اگر عکسها، پروندهها یا فایلهای شما توسط باجگیر افزار RECO رمزگذاری شده است[۱]، بدین معنی است که کامپیوتر شما توسط باجگیر افزار STOP که از خانواده باجگیر افزارهای DJVU است[۲]، آلوده شده است.
باجگیر افزار STOP پروندههای خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری میکند، سپس یک پیام نشان میدهد که اگر میخواهید فایلهایتان رمزگشایی شود باید مبلغی را بهصورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز در یک فایل به نام _readme.txt روی دسکتاپ قربانی قرار میگیرد.
چگونه کامپیوتر شما به باجگیر افزار Reco آلوده شده است؟
باجگیر افزار RECO از طریق پستهای الکترونیک اسپم که حاوی پیوستهای آلوده هستند یا با بهرهبرداری از آسیبپذیریها در سیستمعامل و نرمافزارهای نصبشده پخش میشود.
مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگهای جعلی برای قربانی، او را گول میزنند که این نامه از طرف یک شرکت حملونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما میگوید که آنها سعی کردند بستهای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضیاوقات این پستهای الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کردهاید. درهرصورت، شما نمیتوانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه جیزی مربوط میشود، مقاومت کنید و فایل پیوست شده را باز میکنید (یا روی پیوند تعبیهشده در داخل پست الکترونیک کلیک میکنید) و با این کار، کامپیوتر شما به باجگیر افزار RECO آلوده میشود.
همچنین مشاهده شده است باجگیر افزار RECO با هک کردن پورتهای باز سرویسهای Remote Desktop به قربانیان حمله میکند. مهاجمان سیستمهایی که RDP (پورت TCP 3389) باز دارند را اسکن میکنند و سپس سعی میکنند رمز ورود را برای این سیستمها brute force کنند.
باجگیر افزار RECO چیست؟
خانواده باجگیر افزار: STOP (DJVU)
پسوند: RECO
یادداشت باجگیر افزار: _readme.txt
میزان باج: از ۴۹۰ تا ۹۸۰ بیت کوین
اطلاعات تماس: gorentos@bitmessage.ch, gerentoshelp@firemail.cc, or @datarestore on Telegram
نمونه فایلهای رمز شده[۳]: عکس زیر
پنجره جعلی که در هنگام رمزگذاری فایلهای نشان میدهد نیز در زیر آورده شده است:
باجگیر افزار RECO دسترسی به دادهها را توسط رمزگذاری پروندهها محدود میکند. سپس تلاش میکند تا درازای دسترسی به دادهها با درخواست باج به شکل بیت کوین، از قربانیان پول اخاذی کند. این باجگیر افزار تمام نسخههای ویندوز ازجمله ویندوز ۷، ۸ و ۱۰ را هدف قرار میدهد. وقتی این باجگیر افزار برای اولین بار روی رایانه شما نصب شود، یک پرونده اجرایی با نامی تصادفی در پوشه AppData یا LocalAppData ایجاد میکند. این فایل قابلاجرا، راهاندازی میشود و شروع به اسکن تمامی درایوها روی رایانه شما میکند تا پروندههایی که میخواهد رمزگذاری کند را شناسایی کند.
باجگیر افزار RECO برای رمزگذاری، فایلهایی با پسوند خاص را جستجو میکند. پروندههایی که این باجگیر افزار رمزگذاری میکند شامل اسناد و پروندههای مهم مانند doc ، docx ، xls ، pdf و دیگر فایلهاست. با شناسایی این پروندهها، این باجگیر افزار پسوند آنها را به RECO تغییر میدهد، بنابراین دیگر قادر به باز شدن نیستند.
پروندههای مورد هدف همان مواردی هستند که امروزه در اکثر رایانههای شخصی یافت میشوند. فهرستی از پسوندهای فایلهای مورد هدف شامل موارد زیر است:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
پس از رمزگذاری پروندههای شما با پسوند RECO، این باجگیر افزار یادداشت باج را در پرونده _readme.txt در هر پوشهای که یک فایل رمزگذاری شده وجود دارد قرار میدهد و همچنین در دسکتاپ ویندوز نیز یک نسخه از آن ایجاد میکند. این یادداشتها در هر پوشهای که یک پرونده رمزگذاری شده است؛ قرار دارند و حاوی اطلاعاتی در مورد نحوه تماس با مجرمان سایبری و بازگرداندن پروندههای شما هستند.
هنگامیکه این باجگیر افزار اسکن رایانه شما را تمام میکند، تمام نسخههای Shadow Volume که در رایانه آسیبدیده قرار دارند را حذف میکند. این کار به این صورت است که شما نمیتوانید از نسخههای Shadow برای بازیابی فایلهای رمزگذاری شده خود استفاده کنید.
آیا کامپیوتر شما توسط باجگیر افزار RECO آلوده شده است؟
هنگامیکه این باجگیر افزار رایانه شما را آلوده میکند، تمام درایوها را برای انواع فایلهای مورد هدف اسکن کرده و آنها را رمزگذاری میکند و سپس پسوند RECO را روی آنها قرار میدهد. پس از رمزگذاری این پروندهها، دیگر نمیتوانند توسط برنامههای عادی شما باز شوند. هنگامیکه این باجگیر افزار رمزگذاری پروندههای قربانی را به پایان میرساند، یک یادداشت باج نیز به شما نمایش میدهد که شامل دستورالعمل نحوه تماس با این مجرمان سایبری (gorentos@bitmessage.ch یا gerentoshelp@firemail.cc) است.
این پیغامی است که باجگیر افزار RECO نمایش میدهد:
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-sTWdbjk1AY
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
آیا امکان بازیابی فایلهای رمز شده توسط باجگیر افزار RECO وجود دارد؟
متأسفانه جواب این سؤال منفی است و بازیابی پروندههای رمزگذاری شده توسط باجگیر افزار RECO امکانپذیر نیست زیرا کلید خصوصی که برای باز کردن پروندههای رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.
برای بازیابی پروندههای خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پروندههای شما وجود ندارد.
چگونه باجگیر افزار RECO را از روی سیستم خود پاک کنیم؟
توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایلها شما وجود دارد، زیرا ما نمیتوانیم تضمین کنیم که شما قادر به بازیابی آنها خواهید بود. Malwarebytes و HitmanPro میتوانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامهها نمیتوانند اسناد، تصاویر یا پروندههای شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پروندههای شما بهطور دائم به خطر میافتند. ما نمیتوانیم مسئولیت از دست دادن پروندهها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.
پیشنهاد اول: از Malwarebytes برای حذف باجگیر افزار RECO استفاده کنید.
Malwarebytes یکی از محبوبترین و پرکاربردترین نرمافزارهای ضد دژافزاری برای ویندوز است. این نرمافزار قادر است بسیاری از دژافزارهایی را که سایر نرمافزارها قادر به تشخیص آنها نیستند را نابود کند، بدون آنکه هزینهای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده میشود، Malwarebytes همیشه رایگان بوده و ما آن را بهعنوان ابزاری اساسی برای مبارزه با دژافزار توصیه میکنیم.
اولین باری که Malwarebytes را نصب میکنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را میدهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باجگیر افزارهاست. بعد از گذشت دو هفته، بهطور خودکار به نسخه اولیه رایگان برگردانده میشود که فقط هنگام اسکن، آلودگیهای مخرب را تشخیص داده و پاک میکند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرمافزارهای آنتیویروس اجرا خواهد شد.
مرحله ۱: Malwarebytes را دانلود کنید.
شما میتوانید این نرمافزار را از این لینک[۴] دانلود کنید.
مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.
هنگامیکه دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایلهای بارگیری شده در پوشه Downloads ذخیره میشوند.
شما ممکن است با پنجره User Account Controlکه از شما میپرسد آیا میخواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.
مرحله ۳: پنجرههای نمایش دادهشده را برای نصب Malwarebytes دنبال کنید.
هنگامیکه نصبMalwarebytes شروع میشود، شما Wizard راهاندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان میدهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.
مرحله ۴: روی Scan Now کلیک کنید.
هنگامیکه نصب Malwarebytes تمام شد، این نرمافزار بهطور خودکار اجرا میشود و پایگاه داده خود را بهروزرسانی میکند. بهمنظور اسکن سیستم خود، روی دکمه Scan Now کلیک کنید.
مرحله ۵: صبر کنید تا اسکن Malwarebytes تمام شود.
Malwarebytes در این مرحله شروع به اسکن سیستم شما میکند تا دژافزارها و دیگر برنامههای موذی را شناسایی کند. این فرآیند مکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه میکنیم تا به کارهای دیگر خود بپردازید و هر جند دقیقه یکبار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.
مرحله ۶: روی Quarantine Selected کلیک کنید.
هنگامیکه اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه میشوید که آلودگیهای ناشی از این باجگیر افزار را که توسط Malwarebytes شناسایی شده است را نشان میدهد. برای پاک کردن برنامههای مخربی که این نرمافزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.
مرحله ۷: سیستم خود را مجدداً راهاندازی کنید.
Malwarebytes هماکنون تمام فایلهای موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک میکند. برای تکمیل فرآیند پاکسازی، این نرمافزار ممکن است از شما بخواهد که سیستم خود را مجدداً راهاندازی کنید.
هنگامیکه فرآیند پاکسازی به اتمام رسید، شما میتوانید Malwarebytes را ببندید.
پیشنهاد دوم: از HitmanPro برای اسکن دژافزارها و برنامههای ناخواسته استفاده کنید.
HitmanPro دومین اسکنر پیشنهادی است که از یک روش منحصربهفرد مبتنی بر Cloud برای اسکن دژافزارها استفاده میکند. HitmanPro رفتار پروندههای فعال و همچنین پروندههایی را در مکانهایی که دژافزارها بهطورمعمول برای فعالیت مشکوک خود انتخاب میکنند، اسکن میکند. اگر پرونده مشکوکی پیدا کند که ناشناخته است، HitmanPro آن را برای Cloudهای خود ارسال میکند تا توسط دو تا از بهترین موتورهای آنتیویروس امروزی اسکن شوند که عبارتاند از Bitdefender و Kaspersky.
اگرچه HitmanPro یک سیستم اشتراکگذاری شده است و به مدت ۱ سال و روی یک رایانه ۲۴٫۹۵ دلار هزینه دارد، اما درواقع هیچ محدودیتی برای اسکن وجود ندارد. این محدودیت زمانی شروع میشود که نیاز به از بین بردن یا قرنطینه کردن دژ افزارهای شناساییشده توسط HitmanPro روی سیستم شما وجود داشته باشد و تا آن زمان، شما میتوانید از نسخه ۳۰ روزه این نرمافزار برای پاکسازی فایلهای خود استفاده کنید.
مرحله ۱: نرمافزار HitmanPro را دانلود کنید.
شما میتوانید این نرمافزار را از اینجا[۵] دانلود کنید.
مرحله ۲: نرمافزار HitmanPro را دانلود کنید.
هنگامیکه دانلود HitmanPro تمام شد، روی فایل hitmanpro.exe برای نسخه ۳۲ بیتی و یا hitmanpro_x64.exe برای نسخه ۶۴ بیتی کلیک کنید تا این برنامه را روی رایانه خود نصب کنید. در اکثر موارد فایلهای دانلود شده در فولدر Downloads قرار داده میشوند.
شما ممکن است با پنجره User Account Controlکه از شما میپرسد آیا میخواهید به HitmanPro اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.
مرحله ۳: پنجرههای نمایش داده شده را دنبال کنید.
هنگامیکه HitmanPro شروع به کار میکند شما با یک پنجره آغازین مشابه شکل زیر مواجه میشوید. روی دکمه Next کلیک کنید تا فرآیند اسکن آغاز شود.
مرحله ۴: منتظر شوید تا اسکن HitmanPro کامل شود.
HitmanPro در حال حاضر شروع به اسکن کامپیوتر شما میکند تا برنامههای موذی را پیدا کند. این فرآیند جند دقیقه طول میکشد.
مرحله ۵: روی Next کلیک کنید.
هنگامیکه HitmanPro اسکن را تمام کند، فهرستی از دژ افزارهایی را که پیدا کرده است را نمایش میدهد. روی Next کلیک کنید تا برنامههای موذی کشفشده را پاک کند.
مرحله ۶: روی Activate free license کلیک کنید.
روی دکمه Activate free license کلیک کنید تا دوره Trial نرمافزار که ۳۰ روزه است آغاز شود و تمامی برنامههای موذی کشفشده روی سیستم شما را پاک کند.
هنگامیکه این فرآیند تکمیل شد، شما میتوانید HitmanPro را ببندید.
آیا امکان بازیابی فایلهای رمز شده توسط باجگیر افزار RECO وجود دارد؟
در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایلهای رمز شده توسط RECO را با استفاده از کپیهای Shadow بازیابی کرد.
راهحل اول: فایلهایی که توسط باجگیر افزار RECO رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.
باجگیر افزار RECO تلاش میکند تا تمامی کپیهای Shadow تولیدشده را پسازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپیهای Shadow نیست، بنابراین شما میتوانید با استفاده از این روش فایلهای خود را بازیابی کنید.
مرحله اول: میتوانید ShadowExplorer را از این لینک[۶] دانلود کنید.
مرحله دوم: هنگامیکه شما ShadowExplorer را دانلود و نصب کردید، میتوانید این ویدیو[۷] را برای نحوه بازیابی فایلهای خود توسط این نرمافزار تماشا کنید.
راهحل دوم: فایلهای خود را که توسط افزونه RECO رمز شده است را توسط نرمافزارهای بازیابی Restore کنید.
هنگامیکه فایلهای شما رمزگذاری میشود، این باجگیر افزار در ابتدا یک کپی از آنها تولید میکند، فایلهای کپی شده را رمزگذاری میکند و سپس فایلهای اصلی را پاک میکند. به همین علت، ممکن است شانس کمی وجود داشته باشد که با استفاده از نرمافزارهای بازیابی، فایلهای پاکشده را Restore کرد.
چگونه باید از آلوده شدن توسط چنین باجگیر افزارهایی جلوگیری کرد؟
برای جلوگیری از آلوده شدن توسط باجگیر افزارهایی مانند RECO، شما همیشه باید یک آنتیویروس بهروز روی کامپیوتر خود داشته باشید و همچنین بهطور مرتب از فایلهای خود پشتیبان تهیه کنید. بهعنوان یکلایه محافظتی اضافی، میتوانید از نرمافزارهایی مانند HitmanPro.Alert استفاده کنید[۸]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری میکنند.
همچنین توجه داشته باشید که آخرین نسخه از ویندوز ۱۰ دارای یک ویژگی به نام Controlled Folder Access است که تلاشهای باجگیر افزارها برای رمزگذاری فایلها شما را بلاک میکند. بهطور پیشفرض، این ویژگی بهطور خودکار فایلهایی را که در فولدرهای Documents، Pictures، Videos، Music، Favorites و دسکتاپ قرار دارند را محافظت میکند. به همین دلیل به کاربران ویندوز ۱۰ توصیه میشود که ویندوزهای خود را به آخرین نسخه بهروزرسانی کنند[۹].
منابع
[۱] https://malwaretips.com/blogs/remove-reco
[۲] https://apa.aut.ac.ir/?p=6565
[۳] https://www.pcrisk.com/removal-guides/16035-reco-ransomware
[۴] https://malwaretips.com/download-malwarebytes
[۵] https://malwaretips.com/download-hitman-pro
[۶] http://www.shadowexplorer.com/downloads.html
[۷] https://youtu.be/oaXtQ6rbvxA
[۸] https://youtu.be/LeEICG0zWqY
[۹] https://malwaretips.com/download-hitmanproalert
ثبت ديدگاه