سلام، شما هک شدهاید! فایلهایتان قفل شدهاند و اگر میخواهید به آنها دسترسی داشته باشید، مبلغ X را به حساب Y واریز کنید! یکی از بدترین اتفاقاتی که میتواند رخ دهد همین است. اسیر باج افزار شدن! میخواهید بدانید راجع به چه چیزی صحبت میکنیم، مقاله باج افزار چیست را بخوانید. ما در این مقاله، درباره حذف باج افزار، و راههای مقابله با ویروس باجگیر را آموزش دهیم.
تعریف ساده باج افزار در دو خط
باجافزار بدافزاری است که دادههای کاربر را رمزگذاری و غیرقابل دسترسی میکند. مهاجم یا هکر، در ازای رمزگشایی این دادهها باج میگیرد. حتی اگر این باج پرداخت شود، هیچ تضمینی برای بازیابی دادهها وجود ندارد.
نشانههای باج افزار
واضحترین نشانه حمله باجافزار این است که سیستم پنجرهای با یادداشت باج مانند تصویر زیر نمایش دهد.
اما حمله باجافزار نشانههای دیگری هم دارد که به شرح زیر هستند:
- پیغام هشدار آنتیویروس سیستم
- تغییر پسوند فایلها به ترکیب حروف تصادفی؛ مانند png به hjyyvci
- حضور فایلهای ناآشنا در یک یا چند درایو
- افزایش فعالیت دیسک و منابع سختافزاری سیستم
- ترافیک غیرعادی در شبکه و اشغال پهنای باند آن
- حضور فایلهای رمزگذاریشده
حذف باج افزار با سه روش فوری
اگر توسط بدافزار آلوده شدهاید، چند گام سریع زیر را برای حذف آن و جلوگیری از آسیب بیشتر طی کنید:
1. ایزوله کردن سیستم آسیبدیده
برای جلوگیری از انتشار بدافزار در شبکه یا ارتباط آن با سیستمهای فرمان و کنترل، هر دستگاهی را که علائم بدافزار را نشان میدهد، از شبکههای Wi-Fi و سیمی جدا کنید.
2. شناسایی بدافزار
میتوانید از ابزار رایگانی مانند “Cyber Sheriff” که توسط Europol و McAfee ارائه شده است، استفاده کنید تا نوع بدافزاری که به آن آلوده شدهاید را بشناسید.
3. گزارش به کارشناس شبکه و پلیس امنیت سایبری
اگر درگیر این موضوع شدید، باید به پلیس امنیت سایبری، کارشناس شبکه یا مدیرعامل شرکتتان گزارش دهید تا اقدامات لازم برای شناسایی مهاجمان و حذف باج افزار بهشکلی درست صورت بگیرد.
بیشتر بخوانید: بررسی انواع باج افزارها؛ آشنایی با 15 باج افزار خطرناک
حذف باج افزار با سه روش سریع و موثر
برای حذف باج افزار، سه روش ساده و کاربردی را معرفی خواهیم کرد که در ادامه بهشکل گامبهگام آورده شدهاند.
1. استفاده از ابزارهای شناسایی و رمزگشایی
باج افزارها هم خانواده دارند! بهعبارت سادهتر، هر باجافزار در دستهای مشخص قرار میگیرد که برای خنثی کردن اثر آن، شناسایی و تشخیص این خانواده اهمیت بسیار زیادی دارد.
یکی از این ابزارها، ID Ransomware است که با کلیک روی لینک آن، پنجره زیر را مشاهده خواهید کرد.
همانطور که میبینید، ID Ransomware با سه روش قادر به تشخیص باجافزار است:
- Ransom Note
وقتی گرفتار باجافزارها میشوید، پیغامی از جانب هکر برایتان ارسال میشود. خبر خوب اینکه ID Ransomware، با دریافت همین پیغام و بررسی آن، خانواده باجافزار را شناسایی میکند.
برای حذف باج افزار به این شیوه، باید ابتدا فایل اطلاعات آن را با کلیک روی دکمه Choose File، در سایت بارگذاری کنید. سپس ID Ransomware کارش را شروع کرده و پس از بررسی، اطلاعات را در اختیارتان قرار میدهد.
- Sample Encrypted File
در این روش، برای شناسایی خانواده باجافزار، از فایلهای قفلشده در حمله استفاده میکنیم.
این روش با تکیهبر سیستمهای رمزنگاری باجافزار، شناسایی آن را ساده و ممکن میسازد.
در این بخش هم باید یکی از فایلهای آلوده را بارگذاری و سپس همان دکمه Upload را بزنید.
- Addresses
در این قسمت میتوانید هر آدرس ایمیل یا لینکی که توسط باجافزار و بهمنظور گرفتن ارتباط ارسال شده را وارد کنید. بعد از اینکه راه ارتباطی را در این سایت وارد کردید، دکمه Upload را بزنید تا ID Ransomware خانواده باجافزار را شناسایی کند.
نکته: بههیچوجه حجم زیادی از فایلها را آپلود نکنید؛ چون در این حالت پردازش درخواست شما کند شده و ممکن است امکان استفاده از این سایت سلب شود. آپلود حجم بیشتری از فایلها بهمعنای راحتتر شدن فرآیند شناسایی نیست.
فرض را بر این میگیریم که باجافزار مزاحم داستان، از خانواده TeslaCrypt 4.0 است که توسط همین سایت و ویژگی Sample Encrypted File، خانواده آن را شناسایی کردهایم. پس از انجام عملیات و اتمام شناسایی، تصویر زیر را مشاهده خواهید کرد:
در این مثال، فایلهایی که توسط TeslaCrypt 4.0 قفل نشدهاند، قابل بازگردانی هستند. بههمیندلیل، یک لینک حاوی آموزش چگونگی رمزگشایی فایلها و ابزارهای مورداستفاده هم – مانند تصویر زیر – ارائه شده است.
همانطور که در تصویر بالا میبینید، اطلاعات موردنیاز برای رمزگشایی فایلها در BloodDolly نوشته شده است! (همان لینک حاوی آموزش رمزگشایی). با استناد به اطلاعات موجود در BloodDolly، اولین چیزی که نیاز داریم، کلیدی است که هکر با استفاده از آن، فایلها را رمزنگاری کرده است.
به تصویر بالا توجه کنید. قسمت Extensions، برای انتخاب پسوندی است که باجافزار روی فایلهای آلوده قرار داده است. انتخاب پسوند به ابزارهای رمزگشایی کمک میکند تا بهترین و متناسبترین شاهکلید را بهصورت خودکار انتخاب کنند.
درواقع این قسمت مشخص میکند که برای چه نوع قفلی باید دنبال کلید گشت.
همانطور که در عکس بالا میبینید، ما برای نمونه باجافزار خودمان (TeslaCrypt 4.0)، گزینه آخر یعنی “as original” را انتخاب کردیم؛ چراکه پسوند هیچ فایلی توسط باجافزار تغییر نکرده است.
بعد از انتخاب گزینه مدنظر و اجرای دستور لازم، با اطلاعات زیر مواجه خواهید شد:
حالا کلید کار خودش را انجام داده و فایلها رمزگشایی شدهاند، اما کارمان به اتمام نرسیده است! حالا باید فایلها را بازگردانی (همان ریکاوری) کنیم.
در مثال ما، این ابزار موفق شده تا ۱۰۰ درصد فایلها را رمزگشایی و بازگردانی کند. در تصویر زیر این موضوع مشخص است:
نکته: اگر ID Ransomware پس از شناسایی خانواده باجافزار، روشی برای رمزگشایی آن نداشت، میتوانید از گوگل کمک بگیرید. فقط کافی است نام خانواده باجافزار و ابزار رمزگشایی را در این موتور جستوجو بنویسید و دکمه Enter را بزنید.
برای مثال، یافتن ابزار رمزگشایی TesleCrypt 4.0 با جستوجو عبارت زیر در گوگل ممکن میشود:
How to decrypt teslacrypt 4.0
2. بازگردانی به کمک نسخه یکسان (Shadow Copy)
وقتی هکرها با باجافزارشان فایلهایتان را قفل کنند، میتوانید با کمک نسخه یکسان یا همان Shadow Copy، خیلی راحت نقشههایشان را برملا کنید.
نسخه یکسان، مجموعهای از رابطهای کاربری COM است که با پیادهسازی یک چارچوب مشخص، باعث بهبود عملکرد پارتیشنهای پشتیبانی میشود. این قابلیت به پارتیشنهای حافظه، اجازه کپی کردن فایلها را بهصورت همزمان و در هنگام اجرای برنامهها روی سیستم میدهد.
مایکروسافت از ویندوز XP به بعد، این خصوصیت را بهعنوان یک پیشفرض روی تمام سیستمعاملهایش قرار داد؛ یعنی اگر از ویندوز استفاده میکنید، به احتمال بسیار زیاد نسخه کپی یکسان دارید. حتی اگر خودتان هم ندانید.
برای بررسی نسخههای یکسان، به ابزارهایی با عنوان Shadow Explorer نیاز داریم که رایگان هستند.
ما برای شروع کار، نرمافزار کمحجم Shadowexplorer را دانلود کردیم.
پنجره اصلی به شکل زیر است:
در این صفحه، میتوانید پارتیشن مدنظرتان را برای ذخیره کپی انتخاب کنید. دقت داشته باشید که برای بازیابی نسخههای کپی، باید توجه بیشتری بهخرج بدهید؛ چراکه ممکن است بیشاز یک Snapshot از پارتیشن پشتیبان وجود داشته باشد. در چنین حالتی، موقع بازگردانی فایلها دچار مشکل میشویم.
حالا روی فایلی که حاوی نسخههای کپی است راست کلیک و گزینه Export را انتخاب و مقصد را مشخص کنید (مطابق تصویر زیر). در ادامه استخراج فایلها شروع میشود.
3. استفاده از ابزارهای بازیابی داده
منظور از بازیابی اطلاعات، نجات و حتی تعمیر اطلاعات از دست رفته است. این کار همیشه بهراحتی امکانپذیر نیست. در برخی مواقع، سیستم بهقدری آسیب دیده که نمیتوان کاری برای دادههای آلوده انجام داد.
موفقیت در بازگردانی دادهها، به متغیرهای زیادی بستگی دارد. متغیرهایی مثل پارتیشنهای سیستمعامل، اولویتی که در بازنویسی دادهها در نظر گرفته شده است، چگونگی مدیریت فضای خالی درایو و غیره.
نرمافزارهای زیادی وجود دارند که بهمنظور بازیابی اطلاعات طراحی شدهاند، در ادامه ما از ابزاری رایگان با نام Recuva – نسخه Portable – برای حذف باج افزار استفاده خواهیم کرد.
نکته مهم: برای اینکه درصد موفقیت بازیابی فایلها بالا برود، توصیه میکنیم نرمافزار Recuva را روی یک حافظه جانبی مثل فلش مموری یا هارد اکسترنال نصب کنید تا بهشکل مستقیم روی سیستمعامل اجرا نشود.
بعد از اینکه این نرمافزار را نصب کردید، فرآیندی برای اسکن آغاز میشود که بهتر است آن را لغو کنید.
با اجرای فایل نصب، از Wizard با کلیک روی دکمه “Cancel” در پنجره “Welcome to the Recuva Wizard” گذر کرده و وارد پنجره اصلی برنامه میشویم.
حال باید درایو موردنظر را انتخاب و روی دکمه “Options” از سمت راست کلیک کنیم.
سپس از تب Actions، کادر Restore folder structure را فعال میکنیم.
این کار باعث حفظ ساختار دایرکتوری میشود. همچنین نام تمام فایلهای رمزگذاریشده را هم در اختیارمان میگذارد. بعد از انجام این تغییرات، دکمه Scan را فشرده تا عملیات اسکن فایلها آغاز شود.
بعد از اینکه اسکن اطلاعات پاکشده به اتمام رسید، یک پنجره حاوی فایلهای بازیابیشده نمایش داده میشود. با کلیک روی کادر گوشه Filename، تمام فایلها را انتخاب کنید.
برای شروع ریکاوری، دکمه Recover… همین پنجره را فشرده و درایو موردنظرتان را برای ذخیره فایلهای بازیابیشده انتخاب کنید.
5 ابزار حذف باج افزار
علاوهبر ابزار ID Ransomware، 5 برنامه دیگر هم برای حذف باج افزار وجود دارند که در ادامه هرکدام را بههمراه برترین ویژگیهایشان معرفی کردهایم.
1. No More Ransom
- امکان آپلود فایلهای آلوده
- نمایش میزان آلودگی فایل و امکان حذف باج افزار از آنها
- دارای بیشاز 130 ابزار برای رفع آلودگی
2. Emsisoft
- دارای چند ابزار رمزگشایی
- تشخیص چند باجافزار متداول بهشکلی بهینه و موثر
3. Trend Micro
- بهترین گزینه برای باجافزارهای قفلکننده صفحه نمایش کامپیوتر
- دارای قدرت شناسایی بالا و تشخیص انواع باجافزار ازجمله “777”، “DXXD”، “Jigsaw”، “BadBlock” و “XORBAT”
4. Thor Premium Home
- پکیج کاملی از ابزارهای حذف باج افزار
- عملکرد اصلی بهعنوان آنتیویروس
5. VirusTotal
- یکی از شناختهشدهترین سرویسها برای بررسی فایلهای آلوده به ویروسها، تروجانها، کرمها و سایر بدافزارها
- حذف باج افزار بهمحض شناسایی و تشخیص خانواده آن
بیشتر بخوانید: تروجان چیست؟ راه های مقابله با آن
آیا هنگام حمله باج افزار، باید باج بدهیم؟
بسیاری از کارشناسان امنیتی و مقامات مجری قانون، ازجمله FBI، توصیه جدی بر عدم پرداخت باج میکنند و برای آن سه دلیل اصلی دارند:
- حتی در صورت پرداخت باج، هیچ تضمینی وجود ندارد که مجرمان سایبری اطلاعات شما را رمزگشایی کنند؛
- برخی از انواع باجافزارها درواقع قادر به رمزگشایی دادهها نیستند، حتی اگر باج پرداخت شود؛
- پرداخت باج باعث تشویق حملات بیشتر در آینده علیه سازمان شما و دیگران میشود.
آنچه در حذف باج افزار خواندیم؟
بهترین راه برای مقابله با باج افزارها، پیشگیری است؛ اما خب همیشه هم پیشگیری موثر نخواهد بود و باید راههای شکست باجافزارها را هم بلد باشیم. استفاده از ابزارهای آنلاین مانند ID Ransomware و نرمافزار Recuva، بهترین روشهای مقابله با این آلودگی و بازیابی فایلها است. اگر تمام راههای این مقاله را طی کردید و همچنان سیستمتان آلوده است، در بخش کامنتها مشکلتان را مطرح کنید تا ما و سایر مخاطبان راهحلی پیشرویتان قرار دهیم.
بیشتر بخوانید: افزایش امنیت وردپرس با 19 راهکار عملی و کارآمد
سوالات متداولی که شما میپرسید
- راههای موثر برای حذف باجافزار چه چیزهایی هستند؟
ایزوله کردن سیستم آسیبدیده، قطع ارتباط سیستم آلوده از شبکه و شناسایی باجافزار، از اقدامهای موثر و فوری در این زمینه هستند.
- کدام ابزارها برای پاک کردن باجافزار مفید هستند؟
ID Ransomware، Trend Micro و Emsisoft از بهترین ابزارها برای این هدف هستند.
- آیا امکان بازیابی فایلهای آلودهشده به باجافزار وجود دارد؟
بله. ابزارهایی با نام “Ransomware Decryption” بهراحتی این کار را برای شما انجام میدهند که Recuva سادهترین و محبوبترین آنها است.
منابع:
19 دیدگاه. دیدگاه تازه ای بنویسید
ممنونم جناب حیدری
مقاله خیلی خوبی بود
چند سوال داشتم
1 – آیا این مقاله رو تازه نوشته اید یا اینکه قبلا منتشر شده بود و الان تاریخ انتشارش رو بروز رسانی کردید ؟ چون همه sample date های موجود در جدول مقاله برای سال 2016 هست
2 – آیا همه این باج افزارها را خودتان تست کردید و با 3 روش ارائه شده، خروجی موثر بودن رو گرفتید ؟ یا برگرفته از مقالات اینترنتی بوده ؟
3 – آیا در حال حاضر ابزار یا راه حل موثری برای رمزگشایی و مقابله با نسخه های مختلف باج افزار WannaCry وجود داره ؟ که فایلهای آلوده شده با این باج افزار رو بشه به درستی رمزگشایی و ریکاوری کرد ؟
سپاس از شما
سلام و درود
ممنون از لطفی که داشتید و سپاس برای وقتی که پای خوندن مقاله گذاشتید
قبلاً چندتا مقاله بهصورت جداگانه در این مورد داشتیم که همه رو با هم ترکیب کردیم و مجدداً آپلود کردیم.
همه روشهایی که گفتیم تست شدند و در مورد باقی موارد، مثل همون WannaCry که فرمودید هم بهزودی مقالات جدید آماده میکنیم.
سلام و درود
توی تجربه ای که داشتم با کارکردن با آنتی ویروس ها و ضد مخرب هایی که تمرکز روی باج افزار ها دارند؛ بی شک امسی سافت یکی از بهترین ها هستش. چون هم شخصی و هم سازمانی چند ساله استفاده می کنیم بدون هیچ مشکلی در صورتی حمله های باج افزاری دائما اتفاق می افتاده( در لاگ ها میدیدیم) و ما در امنیت کامل بودیم. پیشنهاد می کنم که استفاده اش کنید. نمایندگی ایران هم داره که بشه گرفت ازشون.
سلام آقای کریمی، روزتون بخیر
خیلی عالیه که تجربهتون رو گفتید. ممنونیم و امیدوارم به درد بقیه دوستان هم بخوره :)
سلام بنده باج افزار .pooe را در کامپیوتذم دارم چطور از بینش ببرم واقعا ناراحتم ۱۰۳ گیگابایت اطلاعاتم رمزگزاری شده لطفا کمکم کنید و تا الان هم از من باج نخواسته
سلام، روزتون بخیر
میتونید از نرمافزار RESTORO کمک بگیرید. بعدش هم تمام رمزاتون رو عوض کنید. حتی اسکایپ و گوگل درایو.
برای توضیحات بیشتر این مقاله رو بخونید:
https://geeksadvice.com/remove-pooe-ransomware-virus/
سلام پسوندباج افزار روی فایلهام mpaj می باشد لطفا راهنمایی نمائید تشکر
سلام؛ این ویروس از خانواده Djvu هست و برای از بین بردنش میتونید از Combo Cleaner استفاده کنید. برای اطلاعات بیشتر این مقاله رو بخونید: https://www.pcrisk.com/removal-guides/17532-mpaj-ransomware
سلام
با تشکر بابت اطلاعات ارزشمندتون
متاسفانه کلیه عکس ها و فیلم های خانوادگیم دچار باجگیر ابزار روگر roger شدن لطفا راهنماییم کنید
البته من کل فایل های قفل شده رو در یک هارد اکسترنال کپی کردم.
سلام، برای اسکن میتونید از نرمافزارای مخصوص مثل Combo Cleaner استفاده کنید. برای دیکد کردن فایلهاتون ولی بهتره از یه متخصص کمک بگیرید یا این مقاله رو بخونید:
https://www.pcrisk.com/removal-guides/16445-roger-ransomware
سلام
با تشکر بابت اطلاعات ارزشمندتون
متاسفانه کلیه عکس ها و فیلم های خانوادگیم دچار باجگیر STAX شدن لطفا راهنماییم کنید.
با سلام، باید از انتی ویروسی استفاده کنید که بتونه شناسایی بدافزار و رمزگشایی فایلها رو انجام بده.
پیشنهاد میکنیم که از آنتی ویروس معتبر استفاده بشه و قبل از خرید از مشاوره اون شرکت استفاده کنید و بپرسید که روندش به چه شکل هست.
تو لینک زیر هم یک سری موارد معرفی شدن:
https://www.myantispyware.com/2018/04/23/best-free-malware-removal-tools/
سلام پسوندباج افزار روی فایلهام maql هست لطفا راهنمایی نمائید تشکر
سلام
مثل سایر باج افزارها، این ویروس هم باید با استفاده از آنتیویروس قوی شناسایی و حذف بشه و در صورت نیاز با ابزارهای دیگری فایلهای قفل شده باز بشن. پیشنهاد میکنم کسپراسکای رو تهیه کنید و از مشاورهشون هم برای حذف باج افزار کمک بگیرید.
با عرض سلام و ادب خدمت شما
متاسفانه ۳ ترابایت از اطلاعاتم توسط باج افزار maak رمزگذاری شده، ممنون میشم اگه بنده را در این باب راهنمایی بفرمایید.
سپاسگزارم.
سلام جناب رستگاری، روزتون بهخیر
ماک یکی از پیچیدهترین بدافزارهاست و برای هر قربانی از یک کلید خاص استفاده میکنه؛ مگر اینکه قبل از قفل کردن فایلها نتونه با سرور کنترلکنندهش ارتباط برقرار کنه که در این شرایط از یک کلید آفلاین تکراری استفاده میکنه.
در این حالت هست که میتونید به رمزگشایی امیدوار بشید. پیشنهاد میکنم نرمافزار ضدبدافزاری که در مقاله زیر گفته شده رو دانلود کنید و مراحلی که نوشتن رو انجام بدید تا بتونید بدافزار رو از بین ببرید.
https://howtofix.guide/maak-virus-file/
سلام یه باج افزار روی ویندوز نصب شده که پسوند cake به فایل هام داده.
اگه میشه راهنمایی کنید
سلام خسته نباشید توروخدا کمکم کنید کل زندگیم تو لپ تاپمه و الان یک ماه بدافزاری روی سیستمم نشسته هردرایوی بازمیکنم میشینه روفایلای اون الان روی کل درایوهام نشسته و کلا اطلاعاتمو نمیتونم بازکنم توروخدا کمکم کنید
بدافرارهام به این اسم هست
readme.txt-
و روی فایل هام به این نام اومده
Internet download manager bilde…….zip.voom
Voom
و در درایو دیگم به این نام هست
Java development kit 18.0.x64 yasdl.com.zip.xcvf
توروخدا داروندارم رفت یه راه حل بگید ازاین راه کارتهای عابرمو خالی کردن الان میخوام لپ تاپمو نجات بدم لطفا سریع جواب بدید
حسن عزیز خیلی متاسفیم که این خبر رو میشنویم و بیشتر متاسفیم که باید بگیم احتمالاً کاری نمیشه کرد
اگر روشهایی که تو این مقاله گفتیم کمکت نکرد، به احتمال زیاد باج افزار کل سیستم رو شدید درگیر کرده
اما بازم اگر لپتاپ رو بتونی پیش یه متخصص ببری که ببینه و نظر بده شاید بهتر باشه