.boot ファイルを作成するランサムウェアを削除する方法

画像、ドキュメント、またはファイルが Boot 拡張機能で暗号化されている場合は、コンピュータがSTOP (DJVU)ランサムウェアに感染していることを意味します。

ランサムウェア STOP (DJVU) は、被害者のコンピュータ上の個人文書を暗号化し、ビットコインで支払う場合はデータを復号化するよう求めるメッセージを表示します。ファイルをデコードする手順は、_readme.txt ファイルに表示されます。この記事では、ランサムウェアを削除し、.boot ファイルを作成する方法を説明します。

警告:このガイドは、.boot ファイルを作成するランサムウェアを削除するのには役立ちますが、ファイルの復元には役立ちません。データを回復するには、ShadowExplorer または無料のファイル回復ソフトウェアを試すことができます。

.boot ファイルを作成するランサムウェアを削除する手順

• 1. ランサムウェアは .boot ファイルを作成しますが、どのようにしてコンピュータに侵入するのでしょうか?
• 2. .boot ファイルを作成するランサムウェアとは何ですか?
• 3. コンピュータは .boot ファイルを作成するランサムウェアに感染していますか?
• 4. .boot ファイルを作成するランサムウェアで暗号化されたファイルを復号化することは可能ですか?
• 5. .boot ファイル拡張子を作成するランサムウェアを削除する方法
  • Malwarebytes を使用して .boot ファイルを作成するランサムウェアを削除する
  • HitmanPro を使用してマルウェアや不要なプログラムをスキャンする
  • 回復ソフトウェアを使用して .boot ファイルを作成するランサムウェアによって暗号化されたファイルを回復する
• 6. .boot ファイル拡張子を作成するランサムウェアによるコンピューターの感染を防ぐ方法

1. ランサムウェアは .boot ファイルを作成しますが、どのようにしてコンピュータに侵入するのでしょうか?

ランサムウェアは起動可能なテール ファイルを作成し、ランサムウェアに感染した添付ファイルを含む電子メール経由で配布されるか、オペレーティング システムやインストールされているソフトウェアの脆弱性を悪用して侵入されます。

サイバー犯罪者は、偽のヘッダー情報を含むスパムメールを送り、メールが DHL や FedEx などの配送会社からのものであると信じ込ませます。注文があるにもかかわらず、何らかの理由で送信できないことを電子メールで通知します。または、注文を確認するメールが届く場合もあります。いずれにせよ、人々は興味を持ち、添付ファイルを開いて（または電子メールに埋め込まれたリンクをクリックして）しまいます。その結果、コンピュータは .boot ファイルを作成するランサムウェアに感染します。

.boot ファイルを作成するランサムウェアは、リモート デスクトップ サービス (RDP) ポートをハッキングすることによって攻撃することもできます。攻撃者は RDP (TCP ポート 3389) を実行しているシステムをスキャンし、システム パスワードに対してブルート フォース攻撃を実行します。

2. .boot ファイルを作成するランサムウェアとは何ですか?

ランサムウェア ファミリ: STOP (DJVU) ランサムウェア

拡張子: ブーツ

身代金ファイル: _readme.txt

身代金: 490 USD ～ 980 USD (ビットコイン)

連絡先: gorentos@bitmessage.ch、gerentoshelp@firemail.cc、またはTelegramの @datarestore

ランサムウェアは、ファイルを暗号化することでデータへのアクセスを制限する .boot ファイルを作成します。次に、データへのアクセスを取り戻すために仮想通貨ビットコインでの身代金を要求することで被害者を脅迫しようとします。このタイプのランサムウェアは、Windows 7、Windows 8、Windows 10 を含む Windows のすべてのバージョンをターゲットとします。このランサムウェアは、コンピュータに初めてインストールされると、%AppData% フォルダまたは %LocalAppData% にランダムな名前の実行可能ファイルを作成します。この実行可能ファイルが起動し、コンピュータ上のすべてのドライブ文字のスキャンが開始され、暗号化されたデータ ファイルが検索されます。

ランサムウェアは、暗号化する特定のファイル拡張子を持つファイルを検索する .boot ファイルを作成します。暗号化するファイルは、多くの場合、重要なドキュメントや .doc、.docx、.xls、.pdf などのファイルです。これらのファイルが見つかると、ファイル拡張子が Boot に変更され、開けなくなります。

以下は、このタイプのランサムウェアがターゲットとするファイル拡張子のリストです。

.sql、.mp4、.7z、.rar、.m4a、.wma、.avi、.wmv、.csv、.d3dbsp、.zip、.sie、.sum、.ibank、.t13、.t12、.qdf 、.gdb、.tax、.pkpass、.bc6、.bc7、.bkp、.qic、.bkf、.sidn、.sidd、.mddata、.itl、.itdb、.icxs、.hvpl、.hplg、. hkdb、.mdbackup、.syncdb、.gho、.cas、.svg、.map、.wmo、.itm、.sb、.fos、.mov、.vdf、.ztmp、.sis、.sid、.ncf、 .menu、.layout、.dmp、.blob、.esm、.vcf、.vtf、.dazip、.fpk、.mlx、.kf、.iwd、.vpk、.tor、.psk、.rim、.w3x 、.fsh、.ntl、.arch00、.lvl、.snx、.cfr、.ff、.vpp_pc、.lrf、.m2、.mcmeta、.vfs0、.mpqge、.kdb、.db0、.dba、. rofl、.hkx、.bar、.upk、.das、.iwi、.litemod、.asset、.forge、.ltx、.bsa、.apk、.re4、.sav、.lbf、.slm、.bik、 .epk、.rgss3a、.pak、.big、ウォレット、.wotreplay、.xxx、.desc、.py、.m3u、.flv、.js、.css、.rb、.png、.jpeg、.txt、 .p7c、.p7b、.p12、.pfx、.pem、.crt、.cer、.der、.x3f、.srw、.pef、.ptx、.r3d、.rw2、.rwl、.raw、.raf 、.orf、.nrw、.mrwref、.mef、.erf、.kdc、.dcr、.cr2、.crw、.bay、.sr2、.srf、.arw、.3fr、.dng、.jpe、. jpg、.cdr、.indd、.ai、.eps、.pdf、.pdd、.psd、.dbf、.mdf、.wb2、.rtf、.wpd、.dxg、.xf、.dwg、.pst、 .accdb、.mdb、.pptm、.pptx、.ppt、.xlk、.xlsb、.xlsm、.xlsx、.xls、.wps、.docm、.docx、.doc、.odb、.odc、.odm 、.odp、.ods、.odt

ファイルが Boot 拡張子で暗号化されると、このランサムウェアは _readme.txt ファイルを作成し、ファイルを取り戻す方法を説明し、ファイルが暗号化されている各フォルダーと Windows デスクトップ上で身代金を要求します。これらのファイルは、暗号化されたファイルが含まれるすべてのフォルダーに配置され、ファイルを取り戻すためにサイバー犯罪者に連絡する方法に関する情報が含まれています。

コンピュータのスキャンが終了すると、感染したコンピュータ上のすべてのシャドウ ボリューム コピーも削除されるため、暗号化されたファイルの回復に使用できなくなります。

3. コンピュータは .boot ファイルを作成するランサムウェアに感染していますか?

コンピュータがこのランサムウェアに感染すると、すべてのドライブ文字をスキャンして対象のファイルの種類を見つけ、暗号化してブート拡張機能を追加します。これらのファイルが暗号化されると、通常のプログラムで開くことができなくなります。このランサムウェアは、被害者のファイルの暗号化を完了すると、サイバー犯罪者 (gorentos@bitmessage.ch または gerentoshelp@firemail.cc) への連絡方法に関する指示を含むファイルも表示します。

_readme.txt ファイル内の身代金要求メッセージは次のとおりです。

4. .boot ファイルを作成するランサムウェアで暗号化されたファイルを復号化することは可能ですか?

残念ながら、答えはノーです。 .boot ファイルを作成するランサムウェアで暗号化されたファイルを回復することはできません。暗号化されたファイルのロックを解除するには秘密キーが必要であり、秘密キーはサイバー犯罪者だけが持っているためです。

ファイルの復元に料金を支払う必要はありません。たとえ料金を支払ったとしても、ファイルへのアクセスが回復されるという保証はありません。

5. .boot ファイル拡張子を作成するランサムウェアを削除する方法

警告:この方法では、ファイルが失われる可能性があることに注意することが重要です。 Malwarebytes と HitmanPro はこのランサムウェアを検出して削除できますが、これらのプログラムは文書、写真、またはファイルを回復できません。したがって、このプロセスを実行する前に考慮する必要があります。

Malwarebytes を使用して .boot ファイルを作成するランサムウェアを削除する

Malwarebytes は、Windows で最も人気があり、最も使用されているマルウェア対策ソフトウェアの 1 つです。他のソフトウェアが見逃す可能性のある多くの種類のマルウェアを破壊できます。

このマルウェア対策ソフトウェアの使用方法については、記事「Malwarebytes Premium ソフトウェアによる効果的なウイルス対策」を参照してください。

HitmanPro を使用してマルウェアや不要なプログラムをスキャンする

HitmanPro は、マルウェアをスキャンするための独自のクラウドベースのアプローチを実装するスキャナーです。 HitmanPro は、アクティブなファイルの動作をスキャンするだけでなく、不審なアクティビティを実行するためにマルウェアが常駐する場所にあるファイルもスキャンします。未知の疑わしいファイルが見つかった場合、HitmanPro はそのファイルをクラウドに送信し、現在最高の 2 つのウイルス対策ツール、Bitdefender と Kasperskyによってスキャンされます。

HitmanPro はシェアウェアですが、コンピュータ 1 台で年間 24.95 ドルかかりますが、実質的に無制限のスキャンが可能です。 HitmanPro によってシステム上で検出されたマルウェアを削除または隔離する必要がある場合にのみ制限され、その後、クリーニングのために 30 日ごとに 1 回試用版をアクティブ化できます。

ステップ 1. HitmanPro をダウンロードする

• Windows 32 ビット版 HitmanPro をダウンロード
• Windows 64 ビット版 HitmanPro をダウンロード

ステップ 2. HitmanPro をインストールする

ダウンロード後、「hitmanpro.exe」（Windows 32 ビットの場合）または「hitmanpro_x64.exe」（Windows 64 ビットの場合）をダブルクリックして、プログラムをコンピュータにインストールします。通常、ダウンロードしたファイルはDownloadsフォルダーに保存されます。

UACメッセージが表示された場合は、[はい]をクリックします。

ステップ 3.画面の指示に従います

HitmanPro を起動すると、以下のような起動画面が表示されます。[次へ]ボタンをクリックしてシステム スキャンを実行します。

ステップ 4.スキャンプロセスが完了するまで待ちます

HitmanPro は、コンピュータの悪意のあるプログラムのスキャンを開始します。このプロセスには数分かかる場合があります。

ステップ5 . 「次へ」をクリックします

HitmanPro がスキャンを完了すると、見つかったすべてのマルウェアのリストが表示されます。「次へ」をクリックして悪意のあるプログラムを削除します。

ステップ6。「無料ライセンスをアクティブ化」をクリックします

[無料ライセンスのアクティブ化]ボタンをクリックして30 日間の無料試用を開始し、コンピュータから悪意のあるファイルを削除します。

プロセスが完了したら、HitmanPro を閉じて、チュートリアルの残りの部分を続行できます。

回復ソフトウェアを使用して .boot ファイルを作成するランサムウェアによって暗号化されたファイルを回復する

場合によっては、Boot Restore またはファイルのシャドウコピーが含まれるその他の回復ソフトウェアを使用して、暗号化されたファイルの以前のバージョンを復元できることがあります。

以下は、Bleeping Computer セキュリティ フォーラムの専門家によって作成された、STOP ランサムウェアによって暗号化されたファイルを復号化するツールです。データを取り戻せるかどうか試してみてください。これがうまくいかない場合は、以下の他の解決策を試してください。

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

オプション 1: ShadowExplorer を使用して .boot ファイル拡張子を作成し、ランサムウェアで暗号化されたファイルを回復する

.boot ファイル拡張子を作成するランサムウェアは、ランサムウェアに感染した後、コンピュータ上で初めて実行可能ファイルが起動されるときに、すべてのシャドウ コピーを削除しようとします。幸いなことに、ランサムウェアはすべてのシャドウ コピーを削除することはできないため、この方法を使用してファイルの回復を試みる必要があります。

ステップ1。以下のダウンロード リンクを使用して ShadowExplorer をダウンロードします。

• Windows 用 ShadowExplorer をダウンロード

ステップ 2.デフォルト設定でプログラムをインストールします。

ステップ 3.インストール後、プログラムは自動的に実行されます。そうでない場合は、ShadowExplorer アイコンをダブルクリックします。

ステップ 4。パネルの上部にドロップダウン リストが表示されます。 .boot ファイル拡張子を作成するランサムウェアに感染する前に復元したい、最新のドライブとシャドウ コピーを選択します。

ステップ5 .復元したいドライブ、フォルダー、またはファイルを右クリックし、 [エクスポート…]をクリックします。

ステップ6。最後に、ShadowExplorer は、復元されたファイルのコピーを保存する場所を通知します。

オプション 2: ファイル回復ソフトウェアを使用して、ブート拡張子を持つ暗号化されたファイルを回復する

ファイルが暗号化されると、このランサムウェアはまずファイルのコピーを作成し、そのコピーを暗号化してから元のファイルを削除します。したがって、Recuva、EaseUS Data Recovery Wizard Free、R-Studio などのファイル回復ソフトウェアを使用して、削除されたファイルを回復できる可能性はわずかです。

オプション 3: Windows の以前のバージョン ツールを使用する

Windows Vista および Windows 7 には、 「以前のバージョン」と呼ばれる機能があります。ただし、このツールは、ランサムウェア感染によって .boot ファイル拡張子が作成される前に復元ポイントが作成された場合にのみ使用できます。このツールを使用してランサムウェアに感染したファイルを回復するには、次の手順に従います。

ステップ1。「マイ コンピュータ」またはWindows エクスプローラを開きます。

ステップ 2.ランサムウェアに感染したファイルまたはフォルダーを右クリックします。ドロップダウン リストから、[以前のバージョンを復元]をクリックします。

ステップ 3。新しいウィンドウが開き、復元するファイルとフォルダーのすべてのバックアップが表示されます。適切なファイルを選択し、「開く」、「コピー」または「復元」をクリックします。選択したファイルを復元して、コンピューター上の既存の暗号化されたファイルを上書きします。

6. .boot ファイル拡張子を作成するランサムウェアによるコンピューターの感染を防ぐ方法

コンピューターがランサムウェアによって .boot ファイル拡張子が作成されるのを防ぐには、コンピューターにウイルス対策プログラムをインストールし、個人用ドキュメントを常にバックアップする必要があります。 HitmanPro.Alert というプログラムを使用して、ファイル暗号化マルウェアがシステム上で実行されるのを防ぐこともできます。

成功を祈っています！