ویروس های باجگیر یا Ransomware به ویروس هایی گفته می شود که با نفوذ به سیستم قربانی با جستجو در اطلاعات سیستم فایل ها را توسط کدهای رمزگذاری نظیر AES رمزگذاری کرده و سپس با ایجاد پیغام بر روی صفحه نمایش قربانی از او درخواست مبلغی پول را میکند که به صورت Bitcoin یا واحد پول اینترنتی است که قابلیت ردگیری ندارد. بعضی از این بد افزار ها در صورت پرداخت نکردن باج در موعد مشخص شده مبالغ درخواستی را افزایش می دهند.
از جمله این ویروس های باج گیر می توان از بدافزارهایی نظیر “لاکی”، سربر، تسلاکریپت یا CryptoLocker اشاره کرد که البته نرم افزارهایی نیز برای رمزگشایی فایل های آلوده معرفی شده اند که در برخی موارد موفق بوده و در برخی موارد دیگر در مقابل ویروس هایی از این نوع نتوانستند کاری از پیش ببرند.
بنابراین بهترین راه حل برای مقابله با این نوع ویروس ها چلوگیری از ورود این ویروس ها به سیستم با استفاده از آنتی ویروس های به روز، عدم باز کردن فایل ها یا لینک های ناشناس، به خصوص از طریق ایمیل و یا تبلیغات های فریبنده در اینترنت می باشد. همچنین داشتن بک آپ به روز از محتویات حافظه سیستم و یا اطلاعات مهم می تواند در مواقع آلوده شدن به این ویروس می تواند نجات بخش باشد.
اما با همه این احوال اگر ناخواسته سیستم تان به این نوع ویروس آلوده شد حتما از فایل های خود یک بک آپ تهیه کنید و امیدوار بمانید تا نرم افزارهایی برای بازگشایی فایل های رمز شده عرضه شود.
ویروس باجگیر یا کرایپتووال، ویروس رمزنگار با اسامی (encrypted، Cryptowall)، ویروسی است بسیار خطرناک که سروکارش با برنامه ها نیست که بتوانید آنها را بعد از ویروس کشی حذف کنید ویروس باجگیر دقیقآ دنبال فایلهای مورد نیاز شماست یعنی فایل های متنی مهم شما مثل قرارداد ها، یادداشتها، موسیقی ها، کلیپ، عکس های یادگاری شما و خلاصه همه چیزهای مهم شخصی شماست.
نحوه عمل ویروس باجگیر یا بدافزار باج گیر Cryptowall :
پس از ورود به کامپیوتر از طریق ایمیل یا دانلود فایل آلوده به دنبال فایلهای مورد توجه شما با فرمتهای تصویری، صوتی، متنی، عکس ها، زیپ، rar می گردد و آنها را با رمز نگاریRSA-2048 تغییر فرمت می دهد به نحوی که مثلآ اگر فایل شما یک آهنگ ۱۰ مگابایتی است یک فایل متنی با کدهای نامشخص با همان حجم خواهید داشت که قابل استفاده هم نیست.
این ویروس از روی میزان کار شما با فایها به میزان اهمیت آنها پی می برد و در درجه اول فایلهایی که بیشتر با آن سر و کار دارید را رمز نگاری و تغییر فرمت و بی استفاده می کند و در تمام درایوها هم نفوذ می کند. و در درایوها پیامی می گذارد که فلان مبلغ را بپرداز یا برای حل مشکل به فلان آدرس برو و بعد از رفتن به آن آدرس از شما طلب مبلغی برای بازگرداندن و دی کد کردن فایلهای رمزنگاری شده شما می کند. در واقع روش تشخیص آلودگی رایانه شما به این ویروس این است که اگر دیدید فایلهای شما به صورت گفته شده تغییر یافته و در درایوها و پوشه های آلوده و رمزنگاری شده یک فایل متنی با مضمون زیر قرار داده شده بدانید که آلوده شده اید و کارتان درآمده:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program,
which is on our secret server.
To receive your private key follow one of the links:
۱. http://i3ezlvkoi7fwyood.tor2web.org/8924A3B7B7C44BCA
۲. http://i3ezlvkoi7fwyood.onion.to/8924A3B7B7C44BCA
۳. http://i3ezlvkoi7fwyood.onion.cab/8924A3B7B7C44BCA
و ……..
حذف و از بین بردن ویروس باجگیر :
برای حذف و نابودی ویروس کرایپ تووال (باجگیر) راههای مختلفی پیشنهاد شده بود که نود ۳۲، تا بیت دیفندر و بسیاری از سایتها هم اسپای هانتر Spyhunter را پیشنهاد کرده بودند، اماویروس باچگیر درست است که فایلهای همه درایوها را رمزنگاری می کند اما خودش فقط در درایو سی می نشیند با با فرمت درایو c (درایوی که ویندوز شما در آن نصب است) این ویروس از بین می رود پس اگر ویندوز را فرمت کنیم که نیازی به بیت دیفندر نیست. بدون فرمت هم هیچکدام ویروس را حذف نکردند .
ولی توصیه این است سریعآ ویندوز خود را فرمت کنید . بعد با ویروس یاب nod32 هم چک کنید. البته ممکن است ویروس یاب شما گزارش دهد کلی ویروس در درایوها یافته و بیشترشان را حذف می کند اما برخی هم حذف نمی شوند اینهایی که مانده یا آنهایی که حذف کرد ویروس نیستن فایلهای متنی هستند که متنی که در بالا گفته شد را دارند و آنتی ویروس ها ماهیت آنها را ویروسی تلقی می کنند. اگر می خواهید آنهایی که مانده را هم حذف کنید :
به هmy compute بروید از منوی Tools گزینه folder option را انتخاب کنید و از سربرگ view تیک Hide protectet operation system files رو بردارید و ok کنید. بعد کامپیوتر را ری استارت کرده با حالت safe mode ویندوز بالا بیایید به پوشه RECYCLER در همه درایو ها بروید و همه فایلهای داخل آنرا حذف کنید (البته اول همه سطل آشغال را خالی کنید) یک دو فایل که در واقع shortcut است باقی می ماند که مشکلی نیست.
منبع : http://www.eghtesadbartar.com/blog