به طور معمول، کار برنامه های مخرب با هدف به دست آوردن کنترل بر روی رایانه، ترکیب آن در یک شبکه زامبی، یا سرقت اطلاعات شخصی است. یک کاربر بی توجه ممکن است برای مدت طولانی متوجه آلوده شدن سیستم نشود. اما ویروسهای باجافزار، بهویژه xtbl، به روشی کاملاً متفاوت کار میکنند. آنها با رمزگذاری آنها با پیچیده ترین الگوریتم و درخواست مبلغ زیادی از مالک برای توانایی بازیابی اطلاعات، فایل های کاربر را غیرقابل استفاده می کنند.
علت مشکل: ویروس xtbl
ویروس باج افزار xtbl نام خود را از این واقعیت گرفته است که اسناد کاربر رمزگذاری شده توسط آن پسوند xtbl. را دریافت می کنند. معمولاً رمزگذارها کلیدی را در بدنه فایل می گذارند تا یک برنامه رمزگشای جهانی بتواند اطلاعات را به شکل اصلی بازیابی کند. با این حال، این ویروس برای اهداف دیگری در نظر گرفته شده است، بنابراین به جای کلید، پیشنهادی برای پرداخت مبلغ مشخصی با استفاده از جزئیات حساب ناشناس روی صفحه ظاهر می شود.
نحوه عملکرد ویروس xtbl
ویروس از طریق پیامهای ایمیل با پیوستهای آلوده، که فایلهای برنامههای اداری هستند، وارد رایانه میشود. پس از اینکه کاربر محتویات پیام را باز کرد، بدافزار شروع به جستجوی عکس ها، کلیدها، فیلم ها، اسناد و غیره می کند و سپس با استفاده از یک الگوریتم پیچیده اصلی (رمزگذاری ترکیبی) آنها را به حافظه های xtbl تبدیل می کند.
این ویروس از پوشه های سیستم برای ذخیره فایل های خود استفاده می کند.
این ویروس خود را به لیست راه اندازی اضافه می کند. برای انجام این کار، او ورودی هایی را به رجیستری ویندوز در بخش های زیر اضافه می کند:
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run;
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
رایانه آلوده به طور پایدار کار می کند ، سیستم "خراش" نمی شود ، اما همیشه یک برنامه کوچک (یا دو) با نام نامفهوم در RAM وجود دارد. و پوشه های حاوی فایل های کاری کاربر ظاهر عجیبی به خود می گیرند.
به جای یک صفحه نمایش اسپلش، یک پیام روی دسکتاپ ظاهر می شود:
فایل های شما رمزگذاری شده اند. برای رمزگشایی آنها، باید کد را به آدرس ایمیل ارسال کنید: [ایمیل محافظت شده](کد زیر است). سپس دستورالعمل های بیشتری دریافت خواهید کرد. تلاش های مستقل برای رمزگشایی فایل ها منجر به نابودی کامل آنها می شود.
همان متن در فایل How to decrypt your files.txt ایجاد شده است. آدرس ایمیل، کد، مبلغ درخواستی ممکن است متفاوت باشد.
اغلب، برخی از کلاهبرداران از دیگران درآمد کسب می کنند - شماره کیف پول الکترونیکی باج افزار در بدنه ویروس قرار می گیرد و راهی برای رمزگشایی فایل ها وجود ندارد. بنابراین یک کاربر ساده لوح، با ارسال پول، در ازای آن چیزی دریافت نمی کند.
چرا نباید باج افزار پرداخت کنید
موافقت با اخاذی ها نه تنها به دلیل اصول اخلاقی غیرممکن است. این از نظر عملی غیر منطقی است.
چگونه از سیستم خود در برابر ویروس محافظت کنیم
قوانین جهانی برای محافظت در برابر بدافزار و به حداقل رساندن آسیب در این مورد نیز کمک خواهد کرد.
آیا امکان بازیابی اطلاعات رمزگذاری شده وجود دارد؟
خبر خوب: بازیابی اطلاعات امکان پذیر است. بد: شما نمی توانید این کار را به تنهایی انجام دهید. دلیل این امر خاص بودن الگوریتم رمزگذاری است که انتخاب کلید آن به منابع و دانش انباشته بسیار بیشتری نسبت به یک کاربر معمولی نیاز دارد. خوشبختانه، توسعه دهندگان آنتی ویروس مقابله با هر برنامه مخرب را یک امر افتخاری می دانند، بنابراین حتی اگر در حال حاضر قادر به مقابله با باج افزار شما نباشند، مطمئناً یک یا دو ماه دیگر راه حلی برای آن پیدا خواهند کرد. ما باید صبور باشیم
به دلیل نیاز به تماس با متخصصان، الگوریتم کار با رایانه آلوده در حال تغییر است. به عنوان یک قاعده کلی، هر چه تغییرات کمتر باشد بهتر است.آنتی ویروس ها روش درمان را بر اساس ویژگی های عمومی یک برنامه مخرب تعیین می کنند؛ بنابراین فایل های آلوده منبع اطلاعات مهمی برای آنها هستند. آنها باید تنها پس از حل مشکل اصلی حذف شوند.
قانون دوم این است که به هر قیمتی کار ویروس را قطع کنید. شاید او هنوز تمام اطلاعات را خراب نکرده است و ردپایی از باج افزار در رم باقی مانده است که با کمک آن می توان او را شناسایی کرد. بنابراین، شما باید بلافاصله کامپیوتر را از شبکه خاموش کنید و با فشار طولانی دکمه شبکه، لپ تاپ را خاموش کنید. این بار، روش استاندارد خاموش کردن "دقت"، که امکان تکمیل صحیح همه فرآیندها را فراهم می کند، کار نخواهد کرد، زیرا یکی از آنها رمزگذاری اطلاعات شما است.
بازیابی فایل های رمزگذاری شده
اگر موفق شدید کامپیوتر خود را خاموش کنید
اگر موفق شدید کامپیوتر خود را قبل از پایان فرآیند رمزگذاری خاموش کنید، دیگر نیازی نیست خودتان آن را روشن کنید. "بیمار" را مستقیماً نزد متخصصان ببرید، رمزگذاری قطع شده به طور قابل توجهی شانس ذخیره پرونده های شخصی را افزایش می دهد. در اینجا شما همچنین می توانید رسانه ذخیره سازی خود را در حالت ایمن بررسی کنید و نسخه پشتیبان تهیه کنید. با احتمال زیاد، خود ویروس شناخته می شود، بنابراین درمان آن موفقیت آمیز خواهد بود.
اگر رمزگذاری کامل شود
متاسفانه، احتمال قطع موفقیت آمیز فرآیند رمزگذاری بسیار کم است. معمولاً ویروس زمان دارد تا فایل ها را رمزگذاری کند و آثار غیر ضروری را از رایانه حذف کند. و اکنون شما دو مشکل دارید: ویندوز هنوز آلوده است و فایل های شخصی به یک مجموعه کاراکتر تبدیل شده اند. برای حل مشکل دوم، باید از شرکت های سازنده نرم افزارهای آنتی ویروس کمک گرفت.
دکتر وب
آزمایشگاه Dr.Web خدمات رمزگشایی خود را به صورت رایگان فقط برای دارندگان مجوزهای تجاری ارائه می دهد. به عبارت دیگر، اگر هنوز مشتری آنها نیستید، اما می خواهید فایل های خود را بازیابی کنید، باید برنامه را خریداری کنید. با توجه به شرایط فعلی، این سرمایه گذاری درستی است.
مرحله بعدی این است که به وب سایت سازنده بروید و فرم ورود را پر کنید.
اگر در بین فایل های رمزگذاری شده نسخه هایی از آنها در رسانه های خارجی ذخیره شده باشد، انتقال آنها کار رمزگشاها را بسیار تسهیل می کند.
کسپرسکی
آزمایشگاه کسپرسکی ابزار رمزگشایی خود به نام RectorDecryptor را توسعه داده است که میتوان آن را از وبسایت رسمی شرکت در رایانه دانلود کرد.
هر نسخه از سیستم عامل، از جمله ویندوز 7، ابزار کاربردی خاص خود را دارد. پس از بارگذاری، دکمه "شروع بررسی" را فشار دهید.
اگر ویروس نسبتاً جدید باشد، ممکن است خدمات کمی طول بکشد. در این حالت معمولاً شرکت یک اعلان ارسال می کند. گاهی اوقات رمزگشایی ممکن است چندین ماه طول بکشد.
سایر خدمات
سرویس های بیشتری با عملکردهای مشابه وجود دارد که نشان دهنده تقاضا برای خدمات رمزگشایی است. الگوریتم اقدامات یکسان است: به سایت بروید (به عنوان مثال https://decryptolocker.com/)، ثبت نام کنید و فایل رمزگذاری شده را ارسال کنید.
برنامه های رمزگشا
تعداد زیادی "رمزگشاهای جهانی" (البته پولی) در شبکه وجود دارد، اما مفید بودن آنها مشکوک است. البته اگر خود تولیدکنندگان ویروس رمزگشا بنویسند با موفقیت کار می کند اما همین برنامه برای یک برنامه مخرب دیگر بی فایده خواهد بود. علاوه بر این، متخصصانی که مرتباً با ویروسها مواجه میشوند معمولاً یک بسته کامل از ابزارهای ضروری دارند، بنابراین همه برنامههای کاری را با احتمال بالا در اختیار دارند. خرید چنین رمزگشایی احتمالاً هدر دادن پول است.
نحوه رمزگشایی فایل ها با استفاده از آزمایشگاه کسپرسکی - ویدئو
بازیابی اطلاعات سلف سرویس
اگر به دلایلی تماس با متخصصان شخص ثالث غیرممکن است، می توانید سعی کنید اطلاعات را به تنهایی بازیابی کنید. بیایید رزرو کنیم که در صورت خرابی، ممکن است فایل ها برای همیشه از بین بروند.
بازیابی فایل های پاک شده
پس از رمزگذاری، ویروس فایل های اصلی را حذف می کند. با این حال، ویندوز 7 تمام اطلاعات حذف شده را در قالب یک کپی به اصطلاح سایه ای برای مدتی ذخیره می کند.
ShadowExplorer
ShadowExplorer ابزاری است که برای بازیابی فایل ها از کپی های سایه آنها طراحی شده است.
PhotoRec
ابزار رایگان PhotoRec به همین روش کار می کند، اما در حالت دسته ای.
برای ذخیره سازی، بهتر است از یک رسانه خارجی مانند یک USB استفاده کنید، زیرا هر نوشتن روی دیسک با پاک کردن کپی های سایه خطرناک است.
حذف ویروس
از آنجایی که ویروس وارد رایانه شد، برنامه های امنیتی نصب شده با وظایف خود مقابله نکردند. می توانید کمک شخص ثالث را امتحان کنید.
مهم! حذف ویروس کامپیوتر را درمان می کند، اما فایل های رمزگذاری شده را بازیابی نمی کند. علاوه بر این، نصب نرمافزار جدید میتواند به برخی از کپیهای سایهای از فایلهایی که برای بازیابی آنها نیاز است آسیب بزند یا پاک کند. بنابراین بهتر است اپلیکیشن ها را روی درایوهای دیگر نصب کنید.
ابزار حذف ویروس کسپرسکی
برنامه رایگان یک توسعه دهنده معروف نرم افزار ضد ویروس که از وب سایت آزمایشگاه کسپرسکی قابل دانلود است. پس از راه اندازی Kaspersky Virus Removal Tool، بلافاصله از شما می خواهد که اسکن را شروع کنید.
پس از فشار دادن دکمه بزرگ روی صفحه "Start Scan"، برنامه شروع به اسکن کامپیوتر شما می کند.
باقی مانده است که تا پایان اسکن صبر کنید و مهمانان ناخوانده پیدا شده را حذف کنید.
ضد بدافزار Malwarebytes
یکی دیگر از توسعه دهندگان نرم افزار آنتی ویروس، نسخه رایگان اسکنر را ارائه می دهد. الگوریتم اقدامات یکسان است:
برای حذف صحیح برخی از برنامه های مخرب، Malwarebytes Anti-Malware پیشنهاد راه اندازی مجدد سیستم را می دهد، شما باید با این موافق باشید. پس از از سرگیری ویندوز، آنتی ویروس به پاکسازی ادامه خواهد داد.
چه کاری را نباید انجام داد
ویروس XTBL مانند سایر ویروس های باج افزار هم به سیستم و هم به اطلاعات کاربر آسیب می زند. بنابراین، برای کاهش آسیب احتمالی، برخی از اقدامات احتیاطی باید انجام شود:
- منتظر پایان رمزگذاری نباشید. اگر رمزگذاری فایل در مقابل چشمان شما آغاز شده است، منتظر نمانید تا همه چیز تمام شود، یا سعی کنید با نرم افزار فرآیند را قطع کنید. بلافاصله کامپیوتر را از برق جدا کرده و با یک تکنسین خدمات تماس بگیرید.
- اگر می توانید به افراد حرفه ای اعتماد کنید، سعی نکنید خودتان ویروس را حذف کنید.
- تا پایان درمان، سیستم را دوباره نصب نکنید. این ویروس با خیال راحت سیستم جدید را نیز آلوده خواهد کرد.
- نام فایل های رمزگذاری شده را تغییر ندهید. این فقط کار رمزگشا را پیچیده می کند.
- تا زمانی که ویروس پاک نشده است سعی نکنید فایل های آلوده را در رایانه دیگری بخوانید. این می تواند عفونت را گسترش دهد.
- به زورگیران پول ندهید بی فایده است و سازندگان ویروس و کلاهبرداران را تشویق می کند.
- پیشگیری را فراموش نکنید. نصب آنتی ویروس، پشتیبان گیری منظم و ایجاد نقاط بازیابی به میزان قابل توجهی آسیب احتمالی بدافزار را کاهش می دهد.
درمان رایانه آلوده به ویروس باج افزار یک روش طولانی است و همیشه موفقیت آمیز نیست. بنابراین، رعایت اقدامات احتیاطی هنگام به دست آوردن اطلاعات از شبکه و کار با رسانه های خارجی تایید نشده بسیار مهم است.
روز همگی دوستان عزیز و خوانندگان وبلاگم بخیر. امروز موضوع بسیار غم انگیز خواهد بود، زیرا ویروس ها را لمس می کند. من در مورد موردی که چندی پیش در محل کارم اتفاق افتاد به شما خواهم گفت. یکی از کارمندان با صدایی آشفته در بخش به من زنگ زد: "دیما، ویروس فایل ها را روی رایانه رمزگذاری کرده است: اکنون چه باید کرد؟". بعد متوجه شدم که کیس بوی سرخ شده می دهد، اما در نهایت به دیدن او رفتم.
آره. همه چیز غم انگیز بود. بیشتر فایلهای روی رایانه آلوده یا رمزگذاری شده بودند: اسناد آفیس، فایلهای PDF، پایگاههای داده 1C و بسیاری دیگر. به طور کلی، الاغ کامل است. احتمالاً فقط آرشیوها، برنامه ها و اسناد متنی تحت تأثیر قرار نگرفته اند (خوب، و خیلی بیشتر). همه این داده ها پسوند خود را تغییر داده اند و همچنین نام خود را به چیزی مانند sjd7gy2HjdlVnsjds تغییر داده اند.
همچنین چندین سند یکسان README.txt روی دسکتاپ و پوشه ها ظاهر شد که صادقانه می گویند رایانه شما آلوده است و برای اینکه اقدامی نکنید، چیزی را حذف نکنید، آن را با نرم افزار آنتی ویروس چک نکنید، در غیر این صورت فایل ها برگردانده نمی شوند
این فایل همچنین می گوید که این افراد خوب می توانند همه چیز را همانطور که بوده بازیابی کنند. برای انجام این کار، آنها باید کلید را از سند به پست خود ارسال کنند و پس از آن دستورالعمل های لازم را دریافت خواهید کرد. آنها قیمت را نمی نویسند، اما در واقع معلوم می شود که هزینه بازگشت بازگشت چیزی حدود 20000 روبل است.
آیا داده های شما ارزش پول را دارد؟ آیا حاضرید برای از بین بردن باج افزار پول پرداخت کنید؟ شک دارم. آنچه پس از آن است که باید انجام شود؟ بیایید بعداً در مورد آن صحبت کنیم. در ضمن، بیایید همه چیز را به ترتیب شروع کنیم.
از کجا آمده است
این ویروس زشت باج افزار از کجا می آید؟ اینجا همه چیز خیلی ساده است. مردم آن را از طریق ایمیل دریافت می کنند. به عنوان یک قاعده، این ویروس به سازمان ها، صندوق های پستی شرکت ها نفوذ می کند، اگرچه نه تنها. در ظاهر، شما آن را برای کاکو نمی گیرید، زیرا به شکل هرزنامه نیست، بلکه از یک سازمان جدی واقعا موجود است، به عنوان مثال، ما نامه ای از ارائه دهنده Rostelecom از پست رسمی آنها دریافت کردیم.
نامه کاملا معمولی بود مثل «طرح تعرفه های جدید برای اشخاص حقوقی». داخل یک فایل PDF است. و وقتی آن فایل را باز می کنید، جعبه پاندورا را باز می کنید. تمام فایل های مهم رمزگذاری شده و در کلمات ساده به "آجر" تبدیل می شوند. و آنتی ویروس ها فوراً این مزخرفات را نمی گیرند.
چه کردم و چه کار نکردم
طبیعتاً با ما ، هیچ کس نمی خواست برای این کار 20 هزار بپردازد ، زیرا اطلاعات آنقدر هزینه نداشت و علاوه بر این ، تماس با کلاهبرداران اصلاً گزینه ای نبود. و علاوه بر این، این یک واقعیت نیست که برای این مقدار همه چیز از حالت انسداد خارج می شود.
من از طریق ابزار drweb cureit رفتم و یک ویروس پیدا کرد، اما حس کمی از آن وجود داشت، زیرا حتی پس از ویروس، فایل ها رمزگذاری شده باقی می ماندند. از بین بردن ویروس آسان بود، اما مقابله با عواقب آن بسیار دشوارتر است. من به انجمن های دکتر وب و کسپرسکی رفتم و در آنجا موضوع مورد نیاز خود را پیدا کردم و همچنین فهمیدم که نه آنجا و نه آنجا نمی توانند به رمزگشایی کمک کنند. همه چیز به شدت رمزگذاری شده بود.
از سوی دیگر، موتورهای جستجو با نتایجی ظاهر شدند که برخی از شرکت ها فایل ها را به صورت پولی رمزگشایی می کنند. خوب، برای من جالب بود، به خصوص که معلوم شد شرکت واقعی است، واقعاً موجود است. آنها در وب سایت خود پیشنهاد کردند که پنج قطعه را به صورت رایگان رمزگشایی کنند تا توانایی های خود را نشان دهند. خب من 5 تا از مهمترین فایل ها رو از نظر خودم گرفتم و فرستادم.
بعد از مدتی به من پاسخ دادند که همه چیز را رمزگشایی کرده اند و برای رمزگشایی کامل 22 هزار از من می گیرند. و نمی خواستند پرونده ها را به من بدهند. بنابراین من بلافاصله فرض کردم که آنها به احتمال زیاد با کلاهبرداران کار می کنند. خوب، البته آنها به جهنم فرستاده شدند.
- با استفاده از برنامه های "Recuva" و "RStudio"
- توسط ابزارهای مختلف اجرا می شود
- خوب، برای آرام شدن، نمیتوانستم تلاش نکنم (اگرچه به خوبی میدانستم که این کمکی نمیکند) به سادگی از سمت راست پیش پا افتاده است. البته براد)
هیچ کدام از اینها برای من کار نکرد. اما من هنوز راهی برای خروج پیدا کردم. \ R \ n \ r \ nالبته، اگر به طور ناگهانی با چنین موقعیتی مواجه شدید، پس ببینید فایل ها با چه پسوندی رمزگذاری شده اند. پس از آن به http://support.kaspersky.com/viruses/disinfection/10556و ببینید کدام افزونه ها لیست شده اند. اگر برنامه افزودنی شما در لیست است، از این ابزار استفاده کنید.
اما در هر 3 موردی که با این باج افزار دیدم، هیچ کدام از این ابزارها کمکی نکردند. به طور خاص، من با یک ویروس ملاقات کردم "کد داوینچی"و "طاق"... در حالت اول، هم نام و هم پسوند تغییر کرده و در حالت دوم فقط پسوند. به طور کلی، یک دسته کامل از این باج افزارها وجود دارد. من حرامزاده هایی مانند xtbl را می شنوم، دیگر باج نمی گیریم، بهتر است با ساول تماس بگیرید و بسیاری دیگر.
چه کمکی کرد
آیا تا به حال در مورد کپی های سایه شنیده اید؟ بنابراین، هنگامی که یک نقطه بازیابی ایجاد می شود، کپی های سایه ای از فایل های شما به طور خودکار ایجاد می شوند. و اگر برای فایل های شما اتفاقی افتاد، همیشه می توانید آنها را به لحظه ای که نقطه بازیابی ایجاد شده است برگردانید. یک برنامه عالی برای بازیابی فایل ها از کپی های سایه به ما در این امر کمک می کند.
برای شروع دانلودو برنامه "Shadow Explorer" را نصب کنید. اگر آخرین نسخه شما را با مشکل مواجه کرد (این اتفاق می افتد)، نسخه قبلی را نصب کنید.
به Shadow Explorer بروید. همانطور که می بینیم، قسمت اصلی برنامه شبیه به اکسپلورر است، یعنی. فایل ها و پوشه ها حالا به گوشه بالا سمت چپ توجه کنید. در آنجا نامه و تاریخ درایو محلی را می بینیم. این تاریخ به این معنی است که تمام فایل های ارائه شده در درایو C در آن زمان به روز هستند. من آن را در 30 نوامبر دارم. این بدان معناست که آخرین نقطه بازیابی در 30 نوامبر ایجاد شده است.
اگر روی لیست کشویی تاریخ ها کلیک کنیم، خواهیم دید که هنوز برای کدام اعداد کپی سایه داریم. و اگر روی لیست کشویی درایوهای محلی کلیک کنید و مثلاً درایو D را انتخاب کنید، تاریخی را می بینیم که در آن فایل های واقعی داریم. اما برای رانندگی دینقاط به طور خودکار ایجاد نمی شوند، بنابراین این مورد باید در تنظیمات ثبت شود. آی تی بسیار آسان برای انجام.
همانطور که می بینید، اگر برای دیسک سیمن یک تاریخ نسبتاً جدید دارم، سپس برای دیسک دیآخرین نقطه تقریبا یک سال پیش ایجاد شد. خوب، سپس ما این کار را نقطه به نقطه انجام می دهیم:
همه چيز. اکنون تنها چیزی که باقی می ماند این است که صبر کنیم تا صادرات کامل شود. و سپس به همان پوشه ای که انتخاب کرده اید می رویم و همه فایل ها را از نظر باز بودن و عملکرد بررسی می کنیم. همه چیز عالیه).
میدانم که اینترنت روشها، ابزارهای کاربردی و غیره متفاوت دیگری را ارائه میکند، اما در مورد آنها نمینویسم، زیرا قبلاً برای سومین بار با این مشکل مواجه شدهام و هیچوقت یک بار، چیزی جز کپیهای سایهای به من کمک نکرد. اگرچه شاید من خیلی خوش شانس نیستم).
اما متأسفانه آخرین بار موفق شدیم فقط آن دسته از فایل هایی را که در درایو C بودند بازیابی کنیم، زیرا به طور پیش فرض نقاط فقط برای درایو C ایجاد شده بودند. بر این اساس، هیچ کپی سایه ای برای درایو D وجود نداشت. البته، شما همچنین باید به خاطر داشته باشید که چه نقاط بازیابی می تواند منجر به آن شود، بنابراین مراقب آن نیز باشید.
و برای اینکه کپی های سایه ای برای هارد دیسک های دیگر ایجاد شوند، شما نیز به آنها نیاز دارید.
پیشگیری
برای جلوگیری از مشکلات بهبودی، باید پروفیلاکسی انجام دهید. برای این کار باید قوانین زیر را رعایت کنید.
به هر حال، یک بار این ویروس فایل ها را روی یک درایو فلش USB رمزگذاری کرد، جایی که گواهی های کلیدی ما برای امضای دیجیتال ذخیره می شد. بنابراین در مورد درایوهای فلش نیز بسیار مراقب باشید.
با احترام، دیمیتری کوستین.
طیف گسترده ای از برنامه های مخرب وجود دارد. در میان آنها، ویروسهای باجافزاری بسیار بدی وجود دارند که وقتی روی رایانه قرار میگیرند، شروع به رمزگذاری فایلهای کاربر میکنند. در برخی موارد، شانس خوبی برای رمزگشایی فایل های شما وجود دارد، اما گاهی اوقات کار نمی کند. ما تمام اقدامات لازم را چه برای مورد اول و چه برای مورد دوم در مواردی که مورد نیاز است در نظر خواهیم گرفت.
این ویروس ها ممکن است کمی متفاوت باشند، اما به طور کلی، عملکرد آنها همیشه یکسان است:
- نصب بر روی کامپیوتر؛
- رمزگذاری تمام فایل هایی که ممکن است دارای هر ارزشی باشند (اسناد، عکس).
- هنگام تلاش برای باز کردن این فایلها، از کاربر بخواهید که مبلغ مشخصی را به کیف پول یا حساب مهاجم واریز کند، در غیر این صورت دسترسی به محتوا هرگز باز نخواهد شد.
فایل های رمزگذاری شده با ویروس در xtbl
در حال حاضر، یک ویروس به اندازه ای گسترده شده است که می تواند فایل ها را رمزگذاری کند و پسوند آنها را به xtbl. تغییر دهد و همچنین نام آنها را با کاراکترهای کاملا تصادفی جایگزین کند.
علاوه بر این، یک فایل ویژه با دستورالعمل در یک مکان مشخص ایجاد می شود. readme.txt... در آن، مهاجم کاربر را با این واقعیت مواجه میکند که تمام دادههای مهم او رمزگذاری شدهاند و اکنون باز کردن آنها چندان آسان نیست و این را با این واقعیت تکمیل میکند که برای بازگرداندن همه چیز به حالت قبلی، لازم است انجام برخی اقدامات مربوط به انتقال پول به کلاهبردار (معمولاً قبل از آن، باید کد خاصی را به یکی از آدرس های ایمیل پیشنهادی ارسال کنید). اغلب چنین پیامهایی با یک پست اسکریپت تکمیل میشوند که وقتی سعی میکنید همه فایلهایتان را خودتان رمزگشایی کنید، خطر از دست دادن آنها را برای همیشه دارید.
متأسفانه در حال حاضر رسماً هیچکس نتوانسته است .xtbl را رمزگشایی کند، اگر راه کاری ظاهر شود، قطعاً در مقاله در مورد آن اطلاع رسانی خواهیم کرد. در میان کاربران کسانی هستند که تجربه مشابهی با این ویروس داشته اند و مبلغ مورد نیاز را به کلاهبرداران پرداخته و در ازای آن رمزگشایی اسناد خود را دریافت کرده اند. اما این یک گام بسیار پرخطر است، زیرا در میان مجرمان سایبری کسانی نیز وجود دارند که بهخصوص با رمزگشایی وعده داده شده زحمت نمیکشند، در نهایت این پول به پایان خواهد رسید.
میپرسی پس چیکار میکنی؟ ما نکاتی را ارائه می دهیم که به شما کمک می کند تمام داده های خود را بازگردانید و در عین حال توسط کلاهبرداران هدایت نخواهید شد و پول خود را به آنها نمی دهید. و بنابراین آنچه باید انجام شود:
- اگر می دانید چگونه در Task Manager کار کنید، بلافاصله رمزگذاری فایل را قطع کنید و روند مشکوک را متوقف کنید. در همان زمان، رایانه خود را از اینترنت جدا کنید - بسیاری از باج افزارها به اتصال شبکه نیاز دارند.
- یک تکه کاغذ بردارید و روی آن کدی را که برای مجرمان سایبری از طریق پست ارسال می شود بنویسید (تکه کاغذ زیرا ممکن است فایلی که روی آن می نویسید نیز برای خواندن غیر قابل دسترس شود).
- از Malwarebytes Antimalware، نسخه آزمایشی Kaspersky IS یا CureIt Antivirus برای حذف بدافزار استفاده کنید. برای اطمینان بیشتر، بهتر است به طور مداوم از تمام ابزارهای پیشنهادی استفاده کنید. اگر چه اگر سیستم از قبل یک آنتی ویروس اصلی داشته باشد، آنتی ویروس کسپرسکی قابل نصب نیست، در غیر این صورت ممکن است تداخل نرم افزاری ایجاد شود. همه ابزارهای دیگر در هر شرایطی قابل استفاده هستند.
- صبر کنید تا یکی از شرکت های آنتی ویروس رمزگشای کارآمدی برای چنین فایل هایی ایجاد کند. کارآمدترین راه برای انجام این کار آزمایشگاه کسپرسکی است.
- علاوه بر این، می توانید ارسال کنید [ایمیل محافظت شده]یک کپی از فایل که با کد مورد نیاز رمزگذاری شده است و در صورت وجود، همان فایل به شکل اصلی آن. ممکن است که این می تواند توسعه روشی برای رمزگشایی فایل ها را سرعت بخشد.
تحت هیچ شرایطی انجام ندهید:
- تغییر نام این اسناد؛
- تغییر گسترش آنها؛
- حذف فایل ها
این تروجان ها همچنین فایل های کاربران را رمزگذاری کرده و سپس از آنها اخاذی می کنند. در عین حال، فایل های رمزگذاری شده می توانند پسوندهای زیر را داشته باشند:
- .قفل شده
- .crypto
- .kraken
- .AES256 (الزاماً این تروجان نیست، سایرین هستند که همین پسوند را نصب می کنند).
- [ایمیل محافظت شده] _com
- .oshit
- دیگر.
خوشبختانه، یک ابزار رمزگشایی اختصاصی قبلاً ایجاد شده است - RakhniDecryptor... می توانید آن را از وب سایت رسمی دانلود کنید.
در همان سایت، میتوانید دستورالعملهایی را بخوانید که نحوه استفاده از ابزار برای رمزگشایی تمام فایلهایی که تروجان روی آنها کار کرده است را با جزئیات و به وضوح نشان میدهد. در اصل، برای قابلیت اطمینان بیشتر، ارزش حذف مورد برای حذف فایل های رمزگذاری شده را دارد. اما به احتمال زیاد، توسعه دهندگان تمام تلاش خود را برای ایجاد این ابزار انجام دادند و هیچ چیز یکپارچگی داده ها را تهدید نمی کند.
کسانی که از آنتی ویروس Dr.Web دارای مجوز استفاده می کنند، دسترسی رایگان به رمزگشایی از توسعه دهندگان http://support.drweb.com/new/free_unlocker/ دارند.
انواع دیگر ویروس های باج افزار
گاهی اوقات میتوانید با ویروسهای دیگری برخورد کنید که فایلهای مهم را رمزگذاری میکنند و برای بازگرداندن همه چیز به شکل اصلی خود، پولی را طلب میکنند. ما یک لیست کوچک با ابزارهای کاربردی برای مقابله با عواقب رایج ترین ویروس ها ارائه می دهیم. در آنجا همچنین می توانید با علائم اصلی که توسط آنها می توانید یک برنامه تروجان خاص را تشخیص دهید آشنا شوید.
علاوه بر این، یک راه خوب این است که رایانه شخصی خود را با آنتی ویروس کسپرسکی اسکن کنید، که مهمان ناخوانده را شناسایی کرده و نامی برای آن تعیین می کند. با این نام، می توانید از قبل یک رمزگشا برای آن جستجو کنید.
- Trojan-Ransom.Win32.Rector- یک درهمساز باجافزار معمولی که از شما میخواهد پیامک ارسال کنید یا اقدامات دیگری از این دست انجام دهید، رمزگشا را از این پیوند میگیریم.
- Trojan-Ransom.Win32.Xorist- یک نسخه از تروجان قبلی، می توانید یک رمزگشا را با یک کتابچه راهنمای استفاده از آن دریافت کنید.
- Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury- همچنین یک ابزار ویژه برای این بچه ها وجود دارد، به لینک مراجعه کنید.
- Trojan.Encoder858، Trojan.Encoder.741- این بدافزارها توسط ابزار CureIt قابل شناسایی هستند. آنها نام های مشابهی دارند، اما اعداد در انتهای نام ممکن است متفاوت باشند. ما به دنبال رمزگشا با نام ویروس می گردیم یا اگر از Dr.Web دارای مجوز استفاده می کنید، می توانید از یک منبع ویژه استفاده کنید.
- CryptoLacker- برای بازگرداندن فایل های خود به این سایت مراجعه کرده و از طریق آن برنامه ای ویژه برای بازیابی اسناد خود ایجاد کنید.
اخیراً، آزمایشگاه کسپرسکی با همکاری همکارانش از هلند، رمزگشایی ایجاد کرده است که به شما امکان می دهد پس از اینکه یک ویروس روی آنها کار کرد، فایل ها را بازیابی کنید. CoinVault.
در نظرات می توانید روش های رمزگشایی فایل ها را به اشتراک بگذارید، زیرا این اطلاعات برای سایر کاربرانی که ممکن است با چنین نرم افزارهای مخربی مواجه شوند مفید خواهد بود.
مبارزه با تهدیدات ویروس جدید - باج افزار
اخیراً نوشتیم که تهدیدات جدیدی در شبکه پخش می شوند - ویروس های باج افزار یا به طور گسترده تر، ویروس ها که فایل ها را رمزگذاری می کنند، می توانید اطلاعات بیشتری در مورد آنها در وب سایت ما در این پیوند بخوانید.
در این مبحث به شما خواهیم گفت که چگونه می توانید داده های رمزگذاری شده توسط ویروس را بازیابی کنید، برای این کار از دو رمزگشا استفاده می کنیم، از آنتی ویروس "کسپرسکی" و "دکتر وب"، اینها موثرترین روش ها برای بازگرداندن اطلاعات رمزگذاری شده هستند. .
1. برنامه های کاربردی برای رمزگشایی فایل ها را از لینک های: Kaspersky و Dr.WEB دانلود کنید
یا رمزگشا برای نوع خاصی از فایل های رمزگذاری شده که قرار دارند.
2. ابتدا سعی می کنیم با استفاده از برنامه ای از Kaspersky فایل ها را رمزگشایی کنیم:
2.1. برنامه Kaspersky Decryptor را اجرا کنید، اگر از شما درخواست کند، به عنوان مثال، مجوزهای راه اندازی - آن را راه اندازی کنید، اگر درخواست به روز رسانی کرد - آن را به روز کنید، این شانس بازگرداندن داده های رمزگذاری شده را افزایش می دهد.
2.2. در پنجره ظاهر شده برنامه رمزگشایی فایل ها، چندین دکمه را مشاهده می کنیم. پارامترهای اضافی را پیکربندی کنید و شروع به بررسی کنید.
2.3. اگر لازم است پارامترهای اضافی را انتخاب کنید و مکان جستجوی فایل های رمزگذاری شده را مشخص کنید، و در صورت لزوم - پس از رمزگشایی حذف کنید، به شما توصیه نمی کنم این گزینه را انتخاب کنید، فایل ها همیشه به درستی رمزگشایی نمی شوند!
2.4. ما اسکن را شروع می کنیم و منتظر رمزگشایی اطلاعات رمزگذاری شده توسط ویروس هستیم.
3. اگر روش اول جواب نداد. ما سعی می کنیم با استفاده از برنامه ای از Dr. وب
3.1. پس از دانلود برنامه رمزگشایی، آن را به عنوان مثال در ریشه درایو "C:" قرار دهید.، بنابراین فایل "te102decrypt.exe" باید در "c: \ te102decrypt.exe" موجود باشد.
3.2. اکنون به خط فرمان بروید(شروع - جستجو - "CMD" را بدون نقل قول وارد کنید - با فشار دادن Enter اجرا شود)
3.3. برای شروع رمزگشایی فایل ها ما دستور "c: \ te102decrypt.exe -k 86 -e (کد باج افزار)" را تجویز می کنیم.... کد باج افزار پسوندی است که به انتهای فایل اضافه شده است، به عنوان مثال " [ایمیل محافظت شده] _45jhj "- بدون گیومه و پرانتز بنویسید، فاصله ها را رعایت کنید. باید چیزی شبیه c: \ te102decrypt.exe -k 86 -e دریافت کنید. [ایمیل محافظت شده] _45jhj
3.4. Enter را فشار دهید و منتظر بمانید تا فایل ها رمزگشایی شوندکه رمزگذاری شده بودند، در برخی موارد، چندین نسخه از فایل های رمزگشایی ایجاد می شود، شما سعی می کنید آنها را اجرا کنید، آن کپی از فایل رمزگشایی که به طور معمول باز می شود - ذخیره کنید، بقیه را می توان حذف کرد.
دانلود بقیه رسیورهای فایل:
توجه:حتماً یک کپی از فایل های رمزگذاری شده را در رسانه خارجی یا رایانه دیگری ذخیره کنید. رمزگشاهای ارائه شده در زیر ممکن است فایل ها را رمزگشایی نکنند، بلکه فقط آنها را خراب کنند!
بهتر است رمزگشا را روی یک ماشین مجازی یا روی یک رایانه آماده شده مخصوص اجرا کنید، زیرا قبلا چندین فایل را برای آنها دانلود کرده اید.
رمزگشاهای ارائه شده در زیر به شرح زیر عمل می کنند:به عنوان مثال، فایل های شما با رمزگذار amba رمزگذاری می شوند و فایل ها شبیه "Contract.doc.amba" یا "Account.xls.amba" هستند، سپس رمزگشا را برای فایل های amba دانلود کنید و فقط آن را اجرا کنید، همه فایل ها را با این مورد پیدا می کند. آن را گسترش داده و رمزگشایی کنید از فایل های رمزگذاری شده نسخه پشتیبان تهیه کنیددر غیر این صورت، ممکن است داده های رمزگشایی نادرست خود را برای همیشه از دست بدهید!
اگر نمی خواهید آن را به خطر بیندازید، سپس چند فایل را برای ما ارسال کنید، پس از اینکه قبلاً با استفاده از فرم بازخورد با ما تماس گرفته اید، رمزگشا را روی رایانه ای که مخصوص تهیه شده از اینترنت جدا شده است راه اندازی می کنیم.
فایل های ارائه شده توسط آخرین نسخه آنتی ویروس کسپرسکی و با آخرین به روز رسانی پایگاه داده بررسی شدند.
این واقعیت که اینترنت پر از ویروس است، امروز هیچ کس را شگفت زده نمی کند. بسیاری از کاربران موقعیتهای مربوط به تأثیر آنها بر سیستمها یا دادههای شخصی را درک میکنند، به عبارت ساده، چشم خود را میبندند، اما فقط تا زمانی که یک ویروس باجافزار به طور خاص در سیستم مستقر شود. اکثر کاربران عادی نمی دانند چگونه داده های ذخیره شده روی هارد دیسک را درمان و رمزگشایی کنند. بنابراین، این گروه به خواستههای مهاجمان «رهنمون» میشود. اما بیایید ببینیم در صورت شناسایی چنین تهدیدی یا جلوگیری از ورود آن به سیستم چه کاری می توانید انجام دهید.
ویروس باج افزار چیست؟
این نوع تهدید از الگوریتمهای رمزگذاری فایل استاندارد و غیراستاندارد استفاده میکند که محتوای آنها را کاملاً تغییر داده و دسترسی را مسدود میکند. به عنوان مثال، باز کردن یک فایل متنی رمزگذاری شده برای خواندن یا ویرایش، و همچنین پخش محتوای چندرسانه ای (گرافیک، ویدیو یا صدا) پس از قرار گرفتن در معرض ویروس کاملاً غیرممکن خواهد بود. حتی عملیات استاندارد برای کپی یا جابجایی اشیا در دسترس نیست.
پر کردن نرم افزار ویروس وسیله ای است که داده ها را به گونه ای رمزگذاری می کند که حتی پس از حذف تهدید از سیستم همیشه امکان بازیابی حالت اولیه آنها وجود ندارد. معمولاً چنین برنامههای مخربی کپیهای خود را ایجاد میکنند و بسیار عمیق در سیستم مستقر میشوند، بنابراین حذف ویروس رمزگذاری فایل گاهی اوقات کاملاً غیرممکن است. با حذف برنامه اصلی یا حذف بدنه اصلی ویروس، کاربر از تأثیر تهدید خلاص نمی شود، چه رسد به اینکه اطلاعات رمزگذاری شده را بازیابی کند.
تهدید چگونه وارد سیستم می شود؟
به عنوان یک قاعده، تهدیدهایی از این نوع بیشتر ساختارهای تجاری بزرگ را هدف قرار می دهند و می توانند از طریق برنامه های پستی به رایانه ها نفوذ کنند، زمانی که یک کارمند یک سند پیوست شده را در یک ایمیل باز می کند، که مثلاً افزوده ای به نوعی توافق نامه همکاری است یا طرح تامین کالا (پیشنهادات تجاری با سرمایه گذاری از منابع مشکوک اولین مسیر برای شیوع ویروس است).
مشکل اینجاست که یک ویروس باجافزار روی ماشینی که به شبکه محلی دسترسی دارد، میتواند در آن نیز تطبیق پیدا کند و در صورت عدم حفاظت لازم، نسخههای خود را نه تنها در یک محیط شبکه، بلکه در ترمینال مدیر نیز ایجاد کند. به صورت نرم افزار آنتی ویروس فایروال یا فایروال.
گاهی اوقات چنین تهدیداتی می تواند به سیستم های رایانه ای کاربران عادی نیز نفوذ کند که به طور کلی مورد توجه مجرمان سایبری نیست. این در زمان نصب برخی از برنامه های دانلود شده از منابع اینترنتی مشکوک اتفاق می افتد. بسیاری از کاربران هنگام شروع دانلود، هشدارهای سیستم حفاظت ضد ویروس را نادیده می گیرند و در حین نصب به پیشنهادات نصب نرم افزار، پنل یا پلاگین اضافی برای مرورگرها توجهی نمی کنند و سپس به عنوان آنها بگو، آرنج آنها را گاز بگیر.
انواع ویروس ها و کمی تاریخچه
اساساً، تهدیدات از این نوع، به ویژه خطرناک ترین ویروس باج افزار No_more_ransom، نه تنها به عنوان ابزارهایی برای رمزگذاری داده ها یا مسدود کردن دسترسی به آن طبقه بندی می شوند. در واقع، تمام این برنامه های مخرب به عنوان باج افزار طبقه بندی می شوند. به عبارت دیگر، مجرمان سایبری مبلغ مشخصی را برای رمزگشایی اطلاعات طلب می کنند و معتقدند که انجام این فرآیند بدون برنامه اولیه غیرممکن خواهد بود. تا حدودی اینطور است.
اما اگر به تاریخ بگردید، متوجه خواهید شد که یکی از اولین ویروسهای این نوع، اگرچه نیازی به پول نداشت، اپلت بدنام I Love You بود که فایلهای چندرسانهای (عمدتاً آهنگهای موسیقی) را به طور کامل در سیستمهای کاربری رمزگذاری میکرد. . رمزگشایی فایلها پس از ویروس باجافزار در آن زمان غیرممکن بود. اکنون این تهدید است که می توان به صورت ابتدایی با آن مقابله کرد.
اما توسعه خود ویروس ها یا الگوریتم های رمزگذاری مورد استفاده ثابت نمی ماند. آنچه در بین ویروس ها وجود ندارد - در اینجا شما XTBL، و CBF، و Breaking_Bad، و [ایمیل محافظت شده]، و یک سری چیزهای زشت دیگر.
تکنیکی برای تأثیرگذاری بر فایل های کاربر
و اگر تا همین اواخر اکثر حملات با استفاده از الگوریتمهای RSA-1024 مبتنی بر رمزگذاری AES با همان بیت انجام میشدند، همان ویروس باجافزار No_more_ransom امروزه با چندین تفسیر و با استفاده از کلیدهای رمزگذاری مبتنی بر فناوریهای RSA-2048 و حتی RSA-3072 ارائه میشود.
مشکلات رمزگشایی برای الگوریتم های مورد استفاده
مشکل اینجاست که سیستم های رمزگشایی مدرن در برابر چنین خطری ناتوان هستند. رمزگشایی فایلها پس از ویروس باجافزار مبتنی بر AES256 هنوز تا حدودی پشتیبانی میشود و با نرخ بیت بالاتر، تقریباً همه توسعهدهندگان فقط شانههای خود را بالا میکنند. این، به هر حال، به طور رسمی توسط متخصصان آزمایشگاه کسپرسکی و Eset تایید شده است.
در ابتدایی ترین نسخه، از کاربری که با خدمات پشتیبانی تماس گرفته است، خواسته می شود که یک فایل رمزگذاری شده و اصلی آن را برای مقایسه و عملیات بعدی برای تعیین الگوریتم رمزگذاری و روش های بازیابی ارسال کند. اما، به عنوان یک قاعده، در بیشتر موارد این کار نمی کند. اما ویروس باجافزار میتواند به تنهایی فایلها را رمزگشایی کند، به شرطی که قربانی با شرایط مهاجمان موافقت کند و مبلغ مشخصی را به صورت پولی بپردازد. با این حال، چنین صورت بندی سؤال، تردیدهای موجهی را ایجاد می کند. و به همین دلیل.
ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟
پس از پرداخت، گفته می شود که هکرها رمزگشایی را از طریق دسترسی از راه دور به ویروس خود که روی سیستم قرار دارد، یا اگر بدنه ویروس حذف شده باشد، از طریق یک اپلت اضافی فعال می کنند. بیش از حد مشکوک به نظر می رسد.
همچنین می خواهم به این واقعیت توجه کنم که اینترنت پر از پست های جعلی است که بیان می کنند، آنها می گویند، مبلغ مورد نیاز پرداخت شده است و داده ها با موفقیت بازیابی شده اند. اینا همش دروغه! و واقعا - کجا تضمینی وجود دارد که پس از پرداخت، ویروس رمزگذاری در سیستم دوباره فعال نشود؟ درک روانشناسی سارقان دشوار نیست: اگر یک بار پرداخت کنید، دوباره پرداخت می کنید. و اگر در مورد اطلاعات مهمی مانند پیشرفتهای خاص تجاری، علمی یا نظامی صحبت میکنیم، صاحبان چنین اطلاعاتی آمادهاند تا به اندازهای که لازم است پرداخت کنند تا فایلها دست نخورده و سالم بمانند.
اولین راه حل برای از بین بردن تهدید
این ماهیت یک ویروس باج افزار است. چگونه فایل ها را پس از قرار گرفتن در معرض تهدید ضد عفونی و رمزگشایی کنیم؟ بله، به هیچ وجه، اگر ابزاری در دسترس نباشد، که همچنین همیشه کمک نمی کند. اما شما می توانید امتحان کنید.
بیایید فرض کنیم که یک ویروس باج افزار در سیستم ظاهر شده است. چگونه فایل های آلوده را ضد عفونی کنم؟ ابتدا باید یک اسکن عمیق سیستم را بدون استفاده از فناوری S.M.A.R.T انجام دهید، که تهدیدات را تنها زمانی شناسایی می کند که بخش های بوت و فایل های سیستم آسیب دیده باشند.
توصیه می شود از اسکنر استاندارد موجود که قبلاً تهدید را از دست داده است استفاده نکنید، بلکه از ابزارهای قابل حمل استفاده کنید. بهترین گزینه بوت کردن از دیسک نجات کسپرسکی است که می تواند حتی قبل از شروع به کار سیستم عامل شروع به کار کند.
اما این تنها نیمی از نبرد است، زیرا از این طریق فقط می توانید از شر خود ویروس خلاص شوید. اما با رمزگشا دشوارتر خواهد بود. اما در ادامه بیشتر در مورد آن.
دسته دیگری نیز وجود دارد که ویروس های باج افزار در آن قرار می گیرند. نحوه رمزگشایی اطلاعات به طور جداگانه گفته می شود، اما در حال حاضر اجازه دهید به این واقعیت بپردازیم که آنها می توانند به طور کاملاً آشکار در قالب برنامه ها و برنامه های کاربردی نصب شده رسمی در سیستم وجود داشته باشند (وقاحت مهاجمان هیچ حد و مرزی نمی شناسد، زیرا تهدید وجود دارد. حتی سعی نکنید خود را پنهان کنید).
در این صورت باید از قسمت برنامه ها و کامپوننت ها استفاده کنید که در آن حذف نصب استاندارد انجام می شود. با این حال، باید به این نکته نیز توجه داشته باشید که حذف کننده استاندارد ویندوز همه فایل های برنامه را به طور کامل حذف نمی کند. به ویژه، ویروس باجافزار باجافزار میتواند پوشههای خود را در دایرکتوریهای ریشه سیستم ایجاد کند (معمولاً این دایرکتوریهای Csrss هستند که فایل اجرایی csrss.exe با همین نام وجود دارد). دایرکتوری های Windows، System32 یا کاربر (کاربران در درایو سیستم) به عنوان مکان اصلی انتخاب می شوند.
علاوه بر این، ویروس باجافزار No_more_ransom کلیدهای خود را در رجیستری در قالب پیوندی ظاهراً به سرویس سیستم رسمی Client Server Runtime Subsystem مینویسد، که برای بسیاری گمراهکننده است، زیرا این سرویس باید مسئول تعامل بین نرمافزار مشتری و سرور باشد. . خود کلید در پوشه Run قرار دارد که از طریق شاخه HKLM قابل دسترسی است. واضح است که باید به صورت دستی چنین کلیدهایی را حذف کنید.
برای آسانتر کردن کار، میتوانید از ابزارهایی مانند iObit Uninstaller استفاده کنید که بهطور خودکار فایلهای باقیمانده و کلیدهای رجیستری را جستجو میکنند (اما فقط در صورتی که ویروس به عنوان یک برنامه نصبشده در سیستم قابل مشاهده باشد). اما این ساده ترین کار است.
راه حل های ارائه شده توسط توسعه دهندگان نرم افزار ضد ویروس
اعتقاد بر این است که رمزگشایی ویروس باجافزار را میتوان با استفاده از ابزارهای ویژه انجام داد، اگرچه اگر فناوریهایی با کلید 2048 یا 3072 بیتی دارید، نباید به آنها اعتماد کنید (بعلاوه، بسیاری از آنها پس از رمزگشایی فایلها را حذف میکنند و سپس فایل های بازیابی شده به دلیل وجود یک بدنه ویروسی که قبلاً حذف نشده است ناپدید می شوند.
با این وجود، می توانید تلاش کنید. از بین همه برنامه ها، RectorDecryptor و ShadowExplorer ارزش برجسته کردن را دارند. اعتقاد بر این است که تا کنون هیچ چیز بهتری ایجاد نشده است. اما مشکل ممکن است این باشد که وقتی میخواهید از رمزگشا استفاده کنید، هیچ تضمینی وجود ندارد که فایلهایی که ضدعفونی میشوند حذف نشوند. یعنی اگر در ابتدا از شر ویروس خلاص نشوید، هرگونه تلاش برای رمزگشایی محکوم به شکست خواهد بود.
علاوه بر حذف اطلاعات رمزگذاری شده، می تواند کشنده نیز باشد - کل سیستم غیرفعال خواهد بود. علاوه بر این، یک ویروس باجافزار مدرن نه تنها میتواند بر دادههای ذخیرهشده در هارد دیسک رایانه، بلکه بر فایلهای ذخیرهسازی ابری نیز تأثیر بگذارد. و در اینجا هیچ راه حلی برای بازیابی اطلاعات وجود ندارد. علاوه بر این، همانطور که مشخص شد، بسیاری از سرویس ها اقدامات حفاظتی به اندازه کافی موثر انجام نمی دهند (همان OneDrive داخلی در ویندوز 10، که مستقیماً از سیستم عامل در معرض دید قرار می گیرد).
یک راه حل ریشه ای برای مشکل
همانطور که قبلاً مشخص است ، اکثر روش های مدرن هنگام آلوده شدن به چنین ویروس هایی نتیجه مثبتی نمی دهند. البته در صورت وجود اصل فایل آسیب دیده می توان آن را برای بررسی به آزمایشگاه آنتی ویروس فرستاد. درست است، همچنین تردیدهای بسیار جدی وجود دارد که یک کاربر معمولی نسخه های پشتیبان از داده هایی ایجاد کند که وقتی روی هارد دیسک ذخیره می شوند، می توانند در معرض کدهای مخرب نیز قرار گیرند. و این واقعیت است که برای جلوگیری از مشکل، کاربران اطلاعات را در رسانه های قابل جابجایی کپی می کنند، ما اصلاً صحبت نمی کنیم.
بنابراین، برای یک راه حل اساسی برای مشکل، نتیجه گیری خود را نشان می دهد: قالب بندی کامل هارد دیسک و تمام پارتیشن های منطقی با حذف اطلاعات. پس چه باید کرد؟ اگر نمیخواهید ویروس یا نسخه ذخیرهشده آن دوباره در سیستم فعال شود، باید کمک مالی کنید.
برای انجام این کار، شما نباید از ابزارهای خود سیستم های ویندوز استفاده کنید (منظورم قالب بندی پارتیشن های مجازی است، زیرا هنگام تلاش برای دسترسی به دیسک سیستم، ممنوعیت صادر می شود). بهتر است از بوت شدن از رسانه های نوری مانند LiveCD یا توزیع های نصب استفاده کنید، مانند مواردی که با استفاده از ابزار ایجاد رسانه برای ویندوز 10 ایجاد شده اند.
قبل از شروع فرمت کردن، به شرط حذف ویروس از سیستم، می توانید سعی کنید یکپارچگی اجزای سیستم را از طریق خط فرمان (sfc / scannow) بازیابی کنید، اما این امر از نظر رمزگشایی و باز کردن قفل داده ها هیچ تاثیری نخواهد داشت. بنابراین فرمت c: خواه ناخواه تنها راه حل صحیح ممکن است. این تنها راه خلاصی کامل از این نوع تهدید است. افسوس که راه دیگری نیست! حتی درمان با ابزارهای استاندارد ارائه شده توسط اکثر بسته های آنتی ویروس بی قدرت است.
به جای حرف آخر
از نظر نتیجه گیری، فقط می توان گفت که امروزه هیچ راه حل واحد و جهانی برای از بین بردن پیامدهای تأثیر چنین تهدیدهایی وجود ندارد (متاسفانه، اما یک واقعیت - این توسط اکثر توسعه دهندگان و متخصصان نرم افزار ضد ویروس تأیید شده است. در زمینه رمزنگاری).
هنوز مشخص نیست که چرا ظهور الگوریتمهای مبتنی بر رمزگذاری 1024، 2048 و 3072 بیتی توسط کسانی که مستقیماً در توسعه و پیادهسازی چنین فناوریهایی دخیل هستند، عبور کرده است؟ در واقع، امروزه الگوریتم AES256 امیدوارکننده ترین و امن ترین در نظر گرفته می شود. اطلاع! 256! این سیستم، همانطور که مشخص است، برای ویروس های مدرن مناسب نیست. پس در مورد تلاش برای رمزگشایی کلیدهای آنها چه می توانیم بگوییم؟
به هر حال، جلوگیری از وارد کردن یک تهدید به سیستم بسیار آسان است. در سادهترین حالت، شما باید تمام پیامهای دریافتی را با پیوستهای موجود در Outlook، Thunderbird و سایر سرویس گیرندههای ایمیل با آنتیویروس بلافاصله پس از دریافت اسکن کنید و به هیچ وجه پیوستها را تا پایان اسکن باز نکنید. همچنین باید هنگام نصب برخی از برنامهها، پیشنهادات نصب نرمافزار اضافی را با دقت بخوانید (معمولاً آنها با حروف کوچک نوشته میشوند یا به عنوان افزونههای استاندارد مانند بهروزرسانی Flash Player یا موارد دیگر پنهان میشوند). بهتر است اجزای رسانه را از طریق سایت های رسمی به روز کنید. این تنها راهی است که می توانید حداقل به نحوی از نفوذ چنین تهدیداتی به سیستم خود جلوگیری کنید. با توجه به اینکه ویروس هایی از این نوع فوراً در شبکه محلی پخش می شوند، عواقب آن می تواند کاملاً غیرقابل پیش بینی باشد. و برای شرکت، چنین چرخشی از رویدادها می تواند به یک فروپاشی واقعی همه تعهدات تبدیل شود.
در نهایت، مدیر سیستم نباید بیکار بنشیند. در چنین شرایطی بهتر است ابزارهای حفاظتی نرم افزاری را حذف کنید. همان فایروال (فایروال) نباید نرم افزاری باشد، بلکه باید «سخت افزاری» باشد (البته با نرم افزارهای همراهش). و ناگفته نماند که ارزش صرفه جویی در خرید بسته های آنتی ویروس را نیز ندارد. بهتر است یک بسته دارای مجوز خریداری کنید و برنامه های ابتدایی را نصب نکنید که ظاهراً فقط از گفته های توسعه دهنده محافظت بلادرنگ را ارائه می دهند.
و اگر تهدیدی قبلاً وارد سیستم شده باشد، دنباله اقدامات باید شامل حذف خود بدنه ویروس باشد و تنها پس از آن تلاش می کند تا داده های آسیب دیده را رمزگشایی کند. در حالت ایده آل - قالب بندی کامل (توجه داشته باشید، نه سریع با پاک کردن فهرست مطالب، بلکه قالب بندی کامل، ترجیحاً با بازیابی یا جایگزینی سیستم فایل موجود، بخش های بوت و سوابق).