Cách Xóa Ransomware Tạo File đuôi .bora


Nếu hình ảnh, tư liệu hoặc file bị mã hóa bằng phần mở rộng bora, điều đó có tức là máy tính của bạn bị nhiễm ransomware STOP (DJVU).

Ransomware STOP (DJVU) mã hóa tài liệu cá nhân trên máy tính nạn nhân, sau đó hiện thông báo cung cấp giải mã dữ liệu nếu phải trả bằng Bitcoin. Hướng dẫn giải mã file được để trong file _readme.txt trên desktop của nạn nhân. Bài viết này sẽ chỉ dẫn các bạn cách xóa ransomware tạo đuôi file .bora.

Cảnh báo: Hướng dẫn này sẽ giúp bạn xóa ransomware tạo file đuôi .bora, nhưng không giúp phục hồi file. Bạn có thể thử ShadowExplorer hoặc phần mềm khôi phục file miễn phí để phục hồi dữ liệu.

  • Cách gỡ bỏ / khắc phục ransomware WannaCry
  • Cách loại bỏ ransomware .Mogera Virus File
  • Hướng dẫn chung về giải mã ransomware

1. Làm ra sao để ransomware tạo file đuôi .bora đột nhập vào máy tính

Ransomware tạo file đuôi .bore được phân phối qua spam email chứa các file đính kèm bị nhiễm ransomware hoặc khai thác các lỗ hổng trong hệ điều hành và ứng dụng được cài đặt.

Các tội phạm mạng spam email với thông tin tiêu đề giả, lừa người nhận tin nó đến từ công ty vận chuyển như DHL hoặc FedEx. Email thông báo rằng bạn có lô hàng cần nhận nhưng vẫn không gửi tới được vì một số lý do. Hoặc đôi lúc email xác nhận lô hàng bạn đã mua. Dù bằng cách nào nó cũng khiến người nhận tò mò và mở file đính kèm (hoặc click vào liên kết nhúng trong email). Và với việc làm này, máy tính của bạn sẽ bị nhiễm ransomware tạo file đuôi .bora.

Ransomware tạo file đuôi .bora tấn công nạn nhân bằng phương pháp hack cổng Remote Desktop Services (RDP) mở. Những kẻ tấn công quét các hệ thống đang chạy RDP (cổng TCP 3389), sau đó thực hành cuộc tấn công brute force mật khẩu hệ thống.

2. Ransomware tạo file đuôi .bora là gì?

Dòng ransomware : STOP (DJVU) ransomware

Phần mở rộng : Bora

File đòi tiền chuộc : _readme.txt

Tiền chuộc : Từ 490 USD đến 980 USD (bằng Bitcoin)

Liên hệ : [email protected], [email protected] hoặc @datarestore trên Telegram

Ransomware tạo file đuôi .bora có hạn quyền truy cập dữ liệu bằng phương pháp mã hóa file. Sau đó tống tiền nạn nhân bằng cách yêu cầu tiền chuộc tính bằng tiền điện từ Bitcoin để thực hiện được thể lấy lại quyền truy cập dữ liệu. Loại ransomware này nhắm vào tất cả những phiên bản Windows kể cả Windows 7, Windows 8 và Windows 10. Khi lần thứ nhất được cài đặt trên máy tính, ransomware này sẽ tạo một file thực thi có tên tình cờ trong thư mục %AppData% hoặc %LocalAppData%. File thực thi này sẽ khởi chạy và bắt đầu quét tất cả những ký tự ổ đĩa trên máy tính để tìm file dữ liệu mã hóa.

Ransomware tạo file đuôi .bora kiếm tìm các phần mở rộng file cụ thể để mã hóa. Các file nó mã hóa thường là tư liệu và file quan trọng như .doc, .docx, .xls, .pdf, v.v… Khi tìm thấy các file này, nó sẽ thay đổi đuôi file thành bora để không thể mở chúng được nữa.

Dưới đây là bản kê các phần mở rộng file mà loại ransomware này nhắm tới:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Khi file bị mã hóa bởi phần mở rộng bora, ransomware này tạo file _readme.txt, giải thích phương pháp lấy lại file và đòi hỏi tiền chuộc trong mọi thư mục mà file đã biết thành mã hóa và trên desktop Windows. Những file này được đặt trong mọi thư mục có file bị mã hóa và chứa thông tin về phong thái liên lạc với tội phạm mạng để lấy lại file.

Khi quét xong máy tính, nó cũng xóa tất cả Shadow Volume Copy trên máy tính bị nhiễm để không thể sử dụng để phục hồi file bị mã hóa.

3. Có phải máy tính của bạn bị nhiễm ransomware tạo file đuôi .bora?

Khi máy tính bị nhiễm ransomware này, nó sẽ quét tất cả các ký tự ổ đĩa để tìm loại file mục tiêu, mã hóa chúng và sau đó thêm phần mở rộng bora. Khi các file này bị mã hóa, bạn sẽ không thể mở chúng với các chương trình thông thường. Khi ransomware này hoàn tất mã hóa file của nạn nhân, nó cũng hiển thị một file gồm hướng dẫn phương pháp liên lạc với tội phạm mạng ([email protected] hoặc [email protected]).

Đây là thông báo yêu cầu tiền chuộc trong file _readme.txt.

File _readme.txt thông báo cách thức giải mã tập tin

4. Có thể giải mã các tập tin được mã hóa bằng ransomware tạo file đuôi .bora không?

Thật không may, bạn không thể phục hồi các file được mã hóa bằng ransomware tạo file đuôi .bora vì cần khóa riêng để mở khóa mà khóa này chỉ tội phạm mạng mới có.

Tuy nhiên, bạn cũng đừng trả tiền để khôi phục file. Ngay cả khi trả tiền cho chúng, cũng không có gì đáp ứng bạn sẽ lấy lại được quyền truy cập file.

5. Cách xóa ransomware tạo file đuôi .bora

Tham khảo phần cách xóa ransomware trong bài viết Cách xóa ransomware tạo file đuôi .boot để biết cách xóa ransomware tạo file đuôi .bora. 

Để ngăn máy tính khỏi ransomware tạo file đuôi .bora, bạn cần cài đặt chương trình diệt virus trên máy tính và luôn sao lưu tư liệu cá nhân. Ngoài ra bạn cũng có thể sử dụng chương trình mang tên là HitmanPro.Alert để ngăn ứng dụng độc hại mã hóa file chạy trên hệ thống.

Chúc các bạn thực hiện thành công!

Biên tập: ITS

Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Liên Quan


Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Khác