اگر تصاویر، فیلم‌ها، اطلاعات و… شما توسط باج‌ افزار Stop/Djvu رمزگذاری شده باشند، نگران نباشید. این روزها بسیاری از افراد در اطلاعات ریز و درشت خود با این مشکلات مواجه می‌شوند و آن‌ها پس از حملات باج افزار دیگر دسترسی برای آن‌ها امکان پذیر نیست. این باج افزار یکی دیگر از انواع باج افزار است که بسیاری از شرکت‌ها و کاربران از آن رنج می‌برند. برای حذف باج‌ افزار Stop/Djvu و ریکاوری دیتابیس فقط کافی است به متخصصان ما اعتماد کنید.

باج‌ افزار Stop/Djvu چیست؟

باج‌ افزار Stop/Djvu بدون اغراق بدترین چیزی است که کاربر در فضای مجازی انتظارش را دارد. نه تنها باجگیر‌ها اغلب مبالغ هنگفتی را درخواست می‌کنند، بلکه حتی پس از پرداخت باج، فقط گاهی اوقات امکان رمزگشایی صحیح این فایل ها وجود دارد و در بسیاری از موارد گزارش شده هیچ گونه رمزگشایی صورت نگرفته است.

یادداشت‌های باج‌ افزار Stop/Djvu

در این یادداشت که متن انگلیسی آن را کامل شرح داده‌ایم باج‌ افزار Stop/Djvu در ابتدا خطاب به کاربر می‌گوید تمام اطلاعات شما رمزگزاری شده است و تنها روش بازیابی فایل‌ها خرید ابزار یا همان کلید رمزگشایی است. او برای نشان دادن درستی حرفش در قبال در دست داشتن فایل ها می‌گوید که یکی از فایل ها را برای ما ارسال کنید که رمزگشایی کنیم. و بعد از آن قیمت کلید که حدودا 1000 دلار است را پیشنهاد می‌دهد. البته اگر قبل از 72 ساعت نصف این مبلغ پرداخت شود فایل‌ها را در اختیار کاربر قرار می‌دهد.

باج‌ افزار Stop/Djvu از چه طریقی وارد می‌شود؟

از آنجایی که باج‌ افزار Stop/Djvu روش خاص تعریف شده‌ای برای ورود به سیستم ندارد، انتقال آن می‌تواند متفاوت باشد. به همین دلیل، مهاجمان رویکرد نسبتاً مختلفی دارند که پیش‌بینی و تشخیص نشانه‌های اولیه را برای مدافعان سخت و پیشبینی ناپذیر می‌کند. برای مثال، استفاده از ایمیل‌های هرزنامه که از پیوست‌های خراب استفاده می‌شد روش اصلی انتشار این ویروس بود. با این حال، باج‌ افزار Stop/Djvu می تواند به عنوان طیف گسترده‌ای از انواع فایل در سایت‌های متفاوت ظاهر شود.

پسوند فایل‌های جعلی

✔ یکی از راه‌های ورود محبوب باج‌ افزار Stop/Djvu از طریق پسوند فایل‌های جعلی است. برای مثال، کاربران تازه کاری که سعی در دانلود برخی فایل‌ها، مانند سند word دارند، ممکن است با فایلی با پسوند دوگانه *.dox.exe مواجه شوند. در این حالت، آخرین پسوند واقعی خواهد بود، که به احتمال زیاد کاربر متوجه آن نخواهد شد، زیرا نماد فایل با فایل .dox واقعی یکسان خواهد بود. بنابراین، توجه به برنامه‌های افزودنی، دانلود در رایانه شما ضروری است.

اسکریپت‌های مخرب

✔ ویروس باج‌ افزار Stop/Djvu می‌تواند از طریق اسکریپت‌های مخرب نیز گسترش یابد. اغلب این انواع اسکریپت‌ها در وب‌سایت‌های مشکوک قابل دسترسی هستند. به عنوان مثال، زمانی که به سایت‌های پورنو در شبکه‌های ناامن مراجعه می‌کنید یا فایل‌ها را از طریق این پلتفرم‌ها به اشتراک می‌گذارید، خطر آلوده شدن کامپیوتر شما وجود دارد. همچنین، وقتی روی پاپ‌آپ‌ها یا بنرهای متناظر کلیک می‌کنید، ممکن است مسیر مرورگر شما به سایت‌های مخرب تغییر مسیر دهد. در نهایت، زمانی که در این پلتفرم‌ها برای دریافت هشدارها یا اعلان‌ها ثبت‌نام می‌کنید، بدافزار به رایانه شما دسترسی پیدا کرده و به آن نفوذ می‌کند.

تبلیغات و ارسال هرزنامه

✔ جلب توجه شرکت‌های مختلف و ارسال کلاهبردارانه ایمیل‌ها از تکتیک‌های مجرمانه است که توسط افراد بدنام بهره‌برداری می‌شود. در این روش، اطلاعات جعلی در هدر ایمیل ارسالی قرار می‌گیرد تا قربانی معتقاعد شود که ایمیل از سوی یک شرکت معتبر ارسال شده است. ایمیل به قربانی خبر می‌دهد که تلاش شده تا بسته به آدرس او تحویل داده شود، اما موفقیت آمیز نبوده است. گاهی اوقات این ایمیل‌ها ادعا می‌کنند که اعلان‌های مهمی دارند که شما انجام داده‌اید، اما به واقعیت، ایمیل حاوی یک فایل آلوده به عنوان پیوست ارسال شده است. باز کردن این فایل می‌تواند به عواقب بدی منجر شود.

همچنین، باج‌ افزار Stop/Djvu به طور متداول با بدافزارهای دیگر مانند Redline، Vidar، Amadey، DcRat و … همکاری می‌کند. به عنوان مثال، DJVU قادر است قبل از رمزگذاری روی دستگاه قربانی، دزدان اطلاعات را در دستگاه قرار دهد. این تعامل با دیگر خانواده‌های بدافزار، باعث می‌شود که DJVU تهدیداتی حتی مخرب‌تر ایجاد کند. به علاوه، DJVU به عنوان یک محموله از خانواده‌ی برنامه‌های مخرب مانند SmokeLoader نیز به کار گرفته می‌شود.

اجرای مراحل باج‌ افزار Stop/Djvu به صورت گام به گام

ویروس باج‌ افزار Stop/Djvu با هدف کاهش سرعت تجزیه و تحلیل کد توسط متخصصان امنیتی و جعبه‌های ابزار خودکار، زنجیره اجرایی خود را با چندین مرحله پیچیده طراحی کرده است. فعالیت مخرب DJVU زمانی آغاز می‌شود که از بخش heap به منظور محافظت از فایل اجرایی استفاده می‌کند، تا پوسته‌های رمزگذاری‌شده موجود در فایل اجرایی قابل‌حمل (PE) را آغاز کند. این مرحله ابتدایی از کد پوسته با استفاده از الگوریتم رمزگذاری کوچک (TEA) رمزگذاری می‌شود. نویسندگان این بدافزار تلاش کرده‌اند تا به صورت جداگانه ثوابت رمزگذاری را پنهان کنند که به عنوان یک روش اضافی برای مقابله با تجزیه و تحلیل انجام شده است. این اقدام احتمالاً به منظور جلوگیری از شناسایی الگوریتم TEA انجام شده است، زیرا بدافزار عمدتاً از این الگوریتم استفاده می‌کند.

⬅در مرحله دوم از الگوریتم پایه XOR برای رمزگذاری استفاده می‌شود. در اینجا کلید با استفاده از یک الگوریتم تولید اعداد شبه‌تصادفی، که قابل پیش‌بینی نیز است، تغییر می‌کند. سپس با استفاده از روشی معمول‌تر به نام Virtual Alloc، محتویات مرحله دوم در حافظه بارگذاری می‌شود. در این مرحله ، کد پوسته یک فرآیند جدید را با استفاده از همان باینری راه‌اندازی می‌کند. در نهایت، از یک فرآیند پاکسازی برای تزریق یک نسخه بازنشده از بدافزار به فرآیند جدید استفاده می‌کند. این مراحل تا زمانی که محموله در نهایت فعال شود، پیش می‌روند.

⬅فرآیند شروع فعالیت مخرب با تشخیص موقعیت دستگاه قربانی شروع می‌شود. برای این منظور، نرم‌افزار مخرب مکان دستگاه را با ارسال یک درخواست GET به api.2ip.ua/geo.json و استفاده از سرویس جستجوی GeoIP بررسی می‌کند.

⬅بدافزار یک پوشه جدید در مسیر %\AppData\Local\% ایجاد می‌کند. نام فایل ایجاد شده به صورت تصادفی با استفاده از UUID Version4 و با بهره‌گیری از UuidCreate و UuidToStringW تولید می‌شود. وقتی یک پوشه بااستفاده از تابع CreateDirectoryW ایجاد می‌شود، بدافزار یک نسخه از خود را در این مسیر کپی می‌کند.

⬅در مرحله بعد، باج‌ افزار Stop/Djvu از ابزار “icacls.exe”، یک ابزار خط فرمان ویندوز، برای تلاش در محافظت از پوشه ایجاد شده استفاده می‌کند. این ابزار با دستوراتی سعی می‌کند نسخه DJVU را با مجوزهای بالاتری اجرا کند. سپس از API های ShellExecute با استفاده از فعل “runas” استفاده می‌کند تا تلاش کند خود را با حقوق مدیریتی اجرا کند. بسته به تنظیمات دستگاه قربانی، ممکن است یک کادر محاوره‌ای کنترل حساب‌های کاربری (UAC) نمایش داده شود و از سیستم درخواست دهد تا حقوق مدیر را به فرآیند اختصاص دهد. اگر بدافزار با این امتیازات اجرا شود، این امکان فراهم می‌شود که فایل‌های مهم‌تر روی سیستم رمزگذاری شوند.

⬅محموله با مجوزهای مدیریتی بالا و با استفاده از آرگومان‌های “-Admin IsNotAutoStart IsNotTask” راه‌اندازی می‌شود. سپس باج‌ افزار Stop/Djvu با استفاده از ابزار schtasks.exe به عنوان روش‌های مشهور برای ایجاد وظایف از طریق زمان‌بندی کار، وظایفی با ماندگاری ایجاد می‌کند. این کار به معنی افزایش احتمال شناسایی آنها است، زیرا این وظایف به طور مستمر اجرا می‌شوند.

⬅سپس payload آدرس MAC کارت شبکه را استخراج می کند و یک هش MD5 از آن آدرس ایجاد می کند. آیا سپس از هش MD5 برای اتصال به سیستم مخرب C2 از طریق URL استفاده می کند: hxxps[:]//acacaca[.]org/d/test1/get.php?pid={MAC Address_MD5}&first=true. پاسخ به این پیام در فایل “Bowsakkdestx.txt” که در فهرست %\AppData\Local\% قرار دارد، ذخیره می شود.

⬅مقداری که در این فایل ذخیره می‌شود، شامل کلید عمومی و شناسه می‌باشد. این تهدید همچنین شناسه را در یک فایل جدیدی که در مسیر C:\SystemID\PersonalID.txt ایجاد می‌شود ذخیره می‌کند.

⬅هنگامی که کلیدها ذخیره می‌شوند، بدافزار به دو دامنه دیگر نیز متصل می‌شود. یکی از این دامنه‌ها به نام RedLine به عنوان یک سیستم شناخته شده برای سرقت اطلاعات از نوامبر 2022 شناخته می‌شود.

⬅به منظور ذخیره بیشتر، بدافزار یک کلید راه‌اندازی رجیستری به نام “SysHelper” را در مسیر رجیستری “HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run” ایجاد می‌کند.

⬅سپس، قبل از آغاز فرآیند رمزگذاری، بدافزار یک mutex با نام “{1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}” ایجاد می‌کند. این عمل به منظور جلوگیری از رمزگذاری مضاعف انجام می‌شود و فایل را غیرقابل بازیابی می‌کند. این بدافزار همچنین شامل یک کلید عمومی و شناسه رمزگذاری شده است.

در طی فرآیند رمزگذاری، باج‌ افزار Stop/Djvu از فایل ها و پسوندهای زیر چشم پوشی می کند:

باج‌ افزار Stop/Djvuهمچنین دارای یک فهرست است که به پوشه‌های اصلی که بخشی از سیستم عامل ویندوز هستند اشاره دارد. علاوه بر این، بدافزار در تلاش است تا نام یک فایل سخت‌کد شده با پسوند .jpg را پیدا کند، اگرچه هدف از این جستجو باید مشخص شود. در پایان فرآیند رمزگذاری، بدافزار فایل _readme.txt را در ریشه درایو C:\ ذخیره می‌کند.

بازیابی فایل های رمزگذاری شده توسط باج‌ افزار Stop/Djvu

به طور قطع می‌توانید به افرادی که باج‌افزار را اجرا کرده‌اند پرداخت کنید، اما لازم به ذکر است که آنها افراد کلاهبردار هستند و هیچ تضمینی وجود ندارد که پس از پرداخت مبلغ مورد نظر، کلید رمزگشایی را دریافت کنید. علاوه بر این، این افراد ممکن است پس از دریافت وجه، شما را نادیده بگیرند و کاری نداشته باشند جز اینکه به دنبال راه‌های جدیدی برای افزایش مبلغی که از شما دریافت می‌کنند باشند. همچنین باید به این نکته توجه داشت که برخی محدودیت‌هایی برای بازیابی فایل‌ها وجود دارد. به عبارت دیگر، شما ممکن است توسط ابزارهای رمزگشایی آفلاین که توسط توسعه‌دهندگان Emsisoft Decryptor ارائه شده است، توانایی بازگشایی اطلاعات رمزگذاری شده با کلید‌های آفلاین را داشته باشید. با این حال، شما نمی‌توانید فایل‌هایی که با شناسه ONLINE و برخی از نسخه‌های اخیر STOP/DJVU که پس از آگوست 2019 توسعه یافته‌اند را بازگشایی کنید. در مورد نسخه‌های قدیمی‌تر، ممکن است با استفاده از جفت فایل‌های رمزگذاری‌شده و منبع ارائه‌شده در پورتال Decryptor STOP Djvu، توانایی بازگشایی فایل‌ها را داشته باشید.

چگونه از ورود باج‌ افزار Stop/Djvu جلوگیری کنیم؟

✔از اطلاعات خود پشتیبان تهیه کنید❕

تهیه نسخه پشتیبان از اطلاعات شما بهترین راه برای حفاظت از آنها است. بهتر است از اطلاعات خود روی یک رسانه جداگانه که به سیستم شما متصل نیست نسخه پشتیبان تهیه کنید. البته، نیازی نیست که از همه چیز پشتیبان گیری کنید، بلکه می‌توانید از مهم‌ترین فایل‌ها نسخه پشتیبان تهیه کنید. به عنوان مثال، برخی از ویروس‌های باج‌افزار ممکن است فایل‌هایی که در ابرهای ذخیره‌سازی آنلاین قرار دارند را آسیب برسانند، بنابراین استفاده از یک هارد دیسک خارجی که در جایی جدا از سیستم شما قرار دارد، بهترین انتخاب خواهد بود.

✔ سیستم عامل خود را همیشه به روز نگه دارید❕

استفاده از یک سیستم و نرم‌افزار به‌روز به این معناست که شما از بهترین نسخه‌های ممکن در آن زمان استفاده می‌کنید. استفاده از نرم‌افزارهای قدیمی احتمال هک شدن یا آلوده شدن کامپیوتر شما را افزایش می‌دهد. توسعه‌دهندگان نرم‌افزار به‌روزرسانی‌هایی را برای رفع باگ‌ها، آسیب‌پذیری‌ها و مشکلات منتشر می‌کنند و نصب آنها به معنای بهبود ضعف‌های نرم‌افزار و جلوگیری از سوء استفاده هکرها از آن‌ها است.

نتیجه‌گیری:

در دنیای امروزی، باج‌ افزار Stop/Djvu یک تهدید جدی در دنیای سایبری به شمار می‌رود که به داده‌ها و اطلاعات کاربران آسیب می‌زند. این مقاله به معرفی عملکرد و ویژگی‌های این باج‌افزار پررنگ و همچنین ارائه راهکارهای اساسی برای مقابله با آن پرداخت. مهمترین اقدامات شامل پشتیبان‌گیری منظم از داده‌ها، به‌روزرسانی نرم‌افزارها و سیستم‌عامل، استفاده از نرم‌افزارهای امنیتی و عدم پرداخت هزینه‌های مورد نیاز برای رمزگشایی فایل‌ها می‌باشند. اهمیت این اقدامات نمی‌تواند بیشتر تأکید شود و به کاربران و سازمان‌ها کمک می‌کند تا داده‌های خود را از دست ندهند و از تهدیدات سایبری محافظت کنند. این راهکارها باید به عنوان یک جزء اساسی از استراتژی امنیتی هر کاربر و سازمان در دنیای دیجیتال در نظر گرفته شوند. توجه به این موارد می‌تواند به جلوگیری از از دست دادن داده‌های ارزشمند و کاهش تأثیر باج‌افزارها کمک کند.

باج افزار Exfiltration یکی دیگر از انواع باج افزار است که به استخراج داده‌ها می‌پردازد. این روزها گروه‌های باج‌افزار با تهدید به انتشار عمومی داده‌های محرمانه، فشار بیشتری را بر قربانیان وارد می‌کنند تا قربانیان به خاطر وعده حذف کامل یا محرمانه نگه داشتن داده‌ها باج را بپردازند. گروه‌های باج‌افزار علاوه بر ارسال عمومی داده‌ها، داده‌های دزدیده شده را در انجمن‌های مجرمان سایبری و بازارهای وب تاریک برای درآمد بیشتر می‌فروشند. داده‌های Chainalysis نشان می‌دهد که مبلغ پرداختی توسط قربانیان باج‌افزار 311 درصد در سال 2020 افزایش یافته و همچنین 350 میلیون دلار ارز دیجیتال نیز باج گرفته شده است. برای پاکسازی باج افزار Exfiltration با ما تماس بگیرید.

باج افزار Exfiltration چیست؟

باج‌افزار Exfiltration یک نوع نرم‌افزار خبیث است که به منظور دسترسی غیرمجاز به داده‌ها و اطلاعات سازمانی طراحی شده است. این نوع باج‌افزار به شکل‌های مختلفی عمل می‌کند، از جمله رمزگذاری اطلاعات یا انتقال آنها به سرورهای مختصری که توسط مهاجمین کنترل می‌شوند. علاوه بر این، باج‌افزار Exfiltration معمولاً از روش‌هایی مبتنی بر شبکه برای انتقال اطلاعات استفاده می‌کند، مانند پروتکل‌های مخفی‌کاری یا استفاده از پورت‌های غیرمعمول.

حذف باج افزار Exfiltration

پاکسازی ویروس باج گیر یک وظیفه چالش برانگیز و حساس است که نیاز به توجه و مهارت دارد. در صورتی که سازمان یا شخصی با حمله این نوع باج‌افزار مواجه شود، مراحل زیر می‌توانند به حذف آن کمک کنند:

1. جدا سازی سیستم‌های آلوده: اگر ممکن است یک یا چند سیستم آلوده باج‌افزار Exfiltration داشته باشند، باید آن سیستم‌ها از شبکه جدا شوند تا جلوی انتشار بیشتر باج‌افزار را بگیرند.
2. تخلیه شبکه: پس از جدا سازی سیستم‌های آلوده، تخلیه شبکه از هر نوع ترافیک مخرب و مشکوک می‌تواند به جلوگیری از انتقال داده‌ها توسط باج‌افزار Exfiltration کمک کند.
3. تجزیه و تحلیل باج‌افزار: برای شناسایی نوع و عملکرد باج‌افزار Exfiltration، نیاز به تجزیه و تحلیل آن دارید. متخصصان امنیت می‌توانند به شناسایی کدها و عملکرد نرم‌افزار کمک کنند.
4. تخلیه و بازنشانی سیستم‌ها: سیستم‌هایی که تأیید شده است که توسط باج‌افزار آلوده شده‌اند، باید تخلیه و بازنشانی شوند. این به معنای حذف کامل نرم‌افزار باج‌افزار و نصب مجدد سیستم عامل و برنامه‌ها است.
5. به روزرسانی نرم‌افزارها و سیستم عامل: به‌روز نگه‌داشتن تمام نرم‌افزارها و سیستم عامل به آخرین نسخه‌ها و پچ‌های امنیتی موجود می‌تواند به جلوگیری از حملات مشابه در آینده کمک کند.
6. پیگیری و آموزش: پس از حذف باج‌افزار Exfiltration، مهم است تا برای پیگیری و ارتقاء امنیت سیستم‌ها و داده‌ها تلاش کنید. آموزش کارکنان در مورد شناسایی و پیشگیری از حملات امنیتی نیز بسیار اهمیت دارد.

تکنیک‌های باج افزار Exfiltration

بیشتر آلودگی‌های باج‌افزار از طریق یک حمله اولیه ساده، مانند ایمیل فیشینگ یا بهره‌برداری از پروتکل دسک‌تاپ از راه دور آغاز می‌شوند. پس از دسترسی اولیه، مجرمان سایبری از بدافزارها، ابزارهای تست نفوذ منبع باز و… برای افزایش امتیازات و حرکت جانبی در سراسر شبکه قربانی استفاده می‌کنند. افزایش دسترسی شبکه به CTA ها اجازه می‌دهد داده های حیاتی برای استخراج و رمزگذاری مورد هدف قرار گیرند.

تأثیرات باج افزار Exfiltration

باج‌افزار Exfiltration تأثیرات جدی بر امنیت سازمان‌ها و افراد دارد. این تأثیرات شامل موارد زیر می‌شوند:

1. دسترسی به داده‌های حساس: باج‌افزار Exfiltration به مهاجمین اجازه می‌دهد تا به داده‌ها و اطلاعات حساس سازمان دسترسی یابند. این اطلاعات می‌تواند اطلاعات مالی، اطلاعات مشتریان، یا اطلاعات مهم دیگر باشد.
2. خسارت به اعتبار سازمان: از آنجایی که باج‌افزار Exfiltration معمولاً به تهدید امنیت داده‌ها پایان می‌دهد و اطلاعات را تا زمان پرداخت اجازه بازیابی نمی‌دهد، سازمان‌ها ممکن است خسارات مالی و اعتباری قابل توجهی ببینند.

روش‌های پیشگیری و مقابله با باج افزار Exfiltration

برای پیشگیری از حملات باج‌افزار Exfiltration و مقابله با آن، سازمان‌ها می‌توانند اقدامات امنیتی زیر را اتخاذ کنند:

1. استفاده از نرم‌افزارهای امنیتی: استفاده از نرم‌افزارهای مخصوص امنیت، اسکنرهای آنتی‌ویروس و جلوگیری از نفوذ می‌تواند به شناسایی و جلوگیری از حملات Exfiltration کمک کند.
2. آموزش کارکنان: آموزش کارکنان در مورد شناسایی پیام‌های پیشنهادی، نگهداری از رمزها و به‌روزرسانی نرم‌افزارها می‌تواند به جلوگیری از حملات موفق Exfiltration کمک کند.
3. رمزنگاری داده‌ها: استفاده از رمزنگاری برای محافظت از داده‌های حساس در صورت دسترسی مهاجمین به آنها می‌تواند اطلاعات را محافظت کند.
4. پشتیبان‌گیری منظم: ایجاد نسخه‌پشتیبان منظم از داده‌ها به سازمان‌ها کمک می‌کند تا در صورت حملات Exfiltration قادر به بازیابی اطلاعات باشند.

باید توجه داشت که مقابله با باج افزار Exfiltration نیاز به همکاری با تیم‌های امنیتی حرفه‌ای دارد. همچنین، پرداخت هزینه‌های باج‌افزار توصیه نمی‌شود، زیرا ممکن است به تقویت تهدیدات امنیتی دیگر انگیزه دهد.

باج افزار Bucbi یکی از انواع باج افزار است که با پیشرفت فناوری و استفاده گسترده از اینترنت، حفظ امنیت اطلاعات در مقابل حملات سایبری امری بسیار حائز اهمیت شده است. نرم افزارهای مخرب و مخصوصاً برنامه‌های باج افزار، به عنوان یکی از تهدیدات عمده در حوزه امنیت سایبری شناخته می‌شوند. در این مقاله، با نرم افزار باج افزار Bucbi آشنا خواهیم شد و درک بهتری از اهمیت آن در حفاظت از اطلاعات خواهیم داشت.

۱. باج افزار Bucbi چیست و عملکرد آن به چه صورت است؟

۱.۱ تعریف باج افزار

باج افزارها یک نوع نرم افزار مخرب هستند که از طریق رمزگذاری فایل‌ها یا محدود کردن دسترسی به سیستم، از کار انداختن آن را ایجاد می‌کنند. بعد از آن، قربانی برای بازگرداندن دسترسی یا اطلاعات خود مجبور به پرداخت یک مبلغ از قبیل بیت کوین می‌شود.

۱.۲ باج افزار Bucbi

باج افزار Bucbi یکی از مخرب‌ترین و پرطرفدارترین نرم افزارهای باج افزار است. این نرم افزار مخرب ابتدا با نفوذ به سیستم هدف، فایل‌های مختلف را رمزگذاری می‌کند و سپس تقاضای پرداخت باج را نمایش می‌دهد. تلاش برای بازیابی اطلاعات بدون پرداخت مبلغ مشخصی، ممکن است باعث از دست رفتن داده‌های مهم و ارزشمند شود.

مطلب مرتبط: پاکسازی ویروس باج افزار

۲. خطرات و اثرات آسیب‌رسان باج افزار Bucbi

۲.۱ تهدید امنیتی

باج افزار Bucbi به عنوان یک تهدید جدی در حوزه امنیت سایبری شناخته می‌شود. وقتی این نرم افزار مخرب وارد یک سیستم می‌شود، می‌تواند تمامی فایل‌ها را رمزگذاری کند و از کار انداختن سیستم را ممکن سازد. این موضوع می‌تواند منجر به آسیب جدی به سازمان‌ها و فردی شود که در معرض این تهدید قرار گیرند.

۲.۲ از دست دادن اطلاعات مهم

با پرداخت باج، فرد مورد حمله قادر به بازیابی فایل‌های خود می‌شود؛ اما در صورتی که این مبلغ پرداخت نشود، اطلاعات مهم و ارزشمندی که در فایل‌ها قرار دارند از بین خواهد رفت. این مسئله برای شرکت‌ها و فردانی که از اطلاعات حساس استفاده می‌کنند، بسیار خطرناک است.

۳. راهکارهای مقابله با باج افزار Bucbi

۳.۱ بروزرسانی نرم افزارها

بروزرسانی نرم افزارها و سیستم عامل به آخرین نسخه‌ها، از جمله راهکارهای مهم در مقابله با باج افزار Bucbi است. بروزرسانی‌ها عموماً شامل بهبودهای امنیتی می‌شوند که می‌توانند از نفوذ این نرم افزار جلوگیری کنند.

۳.۲ پشتیبان‌گیری منظم

برای جلوگیری از از دست دادن اطلاعات در صورت حمله باج افزار Bucbi، باید بر روی پشتیبان‌گیری منظم از داده

‌ها تأکید کرد. به این ترتیب، در صورت لزوم، می‌توان از نسخه‌های پشتیبان فایل‌ها استفاده کرد و از از دست رفتن اطلاعات جلوگیری کرد.

۴. نتیجه‌گیری

باج افزار Bucbi به عنوان یک نرم افزار مخرب قدرتمند، تهدید جدی‌ای در حوزه امنیت سایبری است. در این مقاله، با مفهوم باج افزار و عملکرد نرم افزار Bucbi آشنا شدیم و همچنین خطرات و اثرات آسیب‌رسان آن را مورد بررسی قرار دادیم. همچنین، راهکارهایی را برای مقابله با این تهدید ارائه دادیم. حفظ امنیت اطلاعات از اهمیت بسیاری برخوردار است و برای جلوگیری از وقوع حملات باج افزاری مانند Bucbi، باید از راهکارهای مؤثر و قابل اعتماد استفاده کرد. این باج افزار برای سازمان‌ها و افرادی که به اطلاعات حساس دسترسی دارند، تهدید جدی‌ای محسوب می‌شود. برای حفاظت از اطلاعات خود، باید از راهکارهای امنیتی مناسبی مانند بروزرسانی نرم افزارها و پشتیبان استفاده کرد.

پرسش‌های متداول

پرسش ۱: آیا باج افزار Bucbi فقط بر روی سیستم‌های ویندوز اثر می‌گذارد؟

پاسخ: خیر، باج افزار Bucbi قابلیت تأثیرگذاری بر روی سیستم‌های عامل مختلف از جمله ویندوز، مک، و لینوکس را دارد.

پرسش ۲: آیا پرداخت باج تضمین بازیابی فایل‌ها را به معنایی حتمی دارد؟

پاسخ: هرچند با پرداخت باج می‌توانید دسترسی به فایل‌های خود را بازیابی کنید، اما هیچ تضمینی وجود ندارد که پس از پرداخت باج، اطلاعات شما بدون تغییر بازگردانده شود.

پرسش ۳: آیا نصب یک نرم افزار ضد ویروس می‌تواند از نفوذ باج افزار Bucbi جلوگیری کند؟

پاسخ: نصب یک نرم افزار ضد ویروس می‌تواند به طور قابل توجهی امنیت سیستم را تقویت کند، اما برای مقابله با باج افزار Bucbi، باید از روش‌های دیگری همچون بروزرسانی نرم افزارها و پشتیبان‌گیری منظم نیز استفاده کرد.

پرسش ۴: آیا قربانیان باج افزار Bucbi می‌توانند با اطلاعات دیگری به غیر از بیت کوین برای پرداخت باج مواجه شوند؟

پاسخ: به طور کلی، باج افزارها از پرداخت با بیت کوین برای سادگی و ردیابی دشوارتر مبالغ استفاده می‌کنند. بنابراین، در بسیاری از موارد، پرداخت باج با استفاده از بیت کوین درخواست می‌شود.

پرسش ۵: چه تدابیری باید در صورت آلوده شدن سیستم به باج افزار Bucbi اتخاذ کرد؟

پاسخ: در صورت آلوده شدن سیستم به باج افزار Bucbi، اهمیت دارد که فوراً به یک تکنسین حرفه‌ای مراجعه کنید. آنها می‌توانند با استفاده از ابزارها و تکنیک‌های مختلف، تلاش کنند تا فایل‌های رمزگذاری شده را بازیابی کنند و به حل مشکل کمک کنند.

ویروس باج افزار یا باج‌ گیر (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج‌افزار Locky(لاکی) یکی دیگر از خطرناک‌ترین انواع باج‌افزار است. نوعی حمله سایبری است که با استفاده از بدافزارها دسترسی به یک سیستم رایانه‌ای یا فایل‌های موجود در آن را تا زمان پرداخت باج مسدود کند.

باج افزار locky (لاکی) چیست؟

باج افزار Locky یکی از انواع بدافزار است که به رمزگذاری فایل‌های مهم رایانه شما می‌پردازد و آن‌ها را غیر قابل دسترس می‌کند. این باج افزار اطلاعات قربانیان را به گروگان می‌گیرد و در ازای بازگشت فایل‌ها از آن‌ها باج می‌خواهد.

باج افزار Locky یکی از بدترین انواع باج افزاری است که در حال حاظر به دیتابیس‌های شرکتی و کسب و کارها حمله می‌کند. یکی از ویژگی‌های متمایز کننده این باج افزار عملکرد آن در حالت آفلاین است و این ویژگی از او در مقابل مراجع قانونی و بسیاری از آنتی ویروس‌های آنلاین محافظت میکند.

روش رمزگذاری باج افزار Locky

این باج افزار بعد از اینکه فایل‌ها را رمزگذاری کرد، فایل HELPinstructions.html را در هر پوشه که حاوی فایل‌های رمزگذاری شده است را ایجاد می‌کند و همچنین تصویر دسکتاپ را نیز تغییر می‌دهد.

در اینجا فایل متنی و تصویر زمینه حاوی پیام یکسانی هستند که کاربران را از رمزگذاری مطلع می‌کنند و از طریق آن به قربانیان گفته می‌شود که فایل‌ها در صورتی باز می‌شوند یا دوباره در دسترس قرار می‌گیرند که یا از یک decrypter پیشرفته استفاده شود و یا توسط مجرمان و با پرداخت هزینه تقریبا 0.5 بیتکوین رمزگشایی شود.(که این رقم درطول زمان دائما در حال تغییر است).

اما این نکته را باید در نظر گرفت که در حال حاضر، هیچ ابزاری خاصی وجود ندارد که بتواند به رمزگشایی فایل‌های آسیب دیده توسط این باج افزار بپردازد و تنها راه حل موجود برای این مشکل این است که از یک نسخه پشتیبان برای بازگشایی رمزها استفاده شود.

نمونه هایی زیاد و گوناگونی از باج افزارهایی که مشابه باج افزار Locky(لاکی) عمل کنند وجود دارند. باج افزارهایی مانند Cryptowall، JobCrypter، UmbreCrypt، TeslaCrypt که تفاوت اصلی آن‌ها با باج افزار فوق در اندازه باج خواسته شده و نوع الگوریتم استفاده شده برای رمزگذاری فایل‌ها است.

در تحقیقات اخیر و گزارشات مختلف اذعان شده است که تضمین خاصی از سوی باج‌گیران وجود ندارد که فایل‌های رمزگذاری شده را حتی بعد از پرداخت وجه خواسته شده، رمزگشایی کنند و فایل‌ها را در اختیار کاربران قرار دهند.

چگونه می توانم باج افزار Locky را شناسایی کنم؟

اصلی ترین راه ورود این باج افزار از طریق ایمیل‌های اسپم شده و فایل‌های مخرب است. این ایمیل‌ها اغلب به صورت حساب‌های پرداختنی با موضوعاتی مانند پرداخت‌های آینده و اطلاعیه‌های مختلف کاری به دست کاربر می‌رسد. از آنجایی که اکثر کاربران قربانی شرکت‌ها و کسب و کارها هستند همچین پیغامی ممکن است آن‌ها را به باز کردن ایمیل‌ها و این پیوست‌ها ترغیب کند.

در اینجا اگر نکات ایمنی قبل از هجوم را رعایت کرده باشیم و یک ضد باج افزار قوی روی سیستم نصب شده باشد، می‌توان به راحتی به شناسایی باج افزار بپردازید و قبل از باز کردن فایل‌ها و پخش ویروس بر روی سیستم آن را حذف کنید.

چگونه می توان باج افزار Locky را حذف کرد؟

این باج افزار را نمیتوان به صورت دستی  حذف کرد و یا با استفاده از آنتی ویروس به مقابله با آن پرداخت. برای از بین بردن باج افزار Locky باید تمام کدهای اعمال شده بر روی فایل ها را دی‌کد یا رمزگشایی کرد. برای این کار شما به متخصصانی احتیاج دارید که توانایی بازگشت تام و تمام اطلاعاتتان را داشته باشد. برای اینکار میتوانید به تیم ما اطمینان کامل داشته باشید.

اورژانس باج‌افزار که از گروهی از متخصصان امنیت دیجیتال تشکیل شده است، تلاش می‌کند راهکارهایی برای جلوگیری از آلودگی، شکستن قفل و بازیابی اطلاعات دیتابیس‌های آلوده به باج‌افزار را با جدیدترین متدهای روز جهان در اختیار شما قرار دهد و تمام اطلاعات به سرقت رفته شما را در کمتر از 24 ساعت بازیابی کند.

راهکارهای حفاظتی برای مقابله با باج افزار Locky:

بسیاری از راهکار های قبل از حمله این باج افزار با دیگر انواع باج افزار مشابه است که ما در مقاله مقابله با باج افزار به طور مفصل به توضیح آنها پرداخته‌ایم و در اینجا نیز برخی از راهکارهای حفاظتی مهم برای مقابله با این باج افزار را ارائه کرده‌ایم که به شرح زیر است:

محافظت از دیتا بیس‌های شرکت در برابر باج افزار Locky

بهترین راه برای محافظت از اطلاعات خود در برابر اثرات ناشی از حملات باج افزار Locky، در وهله ی اول جلوگیری از ورود این بدافزار به سیستم است. یک رویکرد گسترده نسبت به امنیت داخلی ابتدایی ترین چیزی است که ما توصیه می کنیم.

_نصب یک آنتی ویروس خوب برای محافظت از اطلاعات هر شرکتی ضروری است، اما کافی نیست. برای محافظت کامل، توصیه می‌شود که ابزاری را انتخاب کنید که می‌تواند فیلتر DNS، اسکن سریع و لحظه‌ای، مسدود کردن بدافزار مبتنی بر ترافیک و حفاظت چندلایه مبتنی بر هوش مصنوعی را ارائه دهد. یکی از آنتی ویروس‌های شناخته شده برای این آنتی ویروس Avast One است که هم بصورت رایگان و هم پریمیوم آن در دسترس است.

امنیت ایمیل

بسیاری از هکرها بر این امر که شما توجه خاصی به محتوای واقعی ایمیل‌هایتان ندارید تکیه کرده‌اند و امید دارند که با باز کردن یک پیوست مخرب ارسال شده یا کلیک روی یک پیوند جعلی آلوده شوید. هرگز پیوست‌ها را باز نکنید و یا پیوندهای دریافتی از منابع ناشناخته و غیرمنتظره را نادیده بگیرید. همچنین همه‌ی شرکت‌ها باید در مورد یک راه حل محافظت از ایمیل فکر کنند.

محافظت از حساب های شخصی خود در برابر باج افزار Locky

هنگام محافظت از سیستم خود در برابر حملاتی مانند حملات ویروس Locky، مهم است بدانید فایروال شما به تنهایی قادر به محافظت از دستگاه‌های شما نیست. داشتن یک راه حل امنیتی همه جانبه در محل زندگی خود به همان اندازه روش‌های حفاظتی که در محل کار خود انجام می دهید مهم است.

سخن پایانی…

در دنیایی که امروز در آن زندگی می کنیم که بخش اعظمی از آن را فضای دیجیتال در بر گرفته است، شناختن و دانستن در مورد تهدیدهای بالقوه‌ای که در میان ما زندگی می‌کنند و هر لحظه ممکن است دچار ترس و استرس ما شوند بسیار مهم است. ما دیگر نمی توانیم دست روی دست بگذاریم و منتظر بمانیم تا اتفاقی بیفتد و سپس واکنش نشان دهیم.

ما باید فعالانه در مورد تهدیدهای اطرافمان بیاموزیم، در غیر این صورت هکرها و مهاجمان سایبری به طور دائم و پیوسته می‌توانند دستگاه‌های ما را به خطر بیاندازند و اطلاعات ما رمزگذاری کنند و یا از بین ببرند. و تفاوتی ندارد که در مورد چه نوع ویروسی سخن گفته می‌شود، باید هر لحظه مطمئن شوید که شما و شرکتتان اقدامات لازم را انجام داده‌اید.

باج افزار Petya(پیتا) یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد که سروکارش با ویندوز مایکروسافت است و به آلوده کردن رایانه‌هایی می‌پردازد که از این ویندوز استفاده می‌کند.

ویروس باج افزار چیست؟

ویروس باج‌ افزار (ransomware) نوعی از بد‌‌افزارها هستند که کارشان حمله به سیستم‌های مختلفی مانند کامپیوتر، لپتاپ، موبایل و… است که باعث از بین رفتن دسترسی کاربر به اطلاعاتش از طریق “رمزگذاری داده‌های” او می‌شوند و برای اجازه‌ی دسترسی دوباره باج می‌خواهند. باج افزار پتیا (Petya)، بایگانی و یا فضای اصلی بوت را آلوده و باری را اجرایی می‌کند که به رمزگذاری داده‌های روی هارد دیسک بپردازد. قفل داده‌ها تنها در صورت در دست داشتن کلید رمزگذاری باز می‌شود؛ یعنی پس از پرداخت باج و تهیه کلید رمزگشایی.

تاریخچه باج افزار Petya(پتیا):

پتیا برای اولین بار در سال 2016 دیده شد، ولی در سال 2017 با یک حمله سایبری وسیع علیه اهداف اوکراینی، بسیار خبرساز شد. این ویروس به سرعت در سراسر جهان گسترش یافت، کسب و کارها را فلج کرد و باعث خسارت چند میلیارد دلاری به آن‌ها شد. نوع جدیدی از این باج افزار وجود دارد که به دلیل تفاوت‌های کلیدی با نسخه اصلی، «NotPetya» نامیده می‌شود. این گونه‌ی جدید بدون اینکه کاربر کاری انجام دهد، سیستم‌های جدید را آلوده می‌کند. این نوع رفتار بیشتر به “کرم باج”(ransomworm) شبیه است تا یک ویروس سنتی. NotPetya به طور محدود مورد استفاده قرار گرفت، اگرچه به سرعت رشد کرد و به یک تهدید گسترده تبدیل شد اما به خیلی محدود مورد استفاده قرار گرفت. در مورد این ویروس جالب است که حتی با وجود نمایش نشانه‌های معمول حمله باج‌افزار – مانند تقاضای باج‌افزار – این ویروس برای باج گیری ساخته نشده بود. بررسی این ویژگی‌ها باعث این نتیجه‌گیری از سوی محققان شد که این ویروس نه یک عمل و حمله‌ی سایبری بلکه یک حمله مخرب تحت حمایت دولت است.

_{اورژانس باج افزار گروهی از متشکل از متخصصان امینت سایبری در کنار شماست تا بتوانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و اقدام به از بین بردن باج افزار کنید} ❗❗❗

نحوه حذف باج افزار Petya (پتیا)

مانند اکثر ویروس‌های باج افزار، حذف کردن باج افزار Petya پس از انتشار و آلوده کردن سیستم به سختی انجام پذیر است. در بیشتر موارد، قربانی به امید اینکه کلید را به دست می‌آورد یا نه باید تصمیم بگیرد که باج را بپردازد یا اینکه همه چیز را از بین ببرد و به بازیابی اطلاعات از طریق نسخه بشتیبانی بپردازد. ما در اینجا به طور کلی میخواهیم به آنچه که باید قبل، در زمان وقوع و بعد از حمله انجام دهید را شرح خواهیم داد.👇

قبل از وقوع حمله

در اینجا نیز قابل بازگویی است که پیشگیری بهتر از درمان است. یعنی اینکه بهترین استراتژی امنیتی این است که به طور کامل باعث عدم ورود باج افزار به سیستم شویم. که البته این امر مستلزم برنامه ریزی قبل از وقوع بحران است.

• پشتیبان گیری و بازیابی: مهمترین بخش هر استراتژی امنیتی باج افزار، پشتیبان‌گیری پیوسته و منظم از داده‌های در دست است. به طور چشمگیری آمار نشان دهنده این است که  تعداد کمی از سازمان‌ها، پشتیبان‌گیری و بازیابی را انجام می‌دهند. هر دو بخش_پشتیبان گیری و بازیابی_ دارای اهمیت هستند. انجام بازیابی در بازه‌های زمانی مختلف به صورت تمرینی، تنها راهی است که می‌توان دانست که آیا طرح پشتیبان ما فعال است و کار می کند یا نه❗
• به روز رسانی و تعمیر مشکلات سیستم: سیستم عامل‌ها، نرم افزارهای امنیتی و پچ‌ها یا همان برنامه های تعمیرگر نارسایی های سیستمی، برای همه بخش های دستگاه باید به روز باشند.
• تعلیم و آموزش کاربران: آموزش و آگاهی کارکنان بسیار مهم است. کارمندان شما و یا تمام یوزرهای متصل به سیستم شما باید بدانند چه بکنند و چه نه، چگونه از باج افزار دوری کرده و یا چگونه آن را گزارش دهند. اگر کارمندان با درخواست باج از طرف باج‌افزاری را دریافت کردند، باید بدانند که سریعا آن را به تیم امنیتی گزارش داده – و هرگز و هرگز سعی در پرداخت باج نداشته باشند.
• سرمایه گذاری در راه حل‌های امنیتی برای حذف باج افزار Petya: حتی با انجام  بهترین آموزش برای کاربران نمی‌توان امید داشت که هیچ وقت به ویروس باج افزار مبتلا نمی‌شویم. راه‌حل‌های امنیتی پیشرفته‌ای برای ایمیل وجود دارد که سیستم را در برابر پیوست‌ و لینک‌های مخرب، اسناد و URLهای موجود در ایمیل‌ها که باعث نفوذ باج‌افزار می‌شوند، مقاوم و از آن محافظت می‌کند.

در طول حمله

• کامپیوتر را خاموش کنید و از شبکه جدا شوید: ویروس باج افزار Petya تقریبا یک ساعت پس از آلوده کردن سیستم و نمایش پیام مبنی بر اینکه سیستم فایل در حال تعمیر است، منتظر می‌ماند. کارشناسان می گویند با خاموش کردن دستگاه ممکن است برخی از فایل ها کدگذاری و یا آلوده نشوند. زمانی که کارمندان تقاضای باج افزار را ببینند یا متوجه شوند چیز غیر عادی‌ای رخ داده است، باید از شبکه جدا و سیستم آلوده را به بخش فناوری اطلاعات ببرند و فقط تیم امنیت فناوری اطلاعات باید به راه‌اندازی مجدد سیستم بپردازد.
• محدوده مشکل را بر اساس اطلاعات تهدید مشخص کنید: پاسخ شما به چندین عامل بستگی دارد:
  • نوع حمله
  • چه کسی در شبکه شما در معرض خطر است.
  • هر حساب در معرض خطر چه مجوزهای شبکه ای دارد.
• بازیابی از پشتیبان گیری: تنها راه برای بازیابی کامل از آلودگی باج افزار، بازیابی همه اطلاعات از پشتیبان است.

روی ابزارهای رمزگشایی رایگان باج افزار حساب نکنید❗

اکثر ابزارهای رایگان فقط برای یکی از انواع باج افزار یا نهایتا برای یک کمپین خاص حمله کارایی دارند. به همان طریقی که مهاجمان سایبری، باج افزار خود را به روز می‌کنند، ابزارهای رایگان قدیمی توان مقابله با آن‌ها را ندارند. آن‌ها کاراییشان را از دست داده و احتمالاً برای باج افزارهای جدید کار نکنند و آنها را از بین نبرند.

بعد از وقوع حمله

توصیه ما به شما این است که یک ارزیابی امنیتی کامل را برای یافتن تهدیدهایی که ممکن است هنوز در محیط شما باقی مانده باشند را انجام دهید. ابزارها و روش های امنیتی خود را به شکل دقیق و موشکافانه ای بررسی کنید که متوجه شوید کجا کم کاری کرده اید.

• پاک کردن: برخی از باج افزارها حاوی تهدیدات دیگر یا تروجان‌های به جا مانده‌ای هستند که می توانند در آینده به نوعی تهدید تبدیل شوند. در خیلی از موارد دیده شده است، محیط که قبلا آلوده شده بود خود به عنوان دری برای ورود مجدد باج افزار عمل کرده استبه دنبال تهدیدها و خطرات پنهانی باشید که ممکن است نادیده گرفته شده باشند.
• بررسی پس از حذف: آنچه که به نظرتان باعث این حملات شده است را بررسی کرده و زنجیره رویدادهایی و پاسختان نسبت به تهدید های بالقوه را مرور کنید. بدون اینکه کشف کنید که حمله باج افزار چگونه صورت گرفته است، هیچ راهی برای توقف حمله بعدی نخواهید داشت.
• ارزیابی آگاهی کاربران: مطمعا شوید که کارمندان، کارکنان یا اعضای مربوطه و متصل به وظیفه خود عمل به طور کامل عمل می کنند. چرا که یک کارمند مطلع و آگاه آخرین کسی است که قادر به دفاع از حملات است.
• آموزش کارکنان: یک برنامه منظم برای رسیدگی به آسیب پذیری کارکنان در برابر حملات سایبری بسیار کمک کننده است. در صورتی که در آینده حمله ای رخ داد، یک برنامه ارتباطی بحران بسازید.

راه حل های را دنبال کنید که با تهدیدات جدید و نوظهور سازگار باشند و به شما کمک کنند سریعتر به آلودگی ها پاسخ دهید.

باج افزار Thanos توسط GrujaRS که یک پژوهشگر مستقل امنیتی است شناخته شد و یکی دیگر از انواع باج افزار است که در دسته‌ی باج افزار Crypto( رمزگذاری) قرار می‌گیرد. این باج افزار با افزودن پسوند “locked” نام فایل‌ها را تغییر و پس از آن پیغام درخواست باج را نمایش می‌دهد. به عنوان مثال پس از رمزگذاری، “1.jpg” به “1.jpg.locked” و “jpg2” به “2.jpg.locked” و غیره تغییر پیدا می‌کنند. در مقاله پسوندهای باج افزار به طور مفصل به پسوندهای مورد استفاده باج افزار پرداخته‌ایم. باج افزار Thanos فایل متنی “HOW_TO_DECYPHER_FILES.txt” (پیام باج) را در پوشه‌هایی که رمزگذاری شده‌اند را ایجاد کرده و به نمایش در می‌آورد.

یادداشتی که باج افزار Thanos نمایش می‌دهد

پیام باج افزار تانوس(Thanos) بدین شرح است: همه فایل‌های سیستم شما رمزگذاری شده و کپی‌های shadow  از بین رفته‌اند. همچنین، تمام فایل‌های موجودی که در کامپیوتر شما ذخیره شده‌اند را دانلود کرده‌ایم و در صورت عدم پرداخت باج، تمامی اطلاعات در دست را پخش خواهیم کرد.

متأسفانه، قربانیان حملات باج‌ گیر تانوس (Thanos) قادر نخواهند بود که فایل‌های خود را بدون ابزارهایی که مهاجمان و توسعه دهندگان این باج افزار در دست دارند را رمزگشایی کنند. بدین وسیله هیچ ابزاری از طرف شخص دیگری وجود ندارد که اطلاعاتی را که توسط باج افزار Thanos رمزگذاری شده را باز کند. تنها راه بازیابی فایل ها، از طریق پشتیبان است. و هیچوقت فراموش نکنید که به این مجرمان هرگز نباید اعتماد کرد؛ آنها اگر حتی قربانیان باج را پرداخت کنند هیچ نرم افزار یا کلید رمزگشایی را ارسال نخواهند کرد.

در تصویر زیر فایل‌های رمزگذاری شده توسط باج افزار تانوس (Thanos) را مشاهده می‌کنید (پسوند. locked):

مطالب مرتبط: باج افزار ( Ransomware) چیست؟

یکی از پیام های باج افزار Thanos  که کاربران را تشویق به پرداخت باج برای رمزگشایی می‌کند.

خلاصه اطلاعاتی از باج افزار تانوس (Thanos)

حذف باج افزار Thanos

در بالا هم گفتیم که روشی دستی برای حذف این باج افزار وجود ندارد و شما یا می‌توانید از طریق پشتیبانی و یا پرداخت باج که اکیدا توصیه نمی‌شود به نتیجه برسید، اما اگر رایانه شما قبلاً به باج افزار Thanos آلوده شده است و با پرداخت باج و یا اینکه از پشتیبان استفاده کرده‌اید، توصیه می‌کنیم یک آنتی ویروس یا آنتی باج افزار را از Combo Cleaner Antivirus  بر روی ویندوز خود اجرا کنید تا به طور خودکار این باج افزار را از بین ببرید.

سوالات رایج:

کامپیوتر من از چه طریقی هک شده و مهاجمان چگونه فایل‌های من را رمزگذاری کرده‌اند؟

اغلب موارد، باج‌افزار فایل‌ها را از طریق لینک‌های آسیب دیده و خراب یا لینک‌های دریافتی از طریق ایمیل، یا صفحات دانلود نرم‌افزار کرک شده رمزگذاری می‌کند. مجرمان از روش های گوناگونی برای فریب کاربران استفاده می‌کنند.

چگونه فایل های رمزگذاری شده توسط باج افزار Thanos را باز کنیم؟

بدون رمزگشایی فایل ها  نمی توان به آن ها دسترسی  داشت.

کجا باید به دنبال ابزارهای رمزگشایی رایگان برای باج افزار Thanos بگردم؟

در صورت حمله باج افزار، باید وب سایت No More Ransom را بررسی کنید

آیا تیم اورژانس باج افزار می‌تواند این باج افزار را حذف کند؟

پاسخ ما به شما بله است.

اورژانس باج افزار با سابقه بیش از ده سال فعالیت، متشکل از گروهی از متخصصان امینت سایبری است. شما با کمک این تیم متخصص می‌توانید بدون پرداخت باج، اطلاعاتتان را بصورت کامل بازیابی کنید و به پاکسازی باج افزار بپردازید.

اخبار مختلف از حملات ویروس باج افزار(ransomware) این روزها همه‌جا شنیده می‌شود. حتی کسب و کارهای کوچک نیز در مقابل این حملات مصون نیستند و آن‌ها نیز مورد هجوم قرار می‌گیرند. اما جای نگرانی نیست چرا که می‌توان در برابر این حملات از خود دفاع کرد و به “مقابله با باج افزار” پرداخت. حملات باج افزارها اشکال مختلفی دارد. برخی از مهاجمان از طریق پیوندها، پیوست‌های ایمیل، تبلیغات و همچنین با حمله به سرورها وارد میشوند و اولین کار این است که ما به تشخیص باج افزار بپردازیم و بعد روش‌های مقابله با آن را در پیش گیریم. این ویروس بعد از ورود، به صورت خودکار پخش می‌شود و دسترسی به رایانه را قطع کرده، و یا شروع به رمزگذاری فایل‌های مختلف می‌کند. بعد از انجام حمله، مهاجمان از طریق پاپ آپ درخواست خود را مبنی بر پرداخت باج به صورت بین کویین یا ارز دیجیتال اعلام میکند. برای حذف ویروس باجگیر با ما تماس بگیرید

راه های مقابله با باج افزار قبل و بعد از حمله کدام است؟

چهار مورد اول کارهایی است که هر شرکت و هر کسب و کار برای مقابله با باج افزار باید انجام دهد و دو مورد آخر برای بعد از وقوع حمله است که البته قبل از انجام هر کاری، اگر شرکت شما مدیر بخش IT دارد دهید به او اطلاع دهید در غیر به این صورت این دو مورد اصلی گفته شده را حتما رعایت کنید.

1_ تهیه کردن نسخه پشتیان

دارا بودن از یک نسخه پشتیبان، به خصوص اگر آن را در یک مکان خارجی نگه دارید، می‌تواند بسیار کارا باشد. یعنی اینکه خیلی اوقات با داشتن این نسخه شما دیگر نگران باج افزار نیستید و نیازی به پرداخت باج نیست. طبق گزارشات Sophos حدودا 56 درصد از سازمان‌هایی که این کار را انجام داده‌اند با داشتن نسخه‌های پشتیبان حملات باج افزار‌ها را به نوعی می‌توان گفت که خنثی کرده‌اند و هیچ هزینه‌ای را نپرداخته‌اند.

2_  از ضد ویروس های خوب استفاده کنید

این نکته که باید ضد ویروس داشت بدیهی است، اما تنها با استفاده از ضد ویروس های خوب و کاربردی است که میتوانید به این مهم دست یابید و به مقابله با باج افزار و عمل از بین بردن باج افزار دست بزنید. ضد ویروس‌های خوب و معتبر محافظانی خوب و امن هستد که تا حدود زیادی خیال شما را از حملات باج افزار راحت می‌کند. از سال 2020 به این طرف تقریبا 25 درصد از شرکت‌های آلوده به باج افزار با استفاده از ضد ویروس توانسته‌اند حملات مختلف باج افزاری را خنثی کنند.

3_ نرم افزارهای خود را به روز کنید.

با آسیب پذیری و اختلال نرم افزاری کار را برای مجرمان بسیار راحت تر کرده اید و باعث ورود آسان آنها به سیستم خود میشوید. مطمئن شوید که از نرم افزارهای بروز استفاده می کنید و همچنین با برطرف کردن آسیب های موجود به مقابله با باج افزار و حملات مهاجمان سایبری بپردازید.

4_مراقب پیوندها و پیوست ها مختلف باشید

همیشه به ایمیل های افراد غریبه مشکوک باشید. پیوندهای مختلف را سریع باز نکنید و هشیار باشید و مطمئن باشید که کارمندانتان ایمیل های خصوصی از طریق ایمیل تجاری شرکت دریافت نمیکنند.

5_بررسی اینکه کدام باج افزار به سیستم شما هجوم آورده است؟

برای دسترسی به فایل های خود به یک “کلید یا رمز برای بازگشایی” قفل نیاز دارید. برخی از کلید های باج افزارهای قدیمی موجود است که میتوانید در nomoreransom.org به بررسی آنها بپردازید. اما این روزها باج افزارها به قدری پیچیده شده‌اند که برای رمزگشایی به افراد خبره و متخصصانی احتیاج دارید که به درستی این کار را برای شما انجام دهند.

6_ باج را پرداخت نکنید

البته به راحتی نمیتوان این موضوع را بیان کرد چرا که بسیاری از شرکت ها راه دیگری جز پرداخت باج ندارند. در اوایل سال 2020 قریب به 25 درصد از سازمان ها و کسب و کارها بعد از هجوم باج گیرها باج را پرداخت کرده اند. اما این پرداخت ها بنظر فقط جرم و حملات را بیشتر میکند.

از حمله جلوگیری کنید. اگر از مجرمان بتوانید جلوتر باشید و اقدامات درست را از قبل تدارک دیده باشید میتوانید به مقابله با باج افزار به شکل درستی بپردازید.

نکته پایانی…

شیوع باج افزار این روزها برای همه‌ی کسب و کارها دردسر ساز شده و بسیاری از دیتاهای مختلف و مهم را درگیر خود کرده است. قبل از هر چیز باید پیشگیری‌های لازم اعمال شود تمام “موارد امنیتی” را رعایت کرد چرا که بعد از حمله خسارات جبران ناپذیری ممکن است گریبان شما و کسب و کارتان را بگیرد.

در این مقاله فهرست کاملی از پسوندهای باج افزار و گونه‌ های باج افزاری که از این پسوندها استفاده می‌کنند را بر اساس گزارشاتی از کسپرسکی نوشته‌ایم که دقیقا برای شناختی بهتر و جزئی‌تر از ویروس باج گیر (ransomware) است.

ویروس باج افزار به رمزگذاری فایل‌های کاربران می‌پردازد و پسوند فایلشان را به کلی به چیز دیگری تغییر می‌دهد. دقیقا این‌کار را به این خاطر انجام می‌دهد که قربانی متوجه فایل‌های قفل شده دستگاهش شود. پسوند موجود نشان می‌دهد که چه نوع ویروس باج افزاری به سیستم ما هجوم آورده است. شما با استفاده از این لیست می‌توانید باج افزار را تشخیص دهید و با شناخت نوع باج افزار به استفاده از رمزگشا یا ضد باج افزار مناسب به پاکسازی باج افزار بپردازید.

پسوندهای باج افزار و نوع باج افزار به کار برده شده:

سخن پایانی…

در این لیست که بر گرفته از مقاله‌ای از سایت techviral است سعی بر آن شد که تمامی پسوندهای باج افزار رایج در چند سال گذشته و مخصوصا در سال 2022 را ارائه کنیم و همچنین نوع ویروس حمله کننده را به شما معرفی کنیم. برای هر یک از این ویروس‌ها ضد باج افزارهای مناسبی اعم از رایگان و غیر رایگان وجود دارد که به راحتی می‌توانید از آن‌ها بهره ببرید.

چنانچه حذف باج افزار به صورت دستی و یا به وسیله‌ی این ضد باج افزارها امکان پذیر نبود، می‌توانید بصورت شبانه روزی با کارشناسان ما در تماس باشید و از خدمات اورژانس باج افزار بهره ببرید.

باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.

باج افزار GandCrab چگونه کار می‌کند؟

برای توزیع این باج افزار از کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.

باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از  Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک  infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.

مطالب مرتبط:حذف باج افزار، رمزگشایی داده‌ها و بازیابی اطلاعات

روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.

_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.

_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.

_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.

_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.

_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.

_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.

برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.

نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی  GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

 به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آن‌ها ضروری است.

2.نسخه باج افزار GandCrab را تعیین کنید.

 اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

• نسخه 1 GandCrab پسوند gdcb را دارد
• نسخه 2 و 3  GandCrab پسوند crab را دارد.
• نسخه 4 GandCrab پسوند krab را دارد.
• نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

 یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

 اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.

سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.