بازگردانی فایل رمزگذاری شده
خدمات و ابزارهای بسیاری برای بازگردانی فایل رمزگذاری شده ارائه شده است، که با توجه به نوع باج افزار یا Ransomware و اطلاعات رمزنگاری شده، میتوان از آنها بهره برد. اگر متوجه باج افزار شدید، بهتر است هیچگونه اقدامی برای بازیابی فایلهای قفل شده انجام ندهید زیرا تضمینی برای آنکه قفل فایلهای شما را باز کرده و کلید خصوصی آن را در فقط اختیار شما قرار دهند، وجود ندارد.
از آنجایی که باج افزارها انواع مختلفی دارند، بازگردانی فایل رمزگذاری شده در همه آنها امکانپذیر نیست. در این شرایط میتوانید برای بازیابی فایل های قفل شده توسط باج افزار، از کارشناسان امنیتی شرکت راسپینا نت پارس کمک بگیرید.
بازگردانی فایل رمزگذاری شده چیست؟
بازگردانی فایل رمزگذاری شده به فرایندی اطلاق میشود که در آن فایلهای قفل شده و اطلاعات رمزنگاری شده توسط بدافزارها بازگردانی میشوند. باج افزارها نوعی بدافزار هستند که پس از دسترسی به سیستم قربانی، فایلها و اطلاعات را رمزگذاری میکنند. مهاجم با ایجاد محدودیت در دسترسی به اطلاعات، از قربانی میخواهد تا مبلغی را برای واریز کند. این هزینهها از چند صد دلار تا هزاران دلار میتواند متغیر باشد و گاهی تنها با بیت کوین قابل پرداخت است.
Ransomware انواع مختلفی دارند اما اکثر آنها همانند کرمهای ویروسی در تمام سیستم منتشر میشوند و پس از نصب و اجرا، شروع به رمزگذاری هارد دیسک سیستم میکنند. برای بازگردانی فایل رمزگذاری شده ابتدا لازم است نوع باج افزار شناسایی شود، سپس با استفاده از ابزار مرتبط با هر باج افزار آن را از بین ببرد.
برخی اوقات بازیابی فایلهای قفل شده حتی با استفاده از ضد باج افزارها نیز امکانپذیر نیست. حتی در صورت پرداخت مبلغ خواستهشده به مجرمان، هیچ ضمانتی وجود ندارد که کلید بازگشایی را در اختیار شما قرار دهند. به طور مثال اگر رایانه خانگی به باج افزار HydraCrypt و یا UmberCrypt آلوده شود، باید تمام اطلاعات سیستم، حذف و هارد فرمت شود تا از شر این باج افزارها خلاص شوید.
بازیابی فایلهای قفل شده توسط باج افزار
اگرچه برخی از باج افزارها غیرقابل رمزگشایی هستند، اما شانس بازیابی فایلهای قفل شده از طریق ابزارهای رمزگشایی هنوز وجود دارد. از آن جایی که باج افزارها تنوع زیادی دارند، ابتدا باید نوع آن را تعیین کرد و سپس از ابزارهای رمزگشایی باج افزار استفاده نمود. در قدم اول برای به دست آوردن کنترل سیستم باید مراحل زیر طی شود:
1. راهاندازی مجدد ویندوز به حالت Safe mode
2. نرمافزار Antivirus نصب کنید.
3. سیستم را برای پیدا کردن باج افزار، اسکن کنید.
4. سیستم را به حالت قبلی Restore کنید.
پس از طی این مراحل تنها میتوان کنترل سیستم را مجدداً بازگرداند و بدافزار را از سیستم حذف کرد. اما متأسفانه فایل رمزگذاری شده همچنان قفل باقی میماند.
برای بازگردانی فایل رمزگذاری شده میتوان یکی از راههای زیر را انتخاب کرد:
1-ابزار حذف باج افزار Emsisoft Decrypter : اگر قصد حذف باج افزار را دارید میتواند با مراجعه به سایت Emsisoft Decrypter، بر روی نام ابزار مورد نظر خود نظیر Marlboro، OzozaLocker، OpenToYou و ...کلیک کرده و نسخه رایگان آن را دانلود کنید.
2-ابزار بازگردانی فایل رمزگذاری شده No More Ransom : در این سایت برای اکثر باج افزارها، ابزار بازیابی ارائه شده است. کافی است روی سیستم خود ضد باج افزار مورد نظر را دانلود کرده و برنامه را اجرا کنید.
3-ابزار رمزگشایی باج افزار Kaspersky NoRansom : این سایت مختص بازیابی فایلهای قفل شده است. هر کدام از ابزارهای موجود در این سایت برای شکستن قفل فایلهای خاصی طراحی شده است. به عنوان مثال CoinVault Decryptor برای بازیابی فایلهایی است که با Bitcryptor و CoinVault قفل شدهاند. همچنین RakhniDecryptor ابزاری است برای باز کردن قفل فایلهایی که تحت تأثیر Rotor، Autoit، Plextor، Lortok و ... قفل شدهاند.
4- ابزار بازیابی فایلهای قفل شده AVG Free Ransomware Decryption : AVG از معروفترین و بهترین ابزارها در زمینه بدافزار است که برای بازیابی فایلهای قفل شده میتوان استفاده کرد. نرمافزارهای ارائه شده شامل Crypt888 ، TeslaCrypt، Bart، Apocalypse و... است.
علاوه بر سایتها و ابزارهای معرفیشده میتوان از نرمافزارهای تخصصی ارائه شده توسط شرکتهای معروف این حوزه نظیر E S E T، BitDefender، bleepingcomputer نیز برای بازگردانی فایل رمزگذاری شده استفاده کرد.
فعلا تنها راه ایمن و قابل اطمینان برای مقابله با باج افزارها، گرفتن Backup منظم به صورت هفتگی یا ماهانه و نگهداری این دادهها خارج از سرور و شبکه است.
انواع ویروس باج افزار
1- 7ev3n Ransomware
این باج افزار از سال 2016 وارد فضای سایبری شد. 7ev3n علاوه بر ایجاد فایل رمزگذاری شده میتواند دسترسی کاربر را با استفاده از یک پنجره، مسدود کند. هنوز هیچ ابزار رایگانی برای بازیابی فایلهای قفل شده توسط این باج افزار وجود ندارد زیرا الگوریتم رمزنگاری آن نامشخص است.
2- Locky Ransomware
این باج افزار شناختهشده است و با فایل Word با پسوند doc و از طریق پیوست ایمیل اسپم در سیستم انتشار مییابد. Locky از قابلیت نصب ماکرو در Word استفاده میکند. هنگام باز کردن این فایل با پیامی مشکوک و محتوایی بههمریخته روبرو میشوید. Locky پس از آلوده کردن سیستم، تمامی فایلها را با الگوریتم شناخته شده AES-1024 و RSA-2048 رمزنگاری میکند. خوشبختانه برای بازگردانی فایل رمزگذاری شده توسط این باج افزار، راهکارهای رایگانی ارائه شده است.
3- Petya Ransomware
این باج افزار از طریق ایمیلهای Spam که معمولاً به صورت درخواست استخدام هستند به بخش منابع انسانی شرکتها ارسال و منتشر میشوند. Petya عملکرد کاملا متفاوتی از سایر باج افزارها دارد. این باج افزار به جای ایجاد فایل رمزگذاری شده، دسترسی کامل به سیستم را غیرممکن میکند.
4- Bucbi Ransomware
این باج افزار از طریق حمله Brute Force به سرویس ریموت دستگاه(RDP)، سیستم را آلوده میکند. Bucbi در سال 2014 انتشار یافت ولی در سال 2016 با انجام بهروزرسانیهایی روی آن، قویتر از قبل شد. این باج افزار از یک ابزار جستجو فراگیر به نام RDP brute برای دسترسی به سیستم قربانی استفاده میکند. اگر حمله موفقیتآمیز باشد، یک فایل اجرایی روی سیستم نصب میشود که فایل رمزگذاری شده در درایوها ایجاد میکند.
5- RANSOM_WALTRIX.C (CryptXXX) Ransomware
این باج افزار از حفرهها و ضعفهای امنیتی سیستم قربانی در هنگام بازدید از سایت استفاده میکند. این باج افزار یک فایل DLL است که باعث قفل صفحهنمایش میشود. راه انتشار آن نیز از طریق باز کردن سایتهای مخرب است.
6- Black Shades Ransomware
Black Shades باجخواه شناخته شده است که از الگوریتم AES-256 برای فایلهای رمزگذاری شده استفاده میکند. قربانیان Black Shades روسی و انگلیسیزبانها هستند. فایل رمزگذاری شده این باج افزار دارای پسوند silent است.
7- Shark Ransomware
Shark باج افزاری است که با عنوان سرویس RaaS بین مهاجمان به سیستم انتشار مییابد. تنها با چند کلیک و بدون نیاز به دانش فنی، باج افزار مدنظر ایجاد میشود. Shark Ransomware روی یک سایت ورد پرسی در دسترس همه افراد قرار دارد.
8- Thanos Ransomware
Thanos در سال 2020 در فضای سایبری یافت شد و جزء جدیدترین باج افزارها است. Thanos به صورت باج افزار به عنوان سرویس فروخته میشود. این باج افزار بسیار مخرب است زیرا میتواند از بیشتر اقدامات ضد بدافزاری عبور کند.
9- GandCrab Ransomware
GandCrab از خطرناکترین باج افزارهاست که در سال 2018 انتشار یافت. این باج افزار به نسخههای مختلفی توسعه پیدا کرده است و بازگردانی فایل رمزگذاری شده آن کار دشواری است. اقدامات این بدافزار به گونه ایست که با تهدید قربانیان به انتشار تصاویر خصوصی و وبکم، درخواست پرداخت باج میکند. GandCrab از طریق ورود به سایتهای ناامن، اجرا میشود.
10- B0r0nt0k Ransomware
این باج افزار به صورت خاص بر روی سرور لینوکس و ویندوز اجرا میشود. B0r0nt0k فایلهای رمزگذاری شده سرور لینوکس را با پسوند Frontok ذخیره میکند. این باج افزار علاوه بر تهدید لو رفتن فایلها، تغییراتی را در ورودیهای رجیستری و راهاندازی سرور ایجاد میکند، که کار را برای بازگردانی فایل رمزگذاری شده دشوارتر میکند.
ویروس باجگیر یا باج افزار چگونه سیستم را آلوده میکند؟
ویروس باج افزار از طریق روشهای متداول زیر سیستم را آلوده میکند:
· سایتهای ناامن، مخرب و غیر قابل اعتماد
· نصب نرمافزارهای قدیمی و منسوخشده
· لینکهای مخرب موجود در Spam ایمیل
· لینکهای مخرب در رسانههای اجتماعی
· حفره یا ضعف امنیتی در سرور و سیستم
· بازکردن فایلهای فرستادهشده از فرد ناشناس
· دانلود و نصب نرمافزارهای جعلی و رایگان
بازگردانی فایل رمزگذاری شده چقدر هزینه دارد؟
به هیچ وجه برای بازگردانی فایل رمزگذاری شده، پرداختی انجام ندهید. مهاجمان برای باز کردن قفلها، پول زیاد یا بیت کوین درخواست میکنند ولی هیچ تضمینی وجود ندارد که قفل ارائه شده فایلهای شما را باز کند.
اگر با استفاده از ابزارهای رایگان معرفی شده، فایل رمزگذاری شده، باز نشد، میتوانید از سایت نرمافزارهای پولی، هزینه آن را مشاهده کنید و همچنین از کارشناسان امنیتی کمک بگیرد.
چگونه فایلهای رمزگذاری شده را باز کنیم؟
ابزارها و خدمات گوناگونی در خصوص بازیابی فایلهای قفل شده ارائه میشود. شما با توجه به نوع باج افزار و پسوند فایلهای قفل شده، میتوانید از نرم افزارهای معرفی شده استفاده کنید. توجه داشته باشید که همیشه حذف باج افزار یا بازیابی اطلاعات امکانپذیر نیست و همه چیز به پیچیدگی باج افزار بستگی دارد.