نحوه رمزگشایی فایل های قفل شده ابزار حذف ویروس کسپرسکی برای حذف باج افزار XTBL

12.05.2019 خطاها

اگر سیستم به بدافزار خانواده ها آلوده شده باشد Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury، Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXX، سپس تمام فایل های رایانه به صورت زیر رمزگذاری می شوند:

وقتی آلوده می شود Trojan-Ransom.Win32.Rannohنام ها و پسوندها به الگو تغییر خواهند کرد قفل شده-<оригинальное_имя>.<4 произвольных буквы> .
وقتی آلوده می شود Trojan-Ransom.Win32.Cryakl یک برچسب به انتهای محتوای فایل اضافه می شود (CRYPTENDBLACKDC) .
وقتی آلوده می شود Trojan-Ransom.Win32.AutoItپسوند با الگو تغییر اندازه می دهد <оригинальное_имя>@<почтовый_домен>_.<набор_символов> .
برای مثال، [ایمیل محافظت شده] _.RZWDTDIC.
وقتی آلوده می شود Trojan-Ransom.Win32.CryptXXXپسوند بر اساس الگوها تغییر می کند <оригинальное_имя>.دخمه،<оригинальное_имя>. crypzو <оригинальное_имя>. cryp1.

ابزار RannohDecryptor برای رمزگشایی فایل ها پس از آلوده شدن طراحی شده است Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryaklیا Trojan-Ransom.Win32.CryptXXXنسخه ها 1 , 2 و 3 .

چگونه سیستم را درمان کنیم

برای ضد عفونی کردن سیستم آلوده:

فایل RannohDecryptor.zip را دانلود کنید.
فایل RannohDecryptor.exe را روی دستگاه آلوده اجرا کنید.
در پنجره اصلی کلیک کنید شروع به بررسی کنید.

مسیر فایل رمزگذاری شده و رمزگذاری نشده را مشخص کنید.
اگر فایل رمزگذاری شده باشد Trojan-Ransom.Win32.CryptXXX، فایل هایی را با بیشترین اندازه مشخص کنید. رمزگشایی فقط برای فایل هایی با اندازه مساوی یا کوچکتر در دسترس خواهد بود.
تا پایان جستجو و رمزگشایی فایل های رمزگذاری شده صبر کنید.
در صورت نیاز کامپیوتر خود را مجددا راه اندازی کنید.
برای حذف یک کپی از فایل های رمزگذاری شده فرم قفل شده-<оригинальное_имя>.<4 произвольных буквы> پس از رمزگشایی موفق، انتخاب کنید.

اگر فایل رمزگذاری شده بود Trojan-Ransom.Win32.Cryakl, سپس ابزار، فایل را در مکان قدیمی با پسوند ذخیره می کند .decryptedKLR.original_extension... اگر شما انتخاب کردید پس از رمزگشایی موفق، فایل های رمزگذاری شده را حذف کنید، سپس فایل رمزگشایی شده توسط ابزار با نام اصلی خود ذخیره می شود.

به طور پیش فرض، ابزار گزارشی از کار خود را به ریشه دیسک سیستم (دیسکی که سیستم عامل روی آن نصب شده است) ارسال می کند.
نام گزارش به شرح زیر است: UtilityName.Version_Date_Time_log.txt
برای مثال، ج: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

روی یک سیستم آلوده Trojan-Ransom.Win32.CryptXXX، این ابزار تعداد محدودی از فرمت های فایل را اسکن می کند. هنگامی که کاربر فایلی را انتخاب می کند که تحت تأثیر CryptXXX v2 قرار گرفته است، بازیابی کلید ممکن است مدت زیادی طول بکشد. در این مورد، ابزار یک هشدار نمایش می دهد.

این واقعیت که اینترنت پر از ویروس است، امروز هیچ کس را شگفت زده نمی کند. بسیاری از کاربران موقعیت‌های مربوط به تأثیر آن‌ها بر سیستم‌ها یا داده‌های شخصی را درک می‌کنند، به عبارت ساده، چشم خود را می‌بندند، اما فقط تا زمانی که ویروس رمزگذاری به طور خاص در سیستم مستقر شود. اکثر کاربران عادی نمی دانند چگونه داده های ذخیره شده روی هارد دیسک را درمان و رمزگشایی کنند. بنابراین، این گروه به خواسته‌های مهاجمان «رهنمون» می‌شود. اما بیایید ببینیم در صورت شناسایی چنین تهدیدی یا جلوگیری از ورود آن به سیستم چه کاری می توانید انجام دهید.

ویروس باج افزار چیست؟

این نوع تهدید از الگوریتم‌های رمزگذاری فایل استاندارد و غیراستاندارد استفاده می‌کند که محتوای آن‌ها را کاملاً تغییر داده و دسترسی را مسدود می‌کند. به عنوان مثال، باز کردن یک فایل متنی رمزگذاری شده برای خواندن یا ویرایش، و همچنین پخش محتوای چندرسانه ای (گرافیک، ویدئو یا صدا) پس از قرار گرفتن در معرض ویروس، کاملا غیرممکن خواهد بود. حتی عملیات استاندارد برای کپی یا جابجایی اشیا در دسترس نیست.

پر کردن نرم افزار ویروس وسیله ای است که داده ها را به گونه ای رمزگذاری می کند که حتی پس از حذف تهدید از سیستم همیشه امکان بازیابی حالت اولیه آنها وجود ندارد. معمولاً چنین برنامه‌های مخربی کپی‌های خود را ایجاد می‌کنند و بسیار عمیق در سیستم مستقر می‌شوند، بنابراین حذف ویروس رمزگذاری فایل گاهی اوقات کاملاً غیرممکن است. با حذف برنامه اصلی یا حذف بدنه اصلی ویروس، کاربر از تأثیر تهدید خلاص نمی شود، چه رسد به اینکه اطلاعات رمزگذاری شده را بازیابی کند.

تهدید چگونه وارد سیستم می شود؟

به عنوان یک قاعده، تهدیدهایی از این نوع بیشتر ساختارهای تجاری بزرگ را هدف قرار می دهند و می توانند از طریق برنامه های پستی به رایانه ها نفوذ کنند، زمانی که یک کارمند یک سند پیوست شده را در یک ایمیل باز می کند، که مثلاً افزوده ای به نوعی توافق نامه همکاری است یا طرح تامین کالا (پیشنهادات تجاری با سرمایه گذاری از منابع مشکوک اولین مسیر برای شیوع ویروس است).

مشکل اینجاست که یک ویروس باج‌افزار در ماشینی که به شبکه محلی دسترسی دارد، می‌تواند در آن نیز تطبیق پیدا کند و در صورت عدم حفاظت لازم، نسخه‌های خود را نه تنها در یک محیط شبکه، بلکه در ترمینال مدیر نیز ایجاد کند. به صورت نرم افزار آنتی ویروس فایروال یا فایروال.

گاهی اوقات چنین تهدیداتی می تواند به سیستم های رایانه ای کاربران عادی نیز نفوذ کند که به طور کلی مورد توجه مجرمان سایبری نیست. این در زمان نصب برخی از برنامه های دانلود شده از منابع اینترنتی مشکوک اتفاق می افتد. بسیاری از کاربران هنگام شروع دانلود، هشدارهای سیستم حفاظت از آنتی ویروس را نادیده می گیرند و در حین نصب به پیشنهادات برای نصب نرم افزار، پنل یا افزونه اضافی برای مرورگرها توجهی نمی کنند و سپس به عنوان آنها بگو، آرنج آنها را گاز بگیر.

انواع ویروس ها و کمی تاریخچه

اساساً، تهدیدهایی از این نوع، به ویژه خطرناک ترین ویروس باج افزار No_more_ransom، نه تنها به عنوان ابزارهایی برای رمزگذاری داده ها یا مسدود کردن دسترسی به آن طبقه بندی می شوند. در واقع، تمام این برنامه های مخرب به عنوان باج افزار طبقه بندی می شوند. به عبارت دیگر، مجرمان سایبری مبلغ مشخصی را برای رمزگشایی اطلاعات طلب می کنند و معتقدند که انجام این فرآیند بدون برنامه اولیه غیرممکن خواهد بود. تا حدودی اینطور است.

اما، اگر به تاریخ بگردید، متوجه خواهید شد که یکی از اولین ویروس‌های این نوع، اگرچه نیازی به پول نداشت، اپلت بدنام I Love You بود که فایل‌های چندرسانه‌ای (عمدتاً آهنگ‌های موسیقی) را به طور کامل در کاربر رمزگذاری می‌کرد. سیستم های. رمزگشایی فایل‌ها پس از ویروس باج‌افزار در آن زمان غیرممکن بود. اکنون این تهدید است که می توان به صورت ابتدایی با آن مقابله کرد.

اما توسعه خود ویروس ها یا الگوریتم های رمزگذاری مورد استفاده ثابت نمی ماند. آنچه در بین ویروس ها گم شده است - در اینجا شما XTBL، و CBF، و Breaking_Bad، و [ایمیل محافظت شده]، و یک سری چیزهای زشت دیگر.

تکنیکی برای تأثیرگذاری بر فایل های کاربر

و اگر تا همین اواخر اکثر حملات با استفاده از الگوریتم‌های RSA-1024 مبتنی بر رمزگذاری AES با همان بیت انجام می‌شدند، همان ویروس باج‌افزار No_more_ransom امروز در چندین تفسیر با استفاده از کلیدهای رمزگذاری مبتنی بر فناوری‌های RSA-2048 و حتی RSA-3072 ارائه می‌شود.

مشکلات رمزگشایی برای الگوریتم های مورد استفاده

مشکل اینجاست که سیستم های رمزگشایی مدرن در برابر چنین خطری ناتوان هستند. رمزگشایی فایل‌ها پس از ویروس باج‌افزار مبتنی بر AES256 هنوز تا حدودی پشتیبانی می‌شود و با نرخ بیت بالاتر، تقریباً همه توسعه‌دهندگان فقط شانه‌های خود را بالا می‌اندازند. این، به هر حال، به طور رسمی توسط متخصصان آزمایشگاه کسپرسکی و Eset تایید شده است.

در ابتدایی ترین نسخه، از کاربری که با خدمات پشتیبانی تماس گرفته است، خواسته می شود که یک فایل رمزگذاری شده و اصلی آن را برای مقایسه و عملیات بعدی برای تعیین الگوریتم رمزگذاری و روش های بازیابی ارسال کند. اما، به عنوان یک قاعده، در بیشتر موارد این کار نمی کند. اما ویروس باج‌افزار می‌تواند به تنهایی فایل‌ها را رمزگشایی کند، به شرطی که قربانی با شرایط مهاجمان موافقت کند و مبلغ مشخصی را به صورت پولی بپردازد. با این حال، چنین صورت بندی سؤال، تردیدهای موجهی را ایجاد می کند. و به همین دلیل.

ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟

پس از پرداخت، گفته می شود که هکرها رمزگشایی را از طریق دسترسی از راه دور به ویروس خود که روی سیستم قرار دارد، یا اگر بدنه ویروس حذف شده باشد، از طریق یک اپلت اضافی فعال می کنند. بیش از حد مشکوک به نظر می رسد.

همچنین می خواهم به این واقعیت توجه کنم که اینترنت پر از پست های جعلی است که بیان می کنند، آنها می گویند، مبلغ مورد نیاز پرداخت شده است و داده ها با موفقیت بازیابی شده اند. اینا همش دروغه! و واقعا - کجا تضمینی وجود دارد که پس از پرداخت، ویروس رمزگذاری در سیستم دوباره فعال نشود؟ درک روانشناسی سارقان دشوار نیست: اگر یک بار پرداخت کنید، دوباره پرداخت می کنید. و اگر در مورد اطلاعات مهمی مانند پیشرفت‌های خاص تجاری، علمی یا نظامی صحبت می‌کنیم، صاحبان چنین اطلاعاتی آماده‌اند تا به اندازه‌ای که لازم است پرداخت کنند تا فایل‌ها دست نخورده و سالم بمانند.

اولین راه حل برای از بین بردن تهدید

این ماهیت یک ویروس باج افزار است. چگونه فایل ها را پس از قرار گرفتن در معرض تهدید ضد عفونی و رمزگشایی کنیم؟ بله، به هیچ وجه، اگر ابزاری در دسترس نباشد، که همچنین همیشه کمک نمی کند. اما شما می توانید امتحان کنید.

بیایید فرض کنیم که یک ویروس باج افزار در سیستم ظاهر شده است. چگونه فایل های آلوده را ضد عفونی کنم؟ ابتدا باید یک اسکن عمیق سیستم را بدون استفاده از فناوری S.M.A.R.T انجام دهید، که تهدیدات را تنها زمانی شناسایی می کند که بخش های بوت و فایل های سیستم آسیب دیده باشند.

توصیه می شود از اسکنر استاندارد موجود که قبلاً تهدید را از دست داده است استفاده نکنید، بلکه از ابزارهای قابل حمل استفاده کنید. بهترین گزینه بوت شدن از دیسک نجات کسپرسکی است که می تواند حتی قبل از شروع به کار سیستم عامل شروع شود.

اما این تنها نیمی از نبرد است، زیرا از این طریق فقط می توانید از شر خود ویروس خلاص شوید. اما با رمزگشا دشوارتر خواهد بود. اما در ادامه بیشتر در مورد آن.

دسته دیگری نیز وجود دارد که ویروس های باج افزار در آن قرار می گیرند. نحوه رمزگشایی اطلاعات به طور جداگانه گفته خواهد شد، اما در حال حاضر اجازه دهید به این واقعیت بپردازیم که آنها می توانند کاملاً آشکارا در قالب برنامه ها و برنامه های کاربردی نصب شده رسمی در سیستم وجود داشته باشند (وقاحت مهاجمان هیچ محدودیتی نمی شناسد، زیرا تهدید وجود دارد. حتی سعی نکنید خود را پنهان کنید).

در این صورت باید از قسمت برنامه ها و کامپوننت ها استفاده کنید که در آن حذف نصب استاندارد انجام می شود. با این حال، باید به این نکته نیز توجه داشته باشید که حذف کننده استاندارد ویندوز همه فایل های برنامه را به طور کامل حذف نمی کند. به ویژه، ویروس باج‌افزار باج‌افزار می‌تواند پوشه‌های خود را در دایرکتوری‌های ریشه سیستم ایجاد کند (معمولاً این دایرکتوری‌های Csrss هستند که فایل اجرایی csrss.exe با همین نام در آن وجود دارد). دایرکتوری های Windows، System32 یا کاربر (کاربران در درایو سیستم) به عنوان مکان اصلی انتخاب می شوند.

علاوه بر این، ویروس باج‌افزار No_more_ransom کلیدهای خود را در رجیستری در قالب پیوندی ظاهراً به سرویس سیستم رسمی Client Server Runtime Subsystem می‌نویسد، که برای بسیاری گمراه‌کننده است، زیرا این سرویس باید مسئول تعامل بین نرم‌افزار مشتری و سرور باشد. . خود کلید در پوشه Run قرار دارد که از طریق شاخه HKLM قابل دسترسی است. واضح است که باید به صورت دستی چنین کلیدهایی را حذف کنید.

برای آسان‌تر کردن کار، می‌توانید از ابزارهایی مانند iObit Uninstaller استفاده کنید، که فایل‌های باقیمانده و کلیدهای رجیستری را به‌طور خودکار جستجو می‌کنند (اما فقط در صورتی که ویروس به عنوان یک برنامه نصب‌شده روی سیستم قابل مشاهده باشد). اما این ساده ترین کار است.

راه حل های ارائه شده توسط توسعه دهندگان نرم افزار ضد ویروس

اعتقاد بر این است که رمزگشایی ویروس باج‌افزار را می‌توان با استفاده از ابزارهای ویژه انجام داد، اگرچه اگر فناوری‌هایی با کلید 2048 یا 3072 بیتی دارید، نباید به آنها اعتماد کنید (بعلاوه، بسیاری از آنها پس از رمزگشایی فایل‌ها را حذف می‌کنند و سپس فایل های بازیابی شده به دلیل وجود یک بدنه ویروسی که قبلاً حذف نشده است ناپدید می شوند.

با این وجود، می توانید تلاش کنید. از بین همه برنامه ها، RectorDecryptor و ShadowExplorer ارزش برجسته کردن را دارند. اعتقاد بر این است که تا کنون هیچ چیز بهتری ایجاد نشده است. اما مشکل ممکن است این باشد که وقتی می‌خواهید از رمزگشا استفاده کنید، هیچ تضمینی وجود ندارد که فایل‌هایی که ضدعفونی می‌شوند حذف نشوند. یعنی اگر در ابتدا از شر ویروس خلاص نشوید، هرگونه تلاش برای رمزگشایی محکوم به شکست خواهد بود.

علاوه بر حذف اطلاعات رمزگذاری شده، می تواند کشنده نیز باشد - کل سیستم غیرفعال خواهد بود. علاوه بر این، یک ویروس باج‌افزار مدرن نه تنها می‌تواند بر داده‌های ذخیره‌شده در هارد دیسک رایانه، بلکه بر فایل‌های ذخیره‌سازی ابری نیز تأثیر بگذارد. و در اینجا هیچ راه حلی برای بازیابی اطلاعات وجود ندارد. علاوه بر این، همانطور که مشخص شد، بسیاری از سرویس ها اقدامات حفاظتی به اندازه کافی موثر انجام نمی دهند (همان OneDrive داخلی در ویندوز 10، که مستقیماً از سیستم عامل در معرض دید قرار می گیرد).

یک راه حل ریشه ای برای مشکل

همانطور که قبلاً مشخص است ، اکثر روش های مدرن هنگام آلوده شدن به چنین ویروس هایی نتیجه مثبتی نمی دهند. البته در صورت وجود اصل فایل آسیب دیده می توان آن را برای بررسی به آزمایشگاه آنتی ویروس فرستاد. درست است، همچنین تردیدهای بسیار جدی وجود دارد که یک کاربر معمولی نسخه های پشتیبان از داده هایی ایجاد کند که وقتی روی هارد دیسک ذخیره می شوند، می توانند در معرض کدهای مخرب نیز قرار گیرند. و این واقعیت است که برای جلوگیری از مشکل، کاربران اطلاعات را در رسانه های قابل جابجایی کپی می کنند، ما اصلاً صحبت نمی کنیم.

بنابراین، برای یک راه حل اساسی برای مشکل، نتیجه گیری خود را نشان می دهد: قالب بندی کامل هارد دیسک و تمام پارتیشن های منطقی با حذف اطلاعات. پس چه باید کرد؟ اگر نمی‌خواهید ویروس یا نسخه ذخیره‌شده آن دوباره در سیستم فعال شود، باید کمک مالی کنید.

برای انجام این کار، شما نباید از ابزارهای خود سیستم های ویندوز استفاده کنید (منظورم قالب بندی پارتیشن های مجازی است، زیرا هنگام تلاش برای دسترسی به دیسک سیستم، ممنوعیت صادر می شود). بهتر است از بوت شدن از رسانه های نوری مانند LiveCD یا توزیع های نصب استفاده کنید، مانند مواردی که با استفاده از ابزار ایجاد رسانه برای ویندوز 10 ایجاد شده اند.

قبل از شروع قالب بندی، به شرط حذف ویروس از سیستم، می توانید سعی کنید یکپارچگی اجزای سیستم را از طریق خط فرمان (sfc / scannow) بازیابی کنید، اما این امر از نظر رمزگشایی و باز کردن قفل داده ها هیچ تاثیری نخواهد داشت. بنابراین فرمت c: خواه ناخواه تنها راه حل صحیح ممکن است. این تنها راه خلاصی کامل از این نوع تهدید است. افسوس که راه دیگری نیست! حتی درمان با ابزارهای استاندارد ارائه شده توسط اکثر بسته های آنتی ویروس بی قدرت است.

به جای حرف آخر

از نظر نتیجه گیری، فقط می توان گفت که امروزه هیچ راه حل واحد و جهانی برای از بین بردن پیامدهای تأثیر چنین تهدیدهایی وجود ندارد (متاسفانه، اما یک واقعیت - این توسط اکثر توسعه دهندگان و متخصصان نرم افزار ضد ویروس تأیید شده است. در زمینه رمزنگاری).

هنوز مشخص نیست که چرا ظهور الگوریتم‌های مبتنی بر رمزگذاری 1024، 2048 و 3072 بیتی توسط کسانی که مستقیماً در توسعه و پیاده‌سازی چنین فناوری‌هایی دخیل هستند، عبور کرده است؟ در واقع، امروزه الگوریتم AES256 امیدوارکننده ترین و امن ترین در نظر گرفته می شود. اطلاع! 256! این سیستم، همانطور که مشخص است، برای ویروس های مدرن مناسب نیست. پس در مورد تلاش برای رمزگشایی کلیدهای آنها چه می توانیم بگوییم؟

به هر حال، جلوگیری از وارد کردن یک تهدید به سیستم بسیار آسان است. در ساده‌ترین نسخه، باید بلافاصله پس از دریافت، تمام پیام‌های دریافتی را با پیوست‌هایی در Outlook، Thunderbird و سایر کلاینت‌های ایمیل با آنتی‌ویروس اسکن کنید و به هیچ وجه پیوست‌ها را تا پایان اسکن باز نکنید. همچنین باید هنگام نصب برخی از برنامه‌ها، پیشنهادات نصب نرم‌افزار اضافی را با دقت بخوانید (معمولاً آنها با حروف کوچک نوشته می‌شوند یا به عنوان افزونه‌های استاندارد مانند به‌روزرسانی Flash Player یا موارد دیگر پنهان می‌شوند). بهتر است اجزای رسانه را از طریق سایت های رسمی به روز کنید. این تنها راهی است که می توانید حداقل به نحوی از نفوذ چنین تهدیداتی به سیستم خود جلوگیری کنید. با توجه به اینکه ویروس هایی از این نوع فوراً در شبکه محلی پخش می شوند، عواقب آن می تواند کاملاً غیرقابل پیش بینی باشد. و برای شرکت، چنین چرخشی از رویدادها می تواند به یک فروپاشی واقعی همه تعهدات تبدیل شود.

در نهایت، مدیر سیستم نباید بیکار بنشیند. در چنین شرایطی بهتر است ابزارهای حفاظتی نرم افزاری را حذف کنید. همان فایروال (فایروال) نباید نرم افزاری باشد، بلکه باید «سخت افزاری» باشد (البته با نرم افزارهای همراهش). و ناگفته نماند که ارزش صرفه جویی در خرید بسته های آنتی ویروس را نیز ندارد. بهتر است یک بسته دارای مجوز خریداری کنید و برنامه های ابتدایی را نصب نکنید که ظاهراً فقط از گفته های توسعه دهنده محافظت بلادرنگ را ارائه می دهند.

و اگر تهدیدی قبلاً وارد سیستم شده باشد، دنباله اقدامات باید شامل حذف خود بدنه ویروس باشد و تنها پس از آن تلاش می کند تا داده های آسیب دیده را رمزگشایی کند. در حالت ایده‌آل - قالب‌بندی کامل (توجه داشته باشید، نه سریع با پاک کردن فهرست مطالب، بلکه قالب‌بندی کامل، ترجیحاً با بازیابی یا جایگزینی سیستم فایل موجود، بخش‌های بوت و رکوردها).

ابزار Kaspresky RakhniDecryptor فایل هایی را که پسوند آنها مطابق الگوهای زیر تغییر کرده است رمزگشایی می کند:

Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.قفل شده
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.تاریکی؛
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.شانسی وجود ندارد؛
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده];
- <имя_файла>.<оригинальное_расширение>.پ *** [ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id373;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id371;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id372;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id374;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id375;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id376;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id392;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id357;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id356;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id358;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id359;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id360;
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _com_id20.

Trojan-Ransom.Win32.Rakhni یک فایل exit.hhr.oshit ایجاد می کند که حاوی رمز عبور رمزگذاری شده از فایل های کاربر است. اگر این فایل در رایانه آلوده ذخیره شود، رمزگشایی بسیار سریعتر خواهد بود. اگر فایل exit.hhr.oshit حذف شده است، با استفاده از برنامه های بازیابی فایل های حذف شده آن را بازیابی کنید و سپس آن را در پوشه % APPDATA% قرار دهید و بررسی ابزار را مجددا اجرا کنید. فایل exit.hhr.oshit را می توانید در مسیر زیر پیدا کنید: C: \ Users<имя_пользователя>\ AppData \ رومینگ

Trojan-Ransom.Win32.Mor:<имя_файла>.<оригинальное_расширение>_crypt.
Trojan-Ransom.Win32.Autoit:<имя_файла>.<оригинальное_расширение>.<[ایمیل محافظت شده] _. حروف>.
Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.گریه کردن؛
- <имя_файла>.<оригинальное_расширение>.AES256.
Trojan-Ransom.AndroidOS.Pletor:<имя_файла>.<оригинальное_расширение>Enc.
Trojan-Ransom.Win32.Agent.iih:<имя_файла>.<оригинальное_расширение>+.
Trojan-Ransom.Win32.CryFile:<имя_файла>.<оригинальное_расширение>رمزگذاری شده.
Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
Trojan-Ransom.Win32.Bitman نسخه 3:
- <имя_файла>xxx.
- <имя_файла>.ttt;
- <имя_файла>.کوچک؛
- <имя_файла>mp3.
Trojan-Ransom.Win32.Bitman نسخه 4:<имя_файла>.<оригинальное_расширение>(نام و پسوند فایل تغییر نمی کند).
Trojan-Ransom.Win32.Libra:
- <имя_файла>رمزگذاری شده
- <имя_файла>.قفل شده
- <имя_файла>.SecureCrypted.
Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>سرگرمی
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>پورنو
- <имя_файла>.pornoransom;
- <имя_файла>حماسه.
- <имя_файла>رمزگذاری شده
- <имя_файла>ج.
- <имя_файла>.پرداخت;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>[ایمیل محافظت شده]
Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.شناسه<…>.@.xtbl.
- <имя_файла>.شناسه<…>.@..CrySiS;
- <имя_файла>.شناسه-<…>.@.xtbl.
- <имя_файла>.شناسه-<…>.@..کیف پول؛
- <имя_файла>.شناسه-<…>.@..dhrama;
- <имя_файла>.شناسه-<…>.@..پیاز؛
- <имя_файла>.@..کیف پول؛
- <имя_файла>.@..dhrama;
- <имя_файла>.@..پیاز.

نمونه هایی از برخی از آدرس های توزیع کننده مخرب:

Trojan-Ransom.Win32.Nemchig:<имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده]
Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>بلوک شده
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>کریپت شده;
- <имя_файла>.<оригинальное_расширение>bnmntftfmn.
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.سلام؛
- <имя_файла>.<оригинальное_расширение>.آگا
Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.طاعون17;
- <имя_файла>.<оригинальное_расширение>ktldll.
Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده];
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده];
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده];
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده];
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] _.دخمه
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده]دخمه ____.
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده]دخمه _______.
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده] ___ دخمه؛
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده]دخمه ==.
- <имя_файла>.<оригинальное_расширение>[ایمیل محافظت شده]= -. دخمه.

اگر فایل با پسوند CRYPT رمزگذاری شده باشد، رمزگشایی ممکن است زمان زیادی طول بکشد. به عنوان مثال، در یک پردازنده Intel Core i5-2400، ممکن است حدود 120 روز طول بکشد.

Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.دخمه
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.قفل کردن؛
- <имя_файла>[ایمیل محافظت شده] _هو
- <имя_файла>[ایمیل محافظت شده];
- <имя_файла>~ xdata.
Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>sVn.
Trojan-Ransom.Win32.Cryakl: ایمیل-<...>.ver-<...>.شناسه-<...>.randomname-<...>.<случайное_расширение>.

نسخه بدافزار	آدرس ایمیل مهاجمان
	[ایمیل محافظت شده] [ایمیل محافظت شده] [ایمیل محافظت شده] [ایمیل محافظت شده] [ایمیل محافظت شده] [ایمیل محافظت شده] [ایمیل محافظت شده]
	[ایمیل محافظت شده] _graf1 [ایمیل محافظت شده] _mod [ایمیل محافظت شده] _mod2
	[ایمیل محافظت شده] [ایمیل محافظت شده]
	[ایمیل محافظت شده]
	[ایمیل محافظت شده] [ایمیل محافظت شده][ایمیل محافظت شده] [ایمیل محافظت شده]

نحوه رمزگشایی فایل ها با استفاده از ابزار Kaspersky RakhniDecryptor

آرشیو RakhniDecryptor.zip را دانلود کرده و آن را باز کنید. دستورالعمل در مقاله.
به پوشه ای با فایل های آرشیو بروید.
فایل RakhniDecryptor.exe را اجرا کنید.
را کلیک کنید تغییر پارامترهای اسکن.

اشیاء را برای اسکن انتخاب کنید: هارد دیسک، درایوهای قابل جابجایی یا درایوهای شبکه.
کادر را علامت بزنید پس از رمزگشایی موفق، فایل های رمزگذاری شده را حذف کنید... در این حالت، ابزار کپی فایل های رمزگذاری شده با پسوندهای اختصاص داده شده LOCKED، KRAKEN، DARKNESS و غیره را حذف می کند.
را کلیک کنید خوب.

را کلیک کنید شروع به بررسی کنید.

فایل رمزگذاری شده را انتخاب کرده و کلیک کنید باز کن.

هشدار را بخوانید و کلیک کنید خوب.

فایل ها رمزگشایی خواهند شد.

یک فایل را می توان با پسوند CRYPT بیش از یک بار رمزگذاری کرد. به عنوان مثال، اگر فایل test.doc دو بار رمزگذاری شود، اولین لایه توسط ابزار RakhniDecryptor در فایل test.1.doc.layerDecryptedKLR رمزگشایی می شود. ورودی زیر در گزارش عملیات ابزار ظاهر می شود: "موفقیت رمزگشایی: درایو: \ مسیر \ test.doc_crypt -> درایو: \ مسیر \ test.1.doc.layerDecryptedKLR". این فایل باید دوباره توسط برنامه رمزگشایی شود. اگر رمزگشایی موفقیت آمیز باشد، فایل با نام اصلی test.doc دوباره ذخیره می شود.

پارامترهای اجرای ابزار از خط فرمان

برای راحتی و سرعت بخشیدن به فرآیند رمزگشایی فایل ها، Kaspersky RakhniDecryptor از پارامترهای خط فرمان زیر پشتیبانی می کند:

نام گروه	معنی	مثال
-موضوعات	راه اندازی ابزار با حدس زدن رمز عبور در چندین موضوع. اگر این پارامتر مشخص نشده باشد، تعداد thread ها برابر با تعداد هسته های پردازنده است.	RakhniDecryptor.exe –threads 6
-شروع کن<число>-پایان<число>	از سرگیری حدس زدن رمز عبور از یک وضعیت خاص. حداقل عدد 0 است. توقف رمز عبور brute-force در یک وضعیت خاص. حداکثر تعداد 1000000 است. حدس زدن رمز عبور در محدوده بین دو حالت.	RakhniDecryptor.exe –شروع 123 RakhniDecryptor.exe – پایان 123 RakhniDecryptor.exe –شروع 100 –پایان 50000
-ل<название файла с указанием полного пути к нему>	تعیین مسیر فایلی که گزارش عملیات ابزار باید در آن ذخیره شود.	RakhniDecryptor.exe -l C: Users \ Administrator \ RakhniReport.txt
-h	نمایش راهنمایی در مورد پارامترهای خط فرمان موجود	RakhniDecryptor.exe -h

به خودی خود، ویروس ها به عنوان یک تهدید رایانه ای امروزه هیچ کس را شگفت زده نمی کنند. اما اگر قبلاً آنها کل سیستم را تحت تأثیر قرار می دادند و باعث ایجاد نقص در عملکرد آن می شدند، امروز با ظهور انواع مختلفی مانند ویروس باج افزار، اقدامات یک تهدید نفوذی بیشتر به داده های کاربر مربوط می شود. شاید حتی بیشتر از برنامه های اجرایی مخرب ویندوز یا اپلت های جاسوسی تهدید باشد.

ویروس باج افزار چیست؟

به خودی خود، کد نوشته شده در یک ویروس خودکپی کننده تقریباً تمام داده های کاربر را با الگوریتم های رمزنگاری خاص رمزگذاری می کند، بدون اینکه بر فایل های سیستمی سیستم عامل تأثیر بگذارد.

در ابتدا، منطق تأثیر ویروس برای بسیاری کاملاً روشن نبود. همه چیز تنها زمانی روشن شد که هکرهایی که چنین اپلت هایی را ایجاد کردند شروع به درخواست پول برای بازیابی ساختار فایل اولیه کردند. در عین حال، خود ویروس رمزگذاری نفوذی به دلیل ویژگی های خود اجازه رمزگشایی فایل ها را نمی دهد. برای انجام این کار، به یک رمزگشای خاص نیاز دارید، در صورت تمایل، یک کد، یک رمز عبور یا یک الگوریتم مورد نیاز برای بازیابی محتوای مورد نظر.

اصل نفوذ به سیستم و عملکرد کد ویروس

به عنوان یک قاعده، "انتخاب" چنین کثیفی در اینترنت بسیار دشوار است. منبع اصلی انتشار "عفونت" ایمیل در سطح برنامه های نصب شده بر روی یک ترمینال کامپیوتری خاص مانند Outlook، Thunderbird، The Bat و غیره است. فوراً توجه داشته باشید: این برای سرورهای ایمیل اینترنتی صدق نمی کند، زیرا آنها از درجه حفاظت کافی برخوردار هستند و دسترسی به داده های کاربر فقط در سطح امکان پذیر است

چیز دیگر یک برنامه کاربردی در ترمینال کامپیوتر است. اینجاست که میدان عمل ویروس ها به قدری گسترده است که تصور آن غیرممکن است. درست است، در اینجا نیز ارزش رزرو کردن را دارد: در بیشتر موارد، ویروس ها شرکت های بزرگ را هدف قرار می دهند، که می توانید برای ارائه یک کد رمزگشایی، پول را از بین ببرید. این قابل درک است، پس از همه، نه تنها در پایانه های کامپیوتر محلی، بلکه در سرورهای چنین شرکت هایی، نه تنها به طور کامل، بلکه همچنین فایل ها، به اصطلاح، در یک کپی، که در هر صورت در معرض تخریب نیستند، قابل درک است. ذخیره شده است. و سپس رمزگشایی فایل ها پس از ویروس باج افزار کاملاً مشکل ساز می شود.

البته، یک کاربر معمولی نیز می‌تواند در معرض چنین حمله‌ای قرار گیرد، اما در بیشتر موارد اگر ساده‌ترین توصیه‌ها را برای باز کردن پیوست‌هایی با پسوندهای ناشناخته دنبال کنید، بعید است. حتی اگر سرویس گیرنده نامه پیوستی را با پسوند jpg به عنوان یک فایل گرافیکی استاندارد تعریف کند، ابتدا باید با فایل استاندارد نصب شده در سیستم بررسی شود.

اگر این کار انجام نشد، وقتی آن را با دوبار کلیک باز می کنید (روش استاندارد)، فعال سازی کد شروع می شود و فرآیند رمزگذاری آغاز می شود، پس از آن همان Breaking_Bad (ویروس رمزگذاری) نه تنها حذف آن غیرممکن خواهد بود. اما پس از حذف تهدید، فایل ها قابل بازیابی نخواهند بود.

عواقب کلی نفوذ همه ویروس ها از این نوع

همانطور که قبلا ذکر شد، اکثر ویروس ها از این نوع از طریق ایمیل وارد سیستم می شوند. خوب، فرض کنید، در یک سازمان بزرگ، یک پست سفارشی خاص نامه‌ای با این مضمون دریافت می‌کند که «ما قرارداد را تغییر دادیم، در پیوست اسکن کنید» یا «فاکتوری برای ارسال کالا برای شما ارسال شده است (یک کپی آنجا)". طبیعتاً یک کارمند بی خبر پرونده را باز می کند و ...

تمام فایل‌های کاربر در سطح اسناد آفیس، چند رسانه‌ای، پروژه‌های تخصصی اتوکد یا هر داده بایگانی دیگری فوراً رمزگذاری می‌شوند و اگر ترمینال رایانه در شبکه محلی باشد، ویروس می‌تواند بیشتر منتقل شود و داده‌ها را بر روی ماشین‌های دیگر رمزگذاری کند (این می‌شود. بلافاصله پس از "کاهش سرعت" سیستم و مسدود شدن برنامه ها یا برنامه های در حال اجرا قابل توجه است).

در پایان فرآیند رمزگذاری، ظاهراً خود ویروس نوعی گزارش ارسال می کند و پس از آن ممکن است شرکت پیامی دریافت کند که فلان تهدید وارد سیستم شده است و فقط فلان سازمان می تواند آن را رمزگشایی کند. . معمولاً مربوط به ویروس است [ایمیل محافظت شده]در مرحله بعد، نیاز به پرداخت برای خدمات رمزگشایی با پیشنهاد ارسال چندین فایل به ایمیل مشتری است که اغلب ساختگی است.

آسیب ناشی از قرار گرفتن در معرض کد

اگر کسی هنوز متوجه نشده است: رمزگشایی فایل ها پس از یک ویروس باج افزار یک فرآیند نسبتاً پر زحمت است. حتی اگر به خواسته‌های مجرمان سایبری هدایت نشوید و سعی کنید از ساختارهای رسمی دولتی برای مبارزه با جرایم رایانه‌ای و پیشگیری از آنها استفاده کنید، معمولاً هیچ چیز خوبی از آن حاصل نمی‌شود.

اگر همه فایل‌ها را حذف کنید، داده‌های اصلی را از رسانه‌های قابل جابجایی تولید و حتی کپی کنید (البته اگر چنین کپی وجود داشته باشد)، با فعال شدن ویروس، همه چیز دوباره رمزگذاری می‌شود. بنابراین نباید خودتان را چاپلوسی کنید، به خصوص که وقتی همان فلش مموری در درگاه USB قرار می گیرد، کاربر حتی متوجه نمی شود که ویروس چگونه داده های روی آن را رمزگذاری می کند. در این صورت قطعاً از پس مشکلات بر نخواهید آمد.

اولین فرزند در خانواده

حال بیایید توجه خود را به اولین ویروس باج افزار معطوف کنیم. نحوه درمان و رمزگشایی فایل ها پس از قرار گرفتن در معرض کد اجرایی محصور شده در پیوست ایمیل با پیشنهاد دوستیابی، در زمان ظاهر شدن آن، هیچ کس فکر نمی کرد. آگاهی از مقیاس فاجعه تنها با گذشت زمان به دست آمد.

آن ویروس نام عاشقانه "I Love You" را داشت. یک کاربر ناآگاه یک پیوست را در یک پیام الکترونیکی باز کرد و فایل‌های چند رسانه‌ای کاملا غیرقابل پخش (گرافیک، ویدیو و صدا) را دریافت کرد. با این حال، پس از آن، چنین اقداماتی مخرب تر به نظر می رسید (باعث آسیب رساندن به کتابخانه های رسانه ای کاربر)، و هیچ کس پولی برای این کار طلب نکرد.

جدیدترین تغییرات

همانطور که می بینید ، تکامل فناوری به یک تجارت کاملاً سودآور تبدیل شده است ، به خصوص وقتی در نظر بگیرید که بسیاری از رهبران سازمان های بزرگ بلافاصله برای اقدامات رمزگشایی هزینه می کنند و کاملاً به این واقعیت فکر نمی کنند که می توانند پول و اطلاعات را از دست بدهند.

به هر حال، به همه این پست های "چپ" در اینترنت نگاه نکنید، آنها می گویند، "من مبلغ لازم را پرداخت کردم / پرداخت کردم، آنها یک کد برای من ارسال کردند، همه چیز بازیابی شد." مزخرف! همه اینها توسط توسعه دهندگان ویروس به منظور جذب پتانسیل نوشته شده است، ببخشید "مکنده ها". اما، طبق استانداردهای یک کاربر معمولی، مبالغ پرداختی کاملاً جدی است: از صدها تا چند هزار یا ده ها هزار یورو یا دلار.

حال بیایید نگاهی بیندازیم به جدیدترین انواع ویروس از این نوع که نسبتاً اخیراً ثبت شده اند. همه آنها عملا شبیه به هم هستند و نه تنها در دسته باج افزارها، بلکه در گروه باج افزارها نیز قرار می گیرند. در برخی موارد، آنها به درستی عمل می کنند (مانند رمز پرداخت)، مانند ارسال پیشنهادات تجاری رسمی یا پیام هایی مبنی بر اینکه شخصی به ایمنی کاربر یا سازمان اهمیت می دهد. چنین ویروس باج افزاری به سادگی کاربر را با پیام خود گمراه می کند. اگر او حتی کوچکترین اقدامی برای پرداخت انجام دهد، همه چیز - "طلاق" به طور کامل خواهد بود.

ویروس XTBL

نسخه نسبتاً اخیر را می توان به نسخه کلاسیک باج افزار نسبت داد. به عنوان یک قاعده، از طریق پیام‌های ایمیل حاوی پیوست‌هایی در قالب فایل‌هایی که برای محافظ صفحه‌نمایش ویندوز استاندارد است، وارد سیستم می‌شود. سیستم و کاربر فکر می کنند همه چیز درست است و مشاهده یا ذخیره پیوست را فعال می کند.

افسوس، این منجر به عواقب غم انگیزی می شود: نام فایل ها به مجموعه ای از کاراکترها تبدیل می شوند و xtbl. به پسوند اصلی اضافه می شود و پس از آن پیامی در مورد امکان رمزگشایی پس از پرداخت مشخص شده به آدرس ایمیل مورد نظر ارسال می شود. مبلغ (معمولا 5 هزار روبل).

ویروس CBF

این نوع ویروس نیز متعلق به کلاسیک های این ژانر است. پس از باز کردن پیوست‌های ایمیل، در سیستم ظاهر می‌شود و سپس نام فایل‌های کاربر را تغییر می‌دهد و پسوندی مانند .nochance یا .perfect را در پایان اضافه می‌کند.

متأسفانه رمزگشایی این نوع ویروس باج افزار برای تجزیه و تحلیل محتوای کد حتی در مرحله ظاهر شدن آن در سیستم امکان پذیر نیست، زیرا پس از انجام اقدامات خود، خود تخریب می شود. حتی آنچه که بسیاری معتقدند ابزاری جهانی مانند RectorDecryptor است کمکی نمی کند. مجدداً کاربر نامه ای مبنی بر مطالبه پرداخت دریافت می کند که دو روز فرصت داده می شود.

ویروس Breaking_Bad

این نوع تهدید به همین صورت عمل می کند، اما با افزودن .breaking_bad به پسوند، نام فایل ها را به صورت استاندارد تغییر می دهد.

شرایط به این محدود نمی شود. برخلاف ویروس‌های قبلی، این یکی می‌تواند پسوند دیگری ایجاد کند - Heisenberg. بنابراین همیشه نمی‌توان همه فایل‌های آلوده را پیدا کرد. بنابراین Breaking_Bad (ویروس باج افزار) یک تهدید نسبتاً جدی است. به هر حال، مواردی وجود دارد که حتی بسته دارای مجوز Kaspersky Endpoint Security 10 به این نوع تهدید اجازه عبور می دهد.

ویروس [ایمیل محافظت شده]

در اینجا یک تهدید دیگر، شاید جدی ترین، وجود دارد که بیشتر متوجه سازمان های تجاری بزرگ است. به عنوان یک قاعده، نامه ای به برخی از بخش ها می آید که به نظر می رسد حاوی تغییراتی در توافق نامه تامین یا حتی فقط یک فاکتور باشد. پیوست می تواند حاوی یک فایل jpg. معمولی (مانند یک تصویر) باشد، اما اغلب یک script.js قابل اجرا (برنامه جاوا).

چگونه این نوع ویروس باج افزار را رمزگشایی کنیم؟ با قضاوت بر اساس این واقعیت که برخی از الگوریتم های ناشناخته RSA-1024 در آنجا استفاده می شود، به هیچ وجه. همانطور که از نام آن پیداست، یک سیستم رمزگذاری 1024 بیتی است. اما، اگر کسی به یاد داشته باشد، امروزه AES 256 بیتی پیشرفته ترین در نظر گرفته می شود.

ویروس رمزگذاری: نحوه ضد عفونی و رمزگشایی فایل ها با استفاده از نرم افزار آنتی ویروس

تا به امروز، هیچ راه حلی از این نوع برای رمزگشایی تهدیدات از این نوع پیدا نشده است. حتی اساتیدی مانند Kaspersky، Dr. وقتی یک ویروس باج افزار آن را در سیستم به ارث برده است، Web و Eset نمی توانند کلید حل مشکل را پیدا کنند. چگونه فایل ها را ضد عفونی کنیم؟ در بیشتر موارد، پیشنهاد می شود درخواستی را به وب سایت رسمی توسعه دهنده آنتی ویروس ارسال کنید (به هر حال، فقط در صورتی که سیستم دارای مجوز نرم افزار این توسعه دهنده باشد).

در این مورد، شما باید چندین فایل رمزگذاری شده و همچنین اصل "سالم" آنها را در صورت وجود پیوست کنید. به طور کلی، به طور کلی، تعداد کمی از افراد نسخه هایی از داده ها را ذخیره می کنند، بنابراین مشکل عدم وجود آنها فقط وضعیت ناخوشایند را تشدید می کند.

راه های ممکن برای شناسایی و رفع تهدید به صورت دستی

بله، اسکن با آنتی ویروس های معمولی تهدیدات را شناسایی کرده و حتی آنها را از سیستم حذف می کند. اما در مورد اطلاعات چطور؟

برخی از افراد سعی می کنند از برنامه های رمزگشا مانند ابزار ذکر شده RectorDecryptor (RakhniDecryptor) استفاده کنند. بیایید فوراً توجه کنیم: این کمکی نخواهد کرد. و در مورد ویروس Breaking_Bad، فقط می تواند آسیب زیادی وارد کند. و به همین دلیل.

واقعیت این است که افرادی که چنین ویروس هایی را ایجاد می کنند سعی در محافظت از خود و راهنمایی دیگران دارند. هنگام استفاده از ابزارهای رمزگشایی، ویروس می تواند به گونه ای واکنش نشان دهد که کل سیستم "پرواز کند" و با از بین بردن کامل تمام داده های ذخیره شده در هارد دیسک ها یا پارتیشن های منطقی. این، به اصطلاح، یک درس شاخص برای تربیت همه کسانی است که نمی خواهند پرداخت کنند. ما فقط می توانیم به آزمایشگاه های رسمی آنتی ویروس تکیه کنیم.

روش های کاردینال

با این حال، اگر اوضاع واقعاً بد باشد، باید اطلاعات را قربانی کنید. برای رهایی کامل از تهدید، باید کل هارد دیسک، از جمله پارتیشن های مجازی را فرمت کنید و سپس "سیستم عامل" را مجددا نصب کنید.

متاسفانه راه دیگری وجود ندارد. حتی تا یک نقطه بازیابی ذخیره شده خاص کمکی نمی کند. ویروس ممکن است ناپدید شود، اما فایل ها رمزگذاری شده باقی می مانند.

به جای حرف آخر

در خاتمه لازم به ذکر است که وضعیت به شرح زیر است: یک ویروس باج افزار به سیستم نفوذ می کند، کار کثیف خود را انجام می دهد و با هیچ روش شناخته شده ای درمان نمی شود. دفاع آنتی ویروس برای این نوع تهدید آماده نشده بود. ناگفته نماند که می توانید یک ویروس را پس از قرار گرفتن در معرض شناسایی یا حذف کنید. اما اطلاعات رمزگذاری شده ناخوشایند باقی خواهند ماند. بنابراین می‌توان امیدوار بود که بهترین ذهن‌های شرکت‌های نرم‌افزار آنتی‌ویروس راه‌حلی بیابند، اگرچه، با قضاوت بر اساس الگوریتم‌های رمزگذاری، انجام آن بسیار دشوار خواهد بود. به عنوان مثال، ماشین رمزگذاری Enigma را که نیروی دریایی آلمان در طول جنگ جهانی دوم در اختیار داشت، به یاد بیاورید. بهترین رمزنگاران تا زمانی که دستگاه را در دست نگرفتند نتوانستند مشکل الگوریتم رمزگشایی پیام ها را حل کنند. اینجا هم همینطوره.

ویروس باج افزار قفل شدهیک برنامه مخرب است که پس از فعال شدن، تمام فایل های شخصی (مانند عکس ها و اسناد) را با استفاده از سیستم رمزگذاری ترکیبی بسیار قوی AES + RSA رمزگذاری می کند. پس از رمزگذاری فایل، پسوند آن به .locked تغییر می کند. مانند قبل، هدف ویروس Locked این است که کاربران را مجبور به خرید برنامه و کلید مورد نیاز برای رمزگشایی فایل های خود کند.

در پایان فرآیند رمزگذاری فایل، ویروس Locked پیامی مشابه پیام بالا را نمایش می دهد. به شما می گوید که چگونه فایل ها را می توان رمزگشایی کرد. از کاربر دعوت می شود تا مبلغ 250 دلار را به نویسندگان ویروس منتقل کند که حدود 17000 روبل است.

چگونه ویروس باج افزار Locked به کامپیوتر نفوذ می کند

ویروس باج‌افزار Locked معمولاً از طریق ایمیل منتشر می‌شود. نامه حاوی اسناد آلوده است. این ایمیل ها به پایگاه داده عظیمی از آدرس های ایمیل ارسال می شوند. نویسندگان این ویروس از سرصفحه ها و محتوای حروف گمراه کننده در تلاش برای فریب کاربر برای باز کردن سند پیوست شده به نامه استفاده می کنند. برخی از نامه ها در مورد نیاز به پرداخت صورتحساب، برخی دیگر برای دیدن آخرین لیست قیمت، برخی دیگر برای باز کردن یک عکس خنده دار و غیره را ارائه می دهند. در هر صورت نتیجه باز شدن فایل پیوست آلوده شدن کامپیوتر به ویروس رمزگذاری خواهد بود.

ویروس باج افزار Locked چیست؟

ویروس باج‌افزار قفل شده یک برنامه مخرب است که نسخه‌های مدرن سیستم‌عامل‌های ویندوز مانند ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8، ویندوز 10 را آلوده می‌کند. این ویروس از حالت رمزگذاری ترکیبی AES + RSA استفاده می‌کند که عملا این امکان را از بین می‌برد. کلید brute-force برای رمزگشایی خود فایل ها.

ویروس باج‌افزار Locked هنگام آلوده کردن رایانه از دایرکتوری‌های سیستم برای ذخیره فایل‌های خود استفاده می‌کند. برای شروع خودکار هر بار که رایانه روشن می شود، باج افزار یک ورودی در رجیستری ویندوز ایجاد می کند: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

بلافاصله پس از راه اندازی، ویروس تمام درایوهای موجود، از جمله شبکه و فضای ذخیره سازی ابری را اسکن می کند تا مشخص کند کدام فایل ها رمزگذاری خواهند شد. ویروس باج‌افزار Locked از پسوند نام فایل به عنوان راهی برای تعیین گروه فایل‌هایی که باید رمزگذاری شوند، استفاده می‌کند. تقریباً همه انواع فایل ها رمزگذاری شده اند، از جمله موارد رایج مانند:

0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mdda , .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos،. mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa،. apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، کیف پول، .wotreplay، .xxx، .desc، .py، .m3u، .flv،. js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، pfx.، .pem، .crt، .cer، .der، .x3f، .srw، .pef، ptx، .r3d، .rw2، .rwl، خام، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، .rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb ، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm،. odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf، .wdb، .wdp، .webdoc، .webp،. .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5، .wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg ، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، .x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb،. xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .xpm، .xwp، .xx، .xy3، .xyp، .xyw، .y، yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، .zif، .zip، .zw

پس از رمزگذاری فایل، پسوند آن به قفل تغییر می کند. سپس ویروس یک سند متنی به نام UNLOCK_FILES_INSTRUCTIONS.txt ایجاد می کند که حاوی دستورالعمل هایی برای رمزگشایی فایل های رمزگذاری شده است.

ویروس باج‌افزار Locked به طور فعال از تاکتیک‌های ارعاب استفاده می‌کند و به قربانی توضیح مختصری از الگوریتم رمزگذاری می‌دهد و پیامی تهدیدآمیز را روی دسک‌تاپ نمایش می‌دهد. به این ترتیب او سعی می کند کاربر کامپیوتر آلوده را بدون تردید مجبور به پرداخت باج کند تا بتواند فایل های خود را پس بگیرد.

آیا رایانه من به ویروس باج افزار Locked آلوده شده است؟

تشخیص اینکه آیا کامپیوتر به ویروس Locked آلوده شده است یا نه بسیار آسان است. لطفا توجه داشته باشید که تمام فایل های شخصی شما مانند اسناد، عکس ها، موسیقی و غیره. معمولاً در برنامه های مربوطه باز می شود. اگر، برای مثال، هنگام باز کردن یک سند، Word گزارش دهد که فایل از نوع ناشناخته است، به احتمال زیاد سند رمزگذاری شده است و رایانه آلوده شده است. البته وجود پیامی از ویروس Locked در Desktop یا ظاهر شدن فایل UNLOCK_FILES_INSTRUCTIONS.txt روی دیسک نیز نشانه آلودگی است.

اگر مشکوک هستید که پیام آلوده به ویروس Locked را باز کرده‌اید، اما هنوز علائم عفونت مشاهده نشده است، کامپیوتر خود را خاموش یا راه‌اندازی مجدد نکنید. اول از همه اینترنت را خاموش کنید! سپس مراحل توضیح داده شده در این بخش راهنما را دنبال کنید. گزینه دیگر این است که رایانه خود را خاموش کنید، هارد دیسک را بردارید و آن را روی رایانه دیگری آزمایش کنید.

چگونه فایل های رمزگذاری شده توسط ویروس Locked را رمزگشایی کنیم؟

اگر این بدبختی اتفاق افتاده است، پس نیازی به وحشت نیست! اما باید بدانید که رمزگشای رایگان وجود ندارد. این به دلیل الگوریتم های رمزگذاری قوی است که توسط این ویروس استفاده می شود. این بدان معنی است که رمزگشایی فایل ها بدون کلید خصوصی تقریبا غیرممکن است. استفاده از روش انتخاب کلید نیز به دلیل طول کلید زیاد، گزینه ای نیست. بنابراین، متأسفانه، تنها پرداخت به نویسندگان ویروس برای کل مبلغ درخواستی، تنها راه تلاش برای دریافت کلید رمزگشایی است.

البته، هیچ تضمینی وجود ندارد که پس از پرداخت، نویسندگان ویروس با شما تماس بگیرند و کلید لازم برای رمزگشایی فایل های شما را ارائه دهند. علاوه بر این، باید درک کنید که با پرداخت پول به توسعه دهندگان ویروس، شما خودتان آنها را برای ایجاد ویروس های جدید تحت فشار قرار می دهید.

چگونه ویروس باج افزار Locked را حذف کنیم؟

قبل از انجام این کار، باید بدانید که با شروع به حذف ویروس و تلاش برای بازیابی فایل ها به تنهایی، با پرداخت مبلغ درخواستی نویسندگان ویروس، امکان رمزگشایی فایل ها را مسدود می کنید.

Kaspersky Virus Removal Tool و Malwarebytes Anti-Malware می‌توانند انواع مختلف ویروس‌های باج‌افزار فعال را شناسایی کرده و به راحتی آنها را از رایانه شما حذف کنند، اما نمی‌توانند فایل‌های رمزگذاری شده را بازیابی کنند.

5.1. ویروس باج افزار قفل شده را با استفاده از ابزار حذف ویروس کسپرسکی حذف کنید

علاوه بر این، برنامه های امنیتی تخصصی وجود دارد. به عنوان مثال، این CryptoPrevent است، با جزئیات بیشتر (eng).

چند کلمه پایانی

با پیروی از این دستورالعمل، رایانه شما از ویروس باج افزار Locked پاک می شود. اگر سوالی دارید یا نیاز به کمک دارید، لطفا با ما تماس بگیرید.

نحوه رمزگشایی فایل های قفل شده ابزار حذف ویروس کسپرسکی برای حذف باج افزار XTBL

چگونه سیستم را درمان کنیم

ویروس باج افزار چیست؟

تهدید چگونه وارد سیستم می شود؟

انواع ویروس ها و کمی تاریخچه

تکنیکی برای تأثیرگذاری بر فایل های کاربر

مشکلات رمزگشایی برای الگوریتم های مورد استفاده

ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟

اولین راه حل برای از بین بردن تهدید

راه حل های ارائه شده توسط توسعه دهندگان نرم افزار ضد ویروس

یک راه حل ریشه ای برای مشکل

به جای حرف آخر

نحوه رمزگشایی فایل ها با استفاده از ابزار Kaspersky RakhniDecryptor

پارامترهای اجرای ابزار از خط فرمان

ویروس باج افزار چیست؟

اصل نفوذ به سیستم و عملکرد کد ویروس

عواقب کلی نفوذ همه ویروس ها از این نوع

آسیب ناشی از قرار گرفتن در معرض کد

اولین فرزند در خانواده

جدیدترین تغییرات

ویروس XTBL

ویروس CBF

ویروس Breaking_Bad

ویروس [ایمیل محافظت شده]

ویروس رمزگذاری: نحوه ضد عفونی و رمزگشایی فایل ها با استفاده از نرم افزار آنتی ویروس

راه های ممکن برای شناسایی و رفع تهدید به صورت دستی

روش های کاردینال

به جای حرف آخر

چگونه ویروس باج افزار Locked به کامپیوتر نفوذ می کند

ویروس باج افزار Locked چیست؟

آیا رایانه من به ویروس باج افزار Locked آلوده شده است؟

چگونه فایل های رمزگذاری شده توسط ویروس Locked را رمزگشایی کنیم؟

چگونه ویروس باج افزار Locked را حذف کنیم؟

5.1. ویروس باج افزار قفل شده را با استفاده از ابزار حذف ویروس کسپرسکی حذف کنید

چند کلمه پایانی

مقالات مرتبط برتر