یکی از بدترین نمونههای این زورگیرها که چند سال است کاربران زیادی به آن آلوده شدهاند و فایلهایشان به حالت رمزگذاری شده درآمده است CryptoLocker نام دارد.
ویروس CryptoLocker برای بسیاری از کاربران به یک کابوس شبیه است، چراکه بسیاری از اطلاعات ذخیره شده روی هارددیسک قربانیان را رمزنگاری کرده و تا به امروز، هیچ روشی برای بازکردن فایلهای رمزنگاری شده بدون پرداخت پول به طراحان آن وجود نداشته است. کاربران بسیاری مدتها فایلهای خود را بدون هیچ تغییری روی هارددیسک نگهداری کردهاند، به امید آنکه روزی بتوانند بهطور رایگان فایلهای خود را بازیابی کنند و از شر این زورگیر خلاص شوند.
CryptoLocker چیست؟
همانطور که اشاره کردیم ویروس CryptoLocker یکی از انواع زورگیرها بهشمار میرود. این ویروس در دو ماه ابتدای فعالیت خود چند میلیون دلار از کاربران سراسر دنیا اخاذی کرد که البته هنوز هم ادامه دارد.
ویروس CryptoLocker پس از آلوده کردن هر رایانه، اطلاعات ذخیره شده در آن را رمزنگاری کرده و از کاربر میخواهد با پرداخت مبلغی حدود 300 دلار، کلید خصوصی برای رمزگشایی فایل را دریافت کند. عملکرد CryptoLocker بهطور خلاصه به این شرح است:
1- ویروس از روشهای مختلفی مانند فایلهای پیوست همراه ایمیل یا حفرههای امنیتی موجود در برنامهها به رایانه کاربر تزریق شده و برای اطمینان از عملکرد، بسرعت در چند بخش مختلف نسخههای کپی از خود را پخش میکند.
2- ویروس بهطور کاملا اتفاقی به یک دامنه اینترنتی متصل شده و یک کلید عمومی رمزنگاری از نوع RSA را دانلود میکند.
3- در ادامه ویروس برای فایلهای شما یک کلید AES-256 ایجاد میکند.
4- ویروس CryptoLocker تمام فایلهای پشتیبانی شده را با کلید ایجاد شده در مرحله سه رمزنگاری میکند.
5- در نهایت کلید AES در ابتدای فایلهای رمزنگاری شده قرار میگیرد و به این ترتیب عملیات رمزگشایی به کلید خصوصی رمز نیاز خواهد داشت.
رمزگشایی رایگان
خوشبختانه دوران زورگیری CryptoLocker به پایان رسیده و امروز شما میتوانید با همکاری مشترکی که https://www.fireeye.com) FireEye) و https://www.fox-it.com) Fox-IT) داشتهاند، با استفاده از سرویس آنلاین decryptcryptolocker فایلهـــای رمزنگاری شـــده توسط این بــدافزار را رمزگشــایی کنیــد. در حالــت کلی کاربـــران میتوانند برای استفاده از این سرویس به سایت https://www.decryptcryptolocker.com بروند و نمونهای از فایلهای رمزنگاری شده روی رایانه خود را در سایت آپلود کنند.
باتوجه به فایل آپلود شده توسط کاربر، کلید خصوصی موردنیاز برای رمزگشایی فایل در اختیارشان قرار خواهد گرفت و دستورالعملها و برنامه موردنیاز به منظور رمزگشایی تمام فایلهای کاربر برای او نمایش داده میشود.
کارگاه رمزگشایی
پیشتر به روش استفاده از این سرویس اشاره کردیم، اما از آنجا که بسیاری از قربانیان این زورگیر را کاربران مبتدی تشکیل میدهند، در ادامه شما را با شرح مراحل استفاده از این سرویس آشنا میکنیم:
قدم اول: ارسال نمونه
- به سایت زیر مراجعه کنید:
https://www.decryptcryptolocker.com
- در اولین کادر آدرس ایمیل خود را بدقت وارد کنید.
- روی گزینه Choose File کلیک کرده و یکی از فایلهای رمزنگاری شده خود را انتخاب کنید (توجه داشته باشید فایلهای حاوی اطلاعات محرمانه را در این بخش انتخاب نکنید. برای این سرویس هیچ تفاوتی ندارد شما یک عکس معمولی را آپلود کنید یا فایل حاوی رمزعبورهای خود را).
- کد امنیتی بهنمایش درآمده را در کادر مورد نظر وارد و در پایان روی گزینه !Decrypt it کلیک کنید.
- اکنون یک متن راهنما برای شما بهنمایش درخواهد آمد که در اولین مورد آن لینک دانلود برنامه Decryptolocker در اختیارتان قرار میگیرد. با کلیک روی لینک، برنامه را دانلود و آن را روی هارد خود ذخیره کنید.
قدم دوم: دریافت کلید خصوصی
چنانچه کلید خصوصی موردنیاز برای رمزگشایی فایلهای شما به وسیله سرویس فوق شناسایی شود، یک ایمیل برای شما ارسال خواهد شد. به ایمیل خود مراجعه کرده و پس از باز کردن ایمیل دریافتی، متن موجود بهعنوان کلید خصوصی را انتخاب و در حافظه موقت ویندوز کپی کنید.
(اولین خط از کلید خصوصی زیر عبارت BEGIN RSA PRIVATE KEY آورده شده است.)
قدم سوم: رمزگشایی
در این مرحله شما کلیدخصوصی برای رمزگشایی را دریافت کردهاید و تنها کاری که باید انجام دهید بهکارگیری ابزار Decryptolocker و کلیدخصوصی جهت رمزگشایی فایلهای موردنیاز است.
- برای استفاده از این ابزار باید ابتدا روی گوی استارت کلیک کرده، در کادر جستجو عبارت CMD را تایپ کنید. روی نتیجه یافت شده با همین عنوان کلیک راست کرده و گزینه Run as Administrator را برگزینید.
- در خط فرمان به دایرکتوری محل ذخیرهسازی فایل Decryptolocker.exe روی هارددیسک مراجعه کنید. (بهعنوان مثال چنانچه این فایل را در درایو D در پوشه Decrypt قرار دادهاید، پس از وارد کردن فرمان D: فرمان CD Decrypt را وارد کنید.
حالا میتوانید با وارد کردن فرمان زیر، فایلهای موردنظرتان را رمزگشایی کنید:
Decryptolocker.exe –key ''
نکته: در فرمان بالا بهجای عبارت باید کلید خصوصی دریافت شده در ایمیل را وارد کنید و بهجای عبارت نیز باید نام فایل رمزنگاری شده خود را وارد کنید.
توجه: در فرمان بالا، محل فایل رمزنگاری شده در پوشه برنامه رمزگشایی فرض شده است. چنانچه مسیر آن متفاوت است، باید مسیر کامل فایل را وارد کنید.
پرسش و پاسخ
- آیا تمام فایلهای رمزنگاری شده با CryptoLocker در این سرویس رمزگشایی میشود؟
با آزمایشهای صورت گرفته و به گفته طراحان این سیستم، کلیدهای خصوصی برای 9/99 درصد فایلهای رمزنگاری شده در دسترس است و میتوان گفت رمزگشایی تمام فایلها با این سرویس امکانپذیر است. اما در برخی موارد هنگام رمزنگاری مشکلاتی به وجود میآید که به همین دلیل رمزگشایی نیز امکانپذیر نیست.
- آیا سرویس بالا برای دیگر بدافزارها با عملکرد مشابه CryptoLocker نیز قابل استفاده است؟
انواع مختلفی از CryptoLocker وجود دارد، اما اکنون این سرویس روی نوع اصلی ویروس CryptoLocker عمل میکند و ممکن است بهدلیل تغییرات کمی که در عملکرد بدافزارهای مشابه وجود دارد، عملیات رمزگشایی آنها با موفقیت همراه نشود.
- دستورهای قابل استفاده برای رمزگشایی فایلها را عنوان کنید.
برای جستجوی تمام فایلهای رمزنگاری شده در یک پوشه روی هارددیسک میتوانید از دستور زیر کمک بگیرید:
Decryptolocker.exe –find -r 'C:|FolderName'
برای رمزگشایی تمام فایلهای رمزنگاری شده در یک پوشه میتوانید از این دستور کمک بگیرید:
Decryptolocker.exe –key '' C:|FolderName|*
توجه: بهجای عبارت باید کلید خصوصی دریافت شده در ایمیل را وارد کنید و پس از مشخص کردن مسیر پوشه درخواستی نیز توجه داشته باشید علامت * در انتهای عبارت وارد شود.
چنانچه قصد دارید بهصورت بازگشتی تمام فایلهای رمزنگاری شده در یک پوشه یا درایو را جستجو و عملیات رمزگشایی را روی آنها اعمال کنید، میتوانید از این فرمان کمک بگیرید:
Decryptolocker.exe –key '' -r C:|
نکته: برنامه Decryptolocker پیش از رمزگشایی فایلهای شما، یک کپی از فایلهای رمزنگاری شده را روی هارددیسک ایجاد میکند. پیش از اجرای برنامه اطمینان حاصل کنید فضای خالی برای ایجاد فایلهای پشتیبان روی هارددیسک وجود دارد، چرا که در غیر اینصورت عملکرد برنامه با اختلال مواجه میشود. (ضمیمه کلیک)
امیر عصاری
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
عضو دفتر حفظ و نشر آثار رهبر انقلاب در گفتگو با جام جم آنلاین مطرح کرد
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
گفتوگوی عیدانه با نخستین مدالآور نقره زنان ایران در رقابتهای المپیک
رئیس سازمان اورژانس کشور از برنامههای امدادگران در تعطیلات عید میگوید
در گفتوگوی اختصاصی «جامجم» با دکتر محمدجواد ایروانی، عضو مجمع تشخیص مصلحت نظام بررسی شد