Ransomware | باج افزار

z2s sas

کاربر سایت
Jun 15, 2008
618
811
نام
sas
سلام
باج افزار یا ransomware از خانواده maleware و نوعی بدافزار محسوب میشه که میتونه از باز کردن ایمیل های آلوده ( در گذشته ) و یا به وسیله سایت های مخرب وارد سیستم شما بشه و تمام اطلاعات و دیتاهای شما رو با encrypt کردن از دسترستون خارج کنه. بعد از encrypt یا رمزنگاری شدن دیتاها، شما معمولا با تکستی در تمام درایو ها و فولدرهاتون مواجه خواهید شد که هکر برای decrypt کردن فایل هاتون ازتون درخواست پول(باج) میکنه و معمولا بعد از چند روز مبلغ باج ها اضافه میشه.
من چند روز پیش قربانی یک باج افزار شدم و سالها زحماتم از بین رفت. این تاپیک رو زدم که بتونیم اینجا تجربیات و اطلاعاتمون رو در این زمینه به اشتراک بزاریم و راههای پیشگیری/درمان رو بررسی کنیم.

متن باجگیر :
ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
Decrypt Software Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gorentos2@firemail.cc

Your personal ID:
140nMhFJuttFs5mceDcjVl33OoloxW8A
لازم به ذکره که مبلغ درج شده به دلار در اصل معادل بیتکوینش هست.

جلوگیری از ورود باج افزار:

1. به هیچ عنوان از سایت های خارجی که نمیشناسید کرک یا تورنت دانلود نکنید.
چندین سال پیش بیشترین راه نفوذ باج افزار ها از طریق ایمیلی که دارای لینک یا پیوست آلوده بود امکان پذیر میشد. در حال حاضر سایت هایی که در حوزه انتشار کرک یا تورنت فعالیت دارند بیشترین بستر ورود باج افزار به سیستم شما هستند. سایتی که من ازش آلوده شدم ccmaker.vip که به ظاهر همون کرکر محصولات adobe هست ولی خب در باطن حاوی باج افزار. البته من به گوگل ریپورت دادم نمی دونم ترتیب اثر داده میشه یا خیر.
2. نصب آنتی ویروسی که در شناسایی باج افزار مهارت داشته باشه.
من فقط از ویندوز سکیورتی استفاده میکردم و متاسفانه باید خدمتتون عرض کنم که اکثر آنتی ویروس ها و سیستم سکوریتی ها از تشخیص باج افزارها ناتوان هستند. لازم به ذکره که زمانی که من ناخواسته باج افزار رو دانلود کردم، ویندوز سکوریتی اون رو تروژان تشخیص داد و من هم بلافاصله ریمووش کردم ولی خب از شواهد پیداس که نتونست جلوی هیچ چیزی رو بگیره!
در این چند روز تحقیقات متوجه شدم که اکثر آنتی ویروس ها چه در نفوذ فایل آلوده و حاوی باج افزار و چه بعد از نفوذ و تشخیص فعالیتش نا توان هستند. به صورت کلی وقتی باج افزار وارد سیستم میشه تا مدتی هیچ اتفاقی نمیوفته. باج افزار به صورت چراغ خاموش در حال کدگذاری فایل های شماست و رفتارش دقیقا همانند یک تسک یا نرم افزار عادیه. به همین دلیل نه تنها شما بلکه آنتی ویروستون هم نمیتونه بهش مشکوک بشه.
جالب اینجاست که من متوجه یک تسک مشکوک شدم ولی اعتمادم به ویندوز سکوریتی باعث شد نادیده بگیرمش.
در زمان نوشتن متن تنها گزینه هایی که میتونن توسط پردازش های لایه ای و با پرتوکل های خاص خودشون باج افزارها رو رفتار شناسی کنن و از encrypt شدن فایل هاتون جلو گیری کنن bitdefender و Malwarebytes هستند.
3. گرفتن بکاپ:)

مواردی مفید برای زمانی که متوجه شدید باج افزار در سیستم شماست

1. اگر در task manager متوجه مورد مشکوکی شدید. (مثل install 32 ) بلافاصله وارد C:\Windows\System32\drivers\etc بشید و فایل hosts رو با نت پد باز کنید. اگر متوجه هاست های مشکوک ( به صورت کلی هرچیزی به جز localhost ) شدید، این اولین نشانه از فعالیت باج افزار در سیستم شماست.
2. سریعا اتصالتون رو از اینترنت قطع کنید. باج افزارها به دو نوع فایل هاتون رو رمزنگاری میکنن. offline و online به صورت کلی و به دور از توضیحات تکنیکی، اگر باج افزار به اینترنت دسترسی نداشته باشه فایل هارو به صورت offline رمزنگاری میکنه . شانس شما برای decrypt کردن رمزهای offline بسیار بیشتر از نوع online هست.
3. با دیدن اولین نشانه بلافاصله Malwarebytes رو نصب کنید و ویندوز رو اسکن کنید. استفاده ازش تا 15 روز رایگانه.
4. آخرین نشانه از اتمام کار باج افزار پدیدار شدن تکست مربوط به باجگیر در تمام درایوها و فولدرهاتونه. که معمولا به اسم _readme است.
اگر این تکست ها رو دیدید یعنی کار باج افزار تمام شده و مصدوم آمادس. ولی هنوز میشه امیدوار بود.
5. بعد از دیدن تکست، فایل هاتون رو چک کنید ببینید هنوز بهشون دسترسی دارید یا خیر. فایل های encrypt شده پسوند جدیدی بهشون اضافه میشه و دیگه قابل اجرا نیستند.
6. اگر هنوز فایل ها سالم هستند، به هیچ وجه سیستم رو ری استارت یا ترن آف نکنید. این آخرین شانس شما برای بکاپ گرفتن از اطلاعاتتونه!!! با اولین ری استارت تمام فایل ها از دسترس خارج خواهند شد.
نکته : دیتاهای موجود در درایوی که ویندوز توش نصبه به هیچ وجه encrypt نمی شود.

بعد از حادثه

:|:|:|

ابتدا تسلیت میگم.
تو این مرحله دیگه کار خاصی از دستتون ساخته نیست.
سه راه پیش رو دارید.
1. تلاشی نا امیدانه برای دیکراپت کردن فایل هاتون به وسیله کلید های موجود / ریکاوری هارد یا ری استور پوینت.
2. دادن باج و گرفتن کلید
3. فرمت کردن هارد:|


از اونجایی که در حال حاضر فقط یک نفر به صورت رایگان و تخصصی روی decrypt کار میکنه، نمیشه امید چندانی داشت.
موارد غیر رایگان هم هست که در ایران هیچ کسی قادر به انجامش نیست و فقط وقت و هزینه شمارو تلف میکنن. اما اگر قصد این کارو دارید رعایت چند نکته ضروریه.
1. باج افزار رو پاک نکنید و فقط در حالت قرنطینه نگهش دارید.
2. چک دیسک یا دفرگمنت انجام ندید.
3. به هیچ وسیله ای هیچ تغییری روی فایل های قفل شده و هارد دیسکتون انجام ندید.

آیا با دادن باج، باجگیر کلید رو به من میده؟

با توجه به تحقیقات من جواب کوتاه میشه بله. باجگیر کلید رو به شما میده.
اگر قصد دادن باج رو دارید خیلی زود و در عرض 24 ساعت تصمیم بگیرید و به وسیله ایمیل با باجگیر در ارتباط باشید.
ابتدا یکی از فایل های قفل شده رو براش بفرستید که مطمعن بشید کلیدش رو داره و از همه مهمتر به درستی کار میکنه. شنیدم در مواردی به دلیل پیچیدگی در قفل گذاری حتی با کلید درست هم نمیشه فایل هارو سالم برگردوند. پس قبل از دادن باج از این موضوع مطمعن شید.

لازم به ذکره تنها روش رایگانی که برای من کار کرد استفاده از ری استور پوینت ویندوز بود که حدودا 10% از دیتاهام رو برگردوند.


امیدوارم تونسته باشم کمکی هرچند کوچک کرده باشم. دیدگاه ها و تجربیات خودتون رو در این زمینه به اشتراک بزارید.
 
آخرین ویرایش:

esm nadaram

کاربر سایت
Jan 24, 2010
1,911
3,440
نام
حسین
همین الان میرم یه بک آپ از فایل بگیرم، این چیزی که شما اینجا نوشتی واقعا بلای خانومان سوزیه
ممنونم از اطلاع رسانی
 

z2s sas

کاربر سایت
Jun 15, 2008
618
811
نام
sas
همین الان میرم یه بک آپ از فایل بگیرم، این چیزی که شما اینجا نوشتی واقعا بلای خانومان سوزیه
ممنونم از اطلاع رسانی
بله بسیار خانومان سوزه.
حدودا 4 ترابایت از دیتاهای من که متاسفانه خیلی هاشون رو دیگه نمی تونم به هیچ وسیله به دست بیارم، از دست رفت
من دیتا زیاد به فاک دادم ولی اینجوری خیلی دردناک و سوزناک بود. اینکه هیچ راهی به جز باج دادن ندارید شرایط رو خیلی سخت میکنه.
دادن باج هم از دوجنبه آزار دهندس.
اول اینکه مبلغش قابل توجهه.
دوم اینکه به شخصه از اینکه باجگیر در کارش موفق بشه حس بازندگی بهم دست میده.
----
به هرحال پیشگیری بهتر از درمانه و این اتفاق برای هرکسی ممکنه بیوفته
این فروم رو نگاه کنید. STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume) Help & Support Topic - Page 407 - Ransomware Help & Tech Support ببینید روزانه چند نفر درگیر باج افزار میشن.
تازه این تاپیک مخصوص باج افزار djvu هست.
بکاپ گرفتن عاقلانه ترین نوع پیشگیریه. بعد از اونم نصب یه انتی ویروس خوب
 
آخرین ویرایش:
  • Like
Reactions: esm nadaram

کاربرانی که این گفتگو را مشاهده می‌کنند (کاربران: 0, مهمان: 1)

Top
رمز عبور خود را فراموش کرده اید؟