.boot 파일을 생성하는 랜섬웨어를 삭제하는 방법

이미지, 문서 또는 파일이 Boot 확장자로 암호화된 경우 컴퓨터가 STOP(DJVU) 랜섬웨어 에 감염되었음을 의미합니다 .

랜섬웨어 중지(DJVU)는 피해자 컴퓨터의 개인 문서를 암호화한 후 비트코인으로 결제하는 경우 데이터를 해독하라는 메시지를 표시합니다. 파일 디코딩에 대한 지침은 _readme.txt 파일에 표시됩니다. 이 문서에서는 랜섬웨어를 삭제하고 .boot 파일을 생성하는 방법을 안내합니다.

경고: 이 가이드는 .boot 파일을 생성하는 랜섬웨어를 제거하는 데 도움이 되지만 파일을 복원하는 데는 도움이 되지 않습니다. ShadowExplorer 또는 무료 파일 복구 소프트웨어를 사용해 데이터를 복구할 수 있습니다.

.boot 파일을 생성하는 랜섬웨어 제거 지침

• 1. 랜섬웨어는 .boot 파일을 생성합니다. 이 파일은 어떻게 컴퓨터에 들어가나요?
• 2. .boot 파일을 생성하는 랜섬웨어란 무엇입니까?
• 3. 귀하의 컴퓨터가 .boot 파일을 생성하는 랜섬웨어에 감염되었습니까?
• 4. .boot 파일을 생성하는 랜섬웨어로 암호화된 파일을 복호화할 수 있나요?
• 5. .boot 파일 확장자를 생성하는 랜섬웨어를 제거하는 방법
  • Malwarebytes를 사용하여 .boot 파일을 생성하는 랜섬웨어 제거
  • HitmanPro를 사용하여 맬웨어 및 원치 않는 프로그램 검사
  • 복구 소프트웨어로 .boot 파일을 생성하여 랜섬웨어로 암호화된 파일 복구
• 6. .boot 파일 확장자를 생성하는 랜섬웨어에 컴퓨터가 감염되는 것을 방지하는 방법

1. 랜섬웨어는 .boot 파일을 생성합니다. 이 파일은 어떻게 컴퓨터에 들어가나요?

랜섬웨어는 랜섬웨어에 감염된 첨부 파일이 포함된 이메일을 통해 배포되거나 운영 체제 및 설치된 소프트웨어의 취약점을 악용하여 입력되는 부팅 가능한 테일 파일을 생성합니다.

사이버 범죄자는 가짜 헤더 정보가 포함된 스팸 이메일을 보내 해당 메일이 DHL이나 FedEx와 같은 운송 회사에서 보낸 메일인 것처럼 속입니다. 주문이 있음을 알리는 이메일이 있지만 어떤 이유로든 주문을 보낼 수 없습니다. 또는 때로는 주문을 확인하는 이메일을 받기도 합니다. 어느 쪽이든 사람들이 호기심을 갖고 첨부 파일을 열게 만듭니다 (또는 이메일에 포함된 링크를 클릭). 결과적으로 컴퓨터는 .boot 파일을 생성하는 랜섬웨어에 감염되었습니다.

.boot 파일을 생성하는 랜섬웨어는 RDP(원격 데스크톱 서비스) 포트를 해킹하여 공격할 수도 있습니다. 공격자는 RDP(TCP 포트 3389)를 실행하는 시스템을 검사한 다음 시스템 비밀번호에 무차별 대입 공격을 수행합니다.

2. .boot 파일을 생성하는 랜섬웨어란 무엇입니까?

랜섬웨어군 : STOP(DJVU) 랜섬웨어

확장명 : 부팅

랜섬웨어 파일 : _readme.txt

몸값 : 490 USD ~ 980 USD (비트코인 기준)

연락처 : gorentos@bitmessage.ch, gerentoshelp@firemail.cc 또는 텔레그램 의 @datarestore

랜섬웨어는 파일을 암호화하여 데이터에 대한 액세스를 제한하는 .boot 파일을 생성합니다. 그런 다음 데이터에 대한 액세스 권한을 다시 얻기 위해 암호화폐 비트코인으로 몸값을 요구하여 피해자를 협박하려고 합니다. 이 유형의 랜섬웨어는 Windows 7, Windows 8 및 Windows 10을 포함한 모든 Windows 버전을 대상으로 합니다. 이 랜섬웨어는 컴퓨터에 처음 설치되면 %AppData% 폴더 또는 %LocalAppData%에 무작위로 이름이 지정된 실행 파일을 생성합니다. 이 실행 파일은 암호화된 데이터 파일을 찾기 위해 컴퓨터의 모든 드라이브 문자를 시작하고 검색하기 시작합니다.

랜섬웨어는 암호화할 특정 파일 확장자를 가진 파일을 검색하는 .boot 파일을 생성합니다 . 암호화하는 파일은 .doc, .docx, .xls, .pdf 등과 같은 중요한 문서 및 파일인 경우가 많습니다. 이러한 파일을 찾으면 더 이상 열 수 없도록 파일 확장자를 Boot로 변경합니다. .

다음은 이 유형의 랜섬웨어가 표적으로 삼는 파일 확장자 목록입니다.

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, 지갑, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

파일이 Boot 확장자로 암호화되면 이 랜섬웨어는 _readme.txt 파일을 생성하여 파일을 다시 가져오는 방법을 설명하고 파일이 암호화된 각 폴더와 Windows 바탕 화면에서 몸값을 요구합니다. 이러한 파일은 암호화된 파일과 함께 모든 폴더에 배치되며 파일을 되찾기 위해 사이버 범죄자에게 연락하는 방법에 대한 정보가 포함되어 있습니다.

컴퓨터 검색이 끝나면 감염된 컴퓨터의 모든 섀도우 볼륨 복사본도 삭제되므로 암호화된 파일을 복구하는 데 사용할 수 없습니다.

3. 귀하의 컴퓨터가 .boot 파일을 생성하는 랜섬웨어에 감염되었습니까?

컴퓨터가 이 랜섬웨어에 감염되면 모든 드라이브 문자를 검사하여 대상 파일 형식을 찾아 암호화한 다음 부팅 확장자를 추가합니다. 이러한 파일이 암호화되면 일반 프로그램으로 해당 파일을 열 수 없습니다. 이 랜섬웨어는 피해자의 파일 암호화를 완료하면 사이버 범죄자에게 연락하는 방법에 대한 지침이 포함된 파일도 표시합니다(gorentos@bitmessage.ch 또는 gerentoshelp@firemail.cc).

다음은 _readme.txt 파일에 있는 몸값 요청 메시지입니다:

4. .boot 파일을 생성하는 랜섬웨어로 암호화된 파일을 복호화할 수 있나요?

불행히도 대답은 '아니요'입니다. 사이버 범죄자만이 가지고 있는 암호화된 파일을 잠금 해제하려면 개인 키가 필요하기 때문에 .boot 파일을 생성하는 랜섬웨어로 암호화된 파일을 복구할 수 없습니다.

파일을 복원하는 데 비용을 지불하지 마십시오. 비용을 지불하더라도 파일 액세스를 다시 얻을 수 있다는 보장은 없습니다.

5. .boot 파일 확장자를 생성하는 랜섬웨어를 제거하는 방법

경고: 이 방법을 사용하면 파일이 손실될 수 있다는 점에 유의하는 것이 중요합니다. Malwarebytes와 HitmanPro는 이 랜섬웨어를 탐지하고 제거할 수 있지만 이러한 프로그램은 문서, 사진 또는 파일을 복구할 수 없습니다. 따라서 이 프로세스를 수행하기 전에 고려해야 할 사항이 있습니다.

Malwarebytes를 사용하여 .boot 파일을 생성하는 랜섬웨어 제거

Malwarebytes는 Windows용 맬웨어 방지 소프트웨어 중 가장 인기 있고 가장 많이 사용되는 소프트웨어 중 하나입니다. 다른 소프트웨어가 놓칠 수 있는 다양한 유형의 맬웨어를 파괴할 수 있습니다.

이 맬웨어 방지 소프트웨어 를 사용하는 방법을 알아보려면 Malwarebytes Premium 소프트웨어를 사용한 효과적인 바이러스 백신 문서를 참조하세요 .

HitmanPro를 사용하여 맬웨어 및 원치 않는 프로그램 검사

HitmanPro는 맬웨어 검색에 대한 고유한 클라우드 기반 접근 방식을 구현하는 스캐너입니다. HitmanPro는 의심스러운 활동을 수행하기 위해 활성 파일과 맬웨어가 자주 상주하는 위치의 파일 동작을 검사합니다. 알 수 없는 의심스러운 파일이 발견되면 HitmanPro는 이를 클라우드로 보내 현재 최고의 바이러스 백신 도구인 Bitdefender와 Kaspersky로 검사합니다.

HitmanPro는 셰어웨어이지만 컴퓨터 한 대를 기준으로 연간 24.95달러의 비용이 들지만 사실상 무제한으로 스캔할 수 있습니다. HitmanPro가 시스템에서 감지한 맬웨어를 제거하거나 격리해야 하는 경우에만 제한되며, 치료를 위해 30일마다 한 번씩 평가판을 활성화할 수 있습니다.

1단계. HitmanPro 다운로드

• Windows 32비트용 HitmanPro 다운로드
• Windows 64비트용 HitmanPro 다운로드

2단계. HitmanPro 설치

다운로드 후 “hitmanpro.exe”(Windows 32비트의 경우) 또는 “hitmanpro_x64.exe”(Windows 64비트의 경우)를 두 번 클릭하여 컴퓨터에 프로그램을 설치합니다. 일반적으로 다운로드한 파일은 다운로드 폴더에 저장됩니다.

UAC 메시지가 나타나면 예 를 클릭합니다 .

3단계. 화면의 지시사항을 따르세요.

HitmanPro를 시작하면 아래와 같은 시작 화면이 나타납니다. 다음 버튼을 클릭하여 시스템 검사를 수행합니다.

4단계. 스캔 프로세스가 완료될 때까지 기다립니다.

HitmanPro가 컴퓨터에서 악성 프로그램 검색을 시작합니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다.

5단계 . 다음을 클릭하세요

HitmanPro가 검사를 마치면 발견된 모든 맬웨어 목록이 표시됩니다. 악성 프로그램을 제거하려면 다음을 클릭하세요 .

6단계 . 무료 라이센스 활성화를 클릭하세요

무료 라이센스 활성화 버튼을 클릭하여 30일 무료 평가판을 시작하고 컴퓨터에서 악성 파일을 제거하세요.

프로세스가 완료되면 HitmanPro를 닫고 나머지 튜토리얼을 계속할 수 있습니다.

복구 소프���웨어로 .boot 파일을 생성하여 랜섬웨어로 암호화된 파일 복구

경우에 따라 Boot Restore 또는 파일의 섀도 복사본이 포함된 기타 복구 소프트웨어를 사용하여 암호화된 파일의 이전 버전을 복원할 수 있습니다 .

다음은 Bleeping Computer 보안 포럼의 전문가가 만든 STOP 랜섬웨어로 암호화된 파일을 해독하는 도구입니다. 이 도구를 사용하여 데이터를 복구할 수 있는지 확인할 수 있습니다. 그래도 문제가 해결되지 않으면 아래의 다른 해결 방법을 시도해 보세요.

https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

옵션 1: ShadowExplorer를 사용하여 .boot 파일 확장자를 생성하여 랜섬웨어로 암호화된 파일을 복구합니다.

.boot 파일 확장자를 생성하는 랜섬웨어는 랜섬웨어에 감염된 후 컴퓨터에서 실행 파일이 처음 실행될 때 모든 섀도 복사본을 삭제하려고 시도합니다. 다행히 랜섬웨어는 모든 섀도 복사본을 제거할 수 없으므로 이 방법을 사용하여 파일을 복구해 보아야 합니다.

1 단계 . 아래 다운로드 링크를 사용하여 ShadowExplorer를 다운로드하세요.

• Windows용 ShadowExplorer 다운로드

Step 2. 기본 설정으로 프로그램을 설치하세요.

3단계. 프로그램은 설치 후 자동으로 실행됩니다. 그렇지 않은 경우 ShadowExplorer 아이콘을 두 번 클릭하십시오.

4단계 . 패널 상단에서 드롭다운 목록을 볼 수 있습니다. .boot 파일 확장자를 생성하는 랜섬웨어에 감염되기 전에 복원하려는 가장 최근 드라이브와 섀도 복사본을 선택하세요.

5단계 . 복원하려는 드라이브 , 폴더 또는 파일을 마우스 오른쪽 버튼으로 클릭 하고 내보내기...를 클릭합니다.

6단계 . 마지막으로 ShadowExplorer는 복구된 파일 복사본을 저장할 위치를 알려줍니다.

옵션 2: 파일 복구 소프트웨어를 사용하여 부팅 확장자로 암호화된 파일 복구

파일이 암호화되면 이 랜섬웨어는 먼저 해당 파일의 복사본을 만들고 복사본을 암호화한 다음 원본을 삭제합니다. 따라서 파일 복구 소프트웨어를 사용하여 Recuva, EaseUS Data Recovery Wizard Free, R-Studio와 같은 삭제된 파일을 복구할 수 있는 가능성은 적습니다.

옵션 3: Windows의 이전 버전 도구 사용

Windows Vista 및 Windows 7에는 이전 버전 이라는 기능이 있습니다 . 그러나 이 도구는 랜섬웨어 감염으로 인해 .boot 파일 확장자가 생성되기 전에 복원 지점이 만들어진 경우에만 사용할 수 있습니다. 이 도구를 사용하고 랜섬웨어에 감염된 파일을 복구하려면 다음 단계를 따르십시오.

1 단계 . 내 컴퓨터 또는 Windows 탐색기를 엽니다 .

2단계. 랜섬웨어에 감염된 파일이나 폴더를 마우스 오른쪽 버튼으로 클릭하세요. 드롭다운 목록에서 이전 버전 복원 을 클릭합니다 .

3단계 . 복원하려는 파일 및 폴더의 모든 백업을 보여주는 새 창이 열립니다. 해당 파일을 선택하고 열기 , 복사 또는 복원 을 클릭합니다 . 컴퓨터의 기존 암호화 파일을 덮어쓰면서 선택한 파일을 복구합니다.

6. .boot 파일 확장자를 생성하는 랜섬웨어에 컴퓨터가 감염되는 것을 방지하는 방법

.boot 파일 확장자를 생성하는 랜섬웨어로부터 컴퓨터를 방지하려면 컴퓨터에 바이러스 백신 프로그램을 설치하고 개인 문서를 항상 백업해야 합니다. HitmanPro.Alert라는 프로그램을 사용하여 파일 암호화 맬웨어가 시스템에서 실행되는 것을 방지할 수도 있습니다.

당신의 성공을 기원합니다!