محققان ابزار رایگانی را برای رمزگشایی از باج‌ افزار JigSaw که اقدام به پاک کردن فایل‌های کاربران می‌کرد منتشر کردند.

Lawrence Abrams، محقق امنیتی به تازگی با باج افزاری برخورد کرده که مبلغ ۱۵۰ دلار از کاربر در ازای رمزگشایی فایل‌هایش طلب می‌کند.

تا این لحظه هنوز خبری از چگونگی انتشار این باج افزار در دست نیست ولی پس از ورود این بدافزار به سیستم قربانی، اقدام به رمزگذاری ۲۴۰ فایل مختلف و افزودن پسوندهایی چون FUN، KKK، GWS و یا BTC به آن‌ها می‌کند.

در ادامه لیستی از پسوند‌هایی که این باج افزار هدف قرار می‌دهد آمده است:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby , .1pa, .Qpd, .Txt, .Set, .Iif , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar

 

پس از اینکه مرحله‌ی رمزگذاری فایل‌ها به پایان رسید، JigSaw‌ خودش را به قربانی معرفی می‌کند:

“Your computer files have been encrypted. Your photos, videos, documents, etc… But, don’t worry! I have not deleted them, yet. You have 24 hours to pay 150 USD in Bitcoins to get the decryption key. Every hour files will be deleted. Increasing in amount every time. After 72 hours all that are left will be deleted.

If you do not have bitcoins Google the website localbitcoins. Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one. Send to the Bitcoins address specified. Within two minutes of receiving your payment your computer will receive the decryption key and return to normal. Try anything funny and the computer has several safety measures to delete your files. As soon as the payment is received the crypted files will be returned to normal. Thank you.”


فایل‌های کامپیوتر شما رمزگذاری شده است، تصاویر، فیلم‌ها، اسناد و … . اما نگران نباش من هنوز آن‌ها را حذف نکرده‌ام. تو بیست و چهار ساعت زمان برای پرداخت ۱۵۰ دلار در ازای دریافت کلید رمزگشایی داری. هر ساعت فایل‌های بیشتری حذف می‌شوند و پس از ۷۲ ساعت، همه چیز از بین می‌رود!

اگر بیت‌کوین نداری، توی گوگل localbotcoins رو سرچ کن و به اندازه‌ی ۱۵۰ دلار (۰٫۴BTC) بیت‌کوین بخر، سیستم هر دو حالت رو قبول می‌کنه. وقتی پرداخت رو انجام دادی و کد رو فرستادی، در عرض دو دقیقه کلید برات ارسال میشه و سیستمت با حالت قبلی برمیگرده. هر تلاشی برای دور زدن من بکنی، تمام فایل‌هات پاک میشه. پس از پرداخت فایل‌هات به حالت عادی برمیگرده! مرسی

در پیغام نمایش داده شده، تایمری ۶۰ دقیقه‌ای وجود دارد که به محض به پایان رسیدنش، یکی از فایل‌های شما پاک می‌شود و مجدد تایمر شروع به شمارش می‌کند.

اگر قصد خاموش کردن سیستمتان را داشته باشید، باج افزار به عنوان تنبیه هزار فایل شما را پاک می‌کند! اگر پرداخت نکنید، باج افزار تمام فایل‌های شما را پاک می‌کند!

به گرفته‌ی Abram، حذف شدن فایل‌ها توسط این باج افزار و رفتار عجیبش سبب خشم بسیاری شده است:

این نخستین باری نیست که یک باج افزار، تهدید به حذف فایل‌ها می‌کند، ولی JigSaw نخستین باج افزاریست که تهدیدش را عملی می‌کند.

خوشبختانه محققین MalwareHunterTeam و DemonSlay335 ابزاری را منتشر کردند که فایل‌های کاربران را به صورت رایگان به حالت پیشین باز می‌گرداند.

کاربرانی که قربانی این باج افزار شده‌اند باید با استفاده از TaskManager پروسه‌های firefox.exe و drpbx.exe را یافته و با استفاده از MsConfig اقدام به غیرفعال‌سازی ورودی firefox.exe کنند. این عمل باعث می‌شود تا جلوی اجرای باج افزار گرفته شده و فایل‌های بیشتری را حذف نکند.

سپس باید ابزار رمزگشایی این باج افزار را از «اینجا» دانلود کنند.

و در نهایت با استفاده از یک آنتی ویروس به روز، اقدام به پاکسازی سیستم خود کنند.

یکی از نکات جالب راجع به این باج افزار این است که گاهی از کاربران مبالغ کمی در حد بیست دلار درخواست می‌کند و همین امر سبب شده تا محققان به فکر بیفتند که آیا مجرمان اینترنتی به پول نیازمندند یا فقط از سر تفریح با زندگی مردم بازی می‌کنند؟ مهاجمین و مجرمان اینترنتی از هیچ کاری برای آسیب زدن و ایجاد آسیب بیشتر به قربانیان کوتاهی نمی‌کنند.

اگر شما هم تجربه‌ای در برخورد با باج افزارها دارید آن را در زیر این خبر با ما به اشتراک بگذارید.

نظر دهید

234x60