حذف و بازیابی اطلاعات ویروس باج افزار لاکی ” Locky”

یکی از خدمات شرکت ایران هارد کلینیک حذف باج افزار و ویروس باج گیر ( locky ransomware ) از هارد دیسک و بازیابی اطلاعات و رمز گشایی فایل و سیستم آلوده شده به باج افزار است.

ویروس باج افزار چیست؟

ویروس باج گیر لاکی (Locky) یکی از مخرب ترین ویروس های مالی به شمار می آید. که کار اصلی آن رمزگذاری, قفل کردن اطلاعات و فایل های کامپیوتر سپس تقاضای پرداخت براخت باج برای باز کردن رمز است. این ویروس به نحوه کار می کند که تمامی اطلاعات کامپیوتر را مختل می کند. مثلا درایو ها را قفل می کند. یا با اسکن کردن سیستم فایل هایی که بیشتر سر و کار با آنها را دارید.مخفی می کند. یا اینکه کلا کامپیوتر قربانی را قفل می کند. سپس از قربانی می خواهد که مبلغی را به عنوان باج پرداخت کند. تا کامپیوتر و اطلاعات آن آزاد کرد.

این ویروس به حدی مخرب است. که پس از ورود به سیستم و آلوده کردن فایل کارایی کامپیوتر را به طور کامل مختل می کند. بعد از آلوده شدن سیستم کامپیوتری کاربر به ویروس Ransomware یک پنجره پاپ آپ بر روی صفحه کامپیوتر قربانی فعال می شود. و یک پیغام و اخطار بر روی صفحه کامپیوتر فعال می شود.” کامپیوتر یا فایل های شما باز نخواهد شد. مگر اینکه مبلغ مثلا ۵۰۰ دلار برای باز کردن آن پرداخت کنید. یک لینک هم زیر پیغام گذاشته می شود و از شما می خواهد برای پرداخت مبلغ ذکر شده اقدام کنید.

رمزنگاری مورد استفاده این ویروس ترکیبی از دو رمزنگاری بسیار پیچیده RSA و AES-128 می‌باشد که هر دو واقعاً از رمزنگاری‌های قوی هستند. در حال حاضر امکان شکستن سریع این نوع رمزنگاری بدون داشتن کلید رمز میسر نیست.

 

ریکاوری فایلهای کدگذاری شده و حذف ویروس باجگیر

نحوه کدگذاری و الگوریتم ویروسهای باج افزار هر روز درحال تغییر و پیچیده تر شدن است و این امر باعث سختتر شدن بازیابی اطلاعات فایلهای ویروسی و کد شده خواهد شد.بررسی و دستیابی به الگوریتم کدگذاری ویروسهای باج افزار نیازمند دانش برنامه نویسی در سطوح بالا میباشد و کارشناسان کلینیک هارد دیسک از متخصصان ما چنین توانایی را دارا میباشند.بیشترین فعالیت ما در حوزه ریکاوری باج افزار مربوط به فایلهای کد شده دیتابیس و بکاپها و فایلهای ماشینهای مجازی میباشد.معمولا دیتابیس های MSSQL و ORACLE از رایج ترین بانکهای اطلاعاتی در ایران میباشند که در نرم افزارهایی همچون سپیدار ,همکاران سیستم ,راهکاران ,هلو ,تدبیر ,کارا و... میباشد که بازیابی طلاعات دیتابیس به خودی خود نیازمند آشنایی کامل با ساختار دیتابیسها میباشد .از سال ۱۳۹۷ کلینیک هارد دیسک بخش تخصصی برای بازیابی اطلاعات باج افزارها راه اندازی کرد و تا بحال بیشتر از هزاران دیتابیس را کدگشایی کرده که هرکدام مربوط به نرم افزارهای مالی و حسابداری ,اتوماسیون اداری , انبارداری , آزمایشگاهی , بیمارستانی , حقوق و دستمزد و یا برم افزارهای خاص بوده است واطلاعات مراکز مهمی را که باجگیر طلب مبالغی در حد صدها هزار دلار را کرده بود را به صورت کامل بازیابی و کدگشایی کرده است.

مراحل بازیابی اطلاعات فایلهای ویروسی

1. دریافت فایلهای ویروسی مورد نیاز از طریق اینترنت و یا کپی روی هارد دیسک

2. بررسی فایلها و مشخص نمودن نوع و ورژن ویروس باج افزار و الگوریتم کدگذاری

3. برآورد قیمت و اعلام هزینه بازیابی فایلهای کد گذاری شده

4. عقد قرارداد با مشتری

5. انجام مراحل ریکاوری فایلهای ویروسی و کدگشایی فایلهای خراب

6. پیش نمایش فایلها برای تایید توسط مشتری

7. کامل کردن مراحل بازیابی فایلهای کد شده

8. تایید توسط مشتری یا شرکتهای پشتیبان نرم افزارهای مربوطه و تسویه حساب و تحویل.

پس از تحویل اطلاعات و فایلها, متخصصین ما طبق قرارداد درصورت نیاز به رفع ایرادات احتمالی با مشتریان همکاری نموده و تا نهایی شدن فایلها در کنار آنها خواهند بود.

 

راه های نفوذ باج افزار (Ransomware ) و ویروس لاکی به شبکه کامپیوتر یا کامپیوتر شخصی:

ویروس باج افزار لاکی به سراغ سیستم های متصل به اینترنت می رود. سیستم هایی که بتوان از راه دور آنها را کنترل کنند. به محض ورود این ویروس به سیستم قربان و اتصال آن به اینترنت, عملیات مورد نظر مثل آلود کردن فایل شامل مخفی کردن, رمزگذاری فایل و یا قفل کردن کامل سیستم را انجام می دهد.

ویروس لاکی نه تنها فایل موجود در درایو C یا درایو ویندوز را آلود و رمزگذاری می کند. بلکه قادر است تمامی فایل های هارد دیسک, و سایر حافظه های متصل به کامپیوتر مانند فلش مموری و هارد اکسترنال را نیز رمزگذاری کند.


باج افزار از راه های زیر به سیستم نفوذ می کند.

باز کردن یک ایمیل حاوی ضمیمه مخرب و آلوده
کلیک روی لینک های ویران گری که در ایمیل، شبکه های اجتماعی یا سایت ها قرار دارد.
بازدید از سایت های مشکوک که اغلب دارای ماهیت مستهجن هستند.
باز کردن فایل های آلوده به ویروسس های باجگیر Ransomware
باز کردن ماکرو های فاسد در اسناد برنامه ( مثل واژه پرداز ها و صفحه کستر ها)
اتصال به دستگاه های جانبی usb مثلMemory، هارد اکسترنال، Mp3 Player و …

راه های نفوذ باج افزار لاکی:
ویروس لاکی از طریق ایمیل و یک فایل پیوست شده به سیستم نفوذ می کند. به ویژه پیوستی که از نوع فایل ورد (word) باشد. این فایل ورد شامل یک ماکرو است که به محض اجرا شدن «ویروس باج گیر» اصلی را از اینترنت دانلود می‌کند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیل‌های تبلیغاتی یا با آدرس ناآشنا بپرهیزید.  در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نموده‌اند که ایمیلی با عنوان مُعین را باز نموده‌اند و بعد از آن دچار مشکل شده‌اند بطور کلی در بیشتر موارد ایمیل‌های تبلیغاتی و با آدرس‌های ناآشنا بوده‌اند. بطور دقیق‌تر به محض اجرا شدن فایل ورد، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی می‌سازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript  از اینترنت گرفته و اجرا می‌کند.

 

چه فایل های توسط باج افزار لاکی آلوده و رمزگذاری می شوند؟

.doc, .docx, RTF, .pdf, .XLS, .PPT,  .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm,  .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

نحوه  انتشار ویروس لاکی در شبکه:
باج افزار « لاکی » حمله خود را از یک کامپیوتر آلوده دارای سیستم عامل ویندوز شروع می‌کند و به تدریج به دیگر سیستم‌های قابل دسترس در شبکه گسترش می‌یابد. گرچه حمله از سیستم عامل ویندوز شروع می‌شود اما این ویروس قابلیت آلوده کردن دیگر سیستم عامل‌ها نظیر لینوکس و OS X اپل را نیز دارد.
برای مقابله با باج افزار یا ویروس لاکی چکار باید کرد؟

اقدامات پس از آلوده شدن شیکه و سرور به ویروس باج افزار Locky
اگر بکاپ از فایل های خود در خارج از شبکه یا سرور و سیستم دارید می توانید فایل های سیستم را پاکسازی و سپس بکاپ را جایگزین کنید.

اقدامات پیشگری از نفوذ باج افزار لاکی
سیستم خود را همیشه یه یک آنتی ویروس قدرتمند و آپدیت شده مجهز کنید.
هیچ گاه به ایمیل های ناشناس پاسخ ندهید یا ایمیل هایی را که در قسمت Spam ایمیل تان قرار دارد را باز نکنید.
تنها از وب سایت های امن یا وب سایت هایی که می شناسید استفاده کنید.
قبل از آنلاین شدن، از وجود آنتی ویروس و دیوار آتش مؤثر و به روز روی کامپیوتر خود مطمئن شوید.
به طور منظم از اطلاعات خود نسخه پشتیبان تهیه کنید در خارج از محیط شبکه و سیستم کامپیوتری نگهداری نمایید.
راه های نفوذ که در بالا به آنها اشاره شده را شناسایی و بادانش کافی در شبکه اینترنت فعالیت کنید.
اقدام نهایی برای باز کردن سیستم و فایل های رمزگذاری شده توسط باج افزاری لاکی (Locky)

همانطور که در ابتدای مقاله به شما گفته ایم. هکرها و سازندگان باج افزار پس از سرایت ویروس لاکی به سیستم شما فایل های شما را رمز گذاری می کنند. یا مخفی و حتی فرمت آنها را تغییر می دهند. یا کلا از دسترسی شما به سیستم جلوگیری کرده. و یک صفحه بر روی سیستم شما ظاهر می شود. و از شما تقاقای پرداخت مبلغ مثلا ۵۰ دلار به عنوان باج می شود. خیلی ها بخاطر نیاز ضروری به اطلاعاتشان سریعا این مبلغ رو پرداخت می کنند.

اگر سیستم شما یا سرور شبکه شما به باج افزاری و ویروس لاکی آلود شده و از شما تقاضای پرداخت باج شده. اقدامات زیرا انجام دهید.

آرامش خود را حفظ کنید.

به هیچ وجه باج پرداخت نکنید. حتی یک دلار

چرا که اگر برای باز کردن کامیپوتر یا فایل ها به آنها پول پرداخت کنید. آنان قفل را از روی سیستم شما بر می دارند. یا فایل های شما را از حالت رمزگذاری آزاد می کنند. اما نه برای همیشه. و ویروس برای همیشه از سیستم شما پاک نمی شوند. بلکه بعد از مدتی دوباره سیستم شما را قفل می کنند یا فایل ها مورد نظر و حساس شما مثل عکس های خانوادگی, فیلم ها و داده را قفل گذاری می کند. دوباره از شما می خواهند که برای باز شدن سیستم مبلغ بیشتری را پرداخت کنید. پس به هیچ وجه به آنها باج ندهید.

این نکته را بدانید که حتی حذف و نصب مجدد ویندوز یا سیستم عامل مشکل را حل نمی کند. چرا که ویروس همچنان بر روی سیستم شما باقی هست.

سریعا به یک متخصص امنیتی یا کارشناسان شرکت ایران هارد کلینیک تماس بگیرید و از آن ها راهنمایی لازم را در این زمینه دریافت کنید.

می توانید هارد خود را برای متخصصین امنیتی شرکت ایران هارد ارسال کنید. تا بدون پرداخت باج به هکرها سیستم و فایل های خود را آزاد کنید.

 

از بین بردن ویروس باج گیر

شما عزیزان می توانید برای حذف ویروس باج افزار با ما در تماس باشید و این امر مهم را به ما بسپارید.