طی روزهای اخیر موج جدیدی از حملات باج‌گیری توسط بدافزارهایی موسوم به تسلاکریپت و آلفاکریپت در کشورهای مختلف به راه افتاده است و این روزها تمامی غول‌های امنیتی دنیا به دنبال راه‌حلی قاطع برای مقابله با این نوع بدافزارها هستند. ما هم به نوبه خود و به دلیل اهمیت موضوع، تصمیم گرفتیم به بررسی این نوع حملات نوظهور بپردازیم و برای کسانی که به هر گونه‌ای دچار این نوع حملات شده‌اند، راه‌حلی موفق و آزمایش شده معرفی کنیم.

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر(تسلا و آلفا کریپت)  به‌ گزارش مشرق، تسلاکریپت و آلفاکریپت بدافزارهای خطرناک و پیشرفته‌ای هستند که تمامی نسخه‌های سیستم‌عامل ویندوز را مورد هدف حملات خود قرار می‌دهند و با رمزنگاری تمامی فایل‌ها به کاربران اجازه دسترسی به آن‌ها را نمی‌دهند. این بدافزارها که به بدافزارهای (باج‌گیر) یا (باج‌افزار) مشهور هستند پس از نفود به رایانه کاربران تمامی اطلاعات و فایل‌ها آن‌ها را اسکن کرده و با روش رمزنگاری AES تمامی آن‌ها را رمزگذاری می‌کنند و تا وقتی که مبلغی یه عنوان باج از آن‌ها نگیرند، اجازه نمی‌دهند تا به رایانه یا فایل‌های‌شان دسترسی داشته باشند.

این نوع بدافزارها پس از اتمام فرآیند رمزنگاری، دستورالعملی برای کاربر نمایش می‌دهند که او چگونه قادر است اطلاعات خود را رمزگشایی کند. در دستورالعمل به نمایش گذاشته شده از کاربر خواسته می‌شود که در ازای بازگردانی فایل‌های خود، مبلغی در حدود 500 دلار از طریق بیت‌کوین پرداخت کند. با این ترفند شناسایی سودجویان و متصدیان این قضیه تقریبا غیرممکن می‌گردد! چرا که برای هر کاربر، آدرس یکتایی برای پرداخت وجه موردنظر تولید می‌شود.

زمانی که تسلاکریپت یا آلفاکریپت در سیستم قربانی نفوذ می‌کند، در پوشه (%AppData%) برنامه اجرایی با نام تصادفی ایجاد می‌کند. این برنامه تمامی درایوها را اسکن کرده و تمامی فایل‌های مورد نظر خود را رمزنگاری کرده و به انتهای آن‌ها پسوندی اضافه می‌کند. پسوند اضافه شده به انتهای فایل‌ها بستگی به نوع بدافزار دارد. در تسلاکریپت به انتهای فایل‌ها پسوند .EXX یا .ECC و در آلفاکریپت .EZZ افزوده می‌شود.

پسوندهایی مورد هدف تسلاکریپت:

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر

پسوندهای مورد هدف آلفاکریپت:


راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر

این بدافزارها تمامی اطلاعات حافظه‌ها و درایوهای متصل به سیستم قربانی اعم از دیسک‌های سخت، حافظه‌های قابل‌حمل، فایل‌های به اشتراک گذاشته در شبکه و حتی دراپ‌باکس را شناسایی کرده و با رمزنگاری آن‌ها به هیچ فایلی رحم نمی‌کنند.

بعد از اتمام مراحل رمزنگاری تمامی نسخه‌های پشتیبان موسوم به Shadow از روی سیستم قربانی حذف می‌گردد تا امید کاربر برای بازگرداندن فایل‌ها کاملا از بین برود. در انتها پیغام‌هایی شبیه تصاویر زیر برای کاربران نمایان می‌گردد.همچنین در کنار فایل‌های رمزنگاری شده، فایل‌های متنی HELP_TO_DECRYPT_YOUR_FILES.txt، HELP_RESTORE_FILES.txt و یا HELP_TO_SAVE_FILES.txt را می‌توان مشاهده کرد.

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر
راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر


بعد از آلوده شدن رایانه خود، چه باید بکنیم؟

اگر متوجه شدید که سیستم‌تان مورد حمله قرار گرفته است، سریعا رایانه خود را خاموش کرده و در صورت امکان از اطلاعات کنونی خود نسخه پشتیبان تهیه کنید. این کار باعث خواهد شد که اگر در آینده برنامه‌ای برای رمزگشایی اطلاعات از سوی فعالان حوزه امنیت به بیرون درز کند، بتوانید فایل‌های خود را رمزگشایی کنید.

چگونه رایانه‌تان آلوده می‌شود؟

وجود ضعف های امنیتی فراوان در سیستم‌عامل ویندوز و دیگر نرم افزارهای کاربردی نظیر جاوا، ادوبی فلش و آکروبات ریدر در رخ دادن حمله‌های سایبری بی‌تاثیر نیستند. ولی بنا به گفته فعالان حوزه امنیت سر منشا این نوع حملات هنوز مشخص نشده است و گفته می‌شود هکرها راه‌ها و شیوه‌های مختلفی برای نفوذ به رایانه‌ها برمی‌گزینند.

برای دسترسی به فایل‌ها، آیا مبلغ تعیین شده را پرداخت کنیم؟

در صورتی که بدافزار فرصت کافی داشته و موفق به رمزگذاری فایل‌ها شود، هیچ‌کدام از نرم افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار می‌کنند. تنها راه‌حل عملی برای بازگرداندن فایل‌ها، پرداخت باج است.

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر

اما این نکته را در نظر داشته باشید که پرداخت مبلغ تعیین شده تنها باعث تشویق و ترغیب هکرها و افراد سودجو خواهد شد چرا که بعد از پرداخت مبلغ تعیین شده هیچ تضمینی مبنی بر بازگشت فایل‌ها وجود ندارد.

آیا راه‌حلی برای رمزگشایی فایل‌های EXX، ECC و EZZ وجود دارد؟

خوشبختانه تا به این لحظه دو ابزار رایگان (TeslaDecrypt) و (TeslaDecoder) برای رمزگشایی فایل‌های آسیب دیده پیشنهاد شده است که قادرند فایل‌های رمزگذاری شده را رمزگشایی کنند. یکی از این برنامه‌ها که (TeslaDecrypt) نام دارد متعلق به شرکت سیسکو است و تنها قادر است فایل‌های ECC را رمزگشایی کند. اما برنامه نسبتا جدیدی دیگری با نام (TeslaDecoder) قادر است تمامی پسوندهای اشاره شده را رمزگشایی کند.

توجه داشته باشید که این برنامه‌ها در حالت بتا قرار دارند و ممکن است نتوانند فایل‌ها را به درستی رمزگشایی کنند! لذا عواقب ناشی از استفاده این برنامه‌ها به عهده خود کاربران می‌باشد و نویسنده این مطلب و سایت مشرق هیچ‌گونه مسئولیتی در برابر خرابی‌های احتمالی ندارد.

رمزگشایی فایل‌ها با استفاده از برنامه (TeslaDecoder):

این ابزار رایگان، 23 اردیبهشت سال جاری توسط یکی از کاربران سایت bleepingcomputer برنامه‌نویسی شده است و همان‌طور که قبلا اشاره کردیم قادر است فایل‌های رمزنگاری شده توسط تسلاکریپت و آلفاکریپت را رمزگشایی کند. قبل از انجام هر کاری حتما رایانه خود را با یکی از نرم‌افزارهای Malwarebytes، HitmanPro و یا SpyHunter اسکن نمایید تا فایلهای مخرب و مرتبط با بدافزار پاک شوند. سپس آخرین نسخه برنامه را از لینک زیر دانلود نمایید:

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر

بعد از دانلود فایل مربوطه و خارج کردن آن از حالت فشرده، فایل TeslaDecoder.exe را اجرا کنید. بلافاصله بعد از اجرا شدن، برنامه به صورت خودکار از مسیرهای از پیش تعیین شده به دنبال فایل‌های (storage.bin) یا (key.dat) می‌گردد تا کلید اختصاصی را از فایل‌های مذکور استخراج کند. اگر برنامه بتواند کلید اختصاصی را با موفقیت پیدا کند پیغامی مشابه، عکس زیر برایتان نمایان می‌شود. همچنین شما می‌توانید با کلیک بر روی دکمه (Load data file) به صورت دستی مسیر فایل‌های (storage.bin) یا (key.dat) را مشخص سازید.

راه‌های مقابله و بازیابی فایل‌های ویروس رایانه‌ای باج‌گیر

بعد از پیدا شدن کلید اختصاصی، برای راستی آزمایی برنامه (TeslaDecoder)، پوشه‌ای ایجاد کرده و تعدادی از فایل‌های آسیب دیده را درون آن کپی کنید. سپس با کلیک بر روی (Decrypt Folder) مسیر پوشه ایجاد شده را مشخص نمایید. اگر همه چیز بر وفق مراد باشد تمامی فایل‌ها با موفقیت رمزگشایی خواهد شد. بعد از مرحله راستی آزمایی و اطمینان از درست کار کردن برنامه، فایل‌های خود را با خیال راحت رمزگشایی کنید.

برای در امان ماندن از گزند این نوع حملات، چه باید کنیم؟

براساس گزارش شرکت‌های امنیتی ویروس‌های باج‌افزار هر روز پیشرفته‌تر می‌شوند و در چند سال اخیر رشد چشمگیری داشته‌اند. لذا برای در امان ماندن از گزند این نوع حملات انجام اقدامات پیشگیرانه ضروری به نظر می‌رسد.برخی از اقدامات پیشگیرانه:

علاوه بر تجهیز رایانه خود به ضدویروس‌های قدرتمند و معتبر از به‌روز بودن آن‌ها اطمینان حاصل کنید.
به ضدویروس‌ها اکتفا نکنید و در صورت امکان از برنامه‌های ضد بدافزار و هرزنامه از قبیل Malwarebytes، HitmanPro و غیره در کنار ضدویروس‌ها استفاده کنید.
بروزرسانی سیستم‌عامل و نرم‌افزارهای کاربردی و نصب اصلاحیه‌های امنیتی آن‌ها را هرگز فراموش نکنید.

منبع: زومیت

نظر شما

شما در حال پاسخ به نظر «» هستید.
captcha

نظرات

  • انتشار یافته: 10
  • در انتظار بررسی: 18
  • غیر قابل انتشار: 15
  • سمیه ۰۹:۱۸ - ۱۳۹۵/۰۲/۱۱
    1 1
    با سلام و خسته نباشید به چه حسابی باید پول واریز بشه؟ لطفا راهنمایی کنید. ممنون
  • امیر ۱۵:۱۴ - ۱۳۹۵/۰۳/۱۱
    0 0
    با سلام ضمن تشکر این نرم را امتحان کردیم ولی فایل رمزشده را باز نکرد منظر راه حل های دیگر هستیم
  • مریم ۲۱:۴۱ - ۱۳۹۵/۰۵/۰۷
    2 0
    با سلام اگر بعد از ویروسی شدن ویندوز عوض بشه باز هم میشه با این راه حل ها نیز فایل ها رو بر گردوند.
  • ستیا ۰۹:۴۶ - ۱۳۹۵/۰۵/۲۸
    0 2
    با سلام باز گرداندن فایلهای رمز شده به هیچ وجه امکانپذیر نیست ولی راه کارهای امنیتی هست که می توان شبکه و سیستم ها را در برابر این نوع ویروسها محفوظ کرد. مثل تنظیمات secpol.msc یا eScan security و قابلیت Proactive behavier monitor
  • مجید ۱۴:۵۴ - ۱۳۹۵/۰۷/۰۶
    2 0
    منم گرفتار سربر3 شدم. فقط تونستم فایلهای تصویری رو رمز گشایی کنم. کافیه اخرش همون اسم فرما فایل مثل.mp4. ياmjv.رو اصافه کنید
  • امیرحسین ۱۳:۴۲ - ۱۳۹۵/۰۷/۰۸
    2 0
    آقا فایل هام همه cerber3 شده! کارشون تمومه دیگه؟!
  • عباس ۲۱:۴۴ - ۱۳۹۵/۰۷/۰۹
    3 3
    آقا منم بیچاره ششدم تورو خدا یه کاری کنید هکرای ایرانی از کجا بیارم 500 دلار برا هر فولدر بدم
  • امیر ۰۲:۴۳ - ۱۳۹۵/۰۷/۱۷
    0 1
    منم امتحان کردم اگه پسوند ویدیو هارو ام پی فور بزنی میخونه با یه مقدار لگ تو بعضی جاهاش تو رو خدا یه حرکتی بزنید :(
  • زهرا آيت ۱۳:۲۵ - ۱۳۹۵/۰۷/۱۷
    5 2
    با سلام. فايلاي منم همش cerber3 شده. فايلاي ضميمه ايميلهاي ناشناس رو باز نميكنم، رو لينكاش كليك نميكنم، فيلتر شكن هم ندارم و فقط بيشترين استفاده من از اينترنت براي تبليغ اسلامه. نميدونم چرا اين بلا سرم اومد. تو رو خدا هرچي مهندس و هكر هستن جمع بشن شاهكليد cerber3 رو پيدا كنن منتشر كنن سيستممون نجات پيدا كنه. ضمنا من نابينا هستم و اين نرم افزارهاي ضد بد افزار كه تو سايتا معرفي كردن دوتاش رو امتحان كردم براي نابينايان دسترسپذير نيست. خواهشا وقتي برنامه رمز گشاييش اومد به منم خبر بدين.
  • مهیار IR ۰۶:۴۵ - ۱۳۹۹/۰۸/۳۰
    1 0
    سلام…من با یه مورد جدید باج افزار درگیرم(pptx) که با کلی سرچ و شرکت بازیابی و .... فهمیدم انگار هنوز رمزنگاری واسش نیست….باید چی کار کنم؟منتظر بمونم تا راه حلش بیاد؟

این مطالب را از دست ندهید....

فیلم برگزیده

برگزیده ورزشی

برگزیده عکس