Toec

باج‌گیر افزار در حقیقت نوعی ویروس است که پرونده های شما را رمزگذاری می کند و سپس شما را مجبور می کند تا برای بازیابی آنها مبلغی به عنوان باج پرداخت کنید. خانواده باج‌گیر افزارهای DJVU که با نام STOP نیز شناخته می شوند[۱] برای اولین بار توسط Michael Gillespie که یک تحلیل‌گر ویروس است، کشف شد.

Toec اساسا شبیه سایر باج‌گیر افزارهایی مانند Craw و Meka است[۲-۳]. این باج‌گیر افزار تمام فایل‌های رایج را رمزنگاری می‌کند. ازاین‌رو، شما نمی‌توانید از اسناد یا عکس‌های خود استفاده کنید. Toec پسوند “.toec”  که مخصوص خودش است را به کلیه فایل‌ها اضافه می‌کند. به‌عنوان‌مثال، فایل “video.avi” به “video.avi.toec” تغییر می‌یابد. به‌محض موفقیت در رمزنگاری، Toec یک فایل خاص “_readme.txt” را تولید می‌کند و آن را در همه پوشه‌هایی که حاوی پرونده‌های اصلاح‌شده هستند، قرار می‌دهد.

این متن، درخواست پرداخت مبلغ برای بازیابی فایل‌ها را از طریق کلید رمزگشایی می‌کند:

Lokf

شکل ۱: هشدار ترسناک که از کاربران خواسته است باجی را برای رمزگشایی داده‌های رمزگذاری شده خود بپردازند، حاوی این هشدارهای ناامیدکننده است.

الگوریتم رمزنگاری استفاده‌شده توسط Toec در حقیقت AES-556 است. بنابراین، اگر اسناد شما با یک کلید رمزگشایی خاص رمزگذاری شود، هیچ نسخه دیگری از آن‌ها وجود نخواهد داشت. واقعیت غم‌انگیز این است که بازیابی اطلاعات شما بدون کلید منحصربه‌فرد موجود غیرممکن است.

درصورتی‌که Toec در حالت آنلاین کار کند، دسترسی به کلید AES-556 برای شما غیرممکن است. این کلید در یک سرور از راه دور که متعلق به کلاه‌برداری‌هایی است که تبلیغ باج افزار Toec را انجام می‌دهند، ذخیره می‌شود.

برای دریافت کلید رمزگشایی باید مبلغ ۹۸۰ دلار پرداخت شود. برای به دست آوردن جزئیات پرداخت، قربانیان از طریق پیام برای تماس با کلاه‌بردارها از طریق پست الکترونیک (gorentos@bitmessage.ch) یا از طریق تلگرام تشویق می‌شوند.

مبلغی به Toec پرداخت نکنید!

لطفاً از پشتیبان‌های موجود یا ابزارهای رمزگشایی استفاده کنید.

فایل _readme.txt همچنین نشان می‌دهد که صاحبان رایانه باید از ۷۲ ساعت از زمان شروع رمزگذاری پرونده‌ها، با نمایندگان Toec در تماس باشند. در صورت تماس در طی ۷۲ ساعت، تخفیفی ۵۰ درصدی در اختیار کاربران قرار می‌گیرد، بنابراین مبلغ باج به ۴۹۰ دلار کاهش می‌یابد. بااین‌حال، از پرداخت باج خودداری کنید!

ما قطعاً توصیه می‌کنیم که با این کلاه‌بردارها تماس نگیرید و پرداختی انجام ندهید. یکی از عملی‌ترین راه‌حل‌ها برای بازیابی داده‌های ازدست‌رفته، فقط استفاده از پشتیبان‌گیری‌های موجود، یا استفاده از ابزارهای رمزگشایی است.

خصوصیات چنین ویروس‌هایی اعمال مجموعه اقداماتی برای تولید کلید رمزگشایی منحصربه‌فرد برای بازیابی اطلاعات رمزگذاری شده است.

بنابراین، به‌جز مواردی که باج‌گیر افزار هنوز در مرحله توسعه باشد و یا دارای برخی نقص‌هایی که ردیابی آن‌ها مشکل است، بازیابی دستی داده‌های رمزگذاری شده کاری است که قطعاً شما نمی‌توانید آن را انجام دهید. تنها راه‌حل برای جلوگیری از از بین رفتن اطلاعات ارزشمند شما، تهیه نسخه پشتیبان از پرونده‌های مهم به‌طور منظم است.

توجه داشته باشید که حتی اگر به‌طور مرتب چنین پشتیبان گیری از داده‌های خود انجام دهید، باید سریعاً آن‌ها  را در یک مکان دیگر ذخیره کنید که به محل اصلی نگهداری فایل‌های شما متصل نباشد.

به‌عنوان‌مثال، نسخه پشتیبان تهیه‌شده ممکن است در درایوهای فلش مانند USB یا برخی از حافظه‌های جایگزین دیگر مثل هارددیسک‌های اکسترنال باشد. به‌صورت اختیاری، می‌توانید از ذخیره‌سازی اطلاعات آنلاین (cloud) نیز کمک بگیرید.

این نکته لازم به ذکر است که وقتی داده‌های پشتیبان خود را در دستگاه‌های مورداستفاده خود حفظ می‌کنید، ممکن است مانند سایر داده‌ها رمزگذاری شوند.

به همین دلیل، قرار دادن نسخه پشتیبان در رایانه اصلی شما مطمئناً ایده خوبی نیست.

چگونه آلوده شدم؟

Toec روش‌های مختلفی برای ورود به سیستم شما دارد. اما واقعاً مهم نیست که از چه روشی وارد سیستم شما شود.

Toec

شکل ۲: حمله Toec در پی یک تلاش فیشینگ موفق

بااین‌وجود، روش‌های ورود متداولی که Toec از طریق آن ممکن است به رایانه شخصی شما وارد شود، در اینجا آورده شده است:

  • نصب پنهان به همراه سایر برنامه‌ها، به‌خصوص برنامه‌های کاربردی که به‌عنوان نرم‌افزار رایگان یا اشتراکی کار می‌کنند.
  • پیوند مشکوک در پست‌های الکترونیک اسپم که منتهی به نصب Toec می‌شود.
  • منابع میزبانی آنلاین رایگان
  • استفاده از منابع غیرقانونی peer-to-peer برای بارگیری نرم‌افزارهای کرک شده

مواردی وجود دارد که ویروس Toec به‌عنوان برخی از ابزارهای قانونی، به‌عنوان‌مثال، در پیام‌هایی که خواستار آغاز برخی از نرم‌افزارهای ناخواسته یا به‌روزرسانی‌های مرورگر هستند، پنهان ‌شده است. این به‌طورمعمول راهی است که برخی از کلاه‌بردارهای آنلاین قصد دارند شما را مجبور به نصب دستی باج‌گیر افزار Toec کنند، با این کار شما مستقیماً در این فرآیند شرکت می‌کنید.

مطمئناً هشدار به‌روزرسانی جعلی نشانگر این نیست که شما قصد دارید باج‌گیر افزار Toec را نصب کنید یا خیر. این نصب با هشداری پنهان می‌شود که در آن ذکرشده که ظاهراً باید Adobe Flash Player یا هر برنامه مشکوک دیگری را به‌روز کنید.

البته برنامه‌های کرک شده نیز آسیب‌پذیر هستند. استفاده از P2P هم غیرقانونی است و هم ممکن است منجر به تزریق دژافزارهای جدی ازجمله باج‌گیر افزار Toec شود.

خلاصه اینکه، برای جلوگیری از ورود باج‌گیر افزار Toec به دستگاه خود، چه‌کاری می‌توانید انجام دهید؟ حتی اگر هیچ تضمینی ۱۰۰ درصدی برای جلوگیری از آسیب دیدن کامپیوتر شما وجود ندارد، نکات خاصی وجود دارد که می‌خواهم برای جلوگیری از نفوذ Toec به شما بگوییم. امروزه شما باید هنگام نصب نرم‌افزارهای رایگان محتاط باشید.

حتماً آنچه را که installer ها علاوه بر برنامه اصلی ارائه می‌دهند، بخوانید. از باز کردن پیوست‌های پست‌های الکترونیک مشکوک خودداری کنید. فایل‌های ارسالی توسط مخاطبان ناشناس را باز نکنید و البته برنامه امنیتی فعلی شما باید همیشه به‌روز شود.

این دژ افزار آشکارا درباره خودش صحبت نمی‌کند. در لیست برنامه‌های موجود شما ذکر نخواهد شد. بااین‌وجود، از همان لحظه شروع به کار در رایانه شخصی، توسط برخی از فرآیندهای موذی که به‌طور منظم در پس‌زمینه اجرا می‌شوند، پوشانده می‌شود.

پیام گذاشته‌شده توسط باج‌گیر افزار Toec شامل اطلاعات ناامیدکننده کننده زیر است:

ATTENTION!

 Don’t worry, you can return all your files!
 All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
 The only method of recovering files is to purchase decrypt tool and unique key for you.
 This software will decrypt all your encrypted files.
 What guarantees you have?
 You can send one of your encrypted file from your PC and we decrypt it for free.
 But we can decrypt only 1 file for free. File must not contain valuable information.
 You can get and look video overview decrypt tool:
 https://we.tl/t-2P5WrE5b9f
 Price of private key and decrypt software is $980.
 Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
 Please note that you’ll never restore your data without payment.
 Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

 To get this software you need write on our e-mail:
 gorentos@bitmessage.ch
 Reserve e-mail address to contact us:
 gorentos2@firemail.cc
 Our Telegram account:
 @datarestore
 Mark Data Restore
 Your personal ID:
 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

تصویر زیر چشم‌اندازی واضح از فایل‌های با پسوند “.toec” را نشان می‌دهد:

Toec

عکس ۳: مثالی از فایل‌های رمز شده توسط Toec

چگونه باج‌گیر افزار Toec را از بین ببریم؟

علاوه بر رمزگذاری پرونده‌های یک قربانی، عفونت Toec همچنین اقدام به نصب نرم‌افزار جاسوسی Azorult روی سیستم برای سرقت اطلاعات حساب کاربری، کیف پول‌های رمزنگاری‌شده، فایل‌های موجود روی دسکتاپ و موارد دیگر می‌کند.

چرا نرم‌افزار GridinSoft بدین منظور توصیه می‌شود؟

هیچ راه بهتری برای تشخیص، حذف و جلوگیری از یک باج‌گیر افزار با استفاده از یک نرم‌افزار ضد دژافزار مانند GridinSoft وجود ندارد.

بارگیری ابزار حذف

با کلیک روی این لینک[۴] می‌توانید GridinSoft Anti-Malware را بارگیری کنید:

فایل Setup را اجرا کنید.

GridinSoft Anti-Malware

User Account Control از شما سؤال می‌کند که GridinSoft Anti-Malware را قادر سازید در دستگاه شما تغییراتی ایجاد کند. بنابراین برای ادامه نصب باید بر روی “بله” کلیک کنید.

GridinSoft Anti-Malware

روی دکمه  Installکلیک کنید.

GridinSoft Anti-Malware

هنگامی‌که نصب شد، این ضددژافزار به‌طور خودکار اجرا می‌شود.

GridinSoft Anti-Malware

روی گزینه Full Sccan کلیک کرده و صبر کنید تا اسکن این ضد دژافزار کامل شود.

GridinSoft Anti-Malware

GridinSoft Anti-Malware

پس از اتمام اسکن، لیست عفونت‌هایی که GridinSoft Anti-Malware شناسایی کرده است مشاهده خواهید کرد. برای حذف آن‌ها  بر روی دکمه “Clean Now” در گوشه سمت راست کلیک کنید.

GridinSoft Anti-Malware

برای پاک‌سازی شما باید یک Licence رایگان ۶ روزه را از این شرکت دریافت کنید، بدین منظور باید آدرس پست الکترونیک خود را در بخش مربوطه وارد کرده و سپس باید در ایمیلی که به شما ارسال خواهد شد به بخش Your Personal Activation Key رفته و کلید مربوطه را در بخش License وارد کنید تا نرم‌افزار با موفقیت فعال شود تا بتوانید اقدام به پاک‌سازی از طریق این نرم‌افزار کنید.

چگونه فایل‌های .toec را رمزگشایی کنیم؟

جدیدترین پسوندها در پایان اوت ۲۰۱۹ و پس از تغییراتی توسط مجرمان سایبری منتشر شدند. این افزونه‌ها شامل Craw و Meka و غیره هستند.

با توجه به تغییراتی که توسط مجرمان سایبری داده شده است، STOPDecrypter دیگر پشتیبانی نمی‌شود. این ابزار رمزگشایی حذف شده و ابزار Emsisoft Decryptor for STOP Djvu Ransomware جایگزین آن شده است که توسط شرکت Emsisoft و Michael Gillespie پیاده سازی شده است.

شما می‌توانید این ابزار را از اینجا [۵] دانلود کتید.

ابزار رمزگشایی را دانلود و اجرا کنید.

در ابتدا ابزار رمزگشایی را دانلود کرده و آن را روی دسکتاپ قرار دهید:

Emsisoft

به محض قبول شرایط کار با این ابزار،صفحه اصلی این ابزار رمزگشایی نمایش داده می شود:

Emsisoft

پوشه های مورد نظر را برای رمزگشایی انتخاب کنید.

بر اساس تنظیمات پیش فرض، رمزگشایی به طور خودکار مکانهای موجود را شناسایی می کند تا بتواند درایوهای موجود را از جمله درایوهای قرار داشته روی شبکه را رمزگشایی کند. مکان های اضافی (اختیاری) را می توان با کمک دکمه “Add” انتخاب کرد.

رمزگشاها معمولاً با توجه به خانواده دژافزارها، گزینه های مختلفی را پیشنهاد می کنند. گزینه های ممکن در حال حاضر در تب گزینه ها ارائه شده اند و می توانند در آنجا فعال یا غیرفعال شوند.

روی دکمه “Decrypt” کلیک کنید.

به محض اینکه همه مکان های مورد نظر برای رمزگشایی را در لیست اضافه کردید، روی دکمه “Decrypt” کلیک کنید تا مراحل رمزگشایی آغاز شود.

توجه داشته باشید که صفحه اصلی ممکن است به نمایش وضعیت تبدیل شود و شما را از روند کار و آمار رمزگشایی اطلاعات شما آگاه سازد.

این ابزار رمزگشایی به محض اتمام مراحل رمزگشایی به شما اطلاع می دهد. اگر به گزارشات شخصی خود نیاز به گزارش دارید، می توانید با انتخاب دکمه Save log آن را ذخیره کنید. توجه داشته باشید که همچنین می توانید در صورت نیاز آن را به طور مستقیم روی clipboard کپی کنید و سپس آن را درون یک پست الکترونیک و یا انجمن‌های اینترنتی paste کنید [۶].

 

منابع

[۱] https://apa.aut.ac.ir/?p=6565

[۲] https://howtofix.guide/remove-craw-virus

[۳] https://howtofix.guide/remove-meka-virus

[۴] https://howtofix.guide/download

[۵] https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

[۶] https://howtofix.guide/remove-toec-virus