Si des images, des documents ou des fichiers sont cryptés avec l'extension Boot, cela signifie que votre ordinateur est infecté par le ransomware STOP (DJVU) .
Ransomware STOP (DJVU) crypte les documents personnels sur l'ordinateur de la victime, puis affiche un message proposant de décrypter les données en cas de paiement avec Bitcoin. Les instructions pour décoder le fichier sont affichées dans le fichier _readme.txt. Cet article vous expliquera comment supprimer le ransomware et créer un fichier .boot.
Avertissement : ce guide vous aidera à supprimer les ransomwares qui créent un fichier .boot, mais ne vous aidera pas à restaurer le fichier. Vous pouvez essayer ShadowExplorer ou un logiciel gratuit de récupération de fichiers pour récupérer des données.
Instructions pour supprimer le ransomware qui crée un fichier .boot
1. Le ransomware crée un fichier .boot, comment pénètre-t-il dans votre ordinateur ?
Ransomware crée des fichiers de queue de démarrage qui sont distribués par courrier électronique contenant des pièces jointes infectées par un ransomware ou saisis en exploitant les vulnérabilités du système d'exploitation et des logiciels installés.
Les cybercriminels envoient des spams avec de fausses informations d'en-tête, vous faisant croire que le courrier provient de sociétés de transport comme DHL ou FedEx. Un e-mail vous informe que vous avez une commande mais, pour une raison quelconque, elle ne peut pas vous être envoyée. Ou parfois un email confirmant la commande que vous avez passée. Quoi qu’il en soit, cela rend les gens curieux et ouvrent la pièce jointe (ou cliquent sur le lien intégré dans l’e-mail). En conséquence, votre ordinateur est infecté par un ransomware qui crée un fichier .boot.
Les ransomwares qui créent des fichiers .boot peuvent également attaquer en piratant les ports des services Bureau à distance (RDP). Les attaquants analysent les systèmes exécutant RDP (port TCP 3389), puis effectuent une attaque par force brute sur le mot de passe du système.
2. Qu'est-ce qu'un ransomware qui crée un fichier .boot ?
Famille de ransomwares : ransomware STOP (DJVU)
Extension : Démarrage
Fichier de rançon : _readme.txt
Rançon : De 490 USD à 980 USD (en Bitcoin)
Contact : [email protected], [email protected] ou @datarestore sur Telegram
Ransomware crée un fichier .boot qui restreint l'accès aux données en cryptant le fichier. Il tente alors de faire chanter la victime en exigeant une rançon en cryptomonnaie Bitcoin pour retrouver l’accès aux données. Ce type de ransomware cible toutes les versions de Windows, y compris Windows 7, Windows 8 et Windows 10. Lors de sa première installation sur l'ordinateur, ce ransomware crée un fichier exécutable nommé de manière aléatoire dans le dossier %AppData% ou %LocalAppData%. Ce fichier exécutable se lancera et commencera à analyser toutes les lettres de lecteur sur l'ordinateur pour trouver les fichiers de données cryptés.
Ransomware crée un fichier .boot qui recherche les fichiers avec des extensions de fichier spécifiques à chiffrer. Les fichiers qu'il crypte sont souvent des documents et fichiers importants tels que .doc, .docx, .xls, .pdf, etc. Lorsqu'il trouve ces fichiers, il change l'extension du fichier en Boot afin qu'il ne puisse plus être ouvert.
Vous trouverez ci-dessous une liste des extensions de fichiers ciblées par ce type de ransomware :
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt
Lorsque le fichier est crypté avec l'extension Boot, ce ransomware créera un fichier _readme.txt, expliquant comment récupérer le fichier et exigeant une rançon dans chaque dossier où le fichier a été crypté et sur le bureau Windows. Ces fichiers sont placés dans chaque dossier contenant des fichiers cryptés et contiennent des informations sur la façon de contacter les cybercriminels pour récupérer les fichiers.
Une fois l'analyse de l'ordinateur terminée, il supprime également tous les clichés instantanés de volumes sur l'ordinateur infecté afin qu'ils ne puissent pas être utilisés pour récupérer des fichiers cryptés.
3. Votre ordinateur est-il infecté par un ransomware qui crée un fichier .boot ?
Lorsqu'un ordinateur est infecté par ce ransomware, il analyse toutes les lettres de lecteur pour trouver le type de fichier cible, les crypte puis ajoute l'extension Boot. Lorsque ces fichiers sont cryptés, vous ne pourrez pas les ouvrir avec des programmes classiques. Lorsque ce ransomware a fini de chiffrer les fichiers de la victime, il affiche également un fichier contenant des instructions sur la façon de contacter les cybercriminels ([email protected] ou [email protected]).
Voici le message de demande de rançon dans le fichier _readme.txt :
4. Est-il possible de décrypter les fichiers cryptés avec un ransomware qui crée des fichiers .boot ?
Malheureusement, la réponse est non. Vous ne pouvez pas récupérer des fichiers cryptés avec un ransomware qui crée des fichiers .boot, car une clé privée est nécessaire pour déverrouiller les fichiers cryptés, dont seuls les cybercriminels disposent.
Ne payez pas pour restaurer des fichiers. Même si vous les payez, rien ne garantit que vous retrouverez l’accès aux fichiers.
5. Comment supprimer le ransomware qui crée une extension de fichier .boot
Attention : Il est important de noter qu'avec cette méthode, vous risquez de perdre des fichiers. Malwarebytes et HitmanPro peuvent détecter et supprimer ce ransomware, mais ces programmes ne peuvent pas récupérer de documents, photos ou fichiers. Par conséquent, vous devez réfléchir avant d’effectuer ce processus.
Utilisez Malwarebytes pour supprimer les ransomwares qui créent des fichiers .boot
Malwarebytes est l'un des logiciels anti-malware les plus populaires et les plus utilisés pour Windows. Il peut détruire de nombreux types de logiciels malveillants que d'autres logiciels pourraient manquer.
Reportez-vous à l'article Antivirus efficace avec le logiciel Malwarebytes Premium pour savoir comment utiliser ce logiciel anti- malware .
Utilisez HitmanPro pour rechercher des logiciels malveillants et des programmes indésirables
HitmanPro est un scanner qui met en œuvre une approche unique basée sur le cloud pour rechercher les logiciels malveillants. HitmanPro analyse le comportement des fichiers actifs ainsi que des fichiers situés dans des emplacements où résident souvent des logiciels malveillants pour effectuer des activités suspectes. Si un fichier suspect inconnu est détecté, HitmanPro l'enverra vers le cloud pour qu'il soit analysé par deux des meilleurs outils antivirus actuels, Bitdefender et Kaspersky.
Bien que HitmanPro soit un shareware, il coûte 24,95 $ par an avec un ordinateur, mais offre une analyse pratiquement illimitée. Limité uniquement si vous avez besoin de supprimer ou de mettre en quarantaine les logiciels malveillants détectés par HitmanPro sur le système, puis vous pouvez activer un essai une fois tous les 30 jours pour le nettoyage.
Étape 1. Téléchargez HitmanPro
Étape 2. Installez HitmanPro
Après le téléchargement, double-cliquez sur « hitmanpro.exe » (pour Windows 32 bits) ou « hitmanpro_x64.exe » (pour Windows 64 bits) pour installer le programme sur votre ordinateur. Normalement, le fichier téléchargé sera enregistré dans le dossier Téléchargements.
Si vous voyez le message UAC apparaître, cliquez sur Oui .
Étape 3. Suivez les instructions à l'écran
Lorsque vous démarrez HitmanPro, vous verrez l'écran de démarrage comme ci-dessous. Cliquez sur le bouton Suivant pour effectuer une analyse du système.
Étape 4. Attendez la fin du processus de numérisation
HitmanPro commencera à analyser votre ordinateur à la recherche de programmes malveillants. Ce processus peut durer quelques minutes.
Étape 5 . Cliquez sur Suivant
Lorsque HitmanPro aura terminé l'analyse, il affichera une liste de tous les logiciels malveillants trouvés. Cliquez sur Suivant pour supprimer le programme malveillant.
Étape 6 . Cliquez sur Activer la licence gratuite
Cliquez sur le bouton Activer la licence gratuite pour démarrer votre essai gratuit de 30 jours et supprimer les fichiers malveillants de votre ordinateur.
Une fois le processus terminé, vous pouvez fermer HitmanPro et continuer avec le reste du didacticiel.
Récupérez les fichiers cryptés par un ransomware en créant des fichiers .boot avec un logiciel de récupération
Dans certains cas, il est possible de restaurer une version précédente d'un fichier crypté à l'aide de Boot Restore ou d'un autre logiciel de récupération contenant souvent un cliché instantané du fichier.
Vous trouverez ci-dessous un outil pour décrypter les fichiers cryptés par le ransomware STOP, créé par des experts du forum de sécurité Bleeping Computer. Vous pouvez l'essayer pour voir si vous pouvez récupérer vos données. Si cela ne fonctionne pas, essayez les autres solutions ci-dessous.
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
Option 1 : Récupérer les fichiers cryptés avec un ransomware en créant une extension de fichier .boot avec ShadowExplorer
Le ransomware qui crée une extension de fichier .boot tentera de supprimer tous les clichés instantanés la première fois qu'un fichier exécutable est lancé sur l'ordinateur après avoir été infecté par un ransomware. Heureusement, les ransomwares ne peuvent pas supprimer tous les clichés instantanés, vous devriez donc essayer de récupérer vos fichiers en utilisant cette méthode.
Étape 1 . Téléchargez ShadowExplorer en utilisant le lien de téléchargement ci-dessous.
Étape 2. Installez le programme avec les paramètres par défaut.
Étape 3. Le programme s'exécutera automatiquement après l'installation. Sinon, double-cliquez sur l'icône ShadowExplorer.
Étape 4 . Vous pouvez voir la liste déroulante en haut du panneau. Sélectionnez le lecteur et le cliché instantané les plus récents que vous souhaitez restaurer avant d'être infecté par un ransomware qui crée l'extension de fichier .boot.
Étape 5 . Cliquez avec le bouton droit sur le lecteur , le dossier ou le fichier que vous souhaitez restaurer et cliquez sur Exporter…
Étape 6 . Enfin, ShadowExplorer vous indiquera où vous souhaitez enregistrer la copie du fichier récupéré.
Option 2 : Récupérer les fichiers cryptés avec l'extension Boot à l'aide d'un logiciel de récupération de fichiers
Lorsque les fichiers sont cryptés, ce ransomware en fait d'abord une copie, crypte la copie puis supprime l'original. Par conséquent, il y a une petite chance que vous puissiez utiliser un logiciel de récupération de fichiers pour récupérer des fichiers supprimés tels que Recuva, EaseUS Data Recovery Wizard Free, R-Studio.
Option 3 : Utiliser l'outil Versions précédentes de Windows
Windows Vista et Windows 7 disposent d'une fonctionnalité appelée Versions précédentes . Cependant, cet outil ne peut être utilisé que si le point de restauration a été créé avant que l'infection par le ransomware ne crée l'extension de fichier .boot. Pour utiliser cet outil et récupérer des fichiers infectés par un ransomware, suivez ces étapes :
Étape 1 . Ouvrez Poste de travail ou l'Explorateur Windows .
Étape 2. Cliquez avec le bouton droit sur les fichiers ou dossiers infectés par un ransomware. Dans la liste déroulante, cliquez sur Restaurer les versions précédentes .
Étape 3 . Une nouvelle fenêtre s'ouvrira affichant toutes les sauvegardes des fichiers et dossiers que vous souhaitez restaurer. Sélectionnez le fichier approprié et cliquez sur Ouvrir , Copier ou Restaurer . Récupérez les fichiers sélectionnés en écrasant les fichiers cryptés existants sur l'ordinateur.
6. Comment empêcher votre ordinateur d'être infecté par un ransomware créant une extension de fichier .boot
Pour empêcher votre ordinateur de créer une extension de fichier .boot par un ransomware, vous devez installer un programme antivirus sur votre ordinateur et toujours sauvegarder vos documents personnels. Vous pouvez également utiliser un programme appelé HitmanPro.Alert pour empêcher l'exécution de logiciels malveillants de cryptage de fichiers sur le système.
Je vous souhaite du succès !