .boot

4. Est-il possible de décrypter les fichiers cryptés avec un ransomware qui crée des fichiers .boot ?

Malheureusement, la réponse est non. Vous ne pouvez pas récupérer des fichiers cryptés avec un ransomware qui crée des fichiers .boot, car une clé privée est nécessaire pour déverrouiller les fichiers cryptés, dont seuls les cybercriminels disposent.

Ne payez pas pour restaurer des fichiers. Même si vous les payez, rien ne garantit que vous retrouverez l’accès aux fichiers.

5. Comment supprimer le ransomware qui crée une extension de fichier .boot

Attention : Il est important de noter qu'avec cette méthode, vous risquez de perdre des fichiers. Malwarebytes et HitmanPro peuvent détecter et supprimer ce ransomware, mais ces programmes ne peuvent pas récupérer de documents, photos ou fichiers. Par conséquent, vous devez réfléchir avant d’effectuer ce processus.

Utilisez Malwarebytes pour supprimer les ransomwares qui créent des fichiers .boot

Malwarebytes est l'un des logiciels anti-malware les plus populaires et les plus utilisés pour Windows. Il peut détruire de nombreux types de logiciels malveillants que d'autres logiciels pourraient manquer.

Reportez-vous à l'article Antivirus efficace avec le logiciel Malwarebytes Premium pour savoir comment utiliser ce logiciel anti- malware .

Utilisez HitmanPro pour rechercher des logiciels malveillants et des programmes indésirables

HitmanPro est un scanner qui met en œuvre une approche unique basée sur le cloud pour rechercher les logiciels malveillants. HitmanPro analyse le comportement des fichiers actifs ainsi que des fichiers situés dans des emplacements où résident souvent des logiciels malveillants pour effectuer des activités suspectes. Si un fichier suspect inconnu est détecté, HitmanPro l'enverra vers le cloud pour qu'il soit analysé par deux des meilleurs outils antivirus actuels, Bitdefender et Kaspersky.

Bien que HitmanPro soit un shareware, il coûte 24,95 $ par an avec un ordinateur, mais offre une analyse pratiquement illimitée. Limité uniquement si vous avez besoin de supprimer ou de mettre en quarantaine les logiciels malveillants détectés par HitmanPro sur le système, puis vous pouvez activer un essai une fois tous les 30 jours pour le nettoyage.

Étape 1. Téléchargez HitmanPro

Étape 2. Installez HitmanPro

Après le téléchargement, double-cliquez sur « hitmanpro.exe » (pour Windows 32 bits) ou « hitmanpro_x64.exe » (pour Windows 64 bits) pour installer le programme sur votre ordinateur. Normalement, le fichier téléchargé sera enregistré dans le dossier Téléchargements.

Comment supprimer un ransomware qui crée un fichier .boot

Si vous voyez le message UAC apparaître, cliquez sur Oui .

Comment supprimer un ransomware qui crée un fichier .boot

Étape 3. Suivez les instructions à l'écran

Lorsque vous démarrez HitmanPro, vous verrez l'écran de démarrage comme ci-dessous. Cliquez sur le bouton Suivant pour effectuer une analyse du système.

Comment supprimer un ransomware qui crée un fichier .boot

Étape 4. Attendez la fin du processus de numérisation

HitmanPro commencera à analyser votre ordinateur à la recherche de programmes malveillants. Ce processus peut durer quelques minutes.

Comment supprimer un ransomware qui crée un fichier .boot

Étape 5 . Cliquez sur Suivant

Lorsque HitmanPro aura terminé l'analyse, il affichera une liste de tous les logiciels malveillants trouvés. Cliquez sur Suivant pour supprimer le programme malveillant.

Comment supprimer un ransomware qui crée un fichier .boot

Étape 6 . Cliquez sur Activer la licence gratuite

Cliquez sur le bouton Activer la licence gratuite pour démarrer votre essai gratuit de 30 jours et supprimer les fichiers malveillants de votre ordinateur.

Comment supprimer un ransomware qui crée un fichier .boot

Comment supprimer un ransomware qui crée un fichier .boot

Une fois le processus terminé, vous pouvez fermer HitmanPro et continuer avec le reste du didacticiel.

Récupérez les fichiers cryptés par un ransomware en créant des fichiers .boot avec un logiciel de récupération

Dans certains cas, il est possible de restaurer une version précédente d'un fichier crypté à l'aide de Boot Restore ou d'un autre logiciel de récupération contenant souvent un cliché instantané du fichier.

Vous trouverez ci-dessous un outil pour décrypter les fichiers cryptés par le ransomware STOP, créé par des experts du forum de sécurité Bleeping Computer. Vous pouvez l'essayer pour voir si vous pouvez récupérer vos données. Si cela ne fonctionne pas, essayez les autres solutions ci-dessous.

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

Option 1 : Récupérer les fichiers cryptés avec un ransomware en créant une extension de fichier .boot avec ShadowExplorer

Le ransomware qui crée une extension de fichier .boot tentera de supprimer tous les clichés instantanés la première fois qu'un fichier exécutable est lancé sur l'ordinateur après avoir été infecté par un ransomware. Heureusement, les ransomwares ne peuvent pas supprimer tous les clichés instantanés, vous devriez donc essayer de récupérer vos fichiers en utilisant cette méthode.

Étape 1 . Téléchargez ShadowExplorer en utilisant le lien de téléchargement ci-dessous.

Étape 2. Installez le programme avec les paramètres par défaut.

Étape 3. Le programme s'exécutera automatiquement après l'installation. Sinon, double-cliquez sur l'icône ShadowExplorer.

Étape 4 . Vous pouvez voir la liste déroulante en haut du panneau. Sélectionnez le lecteur et le cliché instantané les plus récents que vous souhaitez restaurer avant d'être infecté par un ransomware qui crée l'extension de fichier .boot.

Comment supprimer un ransomware qui crée un fichier .boot

Étape 5 . Cliquez avec le bouton droit sur le lecteur , le dossier ou le fichier que vous souhaitez restaurer et cliquez sur Exporter…

Étape 6 . Enfin, ShadowExplorer vous indiquera où vous souhaitez enregistrer la copie du fichier récupéré.

Option 2 : Récupérer les fichiers cryptés avec l'extension Boot à l'aide d'un logiciel de récupération de fichiers

Lorsque les fichiers sont cryptés, ce ransomware en fait d'abord une copie, crypte la copie puis supprime l'original. Par conséquent, il y a une petite chance que vous puissiez utiliser un logiciel de récupération de fichiers pour récupérer des fichiers supprimés tels que Recuva, EaseUS Data Recovery Wizard Free, R-Studio.

Option 3 : Utiliser l'outil Versions précédentes de Windows

Windows Vista et Windows 7 disposent d'une fonctionnalité appelée Versions précédentes . Cependant, cet outil ne peut être utilisé que si le point de restauration a été créé avant que l'infection par le ransomware ne crée l'extension de fichier .boot. Pour utiliser cet outil et récupérer des fichiers infectés par un ransomware, suivez ces étapes :

Étape 1 . Ouvrez Poste de travail ou l'Explorateur Windows .

Étape 2. Cliquez avec le bouton droit sur les fichiers ou dossiers infectés par un ransomware. Dans la liste déroulante, cliquez sur Restaurer les versions précédentes .

Étape 3 . Une nouvelle fenêtre s'ouvrira affichant toutes les sauvegardes des fichiers et dossiers que vous souhaitez restaurer. Sélectionnez le fichier approprié et cliquez sur Ouvrir , Copier ou Restaurer . Récupérez les fichiers sélectionnés en écrasant les fichiers cryptés existants sur l'ordinateur.

6. Comment empêcher votre ordinateur d'être infecté par un ransomware créant une extension de fichier .boot

Pour empêcher votre ordinateur de créer une extension de fichier .boot par un ransomware, vous devez installer un programme antivirus sur votre ordinateur et toujours sauvegarder vos documents personnels. Vous pouvez également utiliser un programme appelé HitmanPro.Alert pour empêcher l'exécution de logiciels malveillants de cryptage de fichiers sur le système.

Je vous souhaite du succès !


Pourquoi les appareils 802.11b ralentissent-ils votre réseau WiFi ?

Pourquoi les appareils 802.11b ralentissent-ils votre réseau WiFi ?

Cela dit, la vitesse de votre Wi-Fi dépend d'une myriade de facteurs, depuis l'emplacement du Wi-Fi jusqu'au micro-ondes de votre maison. Mais un appareil plus ancien exécutant le protocole 802.11b sur votre réseau pourrait-il le ralentir ?

Comment vérifier si Modern Standby est connecté ou déconnecté dans Windows 10

Comment vérifier si Modern Standby est connecté ou déconnecté dans Windows 10

Ce guide vous montrera comment vérifier si Modern Standby est connecté ou déconnecté du WiFi en mode veille sous Windows 10.

Différence entre le port WAN et le port LAN

Différence entre le port WAN et le port LAN

Si vous regardez votre routeur sans fil, vous verrez peut-être les abréviations LAN et WAN, généralement situées à côté de certains ports de l'appareil. LAN signifie Local Area Network et WAN signifie Wide Area Network. Alors, quelle est la différence entre ces deux types de ports ? Découvrons-le avec Quantrimang à travers l'article suivant !

Comment installer le thème super cool Doctor Strange sur Windows 10/11

Comment installer le thème super cool Doctor Strange sur Windows 10/11

Thème Doctor Stranger super cool et super cool pour Windows 10/11.

Un VPN peut-il vous protéger contre les ransomwares ?

Un VPN peut-il vous protéger contre les ransomwares ?

Le VPN est un outil populaire pour vous protéger en ligne. Par conséquent, vous vous demandez peut-être s’ils peuvent vous protéger contre les ransomwares.

Comment gérer un énorme dossier WinSxS dans Windows 10

Comment gérer un énorme dossier WinSxS dans Windows 10

Cela soulève la question de savoir quels sont exactement les fichiers installés dans WinSxS et pourquoi sont-ils si volumineux. Découvrons les secrets de WinSxS et comment gérer ce dossier à travers l'article suivant.

Comment définir des mots de passe distincts pour chaque application dans Windows 10

Comment définir des mots de passe distincts pour chaque application dans Windows 10

Parfois, vous êtes confronté à une situation dans laquelle vous ne souhaitez pas que quelqu'un utilise une application ou un jeu particulier sur votre PC, mais vous ne trouvez aucune solution appropriée. Avec Windows 10, vous pouvez facilement verrouiller n'importe quelle application de votre choix.

Comment ajouter des effets attrayants à la barre des tâches de Windows 10

Comment ajouter des effets attrayants à la barre des tâches de Windows 10

Si vous cherchez à ajouter des effets attrayants à la barre des tâches, les applications RainbowTaskbar et NiceTaskbar peuvent vous aider à le faire.

Comment utiliser la commande format pour écrire 0 sur le disque dur

Comment utiliser la commande format pour écrire 0 sur le disque dur

Un moyen simple d'écrire zéro (Write Zero) sur un disque dur pour effacer toutes les données consiste à formater le disque d'une manière spéciale, à l'aide de la commande format de l'invite de commande.

Comment convertir la structure du lecteur MRB en GPT dans Windows 10

Comment convertir la structure du lecteur MRB en GPT dans Windows 10

Dans les versions précédentes de Windows, vous étiez obligé de réinstaller l'intégralité du système d'exploitation si vous souhaitiez convertir le BIOS hérité ou le Master Boot Record (MBR) en UEFI ou GUID Partition Table (GPT).