تروجان ها یا بدافزارهای Trojan-Ransom.Win32.Rakhni و Trojan-Ransom.AndroidOS.Pletor توسط افراد سودجو مورد استفاده قرار میگیرند تا داده ها و فایلهای شما را کدگذاری و غیرقابل دسترس نموده و پسوند آنها را به پسوندهای زیر تغییر میدهد:
<filename>.<original_extension>.<locked>
<filename>.<original_extension>.<kraken>
<filename>.<original_extension>.<darkness>
<filename>.<original_extension>.<nochance>
<filename>.<original_extension>.<oshit>
<filename>.<original_extension>.<oplata@qq_com>
<filename>.<original_extension>.<relock@qq_com>
<filename>.<original_extension>.<crypto>
<filename>.<original_extension>.<helpdecrypt@ukr.net>
<filename>.<original_extension>.<pizda@qq_com>
<filename>.<original_extension>.<dyatel@qq_com>
<filename>.<original_extension>_crypt
<filename>.<original_extension>.<nalog@qq_com>
<filename>.<original_extension>.<chifrator@qq_com>
<filename>.<original_extension>.<gruzin@qq_com>
<filename>.<original_extension>.<troyancoder@qq_com>
<filename>.<original_extension>.<encrypted>
<filename>.<original_extension>.<cry>
<filename>.<original_extension>.<AES256>
<filename>.<original_extension>.<enc>
<filename>.<original_extension>.<coderksu@gmail_com_id371>
<filename>.<original_extension>.<coderksu@gmail_com_id372>
<filename>.<original_extension>.<coderksu@gmail_com_id374>
<filename>.<original_extension>.<coderksu@gmail_com_id375>
<filename>.<original_extension>.<coderksu@gmail_com_id376>
<filename>.<original_extension>.<coderksu@gmail_com_id392>
<filename>.<original_extension>.<coderksu@gmail_com_id357>
<filename>.<original_extension>.<coderksu@gmail_com_id356>
<filename>.<original_extension>.<coderksu@gmail_com_id358>
<filename>.<original_extension>.<coderksu@gmail_com_id359>
<filename>.<original_extension>.<coderksu@gmail_com_id360>
<filename>.<original_extension>.<coderksu@gmail_com_id20>
بعنوان مثال:
فایل document.doc که یک فایل متنی است ممکن است بعد از آلودگی سیستم به این تروجان ها به document.doc.locked تغییر کند که دیگر توسط کاربر نیز قابل استفاده نیست (کاربر براحتی هم نمیتواند آن را Rename کند تا با تغییر دستی پسوند بتواند به آن دسترسی مجدد داشته باشد.)
برای حل این مشکل و دسترسی مجدد به فایلهای آلوده و کدگذاری شده توسط تروجانهای فوق الذکر، میتوانید از ابزار ویژه و رایگان RakhniDecryptor که توسط شرکت امنیتی کسپرسکی ارائه شده است، استفاده نمایید.
نحوه کار با این ابزار:
مهم: بدافزار Trojan-Ransom.Win32.Rakhni فایلی با عنوان exit.hhr.oshit میسازد که خود کدگذاری شده و حاوی کلمه عبوری برای بازیابی یا کدبرداری فایلهای آلوده شده میباشد. در صورت وجود این فایل بر روی سیستم، ابزار بازیابی معرفی شده یعنی RakhniDecryptor سریعتر قادر به کدبرداری و بازیابی فایلهای آلوده میباشد. و از طرفی در صورتی که از روی سیستم حذف شود با ابزارهای رایج بازیابی داده های پاک شده قابل بازیابی است. در صورت یافتن یا بازیابی این فایل آن را به پوشه ی %APPDATA% منتقل نموده و مجدداً اقدام به اسکن توسط ابزار ضد تروجان فوق نمایید. مسیر معمول فایل exit.hhr.oshit بشرح زیر است:
Windows XP: C:\Documents and Settings\<username>\Application Data
Windows 7/8: C:\Users\<username>\AppData\Roaming
برای بازیابی فایلهای آلوده مراحل زیر را طی نمایید:
ابزار RakhniDecryptor را از صفحه ی ابزارهای حذف ویروس دانلود و آن را روی سیستم آلوده اجرا نمایید.
برای تعیین مسیرهایی که میخواهید توسط این بررسی شوند روی Change parameters کلیک نموده و مسیرهای مورد نظر را علامت گذاری نمایید
مطمئن شوید Delete crypted files after decryption یعنی «پاک نمودن فایلهای کدگذاری شده پس از بازیابی و کدبرداری فایلها» نیز فعال است. (این گزینه تنها فایلهای کپی ایجاد و ذخیره شده با پسوند locked، kraken و darkness را حذف خواهد کرد.)
کلید OK را زده و در پنجره اصلی این برنامه Start scan را بزنید.
در پنجره ای که با نام Specify the path to one of encrypted files باز میشود فایل کدگذاری شده مورد نظر را انتخاب و روی دکمه open کلیک نمایید تا نرم افزار شروع به کدبرداری و رمزگشایی نماید.
به پیغام هشداری که پس از آن از سوی کسپرسکی ظاهر میشود توجه نمایید و تا زمان پایان فرآیند منتظر بمانید:
این پیغام مبنی بر این است که فرآیند رمزگشایی (بویژه در صورت حذف شدن فایل حاوی پسورد که در بالا ذکر شد) ممکن است مدت زیادی به طول بیانجامد (مثلاً بیش از یک روز). لذا میبایست در تمام این مدت سیستم کاپیوتر را روشن نگه داشته و هرگز برنامه را نبندید.
فایل گزارش فرآیند کدبرداری و رمزگشایی فایلهای آلوده و کدگذاری شده در فایلی با فرمت و مسیر زیر ذخیره میشود:
C:\RakhniDecryptor.<version>_<date>_<creation_time>_log.txt