کمک به قربانیان باج‌افزارهای Yatron و FortuneCrypt

۱۳۹۸/۷/۱۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ باج‌افزارها هم برای کاربران و هم متخصصین همیشه دردسر بزرگی بوده‌اند. بازیابی فایل‌هایی که باج‌افزارها رمزگذاری‌اش کرده باشند کار آسانی نیست و در بسیاری از موارد این کار شاید محال نیز باشد. اما برای قربانیان دو بدافزار Yatron و FortuneCrypt خبرهای خوبی داریم: متخصصین کسپرسکی برای فایل‌هایی که این دو بدافزار به طور خاص رمزگذاری کرده‌اند رمزگشاهایی ساخته و منتشر کرده است. با ما همراه باشید تا در ادامه به چند و چون این ماجرا بپردازیم.

چطور فایل‌هایی را که Yatron رمزگذاری‌ کرده است رمزگشایی کنیم

باج‌افزار Yatron خود بر اساس رمزگذار دیگری به نام Hidden Tear است که داستانی عجیب پشتِ آن است. چند سال پیش، اوتکو سن، محقق ترکی این بدافزار را برای مقاصد آموزشی و تحقیقاتی ساخت و کد منبع آن را نیز در اینترنت آپلود کرد. اما میراث این نرم‌افزار همچنان با ما مانده است؛ متخصصین هنوز دارند باج‌افزارهای جدیدی بر اساس آن پیدا می‌کنند و Yatron تنها یکی از این نمونه‌هاست.

خوشبختانه، آسیب‌پذیری‌هایی در کد Yatron پیدا شد. متخصصین ما این فرصت را مغتنم شمرده و رمزگشایی ساختند. اگر روی هر فایل قفل‌شده‌ای افزونه‌ی a *.yatron را دیدید به وبسایت No More Ransom رفته و ابزار رمزگشایی که فایل‌هایتان را بازیابی کند دانلود نمایید.

چطور فایل‌هایی را که FortuneCrypt رمزگذاری کرده است رمزگشایی کنیم

بسته‌ دوم باج‌افزارها که دیگر شاهکار است، البته نمی‌شود گفت «شاهکار»، بهتر نیست «خرابکار» خطابش کنیم؟ سازندگان FortuneCrypt به جای استفاده از زبان‌های پیشرفته همچون C/C++ و Python آن را به زبان BlitzMax (زبانی بسیار ساده که مدل توربوشارژشده‌ی BASIC است) نوشتند. در طول تاریخچه‌ی ردیابی بدافزارها تا به حال به چنین زبانی برنخورده‌ بودیم.

متخصصین ما پی بردند که الگوریتم رمزگذاری این بدافزار هنوز مانده تا بی‌نقص و کامل شود و همین باعث شد بتوانند برایش رمزگشا درست کنند. در مورد Yatron نیز باید بگوییم قربانیان FortuneCrypt می‌توانند از پورتال No More Ransom ابزار رمزگشایی دانلود کنند.

با باج‌افزارهای روی کامپیوتر چه بکنیم؟

اول از همه اینکه، باج ندهید. باج دادن فقط مجرمان سایبری را شیر می‌کند و اینکه همانطور که قبل‌تر هم در مقالات خود مدام تأکید می‌کنیم، هیچ تضمینی وجود ندارد که اطلاعات‌تان بعد از دادن باج بازیابی شود. بهترین کار این است که به وبسایت No More Ransom بروید؛ این وبسایت توسط متخصصین چندین شرکت فعال در حوزه‌ی امنیت سایبری و سازمان‌های اجرای قانون از جمله کسپرسکی، اینترپل و پلیس هلند ساخته شده است تا از تعداد قربانیان این طاعون کمی کاسته شود. این وبسایت شامل رمزگشاهایی برای صدها برنامه‌ی باج‌افزار می‌شود و البته که همه‌شان هم رایگان هستند.

چطور از خود در مقابل اخاذان محافظت کنیم؟

  • برنامه‌هایی را که از وبسایت‌های ناشناخته و مشکوکند دانلود نکنید. حتی اگر اسم برنامه به نظر موجه آید باز هم شاید این پکیج حاوی چیزی کاملاً متفاوت و خطرناک باشد.
  • روی لینک‌ها کلیک ننموده و فایل‌های ضمیمه در ایمیل‌های ناشناس را باز نکنید. اگر از سوی دوستی یا همکاری پیامی مشکوک و غیرمنتظره دریافت کردید بهشان زنگ بزنید تا مطمئن شوید فایل ارسالی بی‌خطر است.
  • مطمئن شوید که سیستم‌عاملتان و برنامه‌هایی که مرتباً از آن‌ها استفاده می‌کنید به آخرین نسخه‌ی خود آپدیت شده‌اند. بدین‌ترتیب از آسیب‌پذیری‌هایی که سازندگان باج‌افزار ازشان سوءاستفاده می‌کنند در امان خواهید ماند.
  • اپ آنتی‌ویروس مطمئنی نصب کرده و هرگز آن را غیرفعال نکنید؛ حتی اگر برنامه‌هایی مشخص از شما چنین بخواهند.
  • از اطلاعات مهم خود بک‌آپ بگیرید و داده‌ها را در کلود، روی فلش یا درایو خارجی ذخیره کنید.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.