آشنایی با ۵ ابزار کاربردی و پیشرفته برای حذف باج افزار

سلام، شما هک شده‌اید! فایل‌های‌تان قفل شده‌اند و اگر می‌خواهید به آن‌ها دسترسی داشته باشید، مبلغ X را به حساب Y واریز کنید! یکی از بدترین اتفاقاتی که می‌تواند رخ دهد همین است. اسیر باج افزار شدن! می‌خواهید بدانید راجع به چه چیزی صحبت می‌کنیم، مقاله باج افزار چیست را بخوانید. ما در این مقاله، درباره حذف باج افزار، و راه‌های مقابله با ویروس باج‌گیر را آموزش دهیم.

تعریف ساده باج افزار در دو خط

باج‌افزار بدافزاری است که داده‌های کاربر را رمزگذاری و غیرقابل دسترسی می‌کند. مهاجم یا هکر، در ازای رمزگشایی این داده‌ها باج می‌گیرد. حتی اگر این باج پرداخت شود، هیچ تضمینی برای بازیابی داده‌ها وجود ندارد.

نشانه‌های باج افزار

واضح‌ترین نشانه حمله باج‌افزار این است که سیستم پنجره‌ای با یادداشت باج مانند تصویر زیر نمایش دهد.

اما حمله باج‌افزار نشانه‌های دیگری هم دارد که به شرح زیر هستند:

حذف باج افزار با سه روش فوری

اگر توسط بدافزار آلوده شده‌اید، چند گام سریع زیر را برای حذف آن و جلوگیری از آسیب بیشتر طی کنید:

۱. ایزوله کردن سیستم‌ آسیب‌دیده 

 برای جلوگیری از انتشار بدافزار در شبکه یا ارتباط آن با سیستم‌های فرمان و کنترل، هر دستگاهی را که علائم بدافزار را نشان می‌دهد،  از شبکه‌های Wi-Fi و سیمی جدا کنید.

۲. شناسایی بدافزار

می‌توانید از ابزار رایگانی مانند “Cyber ​​Sheriff” که توسط Europol و McAfee ارائه شده است، استفاده کنید تا نوع بدافزاری که به آن آلوده شده‌اید را بشناسید.

۳. گزارش به کارشناس شبکه و پلیس امنیت سایبری

اگر درگیر این موضوع شدید، باید به پلیس امنیت سایبری، کارشناس شبکه یا مدیرعامل شرکت‌تان گزارش دهید تا اقدامات لازم برای شناسایی مهاجمان و حذف باج افزار به‌‌شکلی درست صورت بگیرد. 

بیشتر بخوانید: بررسی انواع باج افزارها؛ آشنایی با ۱۵ باج افزار خطرناک

حذف باج افزار با سه روش سریع و موثر

برای حذف باج افزار، سه روش ساده و کاربردی را معرفی خواهیم کرد که در ادامه به‌شکل گام‌به‌گام آورده شده‌اند.

۱. استفاده از ابزارهای شناسایی و رمزگشایی

باج‌ افزارها هم خانواده دارند! به‌عبارت ساده‌تر، هر باج‌‌افزار در دسته‌ای مشخص قرار می‌گیرد که برای خنثی کردن اثر آن، شناسایی و تشخیص این خانواده اهمیت بسیار زیادی دارد.

یکی از این ابزارها، ID Ransomware است که با کلیک روی لینک آن، پنجره زیر را مشاهده خواهید کرد.

بررسی اطلاعات با ID Ransomware

همان‌طور که می‌بینید، ID Ransomware با سه روش قادر به تشخیص باج‌افزار است:

  1. Ransom Note

وقتی گرفتار باج‌افزارها می‌شوید، پیغامی از جانب هکر برای‌تان ارسال می‌شود. خبر خوب این‌که ID Ransomware، با دریافت همین پیغام و بررسی آن، خانواده باج‌افزار را شناسایی می‌کند. 

برای حذف باج افزار به این شیوه، باید ابتدا فایل اطلاعات آن را با کلیک روی دکمه Choose File، در سایت بارگذاری کنید. سپس ID Ransomware کارش را شروع کرده و پس از بررسی، اطلاعات را در اختیارتان قرار می‌دهد.

  1. Sample Encrypted File

در این روش، برای شناسایی خانواده باج‌افزار، از فایل‌های قفل‌شده در حمله استفاده می‌کنیم

این روش با تکیه‌بر سیستم‌های رمزنگاری باج‌افزار، شناسایی آن را ساده و ممکن می‌سازد.

در این بخش هم باید یکی از فایل‌های آلوده را بارگذاری و سپس همان دکمه Upload را بزنید.

  1. Addresses

در این قسمت می‌توانید هر آدرس ایمیل یا لینکی که توسط باج‌افزار و به‌منظور گرفتن ارتباط ارسال شده را وارد کنید. بعد از این‌که راه ارتباطی را در این سایت وارد کردید، دکمه Upload را بزنید تا ID Ransomware خانواده باج‌‌افزار را شناسایی کند.

نکته: به‌هیچ‌وجه حجم زیادی از فایل‌ها را آپلود نکنید؛ چون در این حالت پردازش درخواست شما کند شده و ممکن است امکان استفاده از این سایت سلب شود. آپلود حجم بیشتری از فایل‌ها به‌معنای راحت‌تر شدن فرآیند شناسایی نیست. 

فرض را بر این می‌گیریم که باج‌افزار مزاحم داستان، از خانواده TeslaCrypt 4.0 است که توسط همین سایت و ویژگی Sample Encrypted File، خانواده آن را شناسایی کرده‌ایم. پس از انجام عملیات و اتمام شناسایی، تصویر زیر را مشاهده خواهید کرد:

تشخیص باج افزار

در این مثال، فایل‌هایی که توسط TeslaCrypt 4.0 قفل‌ نشده‌اند، قابل بازگردانی هستند. به‌همین‌دلیل، یک لینک حاوی آموزش چگونگی رمزگشایی فایل‌ها و ابزارهای مورداستفاده هم – مانند تصویر زیر – ارائه شده است. 

شناسایی با TeslaCrypt 4.0

همان‌طور که در تصویر بالا می‌بینید، اطلاعات موردنیاز برای رمزگشایی فایل‌ها در BloodDolly نوشته شده است! (همان لینک حاوی آموزش رمزگشایی). با استناد به اطلاعات موجود در BloodDolly،  اولین چیزی که نیاز داریم، کلیدی است که هکر با استفاده از آن، فایل‌ها را رمزنگاری کرده است.

رمزگشایی فایل‌ها در BloodDolly

به تصویر بالا توجه کنید. قسمت Extensions، برای انتخاب پسوندی است که باج‌افزار روی فایل‌های آلوده قرار داده است. انتخاب پسوند به ابزارهای رمزگشایی کمک می‌کند تا بهترین و متناسب‌ترین شاه‌کلید را به‌صورت خودکار انتخاب کنند.

درواقع این قسمت مشخص می‌کند که برای چه نوع قفلی باید دنبال کلید گشت. 

همان‌طور که در عکس بالا می‌بینید، ما برای نمونه باج‌افزار خودمان (TeslaCrypt 4.0)، گزینه آخر یعنی “as original” را انتخاب کردیم؛ چراکه پسوند هیچ فایلی توسط باج‌افزار تغییر نکرده است.

بعد از انتخاب گزینه مدنظر و اجرای دستور لازم، با اطلاعات زیر مواجه خواهید شد:

حذف باج افزار

حالا کلید کار خودش را انجام داده و فایل‌ها رمزگشایی شده‌اند، اما کارمان به اتمام نرسیده است! حالا باید فایل‌ها را بازگردانی (همان ریکاوری) کنیم.

در مثال ما، این ابزار موفق شده تا ۱۰۰ درصد فایل‌ها را رمزگشایی و بازگردانی کند. در تصویر زیر این موضوع مشخص است:

ریکاوری فایل ها

نکته: اگر ID Ransomware پس از شناسایی خانواده باج‌افزار، روشی برای رمزگشایی آن نداشت،  می‌توانید از گوگل کمک بگیرید. فقط کافی است نام خانواده باج‌افزار و ابزار رمزگشایی را در این موتور جست‌وجو بنویسید و دکمه Enter را بزنید.  

برای مثال، یافتن ابزار رمزگشایی TesleCrypt 4.0 با جست‌وجو عبارت زیر در گوگل ممکن می‌شود:

How to decrypt teslacrypt 4.0

۲. بازگردانی به کمک نسخه یکسان (Shadow Copy)

وقتی هکرها با باج‌افزارشان فایل‌های‌تان را قفل کنند، می‌توانید با کمک نسخه یکسان یا همان Shadow Copy، خیلی راحت نقشه‌های‌شان را برملا کنید. 

نسخه یکسان، مجموعه‌ای از رابط‌های کاربری COM است که با پیاده‌سازی یک چارچوب مشخص، باعث بهبود عملکرد پارتیشن‌های پشتیبانی می‌شود. این قابلیت به پارتیشن‌های حافظه، اجازه کپی کردن فایل‌ها را به‌صورت هم‌زمان و در هنگام اجرای برنامه‌ها روی سیستم می‌دهد.

مایکروسافت از ویندوز XP به بعد، این خصوصیت‌ را به‌عنوان یک پیش‌فرض روی تمام سیستم‌عامل‌هایش قرار داد؛ یعنی  اگر از ویندوز استفاده می‌کنید، به‌ احتمال بسیار زیاد نسخه کپی یکسان دارید. حتی اگر خودتان هم ندانید.

برای بررسی نسخه‌های یکسان، به ابزارهایی با عنوان Shadow Explorer نیاز داریم که رایگان هستند.

ما برای شروع کار، نرم‌افزار کم‌حجم Shadowexplorer را دانلود کردیم.

پنجره اصلی به شکل زیر است:

دانلود نرم افزار shadowexplorer.

در این صفحه، می‌توانید پارتیشن مدنظرتان را برای ذخیره کپی انتخاب کنید. دقت داشته باشید که برای بازیابی نسخه‌های کپی، باید توجه بیشتری به‌خرج بدهید؛ چراکه ممکن است بیش‌از یک Snapshot از پارتیشن پشتیبان وجود داشته باشد. در چنین حالتی، موقع بازگردانی فایل‌ها دچار مشکل می‌شویم.

حالا روی فایلی که حاوی نسخه‌های کپی است راست کلیک و گزینه Export را انتخاب و مقصد را مشخص کنید (مطابق تصویر زیر). در ادامه استخراج فایل‌ها شروع می‌شود.

انتخاب Export و مشخص کردن مقصد

۳. استفاده از ابزارهای بازیابی داده

منظور از بازیابی اطلاعات، نجات و حتی تعمیر اطلاعات از دست رفته است. این کار همیشه به‌راحتی امکان‌پذیر نیست. در برخی مواقع، سیستم به‌قدری آسیب دیده که نمی‌توان کاری برای داده‌های آلوده انجام داد.

موفقیت در بازگردانی داده‌ها، به متغیرهای زیادی بستگی دارد. متغیرهایی مثل پارتیشن‌های سیستم‌عامل، اولویتی که در بازنویسی داده‌ها در نظر گرفته شده است، چگونگی مدیریت فضای خالی درایو و غیره.

نرم‌افزارهای زیادی وجود دارند که به‌منظور بازیابی اطلاعات طراحی شده‌اند، در ادامه ما از ابزاری رایگان با نام Recuva – نسخه Portable – برای حذف باج افزار استفاده خواهیم کرد.

نکته مهم: برای این‌که درصد موفقیت بازیابی فایل‌ها بالا برود، توصیه می‌کنیم  نرم‌افزار Recuva را روی یک حافظه جانبی مثل فلش مموری یا هارد اکسترنال نصب کنید تا به‌شکل مستقیم روی سیستم‌عامل اجرا نشود.

بعد از اینکه این نرم‌افزار را نصب کردید، فرآیندی برای اسکن آغاز می‌شود که بهتر است آن را لغو کنید.

با اجرای فایل نصب، از Wizard با کلیک روی دکمه “Cancel” در پنجره “Welcome to the Recuva Wizard” گذر کرده و وارد پنجره اصلی برنامه می‌شویم.

Welcome to the Recuva Wizard

حال باید درایو موردنظر را انتخاب و روی دکمه “Options” از سمت راست کلیک کنیم.

انتخاب گزینه Options

سپس از تب Actions، کادر Restore folder structure را فعال می‌کنیم

فعال کردن Restore folder structure

این کار باعث حفظ ساختار دایرکتوری می‌شود. همچنین نام تمام فایل‌های رمزگذاری‌شده را هم در اختیارمان می‌گذارد. بعد از انجام این تغییرات، دکمه Scan را فشرده تا عملیات اسکن فایل‌ها آغاز شود.

نمایش فایل های بازیابی شده

بعد از این‌که اسکن اطلاعات پاک‌شده به اتمام رسید، یک پنجره حاوی فایل‌های بازیابی‎شده نمایش داده می‌شود. با کلیک روی کادر گوشه Filename، تمام فایل‌ها را انتخاب کنید.

حذف باج افزار

برای شروع ریکاوری، دکمه Recover… همین پنجره را فشرده و درایو موردنظرتان را برای ذخیره فایل‌های بازیابی‌شده انتخاب کنید. 

شروع ریکاوری

۵ ابزار حذف باج افزار 

علاوه‌بر ابزار ID Ransomware، ۵ برنامه دیگر هم برای حذف باج افزار وجود دارند که در ادامه هرکدام را به‌همراه برترین ویژگی‌های‌شان معرفی کرده‌ایم.

۱. No More Ransom

۲. Emsisoft

۳. Trend Micro

۴. Thor Premium Home

۵. VirusTotal

بیشتر بخوانید: تروجان چیست؟ راه های مقابله با آن

آیا هنگام حمله باج افزار، باید باج بدهیم؟

بسیاری از کارشناسان امنیتی و مقامات مجری قانون، ازجمله FBI، توصیه جدی بر عدم پرداخت باج می‌کنند و برای آن سه دلیل اصلی دارند:

  1. حتی در صورت پرداخت باج، هیچ تضمینی وجود ندارد که مجرمان سایبری اطلاعات شما را رمزگشایی کنند؛
  2. برخی از انواع باج‌افزارها درواقع قادر به رمزگشایی داده‌ها نیستند، حتی اگر باج پرداخت شود؛
  3. پرداخت باج باعث تشویق حملات بیشتر در آینده علیه سازمان شما و دیگران می‌شود.

آنچه در حذف باج افزار خواندیم؟

بهترین راه برای مقابله با باج افزارها، پیشگیری است؛ اما خب همیشه هم پیشگیری موثر نخواهد بود و باید راه‌های شکست باج‌افزارها را هم بلد باشیم. استفاده از ابزارهای آنلاین مانند ID Ransomware و نرم‌افزار Recuva، بهترین روش‌های مقابله با این آلودگی و بازیابی فایل‌ها است. اگر تمام راه‌های این مقاله را طی کردید و هم‌چنان سیستم‌تان آلوده است، در بخش کامنت‌ها مشکل‌تان را مطرح کنید تا ما و سایر مخاطبان راه‌حلی پیش‌روی‌تان قرار دهیم. 

بیشتر بخوانید: افزایش امنیت وردپرس با ۱۹ راهکار عملی و کارآمد

سوالات متداولی که شما می‌پرسید

  1. راه‌های موثر برای حذف باج‌افزار چه چیزهایی هستند؟

ایزوله کردن سیستم آسیب‌دیده، قطع ارتباط سیستم آلوده از شبکه و شناسایی باج‌افزار، از اقدام‌های موثر و فوری در این زمینه هستند.

  1. کدام ابزارها برای پاک کردن باج‌افزار مفید هستند؟

ID Ransomware، Trend Micro و Emsisoft از بهترین ابزارها برای این هدف هستند. 

  1. آیا امکان بازیابی فایل‌های آلوده‌شده به باج‌افزار وجود دارد؟

بله. ابزارهایی با نام “Ransomware Decryption” به‌راحتی این کار را برای شما انجام می‌دهند که Recuva ساده‌ترین و محبوب‌ترین آن‌ها است.

منابع:

cynet

fortinet

NordVPN

51 پاسخ

  1. سلام به همه فایلهام پسوند .bozon3 اضافه شده و حتی برنامه هام از جمله نرم افزار حسابداری رو سیستمم باز نمیشه راحلی اگر هست ممنون میشم راهنمایی کنید

    پاسخ

    1. سلام، پسوند `.bozon3` نشون‌دهنده‌ی آلوده شدن سیستم شما به یکی از نسخه‌های جدید باج‌افزارهاست. این نوع ویروس‌ها فایل‌های سیستم رو رمزگذاری می‌کنن و معمولاً دسترسی به نرم‌افزارها و داده‌های مهم مثل برنامه‌های حسابداری رو هم مختل می‌کنن.

      متأسفانه در بیشتر موارد، اگر کلید رمزگشایی اختصاصی در اختیار نباشه، بازگردانی فایل‌ها به‌راحتی ممکن نیست. اما پیشنهاد می‌کنم سیستم‌تون رو با یک آنتی‌ویروس قوی و به‌روز اسکن کنید و فایل‌های رمزگذاری‌شده رو پاک نکنید، چون احتمال داره در آینده ابزار یا کلید بازیابی برای این نسخه منتشر بشه. همچنین از اجرای مجدد فایل‌های مشکوک خودداری کرده و اگر بکاپ دارید، قبل از بازگردانی مطمئن بشید سیستم کاملاً پاک‌سازی شده.

      پاسخ

  2. سلام خسته نباشید توروخدا کمکم کنید کل زندگیم تو لپ تاپمه و الان یک ماه بدافزاری روی سیستمم نشسته هردرایوی بازمیکنم میشینه روفایلای اون الان روی کل درایوهام نشسته و کلا اطلاعاتمو نمیتونم بازکنم توروخدا کمکم کنید

    بدافرارهام به این اسم هست

    readme.txt-
    و روی فایل هام به این نام اومده

    Internet download manager bilde…….zip.voom
    Voom
    و در درایو دیگم به این نام هست

    Java development kit 18.0.x64 yasdl.com.zip.xcvf

    توروخدا داروندارم رفت یه راه حل بگید ازاین راه کارتهای عابرمو خالی کردن الان میخوام لپ تاپمو نجات بدم لطفا سریع جواب بدید

    پاسخ

    1. حسن عزیز خیلی متاسفیم که این خبر رو میشنویم و بیشتر متاسفیم که باید بگیم احتمالاً کاری نمیشه کرد
      اگر روش‌هایی که تو این مقاله گفتیم کمکت نکرد، به احتمال زیاد باج افزار کل سیستم رو شدید درگیر کرده
      اما بازم اگر لپتاپ رو بتونی پیش یه متخصص ببری که ببینه و نظر بده شاید بهتر باشه

      پاسخ

  3. سلام وقتتون بخیر باج افزار mmob تمام فایل های لپ تاپم رو درگیر کرده ، خواهش میکنم راهنمایی کنید چیکار کنم تمام اطلاعات مهم و کاریم الوده شدند

    پاسخ

    1. سلام وقت بخیر، متأسفم بابت مشکلی که براتون پیش اومده.

      باج‌افزار mmob یکی از نسخه‌های خانواده STOP/Djvu هست که معمولاً فایل‌ها رو به‌صورت آنلاین رمزنگاری می‌کنه. اگر رمزنگاری آنلاین انجام شده باشه (یعنی سیستم شما به اینترنت وصل بوده)، متأسفانه فعلاً امکان بازیابی فایل‌ها بدون کلید اصلی بسیار کمه. پیشنهاد می‌کنم ابتدا سیستم رو از اینترنت جدا کرده و با یک آنتی‌ویروس یا ابزارهای تخصصی حذف باج‌افزار، خود باج‌افزار رو پاک‌سازی کنید. سپس از فایل‌های رمزنگاری‌شده نسخه پشتیبان تهیه کنید؛ اگر در آینده ابزار رمزگشای جدیدی منتشر بشه، شاید امکان بازیابی وجود داشته باشه. همچنین، هیچ‌وقت مبلغی به هکرها پرداخت نکنید چون هیچ تضمینی برای بازیابی اطلاعات نیست.

      پاسخ

  4. سلام یه باج افزار روی ویندوز نصب شده که پسوند cake به فایل هام داده.
    اگه میشه راهنمایی کنید

    پاسخ

  5. با عرض سلام و ادب خدمت شما
    متاسفانه ۳ ترابایت از اطلاعاتم توسط باج افزار maak رمزگذاری شده، ممنون میشم اگه بنده را در این باب راهنمایی بفرمایید.
    سپاسگزارم.

    پاسخ

    1. سلام جناب رستگاری، روزتون به‌خیر

      ماک یکی از پیچیده‌ترین بدافزارهاست و برای هر قربانی از یک کلید خاص استفاده می‌کنه؛ مگر اینکه قبل از قفل کردن فایل‌ها نتونه با سرور کنترل‌کننده‌ش ارتباط برقرار کنه که در این شرایط از یک کلید آفلاین تکراری استفاده می‌کنه.
      در این حالت هست که میتونید به رمزگشایی امیدوار بشید. پیشنهاد می‌کنم نرم‌افزار ضدبدافزاری که در مقاله زیر گفته شده رو دانلود کنید و مراحلی که نوشتن رو انجام بدید تا بتونید بدافزار رو از بین ببرید.

      https://howtofix.guide/maak-virus-file/

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *