اگر خاطرتون باشه چندی پیش ویروسی اومده بود که تمامی اطلاعات شما رو قفل میکرد و برای اینکه اونها رو برگردونید نیازمند پرداخت پول به این بندگان خدا بودید!این اتفاق توسط تروجانی به اسم Trojan-Ransom.Win32.Xorist میوفته که فایل های شما رو گروگان میگیره و تا وقتی پول ندید اونا رو در اختیارتون قرار نمیده.شرکت کسپرسکی محصول رایگانی رو برای رفع این مشکل در اختیار شما قرار داده به اسم XoristDecryptor که با هم به بررسی اون میپردازیم.
علایم آلودگی سیستم:
- در این نوع بدافزار از کاربر خواسته میشه که برای برگردوندن فایل هاش یه SMS با یه سری توضیحاتی که گفتن ارسال کنه
- یه نشونه ی دیگه وجود یک فایل به اسم Read Me: how to decrypt files هست که در درایوی که ویندوزتون نصب هست مشاهده میکنید(معمولا C دیگه!)
- معمولا هم فایلی با عنوان CryptLogFile.txt در فولدر ویندوز قابل مشاهده هست.
حالا این برنامه تروجان تمام فایل ها با پسوند های زیر رو قفل میکنه براتون:
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
خوب حالا با هم میریم ببینیم که چجوری از شر این تروجان خلاص بشیم:
- اول این ابزار رایگان رو از این آدرس دانلود کنید
بعد از اینکه Extract کردید فایل XoristDecryptor.exe رو روی سیستم آلودتون اجرا کنید. روی Start Scan کلیک کنید
حالا برنامه از شما میخواد که یکی از فایل هایی که آلوده شده رو بهش معرفی کنید.در قسمت Change parameters هم میتونید مکان هایی که نیاز به اسکن هست رو مشخص کنید.بعد از اینکه کار اسکن تموم شد ممکنه سیستم از شما بخواد که یکبار دستگاهتون رو ریست کنید تا عملیات از بین بردن تروجان تکمیل بشه.امیدوارم که این ابزار مورد توجهتون قرار گرفته باشه و سیستمتون هیچ وقت رنگ تروجان و ویروس رو نبینه.
سلام آقای نوید
والا من هیچی تو این عکس نمی تونم ببینم
شما خودت میتونی ببینی؟
لطفا crop کنید تا فضاهای اضافی تو عکس نباشه.ممنون ازتون
مهندس وقتی فایلهای ویروسی را انتخاب میکنم هیچ اتفاقی نمی افته.در تموم فایلهای ویروسی این فایل ایجاد شده
سلام دوست عزیز
وقتی شما برنامه رو اجرا میکنید در قسمت Change parameters داره که فایل مخرب رو هم پاک کنه.و همچنین وقتی سیستمتون رو از تروجان پاک میکنه فایل هاتون رو هم بر میگردونه و قابل استفاده میکنه
اگه اشتباه نگم بد افزار crypto locker هست که اسم های مختلف و ورژن های مختلف داره و با الگوریتم rsa رمز گذاری و قفل می کرد این راه کار kasper فقط بد افزار رو از بین می بره یا فایل های قفل شده رو باز میکنه؟؟؟ چون rsa غیر قابل نفوذ بود و شکستن تو تعریف کلی ولی وقتی یه گیر جهانی مثل این به وجود میاد معمولا بعد مدتی راه کار شکستنش هم میاد چند تا راه کار هم من شنیدم دوست داشتم بد افزار رو داشتم تو محیط virtual تست می کردم