طی روزهای اخیر گزارشات حاکی از حمله گسترده باج افزار DJVU به کاربران ایرانی است، این باج افزار بعد از اجرا کلیه فایلهای شما به غیر از فایلهای ویندوز را Encrypt کرده و مبلغی هنگفت باج مطالبه میکند! در صورتی که باج را طی ۳ روز پرداخت نکنید این مبلغ دوبرابر خواهد شد، برحسب نسخه این بدافزار پسوند فایلهای رمزنویسی شده ممکن است متفاوت باشند، لیست پسوند‌های کشف شده از این باج افزار تاکنون :

.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel, .zatrov, .masok or .brusaf

این باج افزار بعد از Encrypt کردن فایلهای شما یک فایل نوشتاری ساخته و درآن مراحل پرداخت و بازیابی فایلها را شرح می‌دهد … بعضی از نسخه‌های این بدافزار مجهز به مکانیزم تشخیص ماشین مجازی است لذا تست نرم افزار مشکوک روی ماشین مجازی نیز بی‌فایده است چون باج افزار روی ماشین مجازی کار نمیکند

طبق تحقیقاتی که انجام دادیم سرمنشاء اکثر آلودگی‌ها به این باج افزار سایت‌هایی Warez هستند که برنامه‌های کرک شده را در اختیار کاربران قرار میدهند .. بیشترین موارد گزارش شده مربوط به فعال‌ساز ویندوز و آفیس است که کاربر خوش خیال بی خبر از همه جا فایل اجرایی آنرا با دسترسی ادمین اجرا می‌کند و باج افزار بلافاصله کنترل سیستم را به دست گرفته و بعد از Encrypt کردن فایلها باج مطالبه میکند!


جلوگیری از آلودگی

  1. نصب آخرین نسخه ویندوز ۱۰ و دریافت آخرین به روز رسانی‌ها به صورت مداوم و فعال کردن سیستم ضد باج افزار ویندوز
  2. نصب آنتی‌‎ویروس همراه با فایروال
  3. تهیه نسخه پشتیبان از فایل‌های مهم
  4. استفاده از نرم‌افزارهای رایگان به جای کرک .. یا دانلود نرم افزار از سورس معتبر

بازیابی فایلهای آلوده

متاسفانه تنها درصورتی میتوان فایلهای آلوده را بازیابی کرد که سیستم به اینترنت متصل نبوده و فایلها توسط کلید مخصوص و خاص قفل‌گذاری نشده باشند، در این صورت میتوانید آخرین نسخه قفل شکن StopDecrypter را از آدرس زیر دانلود کنید و فایلهای خود را به راحتی بازیابی نمایید ( پیشنهاد میکنیم اول از همه فایلهای Encrypt شده نسخه پشتیبان تهیه کنید تا درصورت خطا در عملکرد نرم افزار قفل شکن بتوانید از راه دیگری فایلها را بازیابی نمایید )

دانلود آخرین نسخه STOPDecrypter

ضد ویروس Dr.Web نیز توانایی بازیابی چندین فرمت از این باج افزار را داراست ..

درصورتی که راه‌های بالا موفقیت آمیز نبود به فروم BleepingComputer ( لینک پایین ) مراجعه کنید و پس از مطالعه پست اول اطلاعات سیستم خود از جمله کد اختصاصی باج افزار را در تاپیک بنویسید تا سازنده نرم افزار StopDecrypt به صورت دستی رمز باج افزار را استخراج کند، ممکن است مدت زمان بسیار زیادی طول بکشد تا پاسخ شما را بدهند و شاید هرگز نتوانند فایلهای شما را بازیابی کنند و البته افرادی هم وجود دارند که با دریافت مبلغی ( حدود ۱۵۰ یورو ) به صورت دستی قفل باج افزار را برای شما باز میکنند ..

لینک موضوع مربوط به این بدافزار در سایت BleepingComputer

 


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

126

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *