بازگردانی فایل رمزگذاری شده

خدمات و ابزارهای بسیاری برای بازگردانی فایل رمزگذاری شده ارائه شده است، که با توجه به نوع باج افزار یا Ransomware و اطلاعات رمزنگاری شده، می‌توان از آن‌ها بهره برد. اگر متوجه باج افزار شدید، بهتر است هیچ‌گونه اقدامی برای بازیابی فایل‌های قفل ‌شده انجام ندهید زیرا تضمینی برای آنکه قفل فایل‌های شما را باز کرده و کلید خصوصی آن را در فقط اختیار شما قرار دهند، وجود ندارد.
از آنجایی که باج افزارها انواع مختلفی دارند، بازگردانی فایل‌ رمزگذاری شده در همه آن‌ها امکان‌پذیر نیست. در این شرایط می‌توانید برای بازیابی فایل های قفل شده توسط باج افزار، از کارشناسان امنیتی شرکت راسپینا نت پارس کمک بگیرید.
 

بازگردانی فایل رمزگذاری شده چیست؟

بازگردانی فایل رمزگذاری شده به فرایندی اطلاق می‌شود که در آن فایل‌های قفل ‌شده و اطلاعات رمزنگاری شده توسط بدافزارها بازگردانی می‌شوند. باج افزارها نوعی بدافزار هستند که پس از دسترسی به سیستم قربانی، فایل‌ها و اطلاعات را رمزگذاری می‌کنند. مهاجم با ایجاد محدودیت در دسترسی به اطلاعات، از قربانی می‌خواهد تا مبلغی را برای واریز کند. این هزینه‌ها از چند صد دلار تا هزاران دلار می‌تواند متغیر باشد و گاهی تنها با بیت کوین قابل پرداخت است.
Ransomware انواع مختلفی دارند اما اکثر آن‌ها همانند کرم‌های ویروسی در تمام سیستم منتشر می‌شوند و پس از نصب و اجرا، شروع به رمزگذاری هارد دیسک سیستم می‌کنند. برای بازگردانی فایل رمزگذاری شده ابتدا لازم است نوع باج افزار شناسایی شود، سپس با استفاده از ابزار مرتبط با هر باج افزار آن را از بین ببرد.
برخی اوقات بازیابی فایل‌های قفل ‌شده حتی با استفاده از ضد باج ‌افزارها نیز امکان‌پذیر نیست. حتی در صورت پرداخت مبلغ خواسته‌شده به مجرمان، هیچ ضمانتی وجود ندارد که کلید بازگشایی را در اختیار شما قرار دهند. به طور مثال اگر رایانه خانگی به باج افزار HydraCrypt و یا UmberCrypt آلوده شود، باید تمام اطلاعات سیستم، حذف و هارد فرمت شود تا از شر این باج افزارها خلاص شوید.
 

بازیابی فایل‌های قفل‌ شده توسط باج افزار

اگرچه برخی از باج ‌افزارها غیرقابل رمزگشایی هستند، اما شانس بازیابی فایل‌های قفل‌ شده از طریق ابزارهای رمزگشایی هنوز وجود دارد. از آن جایی که باج افزارها تنوع زیادی دارند، ابتدا باید نوع آن را تعیین کرد و سپس از ابزارهای رمزگشایی باج افزار استفاده نمود. در قدم اول برای به دست آوردن کنترل سیستم باید مراحل زیر طی شود:
1.   راه‌اندازی مجدد ویندوز به حالت Safe mode
2.   نرم‌افزار Antivirus نصب کنید.
3.   سیستم را برای پیدا کردن باج افزار، اسکن کنید.
4.   سیستم را به حالت قبلی Restore کنید.

 

پس از طی این مراحل تنها می‌توان کنترل سیستم را مجدداً بازگرداند و بدافزار را از سیستم حذف کرد. اما متأسفانه فایل رمزگذاری شده همچنان قفل باقی می‌ماند.
 برای بازگردانی فایل رمزگذاری شده می‌توان یکی از راه‌های زیر را انتخاب کرد:
1-ابزار حذف باج افزار Emsisoft Decrypter : اگر قصد حذف باج افزار را دارید می‌تواند با مراجعه به سایت Emsisoft Decrypter، بر روی نام ابزار مورد نظر خود نظیر Marlboro، OzozaLocker، OpenToYou و ...کلیک کرده و نسخه رایگان آن را دانلود کنید.

2-ابزار بازگردانی فایل رمزگذاری شده No More Ransom : در این سایت برای اکثر باج افزارها، ابزار بازیابی ارائه شده است. کافی است روی سیستم خود ضد باج ‌افزار مورد نظر را دانلود کرده و برنامه را اجرا کنید.

3-ابزار رمزگشایی باج افزار Kaspersky NoRansom : این سایت مختص بازیابی فایل‌های قفل‌ شده است. هر کدام از ابزارهای موجود در این سایت برای شکستن قفل فایل‌های خاصی طراحی شده است. به عنوان مثال CoinVault Decryptor برای بازیابی فایل‌هایی است که با Bitcryptor و CoinVault قفل شده‌اند. همچنین RakhniDecryptor ابزاری است برای باز کردن قفل فایل‌هایی که تحت تأثیر Rotor، Autoit، Plextor، Lortok و ... قفل شده‌اند.

4- ابزار بازیابی فایل‌های قفل ‌شده AVG Free Ransomware Decryption : AVG از معروف‌ترین و بهترین ابزارها در زمینه بدافزار است که برای بازیابی فایل‌های قفل‌ شده می‌توان استفاده کرد. نرم‌افزارهای ارائه شده شامل Crypt888 ، TeslaCrypt، Bart، Apocalypse و... است.
علاوه بر سایت‌ها و ابزارهای معرفی‌شده می‌توان از نرم‌افزارهای تخصصی ارائه شده توسط شرکت‌های معروف این حوزه نظیر E S E T، BitDefender، bleepingcomputer نیز برای بازگردانی فایل رمزگذاری شده استفاده کرد.
فعلا تنها راه ایمن و قابل اطمینان برای مقابله با باج افزارها، گرفتن Backup منظم به صورت هفتگی یا ماهانه و نگهداری این داده‌ها خارج از سرور و شبکه است.
 

انواع ویروس باج افزار 

1- 7ev3n Ransomware   
این باج افزار از سال 2016 وارد فضای سایبری شد. 7ev3n علاوه بر ایجاد فایل رمزگذاری شده می‌تواند دسترسی کاربر را با استفاده از یک پنجره، مسدود کند. هنوز هیچ ابزار رایگانی برای بازیابی فایل‌های قفل‌ شده توسط این باج افزار وجود ندارد زیرا الگوریتم رمزنگاری آن نامشخص است.
 
2- Locky Ransomware  
این باج افزار شناخته‌شده است و با فایل Word با پسوند doc و از طریق پیوست ایمیل اسپم در سیستم انتشار می‌یابد. Locky از قابلیت نصب ماکرو در Word استفاده می‌کند. هنگام باز کردن این فایل با پیامی مشکوک و محتوایی به‌هم‌ریخته روبرو می‌شوید.  Locky پس از آلوده کردن سیستم، تمامی فایل‌ها را با الگوریتم شناخته شده AES-1024 و RSA-2048 رمزنگاری می‌کند. خوشبختانه برای بازگردانی فایل رمزگذاری شده توسط این باج افزار، راهکارهای رایگانی ارائه شده است.
 
3- Petya Ransomware  
این باج افزار از طریق ایمیل‌های Spam که معمولاً به صورت درخواست استخدام هستند به بخش منابع انسانی شرکت‌ها ارسال و منتشر می‌شوند. Petya عملکرد کاملا متفاوتی از سایر باج افزارها دارد. این باج افزار به جای ایجاد فایل رمزگذاری شده، دسترسی کامل به سیستم را غیرممکن می‌کند.
 
4- Bucbi Ransomware
این باج افزار از طریق حمله Brute Force به سرویس ریموت دستگاه(RDP)، سیستم را آلوده می‌کند. Bucbi در سال 2014 انتشار یافت ولی در سال 2016 با انجام به‌روزرسانی‌هایی روی آن، قوی‌تر از قبل شد. این باج افزار از یک ابزار جستجو فراگیر به نام  RDP brute برای دسترسی به سیستم قربانی استفاده می‌کند. اگر حمله موفقیت‌آمیز باشد، یک فایل اجرایی روی سیستم نصب می‌شود که فایل رمزگذاری شده در درایوها ایجاد می‌کند.
 
 5- RANSOM_WALTRIX.C (CryptXXX) Ransomware
این باج افزار از حفره‌ها و ضعف‌های امنیتی سیستم قربانی در هنگام بازدید از سایت استفاده می‌کند. این باج افزار یک فایل DLL است که باعث قفل صفحه‌نمایش می‌شود. راه انتشار آن نیز از طریق باز کردن سایت‌های مخرب است.
 
6- Black Shades Ransomware
Black Shades   باج‌خواه شناخته شده است که از الگوریتم AES-256 برای فایل‌های رمزگذاری شده استفاده می‌کند. قربانیان Black Shades روسی و انگلیسی‌زبان‌ها هستند. فایل رمزگذاری شده این باج‌ افزار دارای پسوند silent است.
 
7- Shark Ransomware
Shark باج افزاری است که با عنوان سرویس RaaS بین مهاجمان به سیستم انتشار می‌یابد. تنها با چند کلیک  و بدون نیاز به دانش فنی، باج افزار مدنظر ایجاد می‌شود. Shark Ransomware روی یک سایت ورد پرسی در دسترس همه افراد قرار دارد.
 
8- Thanos Ransomware
Thanos در سال 2020 در فضای سایبری یافت شد و جزء جدیدترین باج ‌افزارها است. Thanos به صورت باج افزار به عنوان سرویس فروخته می‌شود. این باج افزار بسیار مخرب است زیرا می‌تواند از بیشتر اقدامات ضد بدافزاری عبور کند.
 
9- GandCrab Ransomware
GandCrab از خطرناک‌ترین باج افزارهاست که در سال 2018 انتشار یافت. این باج افزار به نسخه‌های مختلفی توسعه پیدا کرده است و  بازگردانی فایل رمزگذاری شده آن کار دشواری است. اقدامات این بدافزار به گونه ایست که با تهدید قربانیان به انتشار تصاویر خصوصی و وب‌کم، درخواست پرداخت باج می‌کند. GandCrab از طریق ورود به سایت‌های ناامن، اجرا می‌شود.
 
10- B0r0nt0k Ransomware
این باج افزار به صورت خاص بر روی سرور لینوکس و ویندوز اجرا می‌شود. B0r0nt0k فایل‌های رمزگذاری شده سرور لینوکس را با پسوند Frontok ذخیره می‌کند. این باج افزار علاوه بر تهدید لو رفتن فایل‌ها، تغییراتی را در ورودی‌های رجیستری و راه‌اندازی سرور ایجاد می‌کند، که کار را برای بازگردانی فایل رمزگذاری شده دشوارتر می‌کند.
 

ویروس باج‌گیر یا باج ‌افزار چگونه سیستم را آلوده می‌کند؟

ویروس باج افزار از طریق روش‌های متداول زیر سیستم را آلوده می‌کند:
·        سایت‌های ناامن، مخرب و غیر قابل اعتماد
·        نصب نرم‌افزارهای قدیمی و منسوخ‌شده
·        لینک‌های مخرب موجود در Spam ایمیل
·        لینک‌های مخرب در رسانه‌های اجتماعی
·        حفره یا ضعف امنیتی در سرور و سیستم
·        بازکردن فایل‌های فرستاده‌شده از فرد ناشناس
·        دانلود و نصب نرم‌افزارهای جعلی و رایگان
 

بازگردانی فایل رمزگذاری شده چقدر هزینه دارد؟

به هیچ وجه برای بازگردانی فایل رمزگذاری شده، پرداختی انجام ندهید. مهاجمان برای باز کردن قفل‌ها، پول زیاد یا بیت کوین درخواست می‌کنند ولی هیچ تضمینی وجود ندارد که قفل ارائه شده فایل‌های شما را باز کند.
 اگر با استفاده از ابزارهای رایگان معرفی شده، فایل رمزگذاری شده، باز نشد، می‌توانید از سایت نرم‌افزارهای پولی، هزینه آن را مشاهده کنید و همچنین از کارشناسان امنیتی کمک بگیرد.
 

چگونه فایل‌های رمزگذاری شده را باز کنیم؟

ابزارها و خدمات گوناگونی در خصوص بازیابی فایل‌های قفل‌ شده ارائه می‌شود. شما با توجه به نوع باج افزار و پسوند فایل‌های قفل ‌شده، می‌توانید از نرم افزارهای معرفی شده استفاده کنید. توجه داشته باشید که همیشه حذف باج افزار یا بازیابی اطلاعات امکان‌پذیر نیست و همه چیز به پیچیدگی باج افزار بستگی دارد.