如何刪除建立 .boot 檔案的勒索軟體

如果映像、文件或檔案使用 Boot 擴充功能進行加密，則表示您的電腦感染了STOP (DJVU)勒索軟體。

勒索軟體 STOP (DJVU) 對受害者電腦上的個人文件進行加密，然後顯示一則訊息，要求使用比特幣付款時解密資料。解碼檔案的說明顯示在 _readme.txt 檔案中。本文將指導您如何刪除勒索軟體並建立 .boot 檔案。

警告：本指南將協助您刪除建立 .boot 檔案的勒索軟體，但無法協助復原該檔案。您可以嘗試 ShadowExplorer 或免費檔案復原軟體來恢復資料。

刪除建立 .boot 檔案的勒索軟體的說明

• 1. 勒索軟體會建立一個 .boot 文件，它如何進入您的電腦？
• 2. 創建 .boot 檔案的勒索軟體是什麼？
• 3. 您的電腦是否感染了創建 .boot 檔案的勒索軟體？
• 4. 是否可以解密使用建立 .boot 檔案的勒索軟體加密的檔案？
• 5. 如何刪除建立 .boot 檔案副檔名的勒索軟體
  • 使用 Malwarebytes 刪除建立 .boot 檔案的勒索軟體
  • 使用 HitmanPro 掃描惡意軟體和有害程序
  • 使用恢復軟體恢復由勒索軟體建立 .boot 文件加密的文件
• 6. 如何防止您的電腦被創建 .boot 檔案副檔名的勒索軟體感染

1. 勒索軟體會建立一個 .boot 文件，它如何進入您的電腦？

勒索軟體會建立可啟動的尾部文件，這些文件透過包含受勒索軟體感染的附件的電子郵件分發，或透過利用作業系統和已安裝軟體中的漏洞輸入。

網路犯罪分子會發送帶有虛假標頭資訊的垃圾郵件，誘騙您相信郵件來自 DHL 或 FedEx 等運輸公司。一封電子郵件通知您您有訂單，但由於某種原因無法發送給您。或者有時會發送一封電子郵件確認您所下的訂單。無論哪種方式，都會引起人們的好奇並打開附件（或點擊電子郵件中嵌入的連結）。因此，您的電腦感染了創建 .boot 檔案的勒索軟體。

創建 .boot 檔案的勒索軟體還可以透過侵入遠端桌面服務 (RDP) 連接埠進行攻擊。攻擊者掃描執行RDP（TCP埠3389）的系統，然後對系統密碼進行暴力攻擊

2. 創建 .boot 檔案的勒索軟體是什麼？

勒索軟體家族：STOP (DJVU) 勒索軟體

擴充：啟動

勒索檔案：_readme.txt

贖金：從 490 美元到 980 美元（比特幣）

聯絡方式：[email protected]、[email protected] 或Telegram上的@datarestore

勒索軟體會建立一個 .boot 文件，透過加密該文件來限制對資料的存取。然後，它試圖透過要求用加密貨幣比特幣支付贖金來勒索受害者，以重新獲得對資料的存取權。此類勒索軟體針對所有版本的Windows，包括Windows 7、Windows 8 和Windows 10。當第一次安裝在電腦上時，此勒索軟體會在%AppData% 資料夾或%LocalAppData% 中建立一個隨機命名的執行檔。此可執行檔將啟動並開始掃描電腦上的所有磁碟機號碼以尋找加密的資料檔案。

勒索軟體會建立一個 .boot 文件，用於搜尋具有特定文件副檔名的文件以進行加密。它加密的文件往往是.doc、.docx、.xls、.pdf等重要的文件和文件，當它找到這些文件時，它會將文件副檔名更改為Boot，因此無法再開啟。

以下是此類勒索軟體針對的檔案副檔名清單：

.sql、.mp4、.7z、.rar、.m4a、.wma、.avi、.wmv、.csv、.d3dbsp、.zip、.sie、.sum、.ibank、.t13、.t12、.qdf 、.gdb、.tax、.pkpass、.bc6、.bc7、.bkp、.qic、.bkf、.sidn、.sidd、.mddata、.itl、.itdb、.icxs、.hvpl、.hplg、. hkdb、.mdbackup、.syncdb、.gho、.cas、.svg、.map、.wmo、.itm、.sb、.fos、.mov、.vdf、.ztmp、.sis、.sid、.ncf、 .menu、.layout、.dmp、.blob、.esm、.vcf、.vtf、.dazip、.fpk、.mlx、.kf、.iwd、.vpk、.tor、.psk、.rim、.w3x 、.fsh、.ntl、.arch00、.lvl、.snx、.cfr、.ff、.vpp_pc、.lrf、.m2、.mcmeta、.vfs0、.mpqge、.kdb、.db0、.dba、. rofl、.hkx、.bar、.upk、.das、.iwi、.litemod、.asset、.forge、.ltx、.bsa、.apk、.re4、.sav、.lbf、.slm、.bik、 .epk、.rgss3a、.pak、.big、錢包、.wotreplay、.xxx、.desc、.py、.m3u、.flv、.js、.css、.rb、.png、.jpeg、.txt、 .p7c、.p7b、.p12、.pfx、.pem、.crt、.cer、.der、.x3f、.srw、.pef、.ptx、.r3d、.rw2、.rwl、.raw、.raf 、.orf、.nrw、.mrwref、.mef、.erf、.kdc、.dcr、.cr2、.crw、.bay、.sr2、.srf、.arw、.3fr、.dng、.jpe、. jpg、.cdr、.indd、.ai、.eps、.pdf、.pdd、.psd、.dbf、.mdf、.wb2、.rtf、.wpd、.dxg、.xf、.dwg、.pst、 .accdb、.mdb、.pptm、.pptx、.ppt、.xlk、.xlsb、.xlsm、.xlsx、.xls、.wps、.docm、.docx、.doc、.odb、.odc、.odm 、.odp、.ods、.odt

當使用 Boot 副檔名加密檔案時，該勒索軟體會建立一個 _readme.txt 文件，解釋如何取回文件，並在文件已加密的每個資料夾和 Windows 桌面上要求贖金。這些檔案放置在每個包含加密檔案的資料夾中，並包含有關如何聯絡網路犯罪分子以取回檔案的資訊。

當它完成掃描電腦時，它也會刪除受感染電腦上的所有捲影卷副本，因此無法用於恢復加密檔案。

3. 您的電腦是否感染了創建 .boot 檔案的勒索軟體？

當電腦感染此勒索軟體時，它會掃描所有磁碟機號碼以尋找目標檔案類型，對其進行加密，然後新增啟動副檔名。當這些文件被加密時，您將無法使用常規程式開啟它們。當該勒索軟體完成受害者文件的加密後，它還會顯示一個文件，其中包含有關如何聯繫網路犯罪分子（[email protected] 或 [email protected]）的說明。

以下是 _readme.txt 檔案中的贖金請求訊息：

4. 是否可以解密使用建立 .boot 檔案的勒索軟體加密的檔案？

不幸的是，答案是否定的。您無法恢復使用創建 .boot 文件的勒索軟體加密的文件，因為需要私鑰才能解鎖加密文件，而只有網路犯罪分子才擁有私鑰。

無需付費恢復文件。即使您付費，也不能保證您將重新獲得文件存取權限。

5. 如何刪除建立 .boot 檔案副檔名的勒索軟體

警告：請務必注意，使用此方法可能會遺失檔案。 Malwarebytes 和 HitmanPro 可以偵測並移除此勒索軟體，但這些程式無法復原文件、照片或檔案。因此，在執行此過程之前您需要考慮。

使用 Malwarebytes 刪除建立 .boot 檔案的勒索軟體

Malwarebytes 是 Windows 上最受歡迎且最常用的反惡意軟體軟體之一。它可以摧毀其他軟體可能錯過的多種類型的惡意軟體。

請參閱文章使用 Malwarebytes Premium 軟體進行有效防毒，以了解如何使用此防惡意軟體。

使用 HitmanPro 掃描惡意軟體和有害程序

HitmanPro 是一款掃描儀，它採用獨特的基於雲端的方法來掃描惡意軟體。 HitmanPro 掃描活動檔案的行為以及惡意軟體經常駐留的位置的檔案以執行可疑活動。如果發現未知的可疑文件，HitmanPro 會將其發送到雲端，由當今最好的兩種防毒工具Bitdefender 和卡巴斯基進行掃描。

雖然 HitmanPro 是共享軟體，但一台電腦一年的費用為 24.95 美元，但幾乎可以無限掃描。只有當您需要刪除或隔離系統上 HitmanPro 偵測到的惡意軟體時受到限制，然後您可以每 30 天啟動一次試用版進行清理。

步驟1.下載HitmanPro

• 下載 Windows 版 HitmanPro 32 位
• 下載適用於 Windows 64 位元的 HitmanPro

步驟 2.安裝 HitmanPro

下載後，請雙擊「hitmanpro.exe」（適用於 Windows 32 位元）或「hitmanpro_x64.exe」（適用於 Windows 64 位元）將程式安裝到您的電腦上。通常，下載的檔案將保存在 Downloads 資料夾中。

如果您看到出現UAC訊息，請按一下「是」。

步驟 3.依照螢幕上的指示操作

當您啟動 HitmanPro 時，您將看到以下啟動畫面。按一下下一步按鈕執行系統掃描。

步驟 4.等待掃描過程完成

HitmanPro 將開始掃描您的電腦是否有惡意程式。此過程可能需要幾分鐘。

步驟5。點選下一步

當 HitmanPro 完成掃描時，它將顯示發現的所有惡意軟體的清單。按一下「下一步」刪除惡意程式。

步驟6。點擊啟動免費許可證

點擊「啟動免費許可證」按鈕即可開始 30 天免費試用並從電腦中刪除惡意檔案。

該過程完成後，您可以關閉 HitmanPro 並繼續本教程的其餘部分。

使用恢復軟體恢復由勒索軟體建立 .boot 文件加密的文件

在某些情況下，可以使用引導還原或其他通常包含檔案卷影副本的復原軟體來還原加密檔案的先前版本。

以下是Bleeping Computer安全論壇專家製作的一款針對STOP勒索病毒加密檔案的解密工具，您可以嘗試一下，看看能否找回資料。如果這不起作用，請嘗試下面的其他解決方案。

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

選項 1：恢復使用勒索軟體加密的文件，使用 ShadowExplorer 建立 .boot 文件副檔名

創建 .boot 檔案副檔名的勒索軟體將在感染勒索軟體後首次在電腦上啟動任何可執行檔時嘗試刪除所有捲影副本。幸運的是，勒索軟體無法刪除所有影卷副本，因此您應該嘗試使用此方法恢復檔案。

步驟1。使用下面的下載連結下載 ShadowExplorer。

• 下載 Windows 版 ShadowExplorer

步驟 2.使用預設設定安裝程式。

步驟3.安裝後程式將自動運行。如果沒有，請雙擊 ShadowExplorer 圖示。

步驟4。您可以在面板頂部看到下拉式清單。在感染建立 .boot 檔案副檔名的勒索軟體之前，選擇要還原的最新磁碟機和影集副本。

步驟5。右鍵單擊要恢復的磁碟機、資料夾或文件，然後按一下匯出...

步驟6。最後，ShadowExplorer 將通知您要儲存已復原的檔案副本的位置。

選項 2：使用文件恢復軟體恢復帶有 Boot 副檔名的加密文件

當文件被加密時，該勒索軟體首先製作文件的副本，加密副本，然後刪除原始文件。因此，有很小的機會您可以使用文件恢復軟體來恢復已刪除的文件，例如Recuva、EaseUS Data Recovery Wizard Free、R-Studio。

選項 3：使用 Windows 的早期版本工具

Windows Vista 和 Windows 7 有一個稱為「早期版本」的功能。但是，只有在勒索軟體感染建立 .boot 檔案副檔名之前建立還原點時，才能使用此工具。若要使用此工具並恢復受勒索軟體感染的文件，請按照下列步驟操作：

步驟1。開啟「我的電腦」或「Windows 資源管理器」。

步驟 2.右鍵點選受勒索軟體感染的檔案或資料夾。從下拉清單中，按一下復原先前的版本。

步驟3。將開啟一個新窗口，顯示您要恢復的檔案和資料夾的所有備份。選擇適當的檔案並點選「開啟」、「複製」或「復原」。恢復覆蓋電腦上現有加密檔案的選定檔案。

6. 如何防止您的電腦被創建 .boot 檔案副檔名的勒索軟體感染

為了防止您的電腦被勒索軟體建立 .boot 檔案副檔名，您需要在電腦上安裝防毒程式並始終備份個人文件。您也可以使用名為 HitmanPro.Alert 的程式來防止檔案加密惡意軟體在系統上運作。

祝您成功！