طی روزهای اخیر موج جدیدی از حملات باجگیری توسط بدافزارهایی موسوم به تسلاکریپت و آلفاکریپت در کشورهای مختلف به راه افتاده است و این روزها تمامی غولهای امنیتی دنیا به دنبال راهحلی قاطع برای مقابله با این نوع بدافزارها هستند. ما هم به نوبه خود و به دلیل اهمیت موضوع، تصمیم گرفتیم به بررسی این نوع حملات نوظهور بپردازیم و برای کسانی که به هر گونهای دچار این نوع حملات شدهاند، راهحلی موفق و آزمایش شده معرفی کنیم.حتی اگر به این ویروس خطر ناک مبطلا نشده اید حتما این مقاله را بخوانید.
تسلاکریپت و آلفاکریپت بدافزارهای خطرناک و پیشرفتهای هستند که تمامی نسخههای سیستمعامل ویندوز را مورد هدف حملات خود قرار میدهند و با رمزنگاری تمامی فایلها به کاربران اجازه دسترسی به آنها را نمیدهند. این بدافزارها که به بدافزارهای (باجگیر) یا (باجافزار) مشهور هستند پس از نفود به رایانه کاربران تمامی اطلاعات و فایلها آنها را اسکن کرده و با روش رمزنگاری AES تمامی آنها را رمزگذاری میکنند و تا وقتی که مبلغی یه عنوان باج از آنها نگیرند، اجازه نمیدهند تا به رایانه یا فایلهایشان دسترسی داشته باشند.
نحوه خرابکاری ویروس سربر ۳
این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامههای اجرایی ویندوز مثلاً autochk.exe تغییر میدهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» میشود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل میکند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایلهای شخصی قربانی میکند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشههای آلوده، با نامهای زیر قرارمیدهد و در آن آلوده شدن و رمزشدن فایلهای قربانی و دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح میدهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جملهای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن میشود «چیزی که مرا نمیکشد، من را قویتر میکند» البته این ترجمه من نویسنده است ولی به نظرم حرصدرآور است. ویروس سربر ۳ با شما صحبت هم میکند، اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده میشود!
این نوع بدافزارها پس از اتمام فرآیند رمزنگاری، دستورالعملی برای کاربر نمایش میدهند که او چگونه قادر است اطلاعات خود را رمزگشایی کند. در دستورالعمل به نمایش گذاشته شده از کاربر خواسته میشود که در ازای بازگردانی فایلهای خود، مبلغی در حدود ۵۰۰ دلار از طریق بیتکوین پرداخت کند. با این ترفند شناسایی سودجویان و متصدیان این قضیه تقریبا غیرممکن میگردد! چرا که برای هر کاربر، آدرس یکتایی برای پرداخت وجه موردنظر تولید میشود.
پسوندهایی مورد هدف تسلاکریپت
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
پسوندهای مورد هدف آلفاکریپت:
این بدافزارها تمامی اطلاعات حافظهها و درایوهای متصل به سیستم قربانی اعم از دیسکهای سخت، حافظههای قابلحمل، فایلهای به اشتراک گذاشته در شبکه و حتی دراپباکس را شناسایی کرده و با رمزنگاری آنها به هیچ فایلی رحم نمیکنند.
بعد از اتمام مراحل رمزنگاری تمامی نسخههای پشتیبان موسوم به Shadow از روی سیستم قربانی حذف میگردد تا امید کاربر برای بازگرداندن فایلها کاملا از بین برود. در انتها پیغامهایی شبیه تصاویر زیر برای کاربران نمایان میگردد.همچنین در کنار فایلهای رمزنگاری شده، فایلهای متنی HELP_TO_DECRYPT_YOUR_FILES.txt، HELP_RESTORE_FILES.txt و یا HELP_TO_SAVE_FILES.txt را میتوان مشاهده کرد.
بعد از آلوده شدن رایانه خود، چه باید بکنیم؟
اگر متوجه شدید که سیستمتان مورد حمله قرار گرفته است، سریعا رایانه خود را خاموش کرده و در صورت امکان از اطلاعات کنونی خود نسخه پشتیبان تهیه کنید. این کار باعث خواهد شد که اگر در آینده برنامهای برای رمزگشایی اطلاعات از سوی فعالان حوزه امنیت به بیرون درز کند، بتوانید فایلهای خود را رمزگشایی کنید.
چگونه رایانهتان آلوده میشود؟
وجود ضعف های امنیتی فراوان در سیستمعامل ویندوز و دیگر نرم افزارهای کاربردی نظیر جاوا، ادوبی فلش و آکروبات ریدر در رخ دادن حملههای سایبری بیتاثیر نیستند. ولی بنا به گفته فعالان حوزه امنیت سر منشا این نوع حملات هنوز مشخص نشده است و گفته میشود هکرها راهها و شیوههای مختلفی برای نفوذ به رایانهها برمیگزینند.
برای دسترسی به فایلها، آیا مبلغ تعیین شده را پرداخت کنیم؟
در صورتی که بدافزار فرصت کافی داشته و موفق به رمزگذاری فایلها شود، هیچکدام از نرم افزارهای ضدویروس در دنیا قادر به بازگرداندن فایلهای رمز شده نیستند و تنها اقدام به شناسایی و حذف فایلهای مخرب و مرتبط با بدافزار میکنند. تنها راهحل عملی برای بازگرداندن فایلها، پرداخت باج است.
اما این نکته را در نظر داشته باشید که پرداخت مبلغ تعیین شده تنها باعث تشویق و ترغیب هکرها و افراد سودجو خواهد شد چرا که بعد از پرداخت مبلغ تعیین شده هیچ تضمینی مبنی بر بازگشت فایلها وجود ندارد.
آیا راهحلی برای رمزگشایی فایلهای EXX، ECC و EZZ وجود دارد؟
خوشبختانه تا به این لحظه دو ابزار رایگان (TeslaDecrypt) و (TeslaDecoder) برای رمزگشایی فایلهای آسیب دیده پیشنهاد شده است که قادرند فایلهای رمزگذاری شده را رمزگشایی کنند. یکی از این برنامهها که (TeslaDecrypt) نام دارد متعلق به شرکت سیسکو است و تنها قادر است فایلهای ECC را رمزگشایی کند. اما برنامه نسبتا جدیدی دیگری با نام (TeslaDecoder) قادر است تمامی پسوندهای اشاره شده را رمزگشایی کند.
توجه داشته باشید که این برنامهها در حالت بتا قرار دارند و ممکن است نتوانند فایلها را به درستی رمزگشایی کنند! لذا عواقب ناشی از استفاده این برنامهها به عهده خود کاربران میباشد و نویسنده این مطلب هیچگونه مسئولیتی در برابر خرابیهای احتمالی ندارد.
رمزگشایی فایلها با استفاده از برنامه (TeslaDecoder):
این ابزار رایگان، ۲۳ اردیبهشت سال جاری توسط یکی از کاربران سایت bleepingcomputer برنامهنویسی شده است و همانطور که قبلا اشاره کردیم قادر است فایلهای رمزنگاری شده توسط تسلاکریپت و آلفاکریپت را رمزگشایی کند. قبل از انجام هر کاری حتما رایانه خود را با یکی از نرمافزارهای Malwarebytes، HitmanPro و یا SpyHunter اسکن نمایید تا فایلهای مخرب و مرتبط با بدافزار پاک شوند. سپس آخرین نسخه برنامه را از لینک زیر دانلود نمایید:
بعد از دانلود فایل مربوطه و خارج کردن آن از حالت فشرده، فایل TeslaDecoder.exe را اجرا کنید. بلافاصله بعد از اجرا شدن، برنامه به صورت خودکار از مسیرهای از پیش تعیین شده به دنبال فایلهای (storage.bin) یا (key.dat) میگردد تا کلید اختصاصی را از فایلهای مذکور استخراج کند. اگر برنامه بتواند کلید اختصاصی را با موفقیت پیدا کند پیغامی مشابه، عکس زیر برایتان نمایان میشود. همچنین شما میتوانید با کلیک بر روی دکمه (Load data file) به صورت دستی مسیر فایلهای (storage.bin) یا (key.dat) را مشخص سازید.
راه دیگر برای بازکردن بعضی از فایل های آلوده وب سایت زیر میباشد.
رو این لینک کلیک کنید
برای در امان ماندن از گزند این نوع حملات، چه باید کنیم؟
براساس گزارش شرکتهای امنیتی ویروسهای باجافزار هر روز پیشرفتهتر میشوند و در چند سال اخیر رشد چشمگیری داشتهاند. لذا برای در امان ماندن از گزند این نوع حملات انجام اقدامات پیشگیرانه ضروری به نظر میرسد.برخی از اقدامات پیشگیرانه:
علاوه بر تجهیز رایانه خود به ضدویروسهای قدرتمند و معتبر از بهروز بودن آنها اطمینان حاصل کنید.
به ضدویروسها اکتفا نکنید و در صورت امکان از برنامههای ضد بدافزار و هرزنامه از قبیل Malwarebytes، HitmanPro و غیره در کنار ضدویروسها استفاده کنید.
بروزرسانی سیستمعامل و نرمافزارهای کاربردی و نصب اصلاحیههای امنیتی آنها را هرگز فراموش نکنید.
و سعی کنید از آنتی ویروس های اورجینال استفاده کنید.
از باز کردن ایمیل های مشکوک جداً خودداری فرمایید
نرم افزار امنیتی خود را بروز نگه دارید
و در صورت مشاهده روی یک سیستم متصل به شبکه ، سیستم مورد نظر را از شبکه خارج نمایید.
برای دریافت آنتی ویروس اورجینال با ما تماس بگیرید.
(نود ۳۲ و کسپر اسکای)
NOD32-KASPERSKY
موفق و پیروز باشید.
سلام دوست عزیز . یه باج افزار سیستم منو آلوده کرده که تمام فایل هام با پسوند ۲k19sys شده و من نمیدونم چیکار باید بکنم . هرچی دیکریپتور بود دانلود کردم از avest . kasprsky و … ولی بازم نشد . شما با این باج افزار اشنایی نداری کمکم کنی ؟ فایل ها برای کارم هست و بدبخت میشم بر نگردن . ممنون از شما . ممنون میشم به ایمیلم جواب بدین اگه راهی میشناسین .
سلام تا به امروز راه قطعی برای دیکریپت کردن فایل ها این باج افزار ارائه نشده
ولی بسیاری از کاربر ها با روش های پیشنهادی فوق فایل هاشون رو بازیابی کرده اند
سلام من چند روز پیش به یه سایتی رفتم و متاسفانه کامپیوترم ویروس گرفت و فکر میکنم که ویروس باجگیر باشه چون تمام فایلهای کامپیوترم به شکلی در اومدند که مجبور میشم ….open with کنم . و تمام فایلها پسوند darus. گرفتند .زمانی هم پسوندو پاک میکنم به حالت اول بر میگرده ولی باز نمیشن . ولی فایل هارو روی فلش ریختم به کامپیوتری بردم همین کاری که انجام دادمو انجام داد پسوندو پاک کرد و فایل باز شد ولی توی کامپیوتر من نه باز نمیشه. اگر میشه بهم بگید مشکل کامپیوترم چیه چون واقعا به مشکل بر خوردم و تمام عکسها و فایل های ستاپ باز نمیشن .
سلام یه ویروس همه فایلای منو به فرمت.kavgعوض کرده.نرم افزار دی کریپتش هست؟و یه سوال دیگه که اگر باشه باید یکی یکی فایلارو برگردوند ؟یا حالت اتومات هم داره واس برگردوندن؟
سلام وقت بخیر
با شماره ۰۹۳۶۰۹۱۵۴۲۸ تماس بگیرید همکارمون راهنماییتون میکنن
موفق و پیروز باشید