آشنایی با ۵ ابزار کاربردی و پیشرفته برای حذف باج افزار

سلام، شما هک شده‌اید! فایل‌های‌تان قفل شده‌اند و اگر می‌خواهید به آن‌ها دسترسی داشته باشید، مبلغ X را به حساب Y واریز کنید! یکی از بدترین اتفاقاتی که می‌تواند رخ دهد همین است. اسیر باج افزار شدن! می‌خواهید بدانید راجع به چه چیزی صحبت می‌کنیم، مقاله باج افزار چیست را بخوانید. ما در این مقاله، درباره حذف باج افزار، و راه‌های مقابله با ویروس باج‌گیر را آموزش دهیم.

تعریف ساده باج افزار در دو خط

باج‌افزار بدافزاری است که داده‌های کاربر را رمزگذاری و غیرقابل دسترسی می‌کند. مهاجم یا هکر، در ازای رمزگشایی این داده‌ها باج می‌گیرد. حتی اگر این باج پرداخت شود، هیچ تضمینی برای بازیابی داده‌ها وجود ندارد.

نشانه‌های باج افزار

واضح‌ترین نشانه حمله باج‌افزار این است که سیستم پنجره‌ای با یادداشت باج مانند تصویر زیر نمایش دهد.

اما حمله باج‌افزار نشانه‌های دیگری هم دارد که به شرح زیر هستند:

حذف باج افزار با سه روش فوری

اگر توسط بدافزار آلوده شده‌اید، چند گام سریع زیر را برای حذف آن و جلوگیری از آسیب بیشتر طی کنید:

۱. ایزوله کردن سیستم‌ آسیب‌دیده 

 برای جلوگیری از انتشار بدافزار در شبکه یا ارتباط آن با سیستم‌های فرمان و کنترل، هر دستگاهی را که علائم بدافزار را نشان می‌دهد،  از شبکه‌های Wi-Fi و سیمی جدا کنید.

۲. شناسایی بدافزار

می‌توانید از ابزار رایگانی مانند “Cyber ​​Sheriff” که توسط Europol و McAfee ارائه شده است، استفاده کنید تا نوع بدافزاری که به آن آلوده شده‌اید را بشناسید.

۳. گزارش به کارشناس شبکه و پلیس امنیت سایبری

اگر درگیر این موضوع شدید، باید به پلیس امنیت سایبری، کارشناس شبکه یا مدیرعامل شرکت‌تان گزارش دهید تا اقدامات لازم برای شناسایی مهاجمان و حذف باج افزار به‌‌شکلی درست صورت بگیرد. 

بیشتر بخوانید: بررسی انواع باج افزارها؛ آشنایی با ۱۵ باج افزار خطرناک

حذف باج افزار با سه روش سریع و موثر

برای حذف باج افزار، سه روش ساده و کاربردی را معرفی خواهیم کرد که در ادامه به‌شکل گام‌به‌گام آورده شده‌اند.

۱. استفاده از ابزارهای شناسایی و رمزگشایی

باج‌ افزارها هم خانواده دارند! به‌عبارت ساده‌تر، هر باج‌‌افزار در دسته‌ای مشخص قرار می‌گیرد که برای خنثی کردن اثر آن، شناسایی و تشخیص این خانواده اهمیت بسیار زیادی دارد.

یکی از این ابزارها، ID Ransomware است که با کلیک روی لینک آن، پنجره زیر را مشاهده خواهید کرد.

بررسی اطلاعات با ID Ransomware

همان‌طور که می‌بینید، ID Ransomware با سه روش قادر به تشخیص باج‌افزار است:

  1. Ransom Note

وقتی گرفتار باج‌افزارها می‌شوید، پیغامی از جانب هکر برای‌تان ارسال می‌شود. خبر خوب این‌که ID Ransomware، با دریافت همین پیغام و بررسی آن، خانواده باج‌افزار را شناسایی می‌کند. 

برای حذف باج افزار به این شیوه، باید ابتدا فایل اطلاعات آن را با کلیک روی دکمه Choose File، در سایت بارگذاری کنید. سپس ID Ransomware کارش را شروع کرده و پس از بررسی، اطلاعات را در اختیارتان قرار می‌دهد.

  1. Sample Encrypted File

در این روش، برای شناسایی خانواده باج‌افزار، از فایل‌های قفل‌شده در حمله استفاده می‌کنیم

این روش با تکیه‌بر سیستم‌های رمزنگاری باج‌افزار، شناسایی آن را ساده و ممکن می‌سازد.

در این بخش هم باید یکی از فایل‌های آلوده را بارگذاری و سپس همان دکمه Upload را بزنید.

  1. Addresses

در این قسمت می‌توانید هر آدرس ایمیل یا لینکی که توسط باج‌افزار و به‌منظور گرفتن ارتباط ارسال شده را وارد کنید. بعد از این‌که راه ارتباطی را در این سایت وارد کردید، دکمه Upload را بزنید تا ID Ransomware خانواده باج‌‌افزار را شناسایی کند.

نکته: به‌هیچ‌وجه حجم زیادی از فایل‌ها را آپلود نکنید؛ چون در این حالت پردازش درخواست شما کند شده و ممکن است امکان استفاده از این سایت سلب شود. آپلود حجم بیشتری از فایل‌ها به‌معنای راحت‌تر شدن فرآیند شناسایی نیست. 

فرض را بر این می‌گیریم که باج‌افزار مزاحم داستان، از خانواده TeslaCrypt 4.0 است که توسط همین سایت و ویژگی Sample Encrypted File، خانواده آن را شناسایی کرده‌ایم. پس از انجام عملیات و اتمام شناسایی، تصویر زیر را مشاهده خواهید کرد:

تشخیص باج افزار

در این مثال، فایل‌هایی که توسط TeslaCrypt 4.0 قفل‌ نشده‌اند، قابل بازگردانی هستند. به‌همین‌دلیل، یک لینک حاوی آموزش چگونگی رمزگشایی فایل‌ها و ابزارهای مورداستفاده هم – مانند تصویر زیر – ارائه شده است. 

شناسایی با TeslaCrypt 4.0

همان‌طور که در تصویر بالا می‌بینید، اطلاعات موردنیاز برای رمزگشایی فایل‌ها در BloodDolly نوشته شده است! (همان لینک حاوی آموزش رمزگشایی). با استناد به اطلاعات موجود در BloodDolly،  اولین چیزی که نیاز داریم، کلیدی است که هکر با استفاده از آن، فایل‌ها را رمزنگاری کرده است.

رمزگشایی فایل‌ها در BloodDolly

به تصویر بالا توجه کنید. قسمت Extensions، برای انتخاب پسوندی است که باج‌افزار روی فایل‌های آلوده قرار داده است. انتخاب پسوند به ابزارهای رمزگشایی کمک می‌کند تا بهترین و متناسب‌ترین شاه‌کلید را به‌صورت خودکار انتخاب کنند.

درواقع این قسمت مشخص می‌کند که برای چه نوع قفلی باید دنبال کلید گشت. 

همان‌طور که در عکس بالا می‌بینید، ما برای نمونه باج‌افزار خودمان (TeslaCrypt 4.0)، گزینه آخر یعنی “as original” را انتخاب کردیم؛ چراکه پسوند هیچ فایلی توسط باج‌افزار تغییر نکرده است.

بعد از انتخاب گزینه مدنظر و اجرای دستور لازم، با اطلاعات زیر مواجه خواهید شد:

حذف باج افزار

حالا کلید کار خودش را انجام داده و فایل‌ها رمزگشایی شده‌اند، اما کارمان به اتمام نرسیده است! حالا باید فایل‌ها را بازگردانی (همان ریکاوری) کنیم.

در مثال ما، این ابزار موفق شده تا ۱۰۰ درصد فایل‌ها را رمزگشایی و بازگردانی کند. در تصویر زیر این موضوع مشخص است:

ریکاوری فایل ها

نکته: اگر ID Ransomware پس از شناسایی خانواده باج‌افزار، روشی برای رمزگشایی آن نداشت،  می‌توانید از گوگل کمک بگیرید. فقط کافی است نام خانواده باج‌افزار و ابزار رمزگشایی را در این موتور جست‌وجو بنویسید و دکمه Enter را بزنید.  

برای مثال، یافتن ابزار رمزگشایی TesleCrypt 4.0 با جست‌وجو عبارت زیر در گوگل ممکن می‌شود:

How to decrypt teslacrypt 4.0

۲. بازگردانی به کمک نسخه یکسان (Shadow Copy)

وقتی هکرها با باج‌افزارشان فایل‌های‌تان را قفل کنند، می‌توانید با کمک نسخه یکسان یا همان Shadow Copy، خیلی راحت نقشه‌های‌شان را برملا کنید. 

نسخه یکسان، مجموعه‌ای از رابط‌های کاربری COM است که با پیاده‌سازی یک چارچوب مشخص، باعث بهبود عملکرد پارتیشن‌های پشتیبانی می‌شود. این قابلیت به پارتیشن‌های حافظه، اجازه کپی کردن فایل‌ها را به‌صورت هم‌زمان و در هنگام اجرای برنامه‌ها روی سیستم می‌دهد.

مایکروسافت از ویندوز XP به بعد، این خصوصیت‌ را به‌عنوان یک پیش‌فرض روی تمام سیستم‌عامل‌هایش قرار داد؛ یعنی  اگر از ویندوز استفاده می‌کنید، به‌ احتمال بسیار زیاد نسخه کپی یکسان دارید. حتی اگر خودتان هم ندانید.

برای بررسی نسخه‌های یکسان، به ابزارهایی با عنوان Shadow Explorer نیاز داریم که رایگان هستند.

ما برای شروع کار، نرم‌افزار کم‌حجم Shadowexplorer را دانلود کردیم.

پنجره اصلی به شکل زیر است:

دانلود نرم افزار shadowexplorer.

در این صفحه، می‌توانید پارتیشن مدنظرتان را برای ذخیره کپی انتخاب کنید. دقت داشته باشید که برای بازیابی نسخه‌های کپی، باید توجه بیشتری به‌خرج بدهید؛ چراکه ممکن است بیش‌از یک Snapshot از پارتیشن پشتیبان وجود داشته باشد. در چنین حالتی، موقع بازگردانی فایل‌ها دچار مشکل می‌شویم.

حالا روی فایلی که حاوی نسخه‌های کپی است راست کلیک و گزینه Export را انتخاب و مقصد را مشخص کنید (مطابق تصویر زیر). در ادامه استخراج فایل‌ها شروع می‌شود.

انتخاب Export و مشخص کردن مقصد

۳. استفاده از ابزارهای بازیابی داده

منظور از بازیابی اطلاعات، نجات و حتی تعمیر اطلاعات از دست رفته است. این کار همیشه به‌راحتی امکان‌پذیر نیست. در برخی مواقع، سیستم به‌قدری آسیب دیده که نمی‌توان کاری برای داده‌های آلوده انجام داد.

موفقیت در بازگردانی داده‌ها، به متغیرهای زیادی بستگی دارد. متغیرهایی مثل پارتیشن‌های سیستم‌عامل، اولویتی که در بازنویسی داده‌ها در نظر گرفته شده است، چگونگی مدیریت فضای خالی درایو و غیره.

نرم‌افزارهای زیادی وجود دارند که به‌منظور بازیابی اطلاعات طراحی شده‌اند، در ادامه ما از ابزاری رایگان با نام Recuva – نسخه Portable – برای حذف باج افزار استفاده خواهیم کرد.

نکته مهم: برای این‌که درصد موفقیت بازیابی فایل‌ها بالا برود، توصیه می‌کنیم  نرم‌افزار Recuva را روی یک حافظه جانبی مثل فلش مموری یا هارد اکسترنال نصب کنید تا به‌شکل مستقیم روی سیستم‌عامل اجرا نشود.

بعد از اینکه این نرم‌افزار را نصب کردید، فرآیندی برای اسکن آغاز می‌شود که بهتر است آن را لغو کنید.

با اجرای فایل نصب، از Wizard با کلیک روی دکمه “Cancel” در پنجره “Welcome to the Recuva Wizard” گذر کرده و وارد پنجره اصلی برنامه می‌شویم.

Welcome to the Recuva Wizard

حال باید درایو موردنظر را انتخاب و روی دکمه “Options” از سمت راست کلیک کنیم.

انتخاب گزینه Options

سپس از تب Actions، کادر Restore folder structure را فعال می‌کنیم

فعال کردن Restore folder structure

این کار باعث حفظ ساختار دایرکتوری می‌شود. همچنین نام تمام فایل‌های رمزگذاری‌شده را هم در اختیارمان می‌گذارد. بعد از انجام این تغییرات، دکمه Scan را فشرده تا عملیات اسکن فایل‌ها آغاز شود.

نمایش فایل های بازیابی شده

بعد از این‌که اسکن اطلاعات پاک‌شده به اتمام رسید، یک پنجره حاوی فایل‌های بازیابی‎شده نمایش داده می‌شود. با کلیک روی کادر گوشه Filename، تمام فایل‌ها را انتخاب کنید.

حذف باج افزار

برای شروع ریکاوری، دکمه Recover… همین پنجره را فشرده و درایو موردنظرتان را برای ذخیره فایل‌های بازیابی‌شده انتخاب کنید. 

شروع ریکاوری

۵ ابزار حذف باج افزار 

علاوه‌بر ابزار ID Ransomware، ۵ برنامه دیگر هم برای حذف باج افزار وجود دارند که در ادامه هرکدام را به‌همراه برترین ویژگی‌های‌شان معرفی کرده‌ایم.

۱. No More Ransom

۲. Emsisoft

۳. Trend Micro

۴. Thor Premium Home

۵. VirusTotal

بیشتر بخوانید: تروجان چیست؟ راه های مقابله با آن

آیا هنگام حمله باج افزار، باید باج بدهیم؟

بسیاری از کارشناسان امنیتی و مقامات مجری قانون، ازجمله FBI، توصیه جدی بر عدم پرداخت باج می‌کنند و برای آن سه دلیل اصلی دارند:

  1. حتی در صورت پرداخت باج، هیچ تضمینی وجود ندارد که مجرمان سایبری اطلاعات شما را رمزگشایی کنند؛
  2. برخی از انواع باج‌افزارها درواقع قادر به رمزگشایی داده‌ها نیستند، حتی اگر باج پرداخت شود؛
  3. پرداخت باج باعث تشویق حملات بیشتر در آینده علیه سازمان شما و دیگران می‌شود.

آنچه در حذف باج افزار خواندیم؟

بهترین راه برای مقابله با باج افزارها، پیشگیری است؛ اما خب همیشه هم پیشگیری موثر نخواهد بود و باید راه‌های شکست باج‌افزارها را هم بلد باشیم. استفاده از ابزارهای آنلاین مانند ID Ransomware و نرم‌افزار Recuva، بهترین روش‌های مقابله با این آلودگی و بازیابی فایل‌ها است. اگر تمام راه‌های این مقاله را طی کردید و هم‌چنان سیستم‌تان آلوده است، در بخش کامنت‌ها مشکل‌تان را مطرح کنید تا ما و سایر مخاطبان راه‌حلی پیش‌روی‌تان قرار دهیم. 

بیشتر بخوانید: افزایش امنیت وردپرس با ۱۹ راهکار عملی و کارآمد

سوالات متداولی که شما می‌پرسید

  1. راه‌های موثر برای حذف باج‌افزار چه چیزهایی هستند؟

ایزوله کردن سیستم آسیب‌دیده، قطع ارتباط سیستم آلوده از شبکه و شناسایی باج‌افزار، از اقدام‌های موثر و فوری در این زمینه هستند.

  1. کدام ابزارها برای پاک کردن باج‌افزار مفید هستند؟

ID Ransomware، Trend Micro و Emsisoft از بهترین ابزارها برای این هدف هستند. 

  1. آیا امکان بازیابی فایل‌های آلوده‌شده به باج‌افزار وجود دارد؟

بله. ابزارهایی با نام “Ransomware Decryption” به‌راحتی این کار را برای شما انجام می‌دهند که Recuva ساده‌ترین و محبوب‌ترین آن‌ها است.

منابع:

cynet

fortinet

NordVPN

51 پاسخ

  1. سلام
    تمامی فایل ها بخصوص بانک اطلاعاتی با پسوند decryptdata رمز شده است
    راه حل ؟

    پاسخ

    1. سلام، متأسفانه پسوند `decryptdata.` نشان‌دهنده آلوده شدن سیستم به یک نوع باج‌افزار است که فایل‌ها را رمزنگاری کرده. اگر فایل‌ها به‌صورت آفلاین رمزگذاری شده باشند، احتمال بازیابی آن‌ها بیشتر است و ابزارهایی وجود دارند که در برخی موارد می‌توانند کمک کنند.

      پیشنهاد می‌شود اول از همه سیستم را از اینترنت قطع کرده و از فایل‌های فعلی بک‌آپ بگیرید. سپس با یک آنتی‌ویروس معتبر سیستم را اسکن کرده و ابزارهای بازیابی مخصوص باج‌افزار (مانند ابزارهای شرکت Emsisoft) را امتحان کنید. همچنین منتظر نسخه‌های جدید این ابزارها باشید، چون گاهی برای پسوندهای جدید پشتیبانی اضافه می‌شود.

      پاسخ

  2. سلام وقت بخیر
    لطف می کنید راهنماییم کنید، یک باج افزار روی ویندوزم نصب شده که همه فایل ها پسورد righ گرفتن و قفل شدن تمام عکس ها و فیلم و … لطف کنید راهنماییم کنید. ممنون

    پاسخ

    1. سلام، ابتدا کامپیوتر را از اینترنت جدا کنید و از اجرای فایل‌های مشکوک خودداری کنید. از ابزارهای آنتی‌ویروس قدرتمند و نرم‌افزارهای ضدباج‌افزار برای اسکن و حذف تهدید استفاده کنید. در صورت امکان، از نسخه پشتیبان (Backup) فایل‌ها استفاده کنید چون رمزگشایی بدون کلید خصوصی اغلب غیرممکن است. در نهایت، برای جلوگیری از تکرار، سیستم‌عامل و نرم‌افزارها را به‌روز نگه دارید و مراقب ایمیل‌ها و لینک‌های ناشناس باشید.

      پاسخ

  3. سلام
    فایل های من رمزنگاری شده و پسوند آن به .Elder تغییر پیدا کرده

    یک نمونه نام فایل ها به شرح زیر است
    Img_1140004061654115411.JPG.id[5EF5A11D-3326].[943recovery@protonmail.com].Elder

    متاسفانه سایتی که معرفی کردید آن را تشخیص نداد
    پیشنهادی دارید ؟!

    پاسخ

    1. باسلام؛
      ضمن عرض تاسف این مدل از encrypt تا کنون شناسایی نشده و قابل decrypt بصورت انلاین نمی باشد.

      پاسخ

  4. سلام دوباره
    از صبح ساعت ۵ نامه به باج افزار ارسال کردم ولی متاسفانه هیچ جوابی دریافت نکردم
    گفتم نظر شما درمورد جواب ندادن چی هست
    راه حلی دارد که فایل های کد گذاری شده برگشت داد با سه تا روش بالا فقط درایو c قابل بازگشت هست
    دیگر درایوها متاسفانه خیر

    پاسخ

    1. سلام، متأسفانه بسیاری از گروه‌های باج‌افزاری پس از دریافت ایمیل یا حتی پرداخت، پاسخ نمی‌دهند یا ارتباط را قطع می‌کنند. این یکی از دلایل مهمیه که توصیه می‌شه هیچ‌وقت به اون‌ها اعتماد یا پرداختی انجام نشه. نبود پاسخ از طرف اون‌ها نشون می‌ده که هیچ تضمینی برای بازگشت فایل‌ها وجود نداره.

      اگر فقط درایو C قابل بازیابی بوده، احتمالاً ابزارهای بازیابی فقط توانستند بخشی از داده‌های موقت یا کش‌شده را برگردانند. برای سایر درایوها، پیشنهاد می‌کنم فعلاً فایل‌ها را نگه دارید، ازشون نسخه پشتیبان بگیرید و منتظر انتشار ابزارهای رمزگشای جدید بمونید. همچنین با نرم‌افزارهایی مثل Recuva یا EaseUS گاهی می‌شه نسخه‌های قبلی فایل‌ها رو از حافظه بازیابی کرد، هرچند نتیجه تضمینی نیست. مهم‌ترین کار فعلاً جلوگیری از نوشتن اطلاعات جدید روی درایوهاست تا شانس ریکاوری بیشتر بشه.

      پاسخ

  5. سلام خسته نباشید
    من باج افزار stop(djvu) داخل سیستم دارم
    که تمام فایل ها را با پسوند bbzz. تغییر داد
    که رمزنگاری آنلاین صورت گرفته
    سیستم من ۶تراباید داره که تمام اطلاعات تغییر پسوند و کد گذاری کردی لطفا کمکم کنید

    پاسخ

    1. سلام، متأسفم بابت مشکلی که پیش اومده. پسوند `.bbzz` مربوط به نسخه‌ای از باج‌افزار STOP/DJVU هست که در بیشتر موارد از رمزنگاری آنلاین استفاده می‌کنه. این یعنی کلید رمزگشایی مخصوص سیستم شما روی سرور باج‌گیرنده ذخیره شده و بدون اون بازیابی کامل فایل‌ها فعلاً ممکن نیست.

      با این حال، پیشنهاد می‌کنم اول سیستم رو با آنتی‌ویروس قوی و به‌روز کامل اسکن و پاک‌سازی کنید. فایل‌های رمزگذاری‌شده رو پاک نکنید و نگه دارید، چون ممکنه در آینده ابزار یا کلید رمزگشایی برای این نسخه منتشر بشه. همچنین اگر نسخه‌ای از فایل‌ها رو روی هارد اکسترنال، فلش یا فضای ابری داشتید، حتماً بررسی کنید. برای پیشگیری از آسیب بیشتر، از کار با فایل‌های ناشناس یا دانلود مجدد از منابع نامطمئن خودداری کنید.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *