چگونه می‌توان باج‌گیر افزار Reco را از روی سیستم پاک کرد؟ آیا امکان بازیابی فایل‌ها وجود دارد؟

اگر عکس‌ها، پرونده‌ها یا فایل‌های شما توسط باج‌گیر افزار RECO رمزگذاری شده است[۱]، بدین معنی است که کامپیوتر شما توسط باج‌گیر افزار STOP که از خانواده باج‌گیر افزارهای DJVU است[۲]، آلوده شده است.

باج‌گیر افزار STOP پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز در یک فایل به نام _readme.txt روی دسکتاپ قربانی قرار می‌گیرد.

چگونه کامپیوتر شما به باج‌گیر افزار Reco آلوده شده است؟

باج‌گیر افزار RECO از طریق پست‌های الکترونیک اسپم که حاوی پیوست‌های آلوده هستند یا با بهره‌برداری از آسیب‌پذیری‌ها در سیستم‌عامل و نرم‌افزارهای نصب‌شده پخش می‌شود.

مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگ‌های جعلی برای قربانی، او را گول می‌زنند که این نامه از طرف یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضی‌اوقات این پست‌های الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کرده‌اید. درهرصورت، شما نمی‌توانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه جیزی مربوط می‌شود، مقاومت کنید و فایل پیوست شده را باز می‌کنید (یا روی پیوند تعبیه‌شده در داخل پست الکترونیک کلیک می‌کنید) و با این کار، کامپیوتر شما به باج‌گیر افزار RECO آلوده می‌شود.

همچنین مشاهده شده است باج‌گیر افزار RECO با هک کردن پورت‌های باز سرویس‌های Remote Desktop به قربانیان حمله می‌کند. مهاجمان سیستم‌هایی که RDP (پورت TCP 3389) باز دارند را اسکن می‌کنند و سپس سعی می‌کنند رمز ورود را برای این سیستم‌ها brute force کنند.

باج‌گیر افزار RECO چیست؟

خانواده باج‌گیر افزار: STOP (DJVU)

پسوند: RECO

یادداشت باج‌گیر افزار: _readme.txt

میزان باج: از ۴۹۰ تا ۹۸۰ بیت کوین

اطلاعات تماس: gorentos@bitmessage.ch, gerentoshelp@firemail.cc, or @datarestore on Telegram

نمونه فایل‌های رمز شده[۳]: عکس زیر

پنجره‌ جعلی که در هنگام رمزگذاری فایل‌های نشان می‌دهد نیز در زیر آورده شده است:

باج‌گیر افزار RECO دسترسی به داده‌ها را توسط رمزگذاری پرونده‌ها محدود می‌کند. سپس تلاش می‌کند تا درازای دسترسی به داده‌ها با درخواست باج به شکل بیت کوین، از قربانیان پول اخاذی کند. این باج‌گیر افزار تمام نسخه‌های ویندوز ازجمله ویندوز ۷، ۸ و ۱۰ را هدف قرار می‌دهد. وقتی این باج‌گیر افزار برای اولین بار روی رایانه شما نصب شود، یک پرونده اجرایی با نامی تصادفی در پوشه AppData یا LocalAppData ایجاد می‌کند. این فایل قابل‌اجرا، راه‌اندازی می‌شود و شروع به اسکن تمامی درایوها روی رایانه شما می‌کند تا پرونده‌هایی که می‌خواهد رمزگذاری کند را شناسایی کند.

باج‌گیر افزار RECO برای رمزگذاری، فایل‌هایی با پسوند خاص را جستجو می‌کند. پرونده‌هایی که این باج‌گیر افزار رمزگذاری می‌کند شامل اسناد و پرونده‌های مهم مانند doc ، docx ، xls ، pdf و دیگر فایل‌هاست. با شناسایی این پرونده‌ها، این باج‌گیر افزار پسوند آن‌ها را به RECO تغییر می‌دهد، بنابراین دیگر قادر به باز شدن نیستند.

پرونده‌های مورد هدف همان مواردی هستند که امروزه در اکثر رایانه‌های شخصی یافت می‌شوند. فهرستی از پسوندهای فایل‌های مورد هدف شامل موارد زیر است:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

پس از رمزگذاری پرونده‌های شما با پسوند RECO، این باج‌گیر افزار یادداشت باج را در پرونده _readme.txt در هر پوشه‌ای که یک فایل رمزگذاری شده وجود دارد قرار می‌دهد و همچنین در دسکتاپ ویندوز نیز یک نسخه از آن ایجاد می‌کند. این یادداشت‌ها در هر پوشه‌ای که یک پرونده رمزگذاری شده است؛ قرار دارند و حاوی اطلاعاتی در مورد نحوه تماس با مجرمان سایبری و بازگرداندن پرونده‌های شما هستند.

هنگامی‌که این باج‌گیر افزار اسکن رایانه شما را تمام می‌کند، تمام نسخه‌های Shadow Volume که در رایانه آسیب‌دیده قرار دارند را حذف می‌کند. این کار به این صورت است که شما نمی‌توانید از نسخه‌های Shadow برای بازیابی فایل‌های رمزگذاری شده خود استفاده کنید.

آیا کامپیوتر شما توسط باج‌گیر افزار RECO آلوده شده است؟

هنگامی‌که این باج‌گیر افزار رایانه شما را آلوده می‌کند، تمام درایوها را برای انواع فایل‌های مورد هدف اسکن کرده و آن‌ها را رمزگذاری می‌کند و سپس پسوند RECO را روی آن‌ها قرار می‌دهد. پس از رمزگذاری این پرونده‌ها، دیگر نمی‌توانند توسط برنامه‌های عادی شما باز شوند. هنگامی‌که این باج‌گیر افزار رمزگذاری پرونده‌های قربانی را به پایان می‌رساند، یک یادداشت باج نیز به شما نمایش می‌دهد که شامل دستورالعمل نحوه تماس با این مجرمان سایبری (gorentos@bitmessage.ch یا gerentoshelp@firemail.cc) است.

این پیغامی است که باج‌گیر افزار RECO نمایش می‌دهد:

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-sTWdbjk1AY
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gerentoshelp@firemail.cc

Your personal ID:

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار RECO وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار RECO امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

چگونه باج‌گیر افزار RECO را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌ها شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و HitmanPro می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار RECO استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزار توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۴] دانلود کنید.

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمه Scan Now کلیک کنید.

مرحله ۵: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند مکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هر جند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۶: روی Quarantine Selected کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از HitmanPro برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

HitmanPro دومین اسکنر پیشنهادی است که از یک روش منحصربه‌فرد مبتنی بر Cloud برای اسکن دژافزارها استفاده می‌کند. HitmanPro رفتار پرونده‌های فعال و همچنین پرونده‌هایی را در مکان‌هایی که دژافزارها به‌طورمعمول برای فعالیت مشکوک خود انتخاب می‌کنند، اسکن می‌کند. اگر پرونده مشکوکی پیدا کند که ناشناخته است، HitmanPro آن را برای Cloudهای خود ارسال می‌کند تا توسط دو تا از بهترین موتورهای آنتی‌ویروس امروزی اسکن شوند که عبارت‌اند از Bitdefender و Kaspersky.

اگرچه HitmanPro یک سیستم اشتراک‌گذاری شده است و به مدت ۱ سال و روی یک رایانه ۲۴٫۹۵ دلار هزینه دارد، اما درواقع هیچ محدودیتی برای اسکن وجود ندارد. این محدودیت زمانی شروع می‌شود که نیاز به از بین بردن یا قرنطینه کردن دژ افزارهای شناسایی‌شده توسط HitmanPro روی سیستم شما وجود داشته باشد و تا آن زمان، شما می‌توانید از نسخه ۳۰ روزه این نرم‌افزار برای پاک‌سازی فایل‌های خود استفاده کنید.

مرحله ۱: نرم‌افزار HitmanPro را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۵] دانلود کنید.

مرحله ۲: نرم‌افزار HitmanPro را دانلود کنید.

هنگامی‌که دانلود HitmanPro تمام شد، روی فایل hitmanpro.exe برای نسخه ۳۲ بیتی و یا hitmanpro_x64.exe برای نسخه ۶۴ بیتی کلیک کنید تا این برنامه را روی رایانه خود نصب کنید. در اکثر موارد فایل‌های دانلود شده در فولدر Downloads قرار داده می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به HitmanPro اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده را دنبال کنید.

هنگامی‌که HitmanPro شروع به کار می‌کند شما با یک پنجره آغازین مشابه شکل زیر مواجه می‌شوید. روی دکمه Next کلیک کنید تا فرآیند اسکن آغاز شود.

مرحله ۴: منتظر شوید تا اسکن HitmanPro کامل شود.

HitmanPro در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا برنامه‌های موذی را پیدا کند. این فرآیند جند دقیقه طول می‌کشد.

مرحله ۵: روی Next کلیک کنید.

هنگامی‌که HitmanPro اسکن را تمام کند، فهرستی از دژ افزارهایی را که پیدا کرده است را نمایش می‌دهد. روی Next کلیک کنید تا برنامه‌های موذی کشف‌شده را پاک کند.

مرحله ۶: روی Activate free license کلیک کنید.

روی دکمه Activate free license کلیک کنید تا دوره Trial نرم‌افزار که ۳۰ روزه است آغاز شود و تمامی برنامه‌های موذی کشف‌شده روی سیستم شما را پاک کند.

هنگامی‌که این فرآیند تکمیل شد، شما می‌توانید HitmanPro را ببندید.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار RECO وجود دارد؟

در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایل‌های رمز شده توسط RECO را با استفاده از کپی‌های Shadow بازیابی کرد.

راه‌حل اول: فایل‌هایی که توسط باج‌گیر افزار RECO رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.

باج‌گیر افزار RECO تلاش می‌کند تا تمامی کپی‌های Shadow تولیدشده را پس‌ازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپی‌های Shadow نیست، بنابراین شما می‌توانید با استفاده از این روش فایل‌های خود را بازیابی کنید.

مرحله اول: می‌توانید ShadowExplorer را از این لینک[۶] دانلود کنید.

مرحله دوم: هنگامی‌که شما ShadowExplorer را دانلود و نصب کردید، می‌توانید این ویدیو[۷] را برای نحوه بازیابی فایل‌های خود توسط این نرم‌افزار تماشا کنید.

راه‌حل دوم: فایل‌های خود را که توسط افزونه RECO رمز شده است را توسط نرم‌افزارهای بازیابی Restore کنید.

هنگامی‌که فایل‌های شما رمزگذاری می‌شود، این باج‌گیر افزار در ابتدا یک کپی از آن‌ها تولید می‌کند، فایل‌های کپی شده را رمزگذاری می‌کند و سپس فایل‌های اصلی را پاک می‌کند. به همین علت، ممکن است شانس کمی وجود داشته باشد که با استفاده از نرم‌افزارهای بازیابی، فایل‌های پاک‌شده را Restore کرد.

چگونه باید از آلوده شدن توسط چنین باج‌گیر افزارهایی جلوگیری کرد؟

برای جلوگیری از آلوده شدن توسط باج‌گیر افزارهایی مانند RECO، شما همیشه باید یک آنتی‌ویروس به‌روز روی کامپیوتر خود داشته باشید و همچنین به‌طور مرتب از فایل‌های خود پشتیبان تهیه کنید. به‌عنوان یک‌لایه محافظتی اضافی، می‌توانید از نرم‌افزارهایی مانند HitmanPro.Alert استفاده کنید[۸]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری می‌کنند.

همچنین توجه داشته باشید که آخرین نسخه از ویندوز ۱۰ دارای یک ویژگی به نام Controlled Folder Access است که تلاش‌های باج‌گیر افزارها برای رمزگذاری فایل‌ها شما را بلاک می‌کند. به‌طور پیش‌فرض، این ویژگی به‌طور خودکار فایل‌هایی را که در فولدرهای Documents، Pictures، Videos، Music، Favorites و دسکتاپ قرار دارند را محافظت می‌کند. به همین دلیل به کاربران ویندوز ۱۰ توصیه می‌شود که ویندوزهای خود را به آخرین نسخه به‌روزرسانی کنند[۹].

منابع

[۱] https://malwaretips.com/blogs/remove-reco

[۲] https://apa.aut.ac.ir/?p=6565

[۳] https://www.pcrisk.com/removal-guides/16035-reco-ransomware

[۴] https://malwaretips.com/download-malwarebytes

[۵] https://malwaretips.com/download-hitman-pro

[۶] http://www.shadowexplorer.com/downloads.html

[۷] https://youtu.be/oaXtQ6rbvxA

[۸] https://youtu.be/LeEICG0zWqY

[۹] https://malwaretips.com/download-hitmanproalert