گروگان‌های CryptoLocker آزاد شدند

به زورگیـرها باج ندهید

یکی از بدترین بدافزارهای شناخته شده Ransomware یا زورگیر نام دارد. زورگیرهای دیجیتال هنگامی که بتوانند به رایانه‌ شما وارد شوند، فایل‌های مختلفی را رمزنگاری می‌کنند و با گروگانگیری اطلاعات، آزاد کردن فایل‌ها را به پرداخت هزینه از طرف شما مشروط می‌دانند. در برخی موارد چنانچه مبلغ درخواستی زورگیر را پرداخت کنید، فایل شما آزاد می‌شود و در برخی موارد، پس از پرداخت پول نیز هیچ تغییری در فایل‌های شما ایجاد نمی‌شود.

یکی از بدترین نمونه‌های این زورگیرها که چند سال است کاربران زیادی به آن آلوده شده‌اند و فایل‌هایشان به حالت رمزگذاری شده درآمده است CryptoLocker نام دارد.

ویروس CryptoLocker برای بسیاری از کاربران به یک کابوس شبیه است، چراکه بسیاری از اطلاعات ذخیره شده روی هارددیسک قربانیان را رمزنگاری کرده و تا به امروز، هیچ روشی برای بازکردن فایل‌های رمزنگاری شده بدون پرداخت پول به طراحان آن وجود نداشته است. کاربران بسیاری مدت‌ها فایل‌های خود را بدون هیچ تغییری روی هارد‌دیسک نگهداری کرده‌اند، به امید آن‌که روزی بتوانند به‌طور رایگان فایل‌های خود را بازیابی کنند و از شر این زورگیر خلاص شوند.

CryptoLocker چیست؟

همان‌طور که اشاره کردیم ویروس CryptoLocker یکی از انواع زورگیرها به‌شمار می‌رود. این ویروس در دو ماه ابتدای فعالیت خود چند میلیون دلار از کاربران سراسر دنیا اخاذی کرد که البته هنوز هم ادامه دارد.

ویروس CryptoLocker پس از آلوده کردن هر رایانه، اطلاعات ذخیره شده در آن را رمزنگاری کرده و از کاربر می‌خواهد با پرداخت مبلغی حدود 300 دلار، کلید خصوصی برای رمزگشایی فایل را دریافت کند. عملکرد CryptoLocker به‌طور خلاصه به این شرح است:

1- ویروس از روش‌های مختلفی مانند فایل‌های پیوست همراه ایمیل یا حفره‌های امنیتی موجود در برنامه‌ها به رایانه‌ کاربر تزریق شده و برای اطمینان از عملکرد، بسرعت در چند بخش مختلف نسخه‌های کپی از خود را پخش می‌کند.

2- ویروس به‌طور کاملا اتفاقی به یک دامنه اینترنتی متصل شده و یک کلید عمومی رمزنگاری از نوع RSA را دانلود می‌کند.

3- در ادامه ویروس برای فایل‌های شما یک کلید AES-256 ایجاد می‌کند.

4- ویروس CryptoLocker تمام فایل‌های پشتیبانی شده را با کلید ایجاد شده در مرحله‌ سه رمزنگاری می‌کند.

5- در نهایت کلید AES در ابتدای فایل‌های رمزنگاری شده قرار می‌گیرد و به این ترتیب عملیات رمزگشایی به کلید خصوصی رمز نیاز خواهد داشت.

رمزگشایی رایگان

خوشبختانه دوران زورگیری CryptoLocker به پایان رسیده و امروز شما می‌توانید با همکاری مشترکی که https:‌/‌‌/‌www.fireeye.com) FireEye) و https:‌/‌‌/‌www.fox-it.com) Fox-IT) داشته‌اند، با استفاده از سرویس آنلاین decryptcryptolocker فایل‌هـــای رمزنگاری شـــده توسط این بــدافزار را رمزگشــایی کنیــد. در حالــت کلی کاربـــران می‌توانند برای استفاده از این سرویس به سایت https:‌/‌‌/‌www.decryptcryptolocker.com بروند و نمونه‌ای از فایل‌های رمزنگاری شده روی رایانه‌ خود را در سایت آپلود کنند.

باتوجه به فایل آپلود شده توسط کاربر، کلید خصوصی موردنیاز برای رمزگشایی فایل در اختیارشان قرار خواهد گرفت و دستورالعمل‌ها و برنامه‌ موردنیاز به منظور رمزگشایی تمام فایل‌های کاربر برای او نمایش داده می‌شود.

کارگاه رمزگشایی

پیشتر به روش استفاده از این سرویس اشاره کردیم، اما از آنجا که بسیاری از قربانیان این زورگیر را کاربران مبتدی تشکیل می‌دهند، در ادامه شما را با شرح مراحل استفاده از این سرویس آشنا می‌کنیم:

قدم اول: ارسال نمونه

- به سایت زیر مراجعه کنید:

https:‌/‌‌/‌www.decryptcryptolocker.com

- در اولین کادر آدرس ایمیل خود را بدقت وارد کنید.

- روی گزینه‌ Choose File کلیک کرده و یکی از فایل‌های رمزنگاری شده خود را انتخاب کنید (توجه داشته باشید فایل‌های حاوی اطلاعات محرمانه را در این بخش انتخاب نکنید. برای این سرویس هیچ تفاوتی ندارد شما یک عکس معمولی را آپلود کنید یا فایل حاوی رمزعبورهای خود را).

- کد امنیتی به‌نمایش درآمده را در کادر مورد نظر وارد و در پایان روی گزینه‌ !Decrypt it کلیک کنید.

- اکنون یک متن راهنما برای شما به‌نمایش درخواهد آمد که در اولین مورد آن لینک دانلود برنامه‌ Decryptolocker در اختیارتان قرار می‌گیرد. با کلیک روی لینک، برنامه را دانلود و آن را روی هارد خود ذخیره کنید.

قدم دوم: دریافت کلید خصوصی

چنانچه کلید خصوصی موردنیاز برای رمزگشایی فایل‌های شما به وسیله سرویس فوق شناسایی شود، یک ایمیل برای شما ارسال خواهد شد. به ایمیل خود مراجعه کرده و پس از باز کردن ایمیل دریافتی، متن موجود به‌عنوان کلید خصوصی را انتخاب و در حافظه موقت ویندوز کپی کنید.

(اولین خط از کلید خصوصی زیر عبارت BEGIN RSA PRIVATE KEY آورده شده است.)

قدم سوم: رمزگشایی

در این مرحله شما کلیدخصوصی برای رمزگشایی را دریافت کرده‌اید و تنها کاری که ‌باید انجام دهید به‌کارگیری ابزار Decryptolocker و کلیدخصوصی جهت رمزگشایی فایل‌های موردنیاز است.

- برای استفاده از این ابزار ‌باید ابتدا روی گوی استارت کلیک کرده، در کادر جستجو عبارت CMD را تایپ کنید. روی نتیجه یافت شده با همین عنوان کلیک راست کرده و گزینه‌ Run as Administrator را برگزینید.

- در خط فرمان به دایرکتوری محل ذخیره‌سازی فایل Decryptolocker.exe روی هارد‌دیسک مراجعه کنید. (به‌عنوان مثال چنانچه این فایل را در درایو D در پوشه‌ Decrypt قرار داده‌اید، پس از وارد کردن فرمان D: فرمان CD Decrypt را وارد کنید.

حالا می‌توانید با وارد کردن فرمان زیر، فایل‌های موردنظرتان را رمزگشایی کنید:

Decryptolocker.exe –key ""

نکته: در فرمان بالا به‌جای عبارت ‌باید کلید خصوصی دریافت شده در ایمیل را وارد کنید و به‌جای عبارت نیز ‌باید نام فایل رمزنگاری شده خود را وارد کنید.

توجه: در فرمان بالا، محل فایل رمزنگاری شده در پوشه‌ برنامه رمزگشایی فرض شده است. چنانچه مسیر آن متفاوت است، ‌باید مسیر کامل فایل را وارد کنید.

پرسش و پاسخ

- آیا تمام فایل‌های رمزنگاری شده با CryptoLocker در این سرویس رمزگشایی می‌شود؟

با آزمایش‌های صورت گرفته و به گفته طراحان این سیستم، کلیدهای خصوصی برای 9/99 درصد فایل‌های رمزنگاری شده در دسترس است و می‌توان گفت رمزگشایی تمام فایل‌ها با این سرویس امکان‌پذیر است. اما در برخی موارد هنگام رمزنگاری مشکلاتی به وجود می‌آید که به همین دلیل رمزگشایی نیز امکان‌پذیر نیست.

- آیا سرویس بالا برای دیگر بدافزارها با عملکرد مشابه CryptoLocker نیز قابل استفاده است؟

انواع مختلفی از CryptoLocker وجود دارد، اما اکنون این سرویس روی نوع اصلی ویروس CryptoLocker عمل می‌کند و ممکن است به‌دلیل تغییرات کمی که در عملکرد بدافزارهای مشابه وجود دارد، عملیات رمزگشایی آنها با موفقیت همراه نشود.

- دستورهای قابل استفاده برای رمزگشایی فایل‌ها را عنوان کنید.

برای جستجوی تمام فایل‌های رمزنگاری شده در یک پوشه روی هارد‌دیسک می‌توانید از دستور زیر کمک بگیرید:

Decryptolocker.exe –find -r "C:|FolderName"

برای رمزگشایی تمام فایل‌های رمزنگاری شده در یک پوشه می‌توانید از این دستور کمک بگیرید:

Decryptolocker.exe –key "" C:|FolderName|*

توجه: به‌جای عبارت ‌باید کلید خصوصی دریافت شده در ایمیل را وارد کنید و پس از مشخص کردن مسیر پوشه‌ درخواستی نیز توجه داشته باشید علامت * در انتهای عبارت وارد شود.

چنانچه قصد دارید به‌صورت بازگشتی تمام فایل‌های رمزنگاری شده در یک پوشه یا درایو را جستجو و عملیات رمزگشایی را روی آنها اعمال کنید، می‌توانید از این فرمان کمک بگیرید:

Decryptolocker.exe –key "" -r C:|

نکته: برنامه Decryptolocker پیش از رمزگشایی فایل‌های شما، یک کپی از فایل‌های رمزنگاری شده را روی هارد‌دیسک ایجاد می‌کند. پیش از اجرای برنامه اطمینان حاصل کنید فضای خالی برای ایجاد فایل‌های پشتیبان روی هارد‌دیسک وجود دارد، چرا که در غیر این‌صورت عملکرد برنامه با اختلال مواجه می‌شود.

امیر عصاری

http://press.jamejamonline.ir/Newspreview/1618599856549216217