هجوم گسترده اکسپلویت ها به حفره امنیتی vBulletin RCE
1398/07/25
ضد پهپاد کسپرسکی
1398/07/30
نرمافزار رمزگشایی باج افزار
هرروز از چهارگوشه دنیا اخبار متنوع و جدیدی از باجگیریهای اینترنتی میشنویم. اگر با مفهوم باج افزار آشنایی ندارید در توضیح مختصر میتوان گفت شکل متفاوتی از حملات سایبری که طی آن مهاجمین بدافزارهایی را وارد سیستم قربانی کرده و بهوسیله این بدافزار که باج افزار نام دارد فایلهای موجود در سیستم قربانی را رمزگذاری نموده و درازای رمزگذاری و بازگردانی به حالت اولیه از قربانی درخواست باج مینماید. در مقاله نرم افزار رمزگشایی باج افزار به همراه دانلود رایگان قرار داده شده اند.
مطالعه مقاله باج افزار چیست و چگونه کار میکند
برخی از شرکتهای امنیت سایبری برای بازگردانی و رمزگشایی فایلهای کدگذاری شده توسط باج افزارها راهکارهایی را بهصورت رایگان در اختیار کاربران قرار میدهند
لیست دانلود نرمافزارهای رایگان بازگردانی اطلاعات رمزگذاری شده
رمز گشای باج افزار shade
فایلهایی که با تمام نسخههای باج افزار shade رمزگذاری شدهاند را رمزگشایی میکند
رمز گشای باج افزار Rakhni
فایل های متاثر از مجموعه بد افزارها را رمز گشایی می کند Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman
(TeslaCrypt) version 3 and 4, Chimera, Crysis (versions 2 and 3), Jaff, Dharma, new versions of Cryakl ransomware, Yatron, FortuneCrypt, Fonix, Maze, Sekhmet, Egregor.
رمز گشای باج افزار Rannoh
فایل های رمزگزاری شده توسط باج افزار Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (versions 1, 2 and 3), Polyglot aka Marsjoke را رمزگشایی می کند
رمزگشای باج افزار CoinVault
فایلهای رمزگذاری شده بوسیله CoinVault and Bitcryptorرا رمزگشایی می کند. این نرم افزار با همکاری پلیس هلند طراحی و تولید شده است.
رمز گشای باج افزار Wildfire
مخصوص رمزگشایی فایلهای آسیبدیده توسط Wildfire
رمز گشای باج افزار Xorist
مخصوص بازگشایی فایلهای متأثر از Xorist و Vandev
رمز گشای باج افزار AES_NI
رمزگشایی فایلهای با پسوند .aes_ni .aes256 .aes_ni_0day
رمز گشای باج افزار Alcatraz
مخصوص بازگشایی فایلهای متأثر از Alcatraz
رمز گشای باج افزار Apocalypse
رمزگشایی فایلهای با پسوند .encrypted, .FuckYourData, .locked, .Ecryptedfile, or .SecureCrypted
رمز گشای باج افزارAtomSilo و LockFile
مخصوص بازگشایی فایلهای متأثر از AtomSilo و LockFile
رمز گشای باج افزارBabuk
رمزگشایی فایلهای با پسوند .babuk.babyk. doydo
رمز گشای باج افزارBadBlock
مخصوص بازگشایی فایلهای متأثر از BadBlock. این باج افزار تغییری در نام فایل ایجاد نمی کند.
رمز گشای باج افزار Bart
مخصوص رمزگشایی فایلهای آسیبدیده توسط zip.bar
این باج افزار فایل ها را به صورت فشرده رمز گذاری می کند
رمز گشای باج افزارBigBobRoss
رمزگشایی فایلهای با پسوند
foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated
رمز گشای باج افزارBTCWare
رمزگشایی فایلهای با پسوند
foobar.docx.[[email protected]].theva
foobar.docx.[[email protected]].cryptobyte
foobar.bmp.[[email protected]].cryptowin
foobar.bmp.[[email protected]].btcware
foobar.docx.onyon
رمز گشای باج افزارCrypt888
رمزگشایی فایلهای قفلشد توسطCrypt888 بافرمت Lock.file name.doc
رمز گشای باج افزارCrypt888
این رمزگشا مخصوص نسخه آفلاین باج افزار بوده و درصورتیکه از نسخه آنلاین استفادهشده باشد، مؤثر نخواهد بود.
رمز گشای باج افزارCrySiS
رمزگشایی فایلهای با پسوند
[email protected],
[email protected],
[email protected],
[email protected],
.{[email protected]}.CrySiS,
.{[email protected]}.xtbl,
.{[email protected]}.xtbl,
.{[email protected]}.xtbl,
.{[email protected]}.dharma,
.{[email protected]}.dharma,
.wallet
رمز گشای باج افزار EncrypTile
رمزگشایی فایلهای با پسوند
foobar.doc -> foobar.docEncrypTile.doc
foobar3 -> foobar3EncrypTile
رمز گشای باج افزار FindZip
فایلهای با پسوند .crypt رمزگشایی می شوند
رمز گشای باج افزارFonix
فایلهای با پسوند .FONIX,
.XINOF رمزگشایی می شوند
رمز گشای باج افزار GandCrab
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (letters are random)
رمز گشای باج افزارGlobe
رمزگشایی فایلهای با پسوند
.ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", "[email protected]", ".xtbl", ".zendrz", ".zendr[0-9]", or ".hnyear".
رمز گشای باج افزار HiddenTear
فایلهای رمزنگاریشده ممکن است یک یا چند پسوند زیر را شامل شوند:
.locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
رمز گشای باج افزار Jigsaw
رمزگشایی فایلهای با پسوند
.kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, [email protected], or .gefickt.
رمز گشای باج افزار LambdaLocker
این باج افزار عبارت .MyChemicalRomance4EVER بعد از هر فایل اضافه میکند مثل
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER
رمز گشای باج افزار NoobCrypt
این باج افزار در نام و پسوند فایلها تغییری ایجاد نمیکند
رمز گشای باج افزار TargetCompany
فایلهای رمزگذاری شده توسط TargetCompanyبا یکی از پسوندهای زیر شناخته میشوند
.mallox
.exploit
.architek
.brg
.carone
رمز گشای باج افزار Stampado
این باج افزار از پسوند .locked استفاده میکند. ولی درعینحال خود نام فایل را هم رمزگذاری میکند
رمز گشای باج افزار SZFLocker
در انتهای فایل یک .szfاضافه میکند
رمز گشای باج افزار TeslaCrypt
آخرین نسخه این باج افزار نام هیچ فایلی را تغییر نمیدهد
رمز گشای باج افزارTroldesh /Shade
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california
رمز گشای باج افزار XData
باج افزار پسوند .~xdata~ را به انتهای فایل ها اضافه میکند
نرم افزار رمزگشایی باج افزار STOP توسط Emsisoft و Michael Gillespie ارائه شده است که به شما این امکان را می دهد فایل های رمز گزاری شده توسط این باج افزار را بازیابی نمائید.
این کلید قادر است فایل های رمزگذاری شده توسط ۱۴۸ نوع مختلف از این باج افزار را رمز گشایی نماید و برای سیستم هایی کارایی دارد که تا قبل از آگوست ۲۰۱۹ آلوده شده اند. کاربران ممکن است بتوانند این سیستم ها را با استفاده از یک کلید آفلاین رمز گشایی کنند. بنا به اظهارات سایت BleepingComputer کشف الگوریتم این باج افزار یک دستاورد بسیار بزرگ جهانی است و به نوعی از آن به عنوان نجات دهنده تعبیر شده است. این سایت همچنین افزود که این حجم از درخواست برای کلید رمزگشا از زمان کشف باج افزار TeslaCrypt در سال ۲۰۱۶ تا کنون بی سابقه بوده است.
نحوه رمزگشایی فایل های رمزگذاری شده توسط باج افزار STOP
مجددا اعلام می کنیم به دلیل تغییر نسخه این باج افزار در آگوست ۲۰۱۹ و استفاده از رمز گذاری RSA، اگر سیستم شما پس از این تاریخ آلوده شده باشد، این کلید برای شما کارایی نخواهد داشت. شرکت Emsisoft در تلاش است تا برای این قربانیان یک کلید آفلاین ارائه نماید البته پیشنهاد می شود تا نرمافزار رمزگشای Emisisoft را دریافت نمایید و آن را به صورت آفلاین تست کنید تا مطمئن شوید که فایلهای شما با یک ورژن جدید رمزگزاری شده است یا خیر .
این نرمافزار قادر است فایل هایی که رمزگزاری شده اند و پسوند آن ها به یکی از موارد زیر تغییر یافته را بازیابی نماید.
Extensions include: .shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote
در صورتی که پسوند فایل های شما .puma،.pumas و یا .pumax باشد، سیستم شما توسط یکی از ابتدایی ترین الگوریتم های این باج افزار آلوده شده و تنها کافی است از لینک زیر نرمافزار رمزگشا را دریافت نمایید.
نرم افزار حذف باج افزار
دانلود کلید رمز گشایی باج افزار STOP Puma decryptor
برای انجام عملیات رمز گشایی ابتدا باید تعدادی از فایل های رمز شده و فایل های بدون نقص آن ها را در اختیار داشته باشید که حاوی شرایط زیر باشند:
- مطمئن باشید فایل آلوده و فایل سالمی که در اختیار دارید یک فایل هستند.
- برای رمزگشایی هر فرمت باید جفت فایلی از همان فرمت موجود باشد.
- فایل ها حد اقل ۱۵۰KB حجم داشته باشند.
بازیابی اطلاعات باج افزار
به عنوان مثال برای رمز گشایی فایل هایی با پسوند docx باید یک فایل رمز گزاری شده و نسخه سالم آن فایل را بار گزاری نمائید. پس از آنالیز فایل های بارگزاری شده و کشف الگوریتم، این کلید قادر خواهد بود تمام فایل های آلوده که دارای این پسوند هستند را باز گردانی نماید. بهترین راه برای به دست آوردن این جفت فایل ها، استفاده از فایل هایی است که از اینترنت دانلود کرده اید. نسخه سالم فایل ها را مجددا دانلود کنید ( نسخه رمز گذاری شده بر روی سیستم موجود است)، بدین ترتیب مطمئن خواهید بود که فایل آلوده و فایل اصلی سالم را در اختیار دارید. در این مرحله یعنی زمانی که فایل ها را در اختیار داشتید باید آن ها را در لینک زیر آپلود نمائید.
https://decrypter.emsisoft.com/submit/stopdjvu
پس از آپلود و زدن دکمه SUBMIT پردازش فایل های شما آغاز می شود و ممکن است تکمیل این مرحله مدت زمان زیادی طول بکشد. پس از اتمام این مرحله اعلام می شود که آیا پسوند وارد شده دارای کلید رمز گشا می باشد و یا خیر .
در صورت مثبت بودن جواب لینک نرمافزار رمز گشا برای شما نمایش داده می شود. پس از دانلود کلید با دابل کلیک آن را فعال نمائید اما قبل از آن اطمینان حاصل کنید که به اینترنت متصل هستید. در اولین پنجره از شما سوال می شود که آیا مایلید تنظیمات سیستمم شما تغییر کند یا خیر؟ شما باید گزینه Yes را انتخاب نمائید.
محتویات صفحه دوم یعنی Licence agreement را با دقت مطالعه و برای ادامه کار آن را تایید نمایید.
در این مرحله صفحه اصلی رمز گشایی نمایش داده می شود که به طور پیش فرض درایو C:\ انتخاب شده که می توانید بر اساس نیاز آن را تغییر دهید.
عملیات رمز گشایی با توجه به فایل هایی که در ابتدا آپلود شده بود و با همان الگوریتم کشف شده آغاز می گردد.
پس از پایان کار ممکن است فایل هایی وجود داشته باشند که هنوز به صورت رمز شده باقی مانده باشند. در این صورت با جستجو در اینترنت و پیدا کردن جفت فایل های آلوده و سالم مراحل را از ابتدا برای این فایل ها انجام دهید تا الگوریتم جدید کشف و فایل ها بازیابی شوند.
