ویروس باجگیر « کریسیس CrySis یا شید Shade یا ترولدش Troldesh با پسوندهای xtbl ، wallet و Dharma »

توجه: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کرده‌است به مطلب  تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »  در بخش مقالات همین سایت مراجعه نمایید و به توصیه‌های داده شده عمل نمایید.

هدف ویروس باجگیر« کریسیس » رمزنگاری کردن اطلاعات و درخواست باج بود که خوشبختانه یک تحلیل گر و برنامه نویس خوب رمز اصلی آنرا کشف کرد و در اینترنت قرار دارد. بنابراین این ویروس تقریباً از رده خارج شده است ولی عده ای برنامه نویس بد راه آنرا ادامه دادند و با بازبینی و رفع عیوب آن ویروسهای جدیدتری نظیر ترولدش یا شید shade  ، xtbl ،  wallet و Dharma ساخته اند. متاسفانه رمز این ویروس های جدید هنوز کشف نشده است و در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگرداندن اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر از همه اینکه این ویروس های جدید مبلغ باج را فوق العاده گران درخواست می‌کنند، چیزی بین ۶ تا ۱۵ میلیون تومان. در دو مورد مراجعه شده به مرجع آنتی ویروس ایران که حاضر به پراخت باج شدند، مبلغ پرداختی ۶ و ۹ میلیون تومان بوده است و در هر دو مورد بعد از پرداخت باج، رمزگشایی انجام و تمامی فایلها به حالت اولیه بازگشته‌اند. متاسفانه هر گونه چونه زنی و خواهش و تمناء برای کاهش مبلغ باج از سازندگان آنها بیهوده می باشد، و به غیر از پول چیزی را نمی شناسند!

از آنجایی که یکی از اهداف این نوع ویروسها از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنیم هر روز از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.
بروز رسانی مهم – تاریخ بروزرسانی ۹۶/۱۲/۱۷
شرکت کسپرسکی برنامه جدید رمزگشای فایلهای رمزشده با ویروس باجگیر Dharam را معرفی کرده است. شما میتوانید از این مطلببرنامه‌های-رمزگشا-برای-ویروس-باجگیر دانلود نمایید.

هشدار مهم ۱
در صورت آلوده شدن به این ویروس از وصل کردن هرگونه حافظه فلش و هارد دیسک اکسترنال به کامپیوتر آلوده خودداری نمایید. این ویروس در عرض مدت کمی تمام فایلهای آنها را رمز می کند و خود را در آن کپی می نماید، و وصل کردن حافظه های فلش و هارددیسک های اکسترنال به دیگر کامپیوترها باعث آلوده شدن و رمز شدن آنها هم خواهد شد.

هشدار مهم ۲
این ویروس توانایی از کار انداختن تمامی آنتی ویروس ها را دارد بنابراین تا دیر نشده است از اطلاعات خود را روی CD یا  DVD پشتیبان بگیرید و فقط به داشتن آنتی ویروس اکتفاء نکنید.

هشدار مهم ۳
هدف اصلی این ویروس ویندوزهای سروری نظیر Windows server 2003, 2005, 2008 ,2012, 2016 می باشد تا با آلوده کردن و رمز کردن اطلاعات آنها که از بقیه کامپیوترها  مهم تر هستند باج بیشتری بگیرد. سیستم عامل همه موارد مراجعه شده به بنده ویندوز سرور ی بوده است.

هشدار مهم ۴
این ویروس در کامپیوترهای معمولی شبکه خود را پنهان نگه میدارد و با وصل شدن یک کاربر به سرور از طریق ریموت دسکتاپ خود را به آن میرساند و آنرا آلوده می کند.

نحوه نفوذ
این نوع ویروس ها معمولاً به چهار شکل وارد کامپیوتر قربانی می‌شوند:
۱- از طریق پیوست ایمیل (فایل ضمیمه ایمیل) هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس: معمولاً javascript  و بصورت پنهان در فایلهای word  و excel ، pdf ، rar  ، zip ،  txt  و …
۲- هدایت به سایت آلوده کننده حاوی فایل [removed] از لینک داخل هرزنامه‌ها، ایمیل‌های تبلیغاتی و ایمیل‌های ناشناس و تبلیغات وب
۳- کنار فایلهای رایگان قرار گرفتن (از همه مهمتر است): ویروس خود را در setup برنامه های رایگان قرار می‌دهد، وقتی قربانی در اینترنت برنامه دلخواه خود را جستجو و دانلود می‌کند، ویروس را هم وارد کامپیوتر خود می‌کند. در موقع نصب هم اجازه لازم برای نصب برنامه را می‌دهد و ویروس خود را اجرا می‌کند.
۴- ریموت دسکتاپ به ویندوزهای سرور: متاسفانه تمام موارد مراجعه شده به بنده ویندوزهای سروری بوده اند و همگی مرتباً از طریق ریموت دسکتاپ به سرور وارد می شدند. یعنی این ویروس در کامپیوترهای معمولی خود را پنهان نگه میدارد و با وصل شدن یک کاربر به سرور از طریق ریموت دسکتاپ خود را به آن میرساند و آنرا آلوده می کند.

نحوه خرابکاری

به محض اجرا شدن تمامی پروسس‌های مربوط به امنیت ویندوز و آنتی ویروس ها را از کار می‌اندازد تا بعداً خللی در کارش پیش نیاورند. سپس تمامی برنامه های پشتیبان گیری اتوماتیک نظیر shadow backup و  file history را از کار می‌اندازد و پشتیبان های گرفته شده را پاک می‌کند.
این ویروس ها با استفاده از دو نوع رمزنگاری AES و RSA و ترکیب آنها ، تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کنند. از رمزنگاری AES برای کلید عمومی در موقع رمز کردن فایلها استفاده می‌شود و از رمزنگاری RSA برای کلید اختصاصی رمزگشایی استفاده می‌شود، که این کلید اختصاصی در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به قربانی داده می‌شود.

معمولاً پسوند فایلها را به xtbl ،  wallet و یا Dharma تغییر داده و یک آدرس ایمیل شبیه به ایمیل‌های زیر به آنها اضافه می‌کند:

نمونه نام فایل رمز شده توسط کریسیس اصلی
mypicture.jpg.id-12345678.Vegclass@aol.com.CrySiS
mypicture.jpg.id-12345678.Vegclass@aol.com.xtbl
البته با پسوندهای دیگری نظیر  crypt و lock نیز دیده شده است.

نمونه نام فایل رمز شده توسط ترولدش Troldesh یا شید Shade
VTJGc2RHVmtYMSs3aHNzL1NSem5qMmlxUjhKVVR2SlA4dGhVQkFDV1R1TT0=.xtbl
البته با پسوندهای دیگری نظیر breaking_bad،   heisenberg  ، ytble نیز دیده شده است.
VTJGc2RHVmtYMSs3aHNzL1NSem5qMmlxUjhKVVR2SlA4dGhVQkFDV1R1TT0=.ytbl

نمونه نام فایل رمز شده توسط نوع جدید xtbl
filename.[ID].vegclass@aol.com.xtbl
filename.[ID].alex.vlasov@aol.com.xtbl
filename.[ID].donald_dak@aol.com.xtbl
filename.[ID].bitcoinrush@aol.com.xtbl
filename.[ID].centurion_legion@aol.com.xtbl
filename.[ID].redshitline@india.com.xtbl
filename.[ID].freetibet@india.com.xtbl

نمونه نام فایل رمز شده توسط نوع جدید wallet
filename.[amagnus@india.com].wallet
filename.[amagnus@india.com].zzzzz
ممکن است بجای ایمیل بالا ایمیل های زیر بکار رفته باشد:
stopper@india.com
funa@india.com
lavandos@dr.com
bitcoin143@india.com
worm01@india.com
amagnus@india.com
mkgoro@india.com
ananda.parabramha@india.com
unlock92@india.com
meldonii@india.com
semenov34@india.com
pay4help@india.com

نمونه نام فایل رمز شده توسط نوع جدید Dharma
filename.[bitcoin143@india.com].dharma
filename.[worm01@india.com].dharma
filename.[lavandos@dr.com].dharma
filename.[supermagnet@india.com].dharma
filename.[amagnus@india.com].dharma

متن باجگیری

متن باجگیری خیلی کوتاه می‌باشد و بصورت زمینه ویندوز به نمایش در می‌آید:

یک فایل هم بنام README.TXT در بیشتر پوشه‌ها ساخت می‌شود که متن آن بصورت زیر است:

شناسایی ویروس قبل از خرابکاری
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

راه حل : هنوز برای رمزگشایی راهی کشف نشده است.

متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه مبلغ باج خیلی زیاد است. البته بنده چند بار برای دیگران باج را پرداخت کرده‌ام و فایل رمزگشا و کلیدها را دارم ولی فقط برای همون کامپیوترهای قبلی قابل استفاده هستند. بهر حال در صورت نیاز به این فایل رمزگشا و کلیدهای آن لطفا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «Crysis بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.

درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.

روش های پیشنهادی جهت پاکسازی xtbl ، wallet و Dharma
تضمینی برای نتیجه دادن این روش ها نیست، ولی برای افراد که قصد پرداخت باج را ندارند شاید با کمی شانس راه گشا باشند.

روش اول پاکسازی: استفاده از پشتیبان های (backupهای) موجود.
در صورتی که از ویندوز و اطلاعات خود پشتیبان دارید، از آنها استفاده کرده و ویندوز خود را و یا فایلهای خود  را به روز اول برگردانید. ممکن است بعضی از اطلاعات مابین آخرین پشتیبان گرفته شده و زمان حال را از دست بدهید.

روش دوم پاکسازی: گذشتن از خیر اطلاعات و نصب مجدد ویندوز
در صورتی که اطلاعات رمز شده شما توسط این ویروسها دارای اهمیت نیستند و میتوانید از خیر آها بگذرید، میتوانید با فرمت کردن هارددیسک و نصب مجدد ویندوز از شر این ویروسها راحت شوید.

روش سوم پاکسازی: سعی در استفاده از سیستم اتوماتیک پشتیبان گیری ویندوز
۱. الف ( در مورد ویندوز  ۷) در موقع شروع ویندوز کلید F8 را مرتباً بزنید تا منوی پیشرفته ویندوز بصورت زیر نمایش داده شود، گزینه Safe mode with command prompt را انتخاب و کلید Enter را بزنید

ب – ( در مورد ویندوز های ۸ ، ۸.۱ ، ۱۰ ) کلیدSearch ویندوز (یا کلید  ) را بزنید و بنویسید msconfig ، وقتی بصورت زیر msconfig را اجرا کردید، تیک گزینه Safe boot را بزنید و Apply کنید، اجازه بدهید ویندوز restart شود.

۲. بعد از ورود به حالت safe mode، بنویسید cd restore و کلید Enter را بزنید

۳. بنویسید rstrui.exe و کلید Enter را بزنید

۴. برنامه system restore اجرا می شود، سعی کنید کامپیوتر را با استفاده از آخرین پشتیبان اتوماتیک موجود به حالت قبل برگردانید. اگر پشیبانی گرفته شده ای ندارید یا قابل دسترس نیست باید از دیگر روش ها عمل نمایید.

روش چهارم پاکسازی: استفاده از برنامه های ضد بد افزار
برنامه های مثل Malwarebytes و SpyHunter و … بصورت اتوماتیک تمام کارهای لازم جهت از بین بردن این ویروس ها را انجام میدهند. شما میتوانید با نصب نسخه رایگان یا آزمایشی آنها سعی کنید با این ویروس ها مقابله نمایید.

روش پنجم پاکسازی: پاکسازی دستی ویروس
بزودی این روش تکمیل می شود.

نتیجه گیری

بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به این ویروس اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز RSA-AES داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.