如何删除勒索软件创建.boot文件

Lawanda

如果使用引导扩展程序对图像，文档或文件进行加密，则意味着您的计算机已被勒索软件停止（DJVU）感染。

勒索软件停止（DJVU）在受害者的计算机上加密个人文档，然后显示一条消息，如果用比特币付款，则提供数据解密。解码文件的说明显示在_readme.txt文件中。本文将指导您如何删除勒索软件以创建.boot文件。

警告：本指南将帮助您从创建.boot文件中删除勒索软件，但是它无助于恢复文件。您可以尝试ShadowExplorer或Free File Recovery软件恢复数据。

删除勒索软件创建.boot文件扩展的说明

1。勒索软件如何创建.boot文件？我如何到达您的计算机？
2。什么是勒索软件创建.boot文件？
3。您的计算机是否感染了勒索软件创建.boot文件？
4。是否可以将勒索软件加密的文件解密以创建.boot文件？
5。如何删除勒索软件以创建.boot文件扩展
1. 使用恶意软件删除勒索软件并创建.boot文件
2. 使用HitmanPro扫描不需要的恶意软件和程序
3. 恢复使用勒索软件加密的文件，以创建.boot文件，并使用恢复软件
6.如何防止计算机被勒索软件感染以创建.boot文件扩展

1。勒索软件如何创建.boot文件？我如何到达您的计算机？

勒索软件创建通过电子邮件分发的可启动文件，其中包含勒索软件感染的附件或通过利用操作系统和安装软件中的孔来输入。

网络犯罪分子垃圾邮件发送带有虚假信息的电子邮件，以欺骗您从DHL或FedEx等运输公司发送消息。该电子邮件通知您您有订单，但由于某种原因，它无法发送给您。有时，一封电子邮件通知您您的订单。无论哪种方式，它都会使人感到好奇并打开附件（或单击电子邮件中嵌入的链接）。结果，您的计算机被创建.boot文件的勒索软件感染。

勒索软件创建了一个.boot文件，也可以通过黑客入侵远程桌面服务（RDP）端口来入侵。攻击者扫描系统运行RDP（TCP端口3389），然后对系统密码进行蛮力攻击。

2。什么是勒索软件创建.boot文件？

勒索软件系列：停止（DJVU）勒索软件

扩展：boot

赎金文件：_readme.txt

赎金：从490美元到980美元（在比特币中）

接触：[email protected]，[email protected]或@datarestore在电报上

勒索软件创建一个.boot文件，该文件通过加密文件来限制对数据的访问。然后，它试图通过要求在比特币加密货币中勒索赎金以重新获得数据访问来勒索受害者。该勒索软件针对Windows的所有版本，包括Windows 7，Windows 8和Windows 10。首先安装在计算机上时，此勒索软件将创建一个可执行文件的文件，在％AppData％文件夹中随机命名。或LocalAppData％％。此可执行文件将启动并开始扫描计算机上的所有驱动器字母以获取加密数据文件。

勒索软件创建了一个.boot文件，该文件查找具有特定文件扩展名的文件以进行加密。 IT加密的文件通常是重要的文档和文件，例如.doc，.docx，.xls，.pdf等。当找到该文件时，它将更改文件扩展名的启动，以便再也无法打开它。。

以下是该勒索软件目标的文件扩展名列表：

。。 hkdb，.mdbackup，.syncdb，.gho，.cas，.svg，.map，.wmo，.wmo，.Itm，.sb，.fos，.mov，.mov，.vdf，.ztmp ,, .ztmp ,, sis sis，sid ,, sid ,, sid，.sid，.menu，.menu，.menu，.menu，.menu，.menu，.menu，.dmp，.dmp，。。 .dba，。 rofl，.hkx，.bar，.upk，.das，.iwi，.liteMod，.litemod，。asset，.forge，.ltx，.bsa，.bsa，。apk，.re4，.sav，.lbf，.slm，.slm，.slm，.bik，.bik，.bik，.bik，.rgss3a，.rgss3a，.pak，。 .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, 。 jpg，.cdr，.indd，.ai，.eps，.pdf，。 pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc，.odb，.odc，.odm，.odp，.ods，.odt

当文件使用引导扩展程序加密时，此勒索软件将创建文件_readme.txt，解释如何检索文件并在每个文件夹中索取文件加密的每个文件夹和Windows桌面上。这些文件放在每个加密的文件文件夹中，并包含有关如何联系网络犯罪分子检索文件的信息。

扫描完成后，它还将删除受感染计算机上的所有阴影音量副本，以便无法用于恢复加密的文件。

3。您的计算机是否感染了勒索软件创建.boot文件？

当计算机感染此勒索软件时，它会扫描所有驱动器字母以找到目标文件类型，对其进行加密，然后添加引导扩展名。当这些文件加密时，您将无法使用普通程序打开它们。当此勒索软件完成对受害者文件的加密时，它还显示了一个文件，其中包含有关如何联系网络犯罪犯罪分子的说明（[email protected]或[email protected]）。

这是_readme.txt文件中的赎金通知：

4。是否可以将勒索软件加密的文件解密以创建.boot文件？

不幸的是，答案是否定的。您无法恢复使用勒索软件加密的文件，创建一个.boot文件，因为您需要一个私钥来解锁加密文件，而该文件只有网络罪犯才有。

不要付费以恢复文件。即使您付费，也无法保证您会返回文件访问。

5。如何删除勒索软件以创建.boot文件扩展

警告：重要的是要注意，使用这种方法，您将丢失文件。 Malwarebytes和HitmanPro可以检测和删除此勒索软件，但是这些程序无法恢复文档，照片或文件。因此，应考虑此过程。

使用恶意软件删除勒索软件并创建.boot文件

恶意软件是Windows最受欢迎，最常用的反恶意软件之一。它可以杀死其他软件可能会错过的许多类型的恶意软件。

请参阅使用Malwarebytes Premium软件去除有效的病毒，以了解如何使用此恶意软件。

使用HitmanPro扫描不需要的恶意软件和程序

HitmanPro是一种扫描仪，可实现一种唯一的基于云的方法来扫描恶意软件。 HitmanPro在恶意软件通常居住以进行可疑活动的位置扫描活动文件和文件的行为。如果发现可疑文件未知，HitmanPro将将其发送到云中，以获取两个最好的防病毒工具Bitdefender和Kaspersky进行扫描。

尽管HitmanPro是共享软件，但使用计算机每年的价格为24.95美元，但实际上是无限的扫描。仅当您需要删除或隔离HitmanPro在系统上检测到的恶意软件，然后才能激活30天的试验进行清洁。

步骤1。下载hitmanpro

为32位窗口下载HitmanPro
为64位Windows下载HitmanPro

步骤2。安装HitmanPro

下载完成后，双击“ hitmanpro.exe”（用于32位Windows）或“ HitmanPro_x64.exe”（用于64位Windows）以在计算机上安装程序。通常，下载的文件将保存到下载文件夹中。

如果出现UAC消息，请单击是的。

步骤3。按照屏幕上的说明

启动HitmanPro时，您将看到启动屏幕，如下所示。单击下一个按钮执行系统扫描。

步骤4。等待扫描完成

HitmanPro将开始扫描您的计算机中的恶意程序。这个过程可能需要几分钟。

步骤5。点击下一个

当HitmanPro完成扫描时，它将显示所有发现的恶意软件的列表。点击下一个删除恶意程序。

步骤6。点击激活免费许可证

单击激活免费许可证按钮开始免费的30天试用版，然后从计算机中删除恶意文件。

该过程完成后，您可以关闭HitmanPro并继续本教程的其余部分。

恢复使用勒索软件加密的文件，以创建.boot文件，并使用恢复软件

在某些情况下，可以使用启动还原或其他包含文件的阴影副本的加密文件的较早版本。

以下是由专家在Bleeping Computer Security论坛上创建的加密停止勒索软件文件的工具，您可以尝试查看是否可以检索数据。如果这不起作用，请在下面尝试其他解决方案。

 https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

选项1：使用勒索软件恢复加密的文件，并使用ShadowExplorer创建.boot文件扩展程序

勒索软件会创建一个.boot文件扩展名，该扩展名将在所有阴影副本首次启动在被勒索软件感染后在计算机上启动任何可执行文件时尝试删除。幸运的是，勒索软件无法消除阴影副本，因此您应该尝试使用此方法恢复文件。

步骤1。通过以下下载链接下载ShadowExplorer。

下载用于Windows的ShadowExplorer

步骤2。使用默认设置安装程序。

步骤3。该程序将在安装后自动运行。如果不是，请双击ShadowExplorer图标。

步骤4。您可以在仪表板顶部看到下拉列表。在勒索软件被.boot文件扩展程序感染之前，选择要恢复的驱动器和最新影子副本。

步骤5。右键单击驾驶，，，，文件夹或者文件您想恢复并点击出口。

步骤6。最后，ShadowExplorer将通知您要保存还原文件副本的位置。

选项2：带有文件恢复软件的带有引导扩展的加密文件

当文件加密后，此勒索软件首先创建其副本，加密副本，然后删除原件。因此，您很有可能使用文件恢复软件恢复已删除的文件，例如Recuva，Easeus Data Recovery Wizard Free，R-Studio。

选项3：使用Windows的先前版本工具

Windows Vista和Windows 7具有称为先前版本的功能。但是，只有在勒索软件感染创建.boot文件扩展名之前提出的还原点才能使用此工具。要使用此工具并还原勒索软件感染的文件，请按照以下步骤：

步骤1。打开我的电脑或者Windows Explorer。

步骤2。右键单击受感染的文件或文件夹勒索软件。从下拉列表中，单击还原以前的版本。

步骤3。一个新窗口将打开显示要还原的文件和文件夹的所有备份。选择适当的文件，然后单击打开，，，，复制或者恢复。还原选定的文件以覆盖计算机上现有的加密文件。

6.如何防止计算机被勒索软件感染以创建.boot文件扩展

为了防止计算机勒索软件创建.boot文件扩展名，您需要在计算机上安装防病毒程序，并始终备份个人文档。您还可以使用名为HitmanPro.Alert的程序来防止文件加密恶意软件在系统上运行。

祝您成功实施！