باج‌گیر افزار Gero: چگونه آن را از بین ببریم؟

Gero یک خانواده DJVU است که از نوع عفونت‌های باج‌گیر افزار است. این باج‌گیر افزار، فایل‌های خصوصی شما (ویدئو ، عکس‌ها، اسناد) را رمزگذاری می‌کند. پرونده‌های آلوده را می‌توان با پسوند خاص “.gero” ردیابی کرد. بنابراین، شما به‌هیچ‌وجه نمی‌توانید آن‌ها را باز کنید.

در این راهنما به شما کمک می‌شود که چگونه این باج‌گیر افزار را به‌طور رایگان از روی سیستم خود حذف کنید. همچنین در مورد نحوه رمزگشایی فایل‌های رمز شده نیز توضیحاتی داده خواهد شد.

Gero چیست؟

Gero می‌تواند به‌عنوان یک آلودگی از نوع باج‌گیر افزار شناسایی شود.

باج‌گیر افزار نوعی ویروس است که اسناد شما را رمزگذاری کرده و سپس شما را مجبور به پرداخت هزینه برای آن‌ها می‌کند. خانواده باج‌گیر افزار DJVU (با نام مستعار STOP)[1]، اولین بار توسط Michael Gillespie که یک تحلیلگر ویروس است، کشف شد.

Gero شبیه سایر باج‌گیر افزارها مانند: Hese عمل می‌کند [۲و۳]. این باج‌گیر افزار انواع فایل‌های رایج را رمزنگاری می‌کند. ازاین‌رو، شما نمی‌توانید از اسناد یا عکس‌های خود استفاده کنید. Gero پسوند “.gero” مخصوص خود را به کلیه فایل‌ها اضافه می‌کند. به‌عنوان‌مثال، فایل “video.avi” به “video.avi.gero” تغییر می‌یابد. به‌محض موفقیت در رمزنگاری، Gero یک فایل خاص “_readme.txt” را تولید می‌کند و آن را در همه پوشه‌هایی که حاوی پرونده‌های اصلاح‌شده هستند، قرار می‌دهد.

این متن، درخواست پرداخت مبلغ برای بازیابی فایل‌ها را از طریق کلید رمزگشایی می‌کند:

شکل ۱: هشدار ترسناک که از کاربران خواسته است باجی را برای رمزگشایی داده‌های رمزگذاری شده خود بپردازند، حاوی این هشدارهای ناامیدکننده است.

الگوریتم رمزنگاری استفاده‌شده توسط Gero در حقیقت AES-556 است. بنابراین، اگر اسناد شما با یک کلید رمزگشایی خاص رمزگذاری شود، هیچ نسخه دیگری از آن‌ها وجود نخواهد داشت. واقعیت غم‌انگیز این است که بازیابی اطلاعات شما بدون کلید منحصربه‌فرد موجود غیرممکن است.

درصورتی‌که Gero در حالت آنلاین کار کند، دسترسی به کلید AES-556 برای شما غیرممکن است. این کلید در یک سرور از راه دور که متعلق به کلاه‌برداری‌هایی است که تبلیغ باج افزار Gero را انجام می‌دهند، ذخیره می‌شود.

برای دریافت کلید رمزگشایی باید مبلغ ۹۸۰ دلار پرداخت شود. برای به دست آوردن جزئیات پرداخت، قربانیان از طریق پیام برای تماس با کلاه‌بردارها از طریق پست الکترونیک (gorentos@bitmessage.ch) یا از طریق تلگرام تشویق می‌شوند.

مبلغی به Gero پرداخت نکنید!

لطفاً از پشتیبان‌های موجود یا ابزار STOPDecrypter استفاده کنید.

فایل _readme.txt همچنین نشان می‌دهد که صاحبان رایانه باید از ۷۲ ساعت از زمان شروع رمزگذاری پرونده‌ها، با نمایندگان Gero در تماس باشند. در صورت تماس در طی ۷۲ ساعت، تخفیفی ۵۰ درصدی در اختیار کاربران قرار می‌گیرد، بنابراین مبلغ باج به ۴۹۰ دلار کاهش می‌یابد. بااین‌حال، از پرداخت باج خودداری کنید!

ما قطعاً توصیه می‌کنیم که با این کلاه‌بردارها تماس نگیرید و پرداختی انجام ندهید. یکی از عملی‌ترین راه‌حل‌ها برای بازیابی داده‌های ازدست‌رفته، فقط استفاده از پشتیبان‌گیری‌های موجود، یا استفاده از ابزار STOPDecrypter است.

خصوصیات چنین ویروس‌هایی اعمال مجموعه اقداماتی برای تولید کلید رمزگشایی منحصربه‌فرد برای بازیابی اطلاعات رمزگذاری شده است.

بنابراین، به‌جز مواردی که باج‌گیر افزار هنوز در مرحله توسعه باشد و یا دارای برخی نقص‌هایی که ردیابی آن‌ها مشکل است، بازیابی دستی داده‌های رمزگذاری شده کاری است که قطعاً شما نمی‌توانید آن را انجام دهید. تنها راه‌حل برای جلوگیری از از بین رفتن اطلاعات ارزشمند شما، تهیه نسخه پشتیبان از پرونده‌های مهم به‌طور منظم است.

توجه داشته باشید که حتی اگر به‌طور مرتب چنین پشتیبان گیری از داده‌های خود انجام دهید، باید سریعاً آن‌ها  را در یک مکان دیگر ذخیره کنید که به محل اصلی نگهداری فایل‌های شما متصل نباشد.

به‌عنوان‌مثال، نسخه پشتیبان تهیه‌شده ممکن است در درایوهای فلش مانند USB یا برخی از حافظه‌های جایگزین دیگر مثل هارددیسک‌های اکسترنال باشد. به‌صورت اختیاری، می‌توانید از ذخیره‌سازی اطلاعات آنلاین (cloud) نیز کمک بگیرید.

این نکته لازم به ذکر است که وقتی داده‌های پشتیبان خود را در دستگاه‌های مورداستفاده خود حفظ می‌کنید، ممکن است مانند سایر داده‌ها رمزگذاری شوند.

به همین دلیل، قرار دادن نسخه پشتیبان در رایانه اصلی شما مطمئناً ایده خوبی نیست.

چگونه آلوده شدم؟

Gero روش‌های مختلفی برای ورود به سیستم شما دارد. اما واقعاً مهم نیست که از چه روشی وارد سیستم شما شود.

شکل ۲: حمله Gero در پی یک تلاش فیشینگ موفق

بااین‌وجود، روش‌های ورود متداولی که Gero از طریق آن ممکن است به رایانه شخصی شما وارد شود، در اینجا آورده شده است:

• نصب پنهان به همراه سایر برنامه‌ها، به‌خصوص برنامه‌های کاربردی که به‌عنوان نرم‌افزار رایگان یا اشتراکی کار می‌کنند.
• پیوند مشکوک در پست‌های الکترونیک اسپم که منتهی به نصب Gero می‌شود.
• منابع میزبانی آنلاین رایگان
• استفاده از منابع غیرقانونی peer-to-peer برای بارگیری نرم‌افزارهای کرک شده

مواردی وجود دارد که ویروس Gero به‌عنوان برخی از ابزارهای قانونی، به‌عنوان‌مثال، در پیام‌هایی که خواستار آغاز برخی از نرم‌افزارهای ناخواسته یا به‌روزرسانی‌های مرورگر هستند، پنهان ‌شده است. این به‌طورمعمول راهی است که برخی از کلاه‌بردارهای آنلاین قصد دارند شما را مجبور به نصب دستی باج‌گیر افزار Gero کنند، با این کار شما مستقیماً در این فرآیند شرکت می‌کنید.

مطمئناً هشدار به‌روزرسانی جعلی نشانگر این نیست که شما قصد دارید باج‌گیر افزار Gero را نصب کنید یا خیر. این نصب با هشداری پنهان می‌شود که در آن ذکرشده که ظاهراً باید Adobe Flash Player یا هر برنامه مشکوک دیگری را به‌روز کنید.

البته برنامه‌های کرک شده نیز آسیب‌پذیر هستند. استفاده از P2P هم غیرقانونی است و هم ممکن است منجر به تزریق دژافزارهای جدی ازجمله باج‌گیر افزار Gero شود.

خلاصه اینکه، برای جلوگیری از ورود باج‌گیر افزار Gero به دستگاه خود، چه‌کاری می‌توانید انجام دهید؟ حتی اگر هیچ تضمینی ۱۰۰ درصدی برای جلوگیری از آسیب دیدن کامپیوتر شما وجود ندارد، نکات خاصی وجود دارد که می‌خواهم برای جلوگیری از نفوذ Gero به شما بگوییم. امروزه شما باید هنگام نصب نرم‌افزارهای رایگان محتاط باشید.

حتماً آنچه را که installer ها علاوه بر برنامه اصلی ارائه می‌دهند، بخوانید. از باز کردن پیوست‌های پست‌های الکترونیک مشکوک خودداری کنید. فایل‌های ارسالی توسط مخاطبان ناشناس را باز نکنید و البته برنامه امنیتی فعلی شما باید همیشه به‌روز شود.

این دژ افزار آشکارا درباره خودش صحبت نمی‌کند. در لیست برنامه‌های موجود شما ذکر نخواهد شد. بااین‌وجود، از همان لحظه شروع به کار در رایانه شخصی، توسط برخی از فرآیندهای موذی که به‌طور منظم در پس‌زمینه اجرا می‌شوند، پوشانده می‌شود.

پیام گذاشته‌شده توسط باج‌گیر افزار Gero شامل اطلاعات ناامیدکننده کننده زیر است:

ATTENTION!

 Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-2P5WrE5b9f
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

 To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gorentos2@firemail.cc
Our Telegram account:
@datarestore
Mark Data Restore
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

تصویر زیر چشم‌اندازی واضح از فایل‌های با پسوند “.gero” را نشان می‌دهد:

عکس ۳: مثالی از فایل‌های رمز شده توسط Gero

چگونه باج‌گیر افزار Gero را از بین ببریم؟

علاوه بر رمزگذاری پرونده‌های یک قربانی، عفونت Gero همچنین اقدام به نصب نرم‌افزار جاسوسی Azorult روی سیستم برای سرقت اطلاعات حساب کاربری، کیف پول‌های رمزنگاری‌شده، فایل‌های موجود روی دسکتاپ و موارد دیگر می‌کند.

چرا نرم‌افزار GridinSoft بدین منظور توصیه می‌شود؟

هیچ راه بهتری برای تشخیص، حذف و جلوگیری از یک باج‌گیر افزار با استفاده از یک نرم‌افزار ضد دژافزار مانند GridinSoft وجود ندارد.

بارگیری ابزار حذف

با کلیک روی این لینک[۴] می‌توانید GridinSoft Anti-Malware را بارگیری کنید:

فایل Setup را اجرا کنید.

User Account Control از شما سؤال می‌کند که GridinSoft Anti-Malware را قادر سازید در دستگاه شما تغییراتی ایجاد کند. بنابراین برای ادامه نصب باید بر روی “بله” کلیک کنید.

روی دکمه  Installکلیک کنید.

هنگامی‌که نصب شد، این ضددژافزار به‌طور خودکار اجرا می‌شود.

روی گزینه Full Sccan کلیک کرده و صبر کنید تا اسکن این ضد دژافزار کامل شود.

پس از اتمام اسکن، لیست عفونت‌هایی که GridinSoft Anti-Malware شناسایی کرده است مشاهده خواهید کرد. برای حذف آن‌ها  بر روی دکمه “Clean Now” در گوشه سمت راست کلیک کنید.

برای پاک‌سازی شما باید یک Licence رایگان ۶ روزه را از این شرکت دریافت کنید، بدین منظور باید آدرس پست الکترونیک خود را در بخش مربوطه وارد کرده و سپس باید در ایمیلی که به شما ارسال خواهد شد به بخش Your Personal Activation Key رفته و کلید مربوطه را در بخش License وارد کنید تا نرم‌افزار با موفقیت فعال شود تا بتوانید اقدام به پاک‌سازی از طریق این نرم‌افزار کنید.

چگونه فایل‌های .gero را رمزگشایی کنیم؟

جدیدترین پسوندها در پایان اوت ۲۰۱۹ و پس از تغییراتی توسط مجرمان سایبری منتشر شدند. این افزونه ها شامل Mosk ،Toec و Meka و غیره است.

با توجه به تغییراتی که توسط مجرمان سایبری داده شده است، STOPDecrypter دیگر پشتیبانی نمی‌شود. این ابزار رمزگشایی حذف شده و ابزار Emsisoft Decryptor for STOP Djvu Ransomware جایگزین آن شده است که توسط شرکت Emsisoft و Michael Gillespie پیاده سازی شده است.

شما می‌توانید این ابزار را از اینجا [۵] دانلود کتید.

به روز رسانی جدید در تاریخ ۲۵ نوامبر ۲۰۱۹:

Emsisoft برای انواع باج‌گیرافزارهای زیر از خانواده DJVU یا STOP کلید آفلاین پیدا کرده و این کلیدها را در سرورهای خود بارگذاری کرده است:

.gero ، .hese ، .seto ، .peta ، .moka ، .meds ، .kvag ، .domn ، .karl ، .nesa ، .noos، .kuub، .reco، .bora، .nols، .werd، .oot، .derp، .meka، .mosk، .lokf، .peet، .mbed، .kodg

ابزار رمزگشایی را دانلود و اجرا کنید.

در ابتدا ابزار رمزگشایی را دانلود کرده و آن را روی دسکتاپ قرار دهید:

به محض قبول شرایط کار با این ابزار،صفحه اصلی این ابزار رمزگشایی نمایش داده می شود:

پوشه های مورد نظر را برای رمزگشایی انتخاب کنید.

بر اساس تنظیمات پیش فرض، رمزگشایی به طور خودکار مکانهای موجود را شناسایی می کند تا بتواند درایوهای موجود را از جمله درایوهای قرار داشته روی شبکه را رمزگشایی کند. مکان های اضافی (اختیاری) را می توان با کمک دکمه “Add” انتخاب کرد.

رمزگشاها معمولاً با توجه به خانواده دژافزارها، گزینه های مختلفی را پیشنهاد می کنند. گزینه های ممکن در حال حاضر در تب گزینه ها ارائه شده اند و می توانند در آنجا فعال یا غیرفعال شوند.

روی دکمه “Decrypt” کلیک کنید.

به محض اینکه همه مکان های مورد نظر برای رمزگشایی را در لیست اضافه کردید، روی دکمه “Decrypt” کلیک کنید تا مراحل رمزگشایی آغاز شود.

توجه داشته باشید که صفحه اصلی ممکن است به نمایش وضعیت تبدیل شود و شما را از روند کار و آمار رمزگشایی اطلاعات شما آگاه سازد.

این ابزار رمزگشایی به محض اتمام مراحل رمزگشایی به شما اطلاع می دهد. اگر به گزارشات شخصی خود نیاز به گزارش دارید، می توانید با انتخاب دکمه Save log آن را ذخیره کنید. توجه داشته باشید که همچنین می توانید در صورت نیاز آن را به طور مستقیم روی clipboard کپی کنید و سپس آن را درون یک پست الکترونیک و یا انجمن‌های اینترنتی paste کنید.

منابع

[۱] https://howtofix.guide/about-djvu-stop-ransomware

[۲] https://howtofix.guide/remove-hese-virus

[۳] https://howtofix.guide/remove-hese-virus-2

[۴] https://get.anti-malware.gridinsoft.com/01/?aff=gscm&act=download

[۵] https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

[۶] https://howtofix.guide/remove-gero-virus-2