حذف باج افزار و مقابله با ویروس باجگیر (آموزش کامل)

سلام، شما هک شده‌اید! فایل‌های‌تان قفل شده‌اند و اگر می‌خواهید به آن‌ها دسترسی داشته باشید، مبلغ X را به حساب Y واریز کنید! یکی از بدترین اتفاقاتی که می‌تواند رخ دهد همین است. اسیر باج افزار شدن! می‌خواهید بدانید راجع به چه چیزی صحبت می‌کنیم، مقاله باج افزار چیست را بخوانید. ما در این مقاله، درباره حذف باج افزار، و راه‌های مقابله با ویروس باج‌گیر را آموزش دهیم.

تعریف ساده باج افزار در دو خط

باج‌افزار بدافزاری است که داده‌های کاربر را رمزگذاری و غیرقابل دسترسی می‌کند. مهاجم یا هکر، در ازای رمزگشایی این داده‌ها باج می‌گیرد. حتی اگر این باج پرداخت شود، هیچ تضمینی برای بازیابی داده‌ها وجود ندارد.

نشانه‌های باج افزار

واضح‌ترین نشانه حمله باج‌افزار این است که سیستم پنجره‌ای با یادداشت باج مانند تصویر زیر نمایش دهد.

اما حمله باج‌افزار نشانه‌های دیگری هم دارد که به شرح زیر هستند:

پیغام هشدار آنتی‌ویروس سیستم
تغییر پسوند فایل‌ها به ترکیب حروف تصادفی؛ مانند png به hjyyvci
حضور فایل‌های ناآشنا در یک یا چند درایو
افزایش فعالیت دیسک و منابع سخت‌افزاری سیستم
ترافیک غیرعادی در شبکه و اشغال پهنای باند آن
حضور فایل‌های رمزگذاری‌شده

حذف باج افزار با سه روش فوری

اگر توسط بدافزار آلوده شده‌اید، چند گام سریع زیر را برای حذف آن و جلوگیری از آسیب بیشتر طی کنید:

۱. ایزوله کردن سیستم‌ آسیب‌دیده

برای جلوگیری از انتشار بدافزار در شبکه یا ارتباط آن با سیستم‌های فرمان و کنترل، هر دستگاهی را که علائم بدافزار را نشان می‌دهد، از شبکه‌های Wi-Fi و سیمی جدا کنید.

۲. شناسایی بدافزار

می‌توانید از ابزار رایگانی مانند “Cyber Sheriff” که توسط Europol و McAfee ارائه شده است، استفاده کنید تا نوع بدافزاری که به آن آلوده شده‌اید را بشناسید.

۳. گزارش به کارشناس شبکه و پلیس امنیت سایبری

اگر درگیر این موضوع شدید، باید به پلیس امنیت سایبری، کارشناس شبکه یا مدیرعامل شرکت‌تان گزارش دهید تا اقدامات لازم برای شناسایی مهاجمان و حذف باج افزار به‌‌شکلی درست صورت بگیرد.

بیشتر بخوانید: بررسی انواع باج افزارها؛ آشنایی با ۱۵ باج افزار خطرناک

حذف باج افزار با سه روش سریع و موثر

برای حذف باج افزار، سه روش ساده و کاربردی را معرفی خواهیم کرد که در ادامه به‌شکل گام‌به‌گام آورده شده‌اند.

۱. استفاده از ابزارهای شناسایی و رمزگشایی

باج‌ افزارها هم خانواده دارند! به‌عبارت ساده‌تر، هر باج‌‌افزار در دسته‌ای مشخص قرار می‌گیرد که برای خنثی کردن اثر آن، شناسایی و تشخیص این خانواده اهمیت بسیار زیادی دارد.

یکی از این ابزارها، ID Ransomware است که با کلیک روی لینک آن، پنجره زیر را مشاهده خواهید کرد.

همان‌طور که می‌بینید، ID Ransomware با سه روش قادر به تشخیص باج‌افزار است:

Ransom Note

وقتی گرفتار باج‌افزارها می‌شوید، پیغامی از جانب هکر برای‌تان ارسال می‌شود. خبر خوب این‌که ID Ransomware، با دریافت همین پیغام و بررسی آن، خانواده باج‌افزار را شناسایی می‌کند.

برای حذف باج افزار به این شیوه، باید ابتدا فایل اطلاعات آن را با کلیک روی دکمه Choose File، در سایت بارگذاری کنید. سپس ID Ransomware کارش را شروع کرده و پس از بررسی، اطلاعات را در اختیارتان قرار می‌دهد.

Sample Encrypted File

در این روش، برای شناسایی خانواده باج‌افزار، از فایل‌های قفل‌شده در حمله استفاده می‌کنیم.

این روش با تکیه‌بر سیستم‌های رمزنگاری باج‌افزار، شناسایی آن را ساده و ممکن می‌سازد.

در این بخش هم باید یکی از فایل‌های آلوده را بارگذاری و سپس همان دکمه Upload را بزنید.

Addresses

در این قسمت می‌توانید هر آدرس ایمیل یا لینکی که توسط باج‌افزار و به‌منظور گرفتن ارتباط ارسال شده را وارد کنید. بعد از این‌که راه ارتباطی را در این سایت وارد کردید، دکمه Upload را بزنید تا ID Ransomware خانواده باج‌‌افزار را شناسایی کند.

نکته: به‌هیچ‌وجه حجم زیادی از فایل‌ها را آپلود نکنید؛ چون در این حالت پردازش درخواست شما کند شده و ممکن است امکان استفاده از این سایت سلب شود. آپلود حجم بیشتری از فایل‌ها به‌معنای راحت‌تر شدن فرآیند شناسایی نیست.

فرض را بر این می‌گیریم که باج‌افزار مزاحم داستان، از خانواده TeslaCrypt 4.0 است که توسط همین سایت و ویژگی Sample Encrypted File، خانواده آن را شناسایی کرده‌ایم. پس از انجام عملیات و اتمام شناسایی، تصویر زیر را مشاهده خواهید کرد:

در این مثال، فایل‌هایی که توسط TeslaCrypt 4.0 قفل‌ نشده‌اند، قابل بازگردانی هستند. به‌همین‌دلیل، یک لینک حاوی آموزش چگونگی رمزگشایی فایل‌ها و ابزارهای مورداستفاده هم – مانند تصویر زیر – ارائه شده است.

همان‌طور که در تصویر بالا می‌بینید، اطلاعات موردنیاز برای رمزگشایی فایل‌ها در BloodDolly نوشته شده است! (همان لینک حاوی آموزش رمزگشایی). با استناد به اطلاعات موجود در BloodDolly، اولین چیزی که نیاز داریم، کلیدی است که هکر با استفاده از آن، فایل‌ها را رمزنگاری کرده است.

به تصویر بالا توجه کنید. قسمت Extensions، برای انتخاب پسوندی است که باج‌افزار روی فایل‌های آلوده قرار داده است. انتخاب پسوند به ابزارهای رمزگشایی کمک می‌کند تا بهترین و متناسب‌ترین شاه‌کلید را به‌صورت خودکار انتخاب کنند.

درواقع این قسمت مشخص می‌کند که برای چه نوع قفلی باید دنبال کلید گشت.

همان‌طور که در عکس بالا می‌بینید، ما برای نمونه باج‌افزار خودمان (TeslaCrypt 4.0)، گزینه آخر یعنی “as original” را انتخاب کردیم؛ چراکه پسوند هیچ فایلی توسط باج‌افزار تغییر نکرده است.

بعد از انتخاب گزینه مدنظر و اجرای دستور لازم، با اطلاعات زیر مواجه خواهید شد:

حالا کلید کار خودش را انجام داده و فایل‌ها رمزگشایی شده‌اند، اما کارمان به اتمام نرسیده است! حالا باید فایل‌ها را بازگردانی (همان ریکاوری) کنیم.

در مثال ما، این ابزار موفق شده تا ۱۰۰ درصد فایل‌ها را رمزگشایی و بازگردانی کند. در تصویر زیر این موضوع مشخص است:

نکته: اگر ID Ransomware پس از شناسایی خانواده باج‌افزار، روشی برای رمزگشایی آن نداشت، می‌توانید از گوگل کمک بگیرید. فقط کافی است نام خانواده باج‌افزار و ابزار رمزگشایی را در این موتور جست‌وجو بنویسید و دکمه Enter را بزنید.

برای مثال، یافتن ابزار رمزگشایی TesleCrypt 4.0 با جست‌وجو عبارت زیر در گوگل ممکن می‌شود:

How to decrypt teslacrypt 4.0

۲. بازگردانی به کمک نسخه یکسان (Shadow Copy)

وقتی هکرها با باج‌افزارشان فایل‌های‌تان را قفل کنند، می‌توانید با کمک نسخه یکسان یا همان Shadow Copy، خیلی راحت نقشه‌های‌شان را برملا کنید.

نسخه یکسان، مجموعه‌ای از رابط‌های کاربری COM است که با پیاده‌سازی یک چارچوب مشخص، باعث بهبود عملکرد پارتیشن‌های پشتیبانی می‌شود. این قابلیت به پارتیشن‌های حافظه، اجازه کپی کردن فایل‌ها را به‌صورت هم‌زمان و در هنگام اجرای برنامه‌ها روی سیستم می‌دهد.

مایکروسافت از ویندوز XP به بعد، این خصوصیت‌ را به‌عنوان یک پیش‌فرض روی تمام سیستم‌عامل‌هایش قرار داد؛ یعنی اگر از ویندوز استفاده می‌کنید، به‌ احتمال بسیار زیاد نسخه کپی یکسان دارید. حتی اگر خودتان هم ندانید.

برای بررسی نسخه‌های یکسان، به ابزارهایی با عنوان Shadow Explorer نیاز داریم که رایگان هستند.

ما برای شروع کار، نرم‌افزار کم‌حجم Shadowexplorer را دانلود کردیم.

پنجره اصلی به شکل زیر است:

در این صفحه، می‌توانید پارتیشن مدنظرتان را برای ذخیره کپی انتخاب کنید. دقت داشته باشید که برای بازیابی نسخه‌های کپی، باید توجه بیشتری به‌خرج بدهید؛ چراکه ممکن است بیش‌از یک Snapshot از پارتیشن پشتیبان وجود داشته باشد. در چنین حالتی، موقع بازگردانی فایل‌ها دچار مشکل می‌شویم.

حالا روی فایلی که حاوی نسخه‌های کپی است راست کلیک و گزینه Export را انتخاب و مقصد را مشخص کنید (مطابق تصویر زیر). در ادامه استخراج فایل‌ها شروع می‌شود.

۳. استفاده از ابزارهای بازیابی داده

منظور از بازیابی اطلاعات، نجات و حتی تعمیر اطلاعات از دست رفته است. این کار همیشه به‌راحتی امکان‌پذیر نیست. در برخی مواقع، سیستم به‌قدری آسیب دیده که نمی‌توان کاری برای داده‌های آلوده انجام داد.

موفقیت در بازگردانی داده‌ها، به متغیرهای زیادی بستگی دارد. متغیرهایی مثل پارتیشن‌های سیستم‌عامل، اولویتی که در بازنویسی داده‌ها در نظر گرفته شده است، چگونگی مدیریت فضای خالی درایو و غیره.

نرم‌افزارهای زیادی وجود دارند که به‌منظور بازیابی اطلاعات طراحی شده‌اند، در ادامه ما از ابزاری رایگان با نام Recuva – نسخه Portable – برای حذف باج افزار استفاده خواهیم کرد.

نکته مهم: برای این‌که درصد موفقیت بازیابی فایل‌ها بالا برود، توصیه می‌کنیم نرم‌افزار Recuva را روی یک حافظه جانبی مثل فلش مموری یا هارد اکسترنال نصب کنید تا به‌شکل مستقیم روی سیستم‌عامل اجرا نشود.

بعد از اینکه این نرم‌افزار را نصب کردید، فرآیندی برای اسکن آغاز می‌شود که بهتر است آن را لغو کنید.

با اجرای فایل نصب، از Wizard با کلیک روی دکمه “Cancel” در پنجره “Welcome to the Recuva Wizard” گذر کرده و وارد پنجره اصلی برنامه می‌شویم.

حال باید درایو موردنظر را انتخاب و روی دکمه “Options” از سمت راست کلیک کنیم.

سپس از تب Actions، کادر Restore folder structure را فعال می‌کنیم.

این کار باعث حفظ ساختار دایرکتوری می‌شود. همچنین نام تمام فایل‌های رمزگذاری‌شده را هم در اختیارمان می‌گذارد. بعد از انجام این تغییرات، دکمه Scan را فشرده تا عملیات اسکن فایل‌ها آغاز شود.

بعد از این‌که اسکن اطلاعات پاک‌شده به اتمام رسید، یک پنجره حاوی فایل‌های بازیابی‎شده نمایش داده می‌شود. با کلیک روی کادر گوشه Filename، تمام فایل‌ها را انتخاب کنید.

برای شروع ریکاوری، دکمه Recover… همین پنجره را فشرده و درایو موردنظرتان را برای ذخیره فایل‌های بازیابی‌شده انتخاب کنید.

۵ ابزار حذف باج افزار

علاوه‌بر ابزار ID Ransomware، ۵ برنامه دیگر هم برای حذف باج افزار وجود دارند که در ادامه هرکدام را به‌همراه برترین ویژگی‌های‌شان معرفی کرده‌ایم.

۱. No More Ransom

امکان آپلود فایل‌های آلوده
نمایش میزان آلودگی فایل و امکان حذف باج افزار از آن‌ها
دارای بیش‌از ۱۳۰ ابزار برای رفع آلودگی

۲. Emsisoft

دارای چند ابزار رمزگشایی
تشخیص چند باج‌افزار متداول به‌شکلی بهینه و موثر

۳. Trend Micro

بهترین گزینه برای باج‌افزارهای قفل‌کننده صفحه نمایش کامپیوتر
دارای قدرت شناسایی بالا و تشخیص انواع باج‌افزار ازجمله “۷۷۷”، “DXXD”، “Jigsaw”، “BadBlock” و “XORBAT”

۴. Thor Premium Home

پکیج کاملی از ابزارهای حذف باج افزار
عملکرد اصلی به‌عنوان آنتی‌ویروس

۵. VirusTotal

یکی از شناخته‌شده‌ترین سرویس‌ها برای بررسی فایل‌های آلوده به ویروس‌ها، تروجان‌ها، کرم‌ها و سایر بدافزارها
حذف باج افزار به‌محض شناسایی و تشخیص خانواده آن

بیشتر بخوانید: تروجان چیست؟ راه های مقابله با آن

آیا هنگام حمله باج افزار، باید باج بدهیم؟

بسیاری از کارشناسان امنیتی و مقامات مجری قانون، ازجمله FBI، توصیه جدی بر عدم پرداخت باج می‌کنند و برای آن سه دلیل اصلی دارند:

حتی در صورت پرداخت باج، هیچ تضمینی وجود ندارد که مجرمان سایبری اطلاعات شما را رمزگشایی کنند؛
برخی از انواع باج‌افزارها درواقع قادر به رمزگشایی داده‌ها نیستند، حتی اگر باج پرداخت شود؛
پرداخت باج باعث تشویق حملات بیشتر در آینده علیه سازمان شما و دیگران می‌شود.

آنچه در حذف باج افزار خواندیم؟

بهترین راه برای مقابله با باج افزارها، پیشگیری است؛ اما خب همیشه هم پیشگیری موثر نخواهد بود و باید راه‌های شکست باج‌افزارها را هم بلد باشیم. استفاده از ابزارهای آنلاین مانند ID Ransomware و نرم‌افزار Recuva، بهترین روش‌های مقابله با این آلودگی و بازیابی فایل‌ها است. اگر تمام راه‌های این مقاله را طی کردید و هم‌چنان سیستم‌تان آلوده است، در بخش کامنت‌ها مشکل‌تان را مطرح کنید تا ما و سایر مخاطبان راه‌حلی پیش‌روی‌تان قرار دهیم.

بیشتر بخوانید: افزایش امنیت وردپرس با ۱۹ راهکار عملی و کارآمد

سوالات متداولی که شما می‌پرسید

راه‌های موثر برای حذف باج‌افزار چه چیزهایی هستند؟

ایزوله کردن سیستم آسیب‌دیده، قطع ارتباط سیستم آلوده از شبکه و شناسایی باج‌افزار، از اقدام‌های موثر و فوری در این زمینه هستند.

کدام ابزارها برای پاک کردن باج‌افزار مفید هستند؟

ID Ransomware، Trend Micro و Emsisoft از بهترین ابزارها برای این هدف هستند.

آیا امکان بازیابی فایل‌های آلوده‌شده به باج‌افزار وجود دارد؟

بله. ابزارهایی با نام “Ransomware Decryption” به‌راحتی این کار را برای شما انجام می‌دهند که Recuva ساده‌ترین و محبوب‌ترین آن‌ها است.

منابع:

cynet

fortinet

NordVPN

51 پاسخ

علی عزیزی گفت:
۱۴۰۴/۰۶/۱۱ در
سلام! فایل‌های با پسوند uigd احتمالاً توسط باج‌افزار رمزگذاری شده‌اند، به همین دلیل معمولی باز نمی‌شوند.
برای بازیابی، باید از ابزارهای تخصصی ضد باج‌افزار استفاده کنید که در مقاله هم معرفی شده‌اند.
حتماً قبل از اقدام، نسخه پشتیبان از فایل‌ها بگیرید تا ریسک آسیب بیشتر کاهش پیدا کند.

پاسخ
a.azizi گفت:
۱۴۰۴/۰۲/۳۱ در
سلام، وقت بخیر.
پسوند uigd نشان‌دهنده‌ی آلودگی سیستم شما به یک نوع باج‌افزار (Ransomware) است که فایل‌ها را رمزگذاری می‌کند. متأسفانه در بیشتر مواردی که رمزگذاری به‌صورت آنلاین انجام شده، امکان بازیابی رایگان فایل‌ها بدون کلید رمزنگاری وجود ندارد.
پیشنهاد می‌کنم سیستم را به‌طور کامل با یک آنتی‌ویروس قوی اسکن کرده و فایل‌های آلوده را قرنطینه یا حذف کنید تا جلوی گسترش بیشتر گرفته شود. همچنین از فایل‌ها نسخه پشتیبان بگیرید و منتظر بمانید تا در آینده ابزار رایگان بازیابی منتشر شود. در حال حاضر از پرداخت باج اکیداً خودداری کنید، چون تضمینی برای بازگشت فایل‌ها وجود ندارد.

پاسخ
عبد الغني گفت:
۱۴۰۲/۱۰/۲۳ در
سلام، شب شما بخیر، خسته نباشید، معذرت أیا راه حل ویروس moqs هست، همه فایلهای من ویروسی شد. متشکرم

پاسخ
1. a.azizi گفت:
  ۱۴۰۴/۰۲/۱۷ در
  سلام؛ برای حذف ویروس Moqs، ابتدا پیشنهاد می‌کنم سرور خود را با یک آنتی‌ویروس معتبر مانند FSecure یا Kaspersky اسکن کنید تا ویروس شناسایی و حذف شود.
  
  پاسخ
صالح طالبی گفت:
۱۴۰۲/۰۱/۰۳ در
سلام تروخدا کمکم کنید فایل هام بعد ۲ سال هم یعنی بر نمیگرده؟؟ پسوند .derp گرفته

پاسخ
1. a.azizi گفت:
  ۱۴۰۴/۰۲/۳۱ در
  سلام، متأسفم که با این مشکل روبرو شدید. پسوند `.derp` مربوط به یکی از نسخه‌های باج‌افزار STOP/DJVU هست که فایل‌ها رو رمزگذاری می‌کنه و برای بازگردانی، از قربانی درخواست پول می‌کنه. متأسفانه اگر فایل‌ها رمزگذاری شده باشن و نسخه باج‌افزار از نوع آنلاین بوده باشه (یعنی کلید رمزگذاری اختصاصی برای هر قربانی ایجاد شده)، در بیشتر موارد بدون پرداخت باج، بازیابی کامل ممکن نیست.
  اما هنوز امیدی هست. شما می‌تونید ابزارهای رایگان بازیابی مثل **Emsisoft Decryptor for STOP/DJVU** رو امتحان کنید. اگر فایل‌ها با کلید آفلاین رمزگذاری شده باشن، ممکنه قابل بازیابی باشن. حتماً از فایل‌های رمزگذاری‌شده نسخه پشتیبان بگیرید و بعد شروع به اسکن و بررسی با ابزارهای ضد باج‌افزار کنید. هیچ‌وقت فایل‌ها رو حذف نکنید، چون شاید در آینده راه‌حلی منتشر بشه.
  
  پاسخ
محمدرضا گفت:
۱۴۰۱/۰۸/۳۰ در
سلام پسوند pidon فایل ها من باز نمیشه کمک کنید

پاسخ
1. a.azizi گفت:
  ۱۴۰۴/۰۲/۳۱ در
  سلام، متأسفم بابت مشکلی که براتون پیش اومده. باج‌افزار با پسوند .pidon یکی از نسخه‌های خانواده STOP/Djvu هست که متأسفانه بیشتر مواقع فایل‌ها رو به‌صورت آنلاین رمزنگاری می‌کنه و در این حالت امکان بازیابی کامل بدون کلید خصوصی تقریباً وجود نداره.
  توصیه میشه ابتدا سیستم‌تون رو با یک آنتی‌ویروس قوی اسکن و کاملاً پاک‌سازی کنید تا از انتشار بیشتر جلوگیری بشه. سپس از فایل‌های رمزنگاری‌شده نسخه پشتیبان تهیه کنید. در برخی موارد خاص، اگر رمزنگاری به‌صورت آفلاین انجام شده باشه، امکان بازیابی با ابزارهایی مثل STOPDecrypter وجود داره، ولی در حالت آنلاین فعلاً باید منتظر انتشار کلیدها باشید.
  
  پاسخ

آشنایی با ۵ ابزار کاربردی و پیشرفته برای حذف باج افزار