باجگیر افزار در حقیقت نوعی ویروس است که پرونده های شما را رمزگذاری می کند و سپس شما را مجبور می کند تا برای بازیابی آنها مبلغی به عنوان باج پرداخت کنید. خانواده باجگیر افزارهای DJVU که با نام STOP نیز شناخته می شوند[۱] برای اولین بار توسط Michael Gillespie که یک تحلیلگر ویروس است، کشف شد.
Toec اساسا شبیه سایر باجگیر افزارهایی مانند Craw و Meka است[۲-۳]. این باجگیر افزار تمام فایلهای رایج را رمزنگاری میکند. ازاینرو، شما نمیتوانید از اسناد یا عکسهای خود استفاده کنید. Toec پسوند “.toec” که مخصوص خودش است را به کلیه فایلها اضافه میکند. بهعنوانمثال، فایل “video.avi” به “video.avi.toec” تغییر مییابد. بهمحض موفقیت در رمزنگاری، Toec یک فایل خاص “_readme.txt” را تولید میکند و آن را در همه پوشههایی که حاوی پروندههای اصلاحشده هستند، قرار میدهد.
این متن، درخواست پرداخت مبلغ برای بازیابی فایلها را از طریق کلید رمزگشایی میکند:
شکل ۱: هشدار ترسناک که از کاربران خواسته است باجی را برای رمزگشایی دادههای رمزگذاری شده خود بپردازند، حاوی این هشدارهای ناامیدکننده است.
الگوریتم رمزنگاری استفادهشده توسط Toec در حقیقت AES-556 است. بنابراین، اگر اسناد شما با یک کلید رمزگشایی خاص رمزگذاری شود، هیچ نسخه دیگری از آنها وجود نخواهد داشت. واقعیت غمانگیز این است که بازیابی اطلاعات شما بدون کلید منحصربهفرد موجود غیرممکن است.
درصورتیکه Toec در حالت آنلاین کار کند، دسترسی به کلید AES-556 برای شما غیرممکن است. این کلید در یک سرور از راه دور که متعلق به کلاهبرداریهایی است که تبلیغ باج افزار Toec را انجام میدهند، ذخیره میشود.
برای دریافت کلید رمزگشایی باید مبلغ ۹۸۰ دلار پرداخت شود. برای به دست آوردن جزئیات پرداخت، قربانیان از طریق پیام برای تماس با کلاهبردارها از طریق پست الکترونیک (gorentos@bitmessage.ch) یا از طریق تلگرام تشویق میشوند.
مبلغی به Toec پرداخت نکنید!
لطفاً از پشتیبانهای موجود یا ابزارهای رمزگشایی استفاده کنید.
فایل _readme.txt همچنین نشان میدهد که صاحبان رایانه باید از ۷۲ ساعت از زمان شروع رمزگذاری پروندهها، با نمایندگان Toec در تماس باشند. در صورت تماس در طی ۷۲ ساعت، تخفیفی ۵۰ درصدی در اختیار کاربران قرار میگیرد، بنابراین مبلغ باج به ۴۹۰ دلار کاهش مییابد. بااینحال، از پرداخت باج خودداری کنید!
ما قطعاً توصیه میکنیم که با این کلاهبردارها تماس نگیرید و پرداختی انجام ندهید. یکی از عملیترین راهحلها برای بازیابی دادههای ازدسترفته، فقط استفاده از پشتیبانگیریهای موجود، یا استفاده از ابزارهای رمزگشایی است.
خصوصیات چنین ویروسهایی اعمال مجموعه اقداماتی برای تولید کلید رمزگشایی منحصربهفرد برای بازیابی اطلاعات رمزگذاری شده است.
بنابراین، بهجز مواردی که باجگیر افزار هنوز در مرحله توسعه باشد و یا دارای برخی نقصهایی که ردیابی آنها مشکل است، بازیابی دستی دادههای رمزگذاری شده کاری است که قطعاً شما نمیتوانید آن را انجام دهید. تنها راهحل برای جلوگیری از از بین رفتن اطلاعات ارزشمند شما، تهیه نسخه پشتیبان از پروندههای مهم بهطور منظم است.
توجه داشته باشید که حتی اگر بهطور مرتب چنین پشتیبان گیری از دادههای خود انجام دهید، باید سریعاً آنها را در یک مکان دیگر ذخیره کنید که به محل اصلی نگهداری فایلهای شما متصل نباشد.
بهعنوانمثال، نسخه پشتیبان تهیهشده ممکن است در درایوهای فلش مانند USB یا برخی از حافظههای جایگزین دیگر مثل هارددیسکهای اکسترنال باشد. بهصورت اختیاری، میتوانید از ذخیرهسازی اطلاعات آنلاین (cloud) نیز کمک بگیرید.
این نکته لازم به ذکر است که وقتی دادههای پشتیبان خود را در دستگاههای مورداستفاده خود حفظ میکنید، ممکن است مانند سایر دادهها رمزگذاری شوند.
به همین دلیل، قرار دادن نسخه پشتیبان در رایانه اصلی شما مطمئناً ایده خوبی نیست.
چگونه آلوده شدم؟
Toec روشهای مختلفی برای ورود به سیستم شما دارد. اما واقعاً مهم نیست که از چه روشی وارد سیستم شما شود.
شکل ۲: حمله Toec در پی یک تلاش فیشینگ موفق
بااینوجود، روشهای ورود متداولی که Toec از طریق آن ممکن است به رایانه شخصی شما وارد شود، در اینجا آورده شده است:
- نصب پنهان به همراه سایر برنامهها، بهخصوص برنامههای کاربردی که بهعنوان نرمافزار رایگان یا اشتراکی کار میکنند.
- پیوند مشکوک در پستهای الکترونیک اسپم که منتهی به نصب Toec میشود.
- منابع میزبانی آنلاین رایگان
- استفاده از منابع غیرقانونی peer-to-peer برای بارگیری نرمافزارهای کرک شده
مواردی وجود دارد که ویروس Toec بهعنوان برخی از ابزارهای قانونی، بهعنوانمثال، در پیامهایی که خواستار آغاز برخی از نرمافزارهای ناخواسته یا بهروزرسانیهای مرورگر هستند، پنهان شده است. این بهطورمعمول راهی است که برخی از کلاهبردارهای آنلاین قصد دارند شما را مجبور به نصب دستی باجگیر افزار Toec کنند، با این کار شما مستقیماً در این فرآیند شرکت میکنید.
مطمئناً هشدار بهروزرسانی جعلی نشانگر این نیست که شما قصد دارید باجگیر افزار Toec را نصب کنید یا خیر. این نصب با هشداری پنهان میشود که در آن ذکرشده که ظاهراً باید Adobe Flash Player یا هر برنامه مشکوک دیگری را بهروز کنید.
البته برنامههای کرک شده نیز آسیبپذیر هستند. استفاده از P2P هم غیرقانونی است و هم ممکن است منجر به تزریق دژافزارهای جدی ازجمله باجگیر افزار Toec شود.
خلاصه اینکه، برای جلوگیری از ورود باجگیر افزار Toec به دستگاه خود، چهکاری میتوانید انجام دهید؟ حتی اگر هیچ تضمینی ۱۰۰ درصدی برای جلوگیری از آسیب دیدن کامپیوتر شما وجود ندارد، نکات خاصی وجود دارد که میخواهم برای جلوگیری از نفوذ Toec به شما بگوییم. امروزه شما باید هنگام نصب نرمافزارهای رایگان محتاط باشید.
حتماً آنچه را که installer ها علاوه بر برنامه اصلی ارائه میدهند، بخوانید. از باز کردن پیوستهای پستهای الکترونیک مشکوک خودداری کنید. فایلهای ارسالی توسط مخاطبان ناشناس را باز نکنید و البته برنامه امنیتی فعلی شما باید همیشه بهروز شود.
این دژ افزار آشکارا درباره خودش صحبت نمیکند. در لیست برنامههای موجود شما ذکر نخواهد شد. بااینوجود، از همان لحظه شروع به کار در رایانه شخصی، توسط برخی از فرآیندهای موذی که بهطور منظم در پسزمینه اجرا میشوند، پوشانده میشود.
پیام گذاشتهشده توسط باجگیر افزار Toec شامل اطلاعات ناامیدکننده کننده زیر است:
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-2P5WrE5b9f
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gorentos2@firemail.cc
Our Telegram account:
@datarestore
Mark Data Restore
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
تصویر زیر چشماندازی واضح از فایلهای با پسوند “.toec” را نشان میدهد:
عکس ۳: مثالی از فایلهای رمز شده توسط Toec
چگونه باجگیر افزار Toec را از بین ببریم؟
علاوه بر رمزگذاری پروندههای یک قربانی، عفونت Toec همچنین اقدام به نصب نرمافزار جاسوسی Azorult روی سیستم برای سرقت اطلاعات حساب کاربری، کیف پولهای رمزنگاریشده، فایلهای موجود روی دسکتاپ و موارد دیگر میکند.
چرا نرمافزار GridinSoft بدین منظور توصیه میشود؟
هیچ راه بهتری برای تشخیص، حذف و جلوگیری از یک باجگیر افزار با استفاده از یک نرمافزار ضد دژافزار مانند GridinSoft وجود ندارد.
بارگیری ابزار حذف
با کلیک روی این لینک[۴] میتوانید GridinSoft Anti-Malware را بارگیری کنید:
فایل Setup را اجرا کنید.
User Account Control از شما سؤال میکند که GridinSoft Anti-Malware را قادر سازید در دستگاه شما تغییراتی ایجاد کند. بنابراین برای ادامه نصب باید بر روی “بله” کلیک کنید.
روی دکمه Installکلیک کنید.
هنگامیکه نصب شد، این ضددژافزار بهطور خودکار اجرا میشود.
روی گزینه Full Sccan کلیک کرده و صبر کنید تا اسکن این ضد دژافزار کامل شود.
پس از اتمام اسکن، لیست عفونتهایی که GridinSoft Anti-Malware شناسایی کرده است مشاهده خواهید کرد. برای حذف آنها بر روی دکمه “Clean Now” در گوشه سمت راست کلیک کنید.
برای پاکسازی شما باید یک Licence رایگان ۶ روزه را از این شرکت دریافت کنید، بدین منظور باید آدرس پست الکترونیک خود را در بخش مربوطه وارد کرده و سپس باید در ایمیلی که به شما ارسال خواهد شد به بخش Your Personal Activation Key رفته و کلید مربوطه را در بخش License وارد کنید تا نرمافزار با موفقیت فعال شود تا بتوانید اقدام به پاکسازی از طریق این نرمافزار کنید.
چگونه فایلهای .toec را رمزگشایی کنیم؟
جدیدترین پسوندها در پایان اوت ۲۰۱۹ و پس از تغییراتی توسط مجرمان سایبری منتشر شدند. این افزونهها شامل Craw و Meka و غیره هستند.
با توجه به تغییراتی که توسط مجرمان سایبری داده شده است، STOPDecrypter دیگر پشتیبانی نمیشود. این ابزار رمزگشایی حذف شده و ابزار Emsisoft Decryptor for STOP Djvu Ransomware جایگزین آن شده است که توسط شرکت Emsisoft و Michael Gillespie پیاده سازی شده است.
شما میتوانید این ابزار را از اینجا [۵] دانلود کتید.
ابزار رمزگشایی را دانلود و اجرا کنید.
در ابتدا ابزار رمزگشایی را دانلود کرده و آن را روی دسکتاپ قرار دهید:
به محض قبول شرایط کار با این ابزار،صفحه اصلی این ابزار رمزگشایی نمایش داده می شود:
پوشه های مورد نظر را برای رمزگشایی انتخاب کنید.
بر اساس تنظیمات پیش فرض، رمزگشایی به طور خودکار مکانهای موجود را شناسایی می کند تا بتواند درایوهای موجود را از جمله درایوهای قرار داشته روی شبکه را رمزگشایی کند. مکان های اضافی (اختیاری) را می توان با کمک دکمه “Add” انتخاب کرد.
رمزگشاها معمولاً با توجه به خانواده دژافزارها، گزینه های مختلفی را پیشنهاد می کنند. گزینه های ممکن در حال حاضر در تب گزینه ها ارائه شده اند و می توانند در آنجا فعال یا غیرفعال شوند.
روی دکمه “Decrypt” کلیک کنید.
به محض اینکه همه مکان های مورد نظر برای رمزگشایی را در لیست اضافه کردید، روی دکمه “Decrypt” کلیک کنید تا مراحل رمزگشایی آغاز شود.
توجه داشته باشید که صفحه اصلی ممکن است به نمایش وضعیت تبدیل شود و شما را از روند کار و آمار رمزگشایی اطلاعات شما آگاه سازد.
این ابزار رمزگشایی به محض اتمام مراحل رمزگشایی به شما اطلاع می دهد. اگر به گزارشات شخصی خود نیاز به گزارش دارید، می توانید با انتخاب دکمه Save log آن را ذخیره کنید. توجه داشته باشید که همچنین می توانید در صورت نیاز آن را به طور مستقیم روی clipboard کپی کنید و سپس آن را درون یک پست الکترونیک و یا انجمنهای اینترنتی paste کنید [۶].
منابع
[۱] https://apa.aut.ac.ir/?p=6565
[۲] https://howtofix.guide/remove-craw-virus
[۳] https://howtofix.guide/remove-meka-virus
[۴] https://get.anti-malware.gridinsoft.com/01/?aff=gscm&act=download
[۵] https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
[۶] https://howtofix.guide/remove-toec-virus
ثبت ديدگاه