چگونه فایل‌هایی که توسط باج‌افزار Shade رمزگذاری شده اند را رمزگشایی کنیم؟

 

سال گذشته، لابراتوار کسپرسکی به سازمان اجرای قانون هلندی برای راه‌اندازی سایت NoRansom پیوست، این سایت به قربانیان باج‌افزار CoinVault کمک می‌کند تا به فایل‌های از دست‌رفته خود دسترسی یابند. پس از آن کسپرسکی وب‌سایتی با چندین ابزار رایگان دیگر برای بازگرداندن فایل‌های رمزگذاری‌شده توسط چندین رمزگذار مثل TeslaCrypt، CryptXXX و شبیه اینها را افزود.

به گزارش ایتنا امروزه کسپرسکی گام‌های بزرگی در مقابل باج‌افزارها بر می‌دارد. به همراهی پلیس هلند، یوروپل و امنیت اینتل این شرکت سایت NoMoreRansom.org را ایجاد کرد، این وب‌سایت به منظور جمع‌آوری وسیع‌ترین رمزگشاهای قابل دسترس در هرجایی برنامه‌ریزی شده است. در آغاز لابراتوار یکی دیگر از درمان‌های ویروس را به وب‌سایت اضافه کرد، یک نمونه که به یاری قربانیان باج‌افزار Shade به منظور یازیابی فایل‌هایشان بر می‌آید. ما این ابزار را همانند دیگر ابزارهایشان رایگان ارائه می‌دهد.

باج‌افزار Shade
Shade از خانواده باج‌افزارهای کریپتور است که در اوایل سال ۲۰۱۵ پدیدار شد. تروجان‌های Shade با استفاده از مسیر اسپم‌های مخرب یا exploit kits حمله را آغاز می‌کنند. پس از آن یک روش خطرناک را پیش می‌گیرد به همین خاطر قربانی نباید هیچ فایلی را باز کند. با تنها یکبار باز کردن یک وب‌سایت آلوده، درگیر این حقه می‌شوید.

هنگامی که باج‌افزار به سیستم قربانی نفوذ کند، تروجان یک کلید رمزگذاری از سرور فرمان و کنترل مجرم درخواست کرده یا اینکه با استفاده از یکی از کلیدهای تعبیه‌شده دسترسی سرور قربانی را قطع می‌کند. به این ترتیب که حتی اگر کامپیوتر به اینترنت هم متصل نباشد باج‌افزار عملیات خود را بر روی سیستم انجام می‌دهد.

این بدافزار پس از آن شروع به رمزگذاری می‌کند و بیش از ۱۵۰ فرمت را تحت تاثیر قرار می‌دهد که شامل فایل‌های مایکروسافت آفیس، عکس‌ها و آرشیوها می‌شود. وقتی که رمزگذاری انجام شد، Shade یک.xtbl یا.ytbl را به فایل اضافه می‌کند. زمانی که پروسه رمزگذاری به پایان رسید، مجرم پیغامی را بر روی صفحه نمایان می‌کند.

اگر که رمزگذاری فایل‌ها به اندازه کافی بد نباشد، باج‌افزار به بقیه وحشیگری خود ادامه می‌دهد. در حالی‌که قربانی هراس‌زده شده و به دنبال یک رمزگشا می‌گردد یا اینکه در صدد این است که پول را برای باج بپردازد، Shade مشغول است تا نرم‌افزارهای مخرب دیگری را بر روی کامپیوتر قربانی دانلود کند.

رمزگشای رایگان را دریافت کنید
اگر بدشانسی آورده‌اید و به دام این نوع باج‌افزار افتاده‌اید، یک خبر خوب برای شما داریم: کسپرسکی می‌تواند شما را در برابر وسوسه پرداخت باج به منظور پس گرفتن فایل‌های رمزگذاری‌شده خود در امان نگه دارد.

در اینجا کاری را که باید انجام دهید را مرور می‌کنیم:
۱. به سایت NoMoreRansom.org بروید.
۲. به پایین بروید و دو دکمه دانلود برای رمزگشایی را بزنید. شما می‌توانید رمزگشا را از Intel Security یا Kaspersky Lab انتخاب کنید. در هر صورت ، دستورالعمل‌های زیر برای رمزگشای ما هستند.
۳. فایل‌های دانلود‌شده را جدا کنید، ShadeDecryptor.zip.
۴. ShadeDecryptor.exe را اجرا کنید.
۵. در ShadeDecryptor کسپرسکی، بر روی Change Parameters کلیک کنید.
۶. درایوهای کاربردی را به منظور بررسی فایل‌های رمزگذاری‌شده انتخاب کنید.
۷. در همان پنجره، همچنین می‌توانید گزینه ” Delete crypted files after decryption ” را انتخاب کنید. اما ما چنین کاری را تا زمانی که مطمئن نشدید فایل‌های شما ۱۰۰% بازیابی شده‌اند، توصیه نمی‌کنیم.
۸. برای بازگردانده شدن به صفحه اصلی، بر روی “ok” کلید کنید. بر روی Start scan کلیک کنید.
۹. در پنجره “Specify the path to one of encrypted files” یکی از فایل‌های رمزگذاری‌شده خود را انتخاب و آن را باز کنید.
۱۰. اگر ابزار رمزگشا این پیغام را داد ” cannot automatically detect the victim’s ID” مسیر فایل را readme.txt که شامل یادداشت باج می‌باشد، قرار دهید.

در حال حاضر باید فایل‌های شما رمزگشایی شده باشند. از پول‌های پس‌انداز شده خود لذت ببرید و البته از خود در برابر دیگر باج‌افزارها در آینده محافظت نمایید. همچنین از یک راهکار امنیتی قوی مثل Kaspersky Internet Security. استفاده نمایید .
منبع: کسپرسکی‌آنلاین

 

منبع : ایتنا

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

خدمات پس از فروش