باج‌گیر افزار Hermes چیست؟

باج‌گیر افزارهای Hermes خانواده‌ای گسترده از ویروس‌های رمزنگاری هستند[۱]. دو به‌روزرسانی اصلی برای این باج‌گیر افزار تابه‌حال ارائه شده است: نسخه ۲ و نسخه ۲٫۱٫ تمامی نسخه‌ها از الگوریتم رمزنگاری AES-256 همراه با RSA-2048 استفاده می‌کنند. نسخه اول افزونه‌ای اضافه نمی‌کرد و فقط با افزودن یک نشانگر فایلِ(۱) HERMES، محتویات فایل‌ها را تغییر می‌داد. آخرین نسخه‎ی این باج‌گیر افزار شروع به افزودن پسوند hrm می‌کند، اما پس‌ازآن اقدام به رمزگذاری فایل‌ها بدون تغییر نام آن‌ها می‌کند. پس از رمزگذاری، این باج‌گیر افزار فایل‌های DECRYPT_INFO.txt و DECRYPT_INFORMATION.html را ایجاد می‌کند که حاوی یک پیام با دستورالعمل برای پرداخت جریمه و جزئیات تماس است. شما می‌توانید محتویات این فایل‌ها را در پاراگراف بعدی مشاهده کنید. معمولاً ویروس‌های از این نوع درخواست ۵۰۰ تا ۱۰۰۰ دلار به بیت کوین می‌کنند. باج‌گیر افزار Hermes در حقیقت UAC را دور می‌زند و volumeهای از نوع shadow copy و فایل‌های پشتیبان را حذف می‌کند. این ویروس می‌تواند انواع فایل‌های پشتیبان زیر را حذف کند، که درنهایت می‌تواند روند بازیابی را مختل کند:

*.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk

شما می‌توانید سعی کنید از سرویس رمزگشایی Dr.Web استفاده کنید[۲]  یا فایل‌های خود را توسط پشتیبان‌گیری بازیابی کنید. شما همچنین می‌توانید فایل‌های خود را تا زمانی که یک برنامه رمزگشایی به‌خصوص برای این باج‌گیر افزار منتشر شود، نگه دارید. از دستورالعمل‌های این مقاله برای حذف باج‌گیر افزار Hermes و رمزگشایی فایل‌های دارای پسوند hrm (یا سایر موارد) در ویندوز ۱۰، ویندوز ۸ یا ویندوز ۷ استفاده کنید.

چگونه باج‌گیر افزار Hermes کامپیوتر شما را آلوده می‌کند؟

این باج‌گیر افزار می‌تواند با هک شدن و از طریق یک پیکربندی RDP محافظت نشده، با استفاده از هرزنامه‌ها و پیوست‌های مخرب، دانلودهای جعلی، بهره‌بردارها، تزریق از طریق وب، به‌روزرسانی‌های جعلی، فایل‌های نصب(۲) بسته‌بندی مجدد شده(۳) و آلوده‌شده، توزیع شود. پس از رمزگذاری، کپی‌های سایه‌های فایل‌ها(۴) توسط این دستور حذف می‌شوند: vssadmin.exe vssadmin delete shadows / all / quiet. ویروس یک شناسه خاص را به قربانیان اختصاص می‌دهد، که برای نام‌گذاری فایل‌های آن‌ها و ظاهراً برای ارسال کلید رمزگشایی برای آن‌ها مورداستفاده قرار می‌گیرد. به‌منظور جلوگیری از آلودگی با این نوع تهدیدات در آینده، توصیه می‌کنیم از SpyHunter و BitDefender Anti-Ransomware استفاده کنید.

نوشته‌ای که توسط این باج‌گیر افزار ارسال می‌شود بدین‌صورت است:

All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is only one way to get your files back: contact with us, pay, and get decryptor software.
You have “UNIQUE_ID_DO_NOT_REMOVE” file on your desktop also it duplicated in some folders, its your unique idkey, attach it to letter when contact with us. Also you can decrypt 3 files for test.
We accept Bitcoin, you can find exchangers on xxxxs://www.bitcoin.com/buy-bitcoin and others.
Contact information:
primary email: BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch
reserve email: x2486@india.com

دانلود ابزار خودکار حذف باج‌گیر افزار Hermes

برای حذف باج‌گیر افزار Hermes به‌طور کامل توصیه می‌کنیم از SpyHunter که توسط شرکت EnigmaSoftware Group LLC تولید شده است، استفاده کنید. این ابزار همه فایل‌ها، پوشه‌ها و کلید‌های رجیستری مربوط به باج‌گیر افزارHermes  را شناسایی و حذف می‌کند[۳].

نحوه حذف باج‌گیر افزار Hermes به‌صورت دستی

توصیه نمی‌شود که باج‌گیر افزارHermes را به‌طور دستی حذف کنید، برای استفاده از یک راه‎حل ایمن‌تر، از ابزارهای معرفی‌شده استفاده کنید.

فایل‌های باج‌گیر افزار Hermes:

White.exe (WhiteRose.exe)
DECRYPT_INFO.txt
DECRYPT_INFORMATION.html
UNIQUE_ID_DO_NOT_REMOVE
hermes.exe
Reload.exe
system_.bat
shade.bat
shade.vbs

کلیدهای رجیستری باج‌گیر افزار Hermes:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “allkeeper” /t REG_SZ /d “%USERPROFILE%\Desktop\DECRYPT_INFORMATION.html” /f
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “sysrep” /t REG_SZ /d “%PUBLIC%\Reload.exe” /f
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “allkeeper” /t REG_SZ /d
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “sysrep” /t REG_SZ /d
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper C:\users\User\Desktop\DECRYPT_INFORMATION.html

چگونه فایل‌های دارای پسوند hrm را رمزگشایی و بازیابی کنیم؟

از رمزگشاهای خودکار استفاده کنید.

HermesDecrypter

از این ابزار که یک محقق مستقل به نام Michael Gillespi آن را تولید کرده و به نام HermesDecrypter نام‌گذاری کرده است، استفاده کنید[۴]، که می‌تواند فایل‌های دارای پسوند hrm و انواع دیگر فایل‌ها را رمزگشایی کند.

همچنین می‌توانید از این ابزار[۵] به نام Rakhni Decryptor که توسط کاسپرسکی تولید شده است، استفاده کنید که می‌تواند فایل‌های با پسوند hrm را رمزگشایی کند.

به‌هیچ‌عنوان باج درخواست شده را پرداخت نکنید، زیرا هیچ تضمینی وجود ندارد که کلیدی را دریافت کنید، اما با این کار گواهی‌نامه بانکی خود را نیز در معرض خطر قرار می‌دهید.

اگر شما با باج‌گیر افزارHermes  آلوده شده‌اید و آن را از رایانه خود حذف کرده‌اید، می‌توانید سعی کنید فایل‌های خود را رمزگشایی کنید. فروشندگان آنتی‌ویروس و افراد مستقل، رمزگشاهای رایگان را برای برخی از قفل‌های رمزنگاری ایجاد می‌کنند. برای تلاش برای رمزگشایی آن‌ها به‌صورت دستی، می‌توانید موارد زیر را انجام دهید:

برای بازیابی فایل‌های با پسوند hrm از نرم‌افزار Stellar Phoenix Data Recovery Pro استفاده کنید:

  1. نرم‌افزار Stellar Phoenix Data Recovery Pro را دانلود کنید[۶].
  2. مکان موردنظر را به‌منظور اسکن فایل‌های ازدست‌رفته انتخاب کرده و بر روی گزینه Scan کلیک کنید.
  3. صبر کنید تا اسکن‌هایQuick  وDeep  به پایان برسد.
  4. فایل‌های یافت شده را بررسی و اقدام به بازگرداندن آن‌ها کنید.

استفاده از گزینه نسخه‌های قبلی ویندوز:

  1. بر روی فایل آلوده کلیک راست کرده و Properties را انتخاب کنید.
  2. گزینه Previous Versions را انتخاب کنید.
  3. نسخه خاصی از فایل را انتخاب کنید و روی Copy کلیک کنید.
  4. برای بازگرداندن فایل انتخاب‌شده و جایگزینی آن، روی دکمه Restore کلیک کنید.
  5. درصورتی‌که هیچ موردی در این لیست وجود ندارد، روش‌های جایگزین را انتخاب کنید.

با استفاده از Shadow Explorer:

  1. برنامه Shadow Explorer را دانلود کنید[۷].
  2. آن را اجرا کنید و فهرستی از تمامی درایوها و تاریخ‌هایی که shadow copy ایجاد شده است را مشاهده خواهید کرد.
  3. درایو و تاریخی را که می‌خواهید به آن بازگردانده شوید را انتخاب کنید.
  4. روی نامِ پوشه کلیک راست کرده و Export را انتخاب کنید.
  5. در صورت وجود تاریخ‌های دیگر در لیست، روش جایگزین را انتخاب کنید.

اگر از Dropbox استفاده می‌کنید:

  1. به وب‌سایت DropBox وارد شوید و به پوشه‌ای که حاوی فایل‌های رمز شده است بروید.
  2. بر روی فایل رمز شده راست کلیک کرده و Previous Versions را انتخاب کنید.
  3. نسخه‌ای از فایل موردنظر خود را انتخاب کنید و روی دکمه Restore کلیک کنید.

چگونه از کامپیوتر خود در برابر ویروس‌هایی مانند باج‌گیر افزار Hermes  محافظت کنید؟

۱) نرم‌افزارهای ضد باج‌گیر افزار(۵) را بر روی سیستم خود نصب کنید.

از Anti-Ransomware Bitdefender استفاده کنید.

Anti-Ransomware Bitdefender

BitDefender، فروشنده مشهور آنتی‌ویروس، ابزار رایگانی را منتشر کرده است که به شما کمک می‎کند از حفاظت ضد باج‌گیر افزار، به‌عنوان یک محافظ اضافی برای سیستم حفاظتی فعلی خود بهره‌‌مند شوید. این نرم‌افزار با برنامه‌های امنیتی دیگر کانفلیکت نمی‌دهد. اگر شما در حال جستجوی یک راه‌حل کامل امنیتی هستید، می‌توانید نسخه کامل BitDefender Internet Security 2018 را دریافت کنید[۸].

۲) از فایل‌های خود پشتیبان تهیه کنید.

OneDrive

صرف‌نظر از موفقیت در برابر تهدیداتِ باج‌گیر افزارها، شما می‌توانید از فایل‌های خود با استفاده از یک پشتیبان‌گیری ساده‌ی آنلاین محافظت کنید. سرویس‌های ابر(۶) امروزه بسیار سریع و ارزان هستند. ایجاد یک پشتیبان آنلاین بسیار منطقی‌تر از ایجاد درایوهای فیزیکی بیشتر است که می‌توانند هنگام اتصال به کامپیوتر آلوده یا رمزگذاری شده و یا به علت ضربه خوردن یا افتادن آسیب ببینند. کاربران ویندوز ۱۰ و ۸٫۱ یا ۸ می‌توانند از راهکار پشتیبان‌گیری OneDrive و از پیش نصب‌شده مایکروسافت استفاده کنند. این درواقع یکی از بهترین خدمات پشتیبان‌گیری در بازار است و دارای یک قیمت‌ مناسب است. کاربران نسخه‌های قبلیِ ویندوز می‌توانند از این لینک[۹] استفاده کنند. اطمینان حاصل کنید که از مهم‌ترین فایل‌ها و پوشه‌های خود در OneDrive پشتیبان تهیه کنید.

۳) هرزنامه‌ها(۷) را باز نکنید و از صندوق پستی خود محافظت کنید.

SpamFighter

پیوست‌های مخرب درون هرزنامه‌ها یا پست‌های الکترونیک فیشینگ رایج‌ترین روش توزیع باج‌گیر افزارها هستند. از فیلترهای هرزنامه استفاده کرده و قوانین ضد هرزنامه ایجاد کنید. یکی از بهترین برنامه‌های ضد هرزنامه برنامه‌ی حفاظت از هرزنامه SpamFighter است[۱۰]. این نرم‌افزار با انواع مختلف برنامه‌های کاربردی دسکتاپ کار می‌کند و سطح بسیار بالایی از حفاظت در برابر هرزنامه‌ها را ایجاد می‌کند.

 منابع

[۱] https://www.bugsfighter.com/remove-hermes-2-0-2-1-ransomware-and-decrypt-hrm-files

[۲] https://products.drweb.com/decryption_from_ransomware

[۳] http://bugsfighter.com/download-removal-tool

[۴] https://download.bleepingcomputer.com/demonslay335/HermesDecrypter.zip

[۵] http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

[۶] https://www.stellarinfo.com/windows-data-recovery-professional.php

[۷] http://www.shadowexplorer.com/downloads.html

[۸]https://store.bitdefender.com/affiliate.php?ACCOUNT=BTDLLC&AFFILIATE=70192&PATH=https://www.bitdefender.com/solutions/anti-ransomware-tool.html

[۹] https://onedrive.live.com

[۱۰] https://www.spamfighter.com/SPAMfighter/Download_Download.asp


(۱) file-marker
(۲) installers
(۳) repackaged
(۴) the shadow copies of the files
(۵) anti-ransomware
(۶) Cloud services
(۷) spam e-mails