اگر عکس‌ها، پرونده‌ها یا فایل‌های شما توسط باج‌گیر افزار [admin@stex777.com].Money رمزگذاری شده است[۱]، بدین معنی است که کامپیوتر شما توسط باج‌گیر افزار Dharma آلوده شده است.

باج‌گیر افزار Dharma پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز در یک فایل به نام RETURN FILES.txt روی دسکتاپ قربانی قرار می‌گیرد[۲] و یا در یک پنجره pop-up با عنوان admin@stex777.com نمایش داده می‌شود.

money

Money

چگونه کامپیوتر شما به باج‌گیر افزار [admin@stex777.com].Money آلوده شده است؟

باج‌گیر افزار [admin@stex777.com].Money از طریق پست‌های الکترونیک اسپم که حاوی پیوست‌های آلوده هستند یا با بهره‌برداری از آسیب‌پذیری‌ها در سیستم‌عامل و نرم‌افزارهای نصب‌شده پخش می‌شود.

مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگ‌های جعلی برای قربانی، او را گول می‌زنند که این نامه از طرف یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضی‌اوقات این پست‌های الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کرده‌اید. درهرصورت، شما نمی‌توانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه جیزی مربوط می‌شود، مقاومت کنید و فایل پیوست شده را باز می‌کنید (یا روی پیوند تعبیه‌شده در داخل پست الکترونیک کلیک می‌کنید) و با این کار، کامپیوتر شما به باج‌گیر افزار [admin@stex777.com].Money آلوده می‌شود.

همچنین مشاهده شده است باج‌گیر افزار [admin@stex777.com].Money با هک کردن پورت‌های باز سرویس‌های Remote Desktop به قربانیان حمله می‌کند. مهاجمان سیستم‌هایی که RDP (پورت TCP 3389) باز دارند را اسکن می‌کنند و سپس سعی می‌کنند رمز ورود را برای این سیستم‌ها brute force کنند.

باج‌گیر افزار [admin@stex777.com].Money چیست؟

خانواده باج‌گیر افزار: Dharma

پسوند: [admin@stex777.com].money

میزان باج: از ۵۰۰ تا ۱۵۰۰دلار به بیت کوین

اطلاعات تماس: admin@stex777.com

نمونه فایل‌های رمز شده[۳]: عکس زیر

admin@stex777.com].Money

خانواده باج‌گیر افزارهای Dharma دسترسی به داده‌ها را توسط رمزگذاری پرونده‌ها محدود می‌کند و به آن‌ها پسوند [admin@stex777.com].money را اضافه می‌کند. سپس تلاش می‌کند تا درازای دسترسی به داده‌ها با درخواست باج به شکل بیت کوین، از قربانیان پول اخاذی کند.

این باج‌گیر افزار تمام نسخه‌های ویندوز ازجمله ویندوز ۷، ۸٫۱ و ۱۰ را هدف قرار می‌دهد. وقتی این باج‌گیر افزار برای اولین بار روی رایانه شما نصب شود، یک پرونده اجرایی با نامی تصادفی در پوشه AppData یا LocalAppData ایجاد می‌کند. این فایل قابل‌اجرا، راه‌اندازی می‌شود و شروع به اسکن تمامی درایوها روی رایانه شما می‌کند تا پرونده‌هایی که می‌خواهد رمزگذاری کند را شناسایی کند.

باج‌گیر افزار Dharma برای رمزگذاری، فایل‌هایی با پسوند خاص را جستجو می‌کند. پرونده‌هایی که این باج‌گیر افزار رمزگذاری می‌کند شامل اسناد و پرونده‌های مهم مانند doc ، docx ، xls ، pdf و دیگر فایل‌هاست. با شناسایی این پرونده‌ها، این باج‌گیر افزار پسوند آن‌ها را به [admin@stex777.com].money تغییر می‌دهد، بنابراین دیگر قادر به باز شدن نیستند.

پرونده‌های مورد هدف همان مواردی هستند که امروزه در اکثر رایانه‌های شخصی یافت می‌شوند. فهرستی از پسوندهای فایل‌های مورد هدف شامل موارد زیر است:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

پس از رمزگذاری پرونده‌های شما با پسوند [admin@stex777.com].money، این باج‌گیر افزار یادداشت باج را در پرونده RETURN FILES.txt در هر پوشه‌ای که یک فایل رمزگذاری شده وجود دارد قرار می‌دهد و همچنین در دسکتاپ ویندوز نیز یک نسخه از آن ایجاد می‌کند. این یادداشت‌ها در هر پوشه‌ای که یک پرونده رمزگذاری شده است؛ قرار دارند و حاوی اطلاعاتی در مورد نحوه تماس با مجرمان سایبری و بازگرداندن پرونده‌های شما هستند.

هنگامی‌که این باج‌گیر افزار اسکن رایانه شما را تمام می‌کند، تمام نسخه‌های Shadow Volume که در رایانه آسیب‌دیده قرار دارند را حذف می‌کند. این کار به این صورت است که شما نمی‌توانید از نسخه‌هایShadow  برای بازیابی فایل‌های رمزگذاری شده خود استفاده کنید.

آیا کامپیوتر شما توسط باج‌گیر افزار [admin@stex777.com].money آلوده شده است؟

هنگامی‌که این باج‌گیر افزار رایانه شما را آلوده می‌کند، تمام درایوها را برای انواع فایل‌های مورد هدف اسکن کرده و آن‌ها را رمزگذاری می‌کند و سپس پسوند [admin@stex777.com].money را روی آن‌ها قرار می‌دهد. پس از رمزگذاری این پرونده‌ها، دیگر نمی‌توانند توسط برنامه‌های عادی شما باز شوند. هنگامی‌که این باج‌گیر افزار رمزگذاری پرونده‌های قربانی را به پایان می‌رساند، یک یادداشت باج نیز به شما نمایش می‌دهد که شامل دستورالعمل نحوه تماس با این مجرمان سایبری (admin@stex777.com) است.

این پیغامی است که باج‌گیر افزار [admin@stex777.com].money نمایش می‌دهد:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail admin@stex777.com
Write this ID in the title of your message
In case of no answer in 24 hours write us to these e-mails: admin@stex777.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار [admin@stex777.com].money وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار [admin@stex777.com].money امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

چگونه باج‌گیر افزار [admin@stex777.com].money را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌ها شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و HitmanPro می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار [admin@stex777.com].money استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزار توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۴] دانلود کنید.

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

Malwarebytes

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

Malwarebytes

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

Malwarebytes

Malwarebytes

مرحله ۴: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمه Scan Now کلیک کنید.

Malwarebytes

مرحله ۵: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند مکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هر جند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

Malwarebytes

مرحله ۶: روی Quarantine Selected کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

Malwarebytes

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از HitmanPro برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

HitmanPro دومین اسکنر پیشنهادی است که از یک روش منحصربه‌فرد مبتنی بر Cloud برای اسکن دژافزارها استفاده می‌کند. HitmanPro رفتار پرونده‌های فعال و همچنین پرونده‌هایی را در مکان‌هایی که دژافزارها به‌طورمعمول برای فعالیت مشکوک خود انتخاب می‌کنند، اسکن می‌کند. اگر پرونده مشکوکی پیدا کند که ناشناخته است، HitmanPro آن را برای Cloudهای خود ارسال می‌کند تا توسط دو تا از بهترین موتورهای آنتی‌ویروس امروزی اسکن شوند که عبارت‌اند از Bitdefender و Kaspersky.

اگرچه HitmanPro یک سیستم اشتراک‌گذاری شده است و به مدت ۱ سال و روی یک رایانه ۲۴٫۹۵ دلار هزینه دارد، اما درواقع هیچ محدودیتی برای اسکن وجود ندارد. این محدودیت زمانی شروع می‌شود که نیاز به از بین بردن یا قرنطینه کردن دژ افزارهای شناسایی‌شده توسط HitmanPro روی سیستم شما وجود داشته باشد و تا آن زمان، شما می‌توانید از نسخه ۳۰ روزه این نرم‌افزار برای پاک‌سازی فایل‌های خود استفاده کنید.

مرحله ۱: نرم‌افزار HitmanPro را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۵] دانلود کنید.

مرحله ۲: نرم‌افزار HitmanPro را دانلود کنید.

هنگامی‌که دانلود HitmanPro تمام شد، روی فایل hitmanpro.exe برای نسخه ۳۲ بیتی و یا hitmanpro_x64.exe برای نسخه ۶۴ بیتی کلیک کنید تا این برنامه را روی رایانه خود نصب کنید. در اکثر موارد فایل‌های دانلود شده در فولدر Downloads قرار داده می‌شوند.

HitmanPro

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به HitmanPro اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده را دنبال کنید.

هنگامی‌که HitmanPro شروع به کار می‌کند شما با یک پنجره آغازین مشابه شکل زیر مواجه می‌شوید. روی دکمه Next کلیک کنید تا فرآیند اسکن آغاز شود.

HitmanPro

HitmanPro

مرحله ۴: منتظر شوید تا اسکن HitmanPro کامل شود.

HitmanPro در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا برنامه‌های موذی را پیدا کند. این فرآیند جند دقیقه طول می‌کشد.

HitmanPro

مرحله ۵: روی Next کلیک کنید.

هنگامی‌که HitmanPro اسکن را تمام کند، فهرستی از دژ افزارهایی را که پیدا کرده است را نمایش می‌دهد. روی Next کلیک کنید تا برنامه‌های موذی کشف‌شده را پاک کند.

HitmanPro

مرحله ۶: روی Activate free license کلیک کنید.

روی دکمه Activate free license کلیک کنید تا دوره Trial نرم‌افزار که ۳۰ روزه است آغاز شود و تمامی برنامه‌های موذی کشف‌شده روی سیستم شما را پاک کند.

HitmanPro

HitmanPro

هنگامی‌که این فرآیند تکمیل شد، شما می‌توانید HitmanPro را ببندید.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار [admin@stex777.com].Money وجود دارد؟

در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایل‌های رمز شده توسط [admin@stex777.com].Money را با استفاده از کپی‌های Shadow بازیابی کرد.

راه‌حل اول: فایل‌هایی که توسط باج‌گیر افزار [admin@stex777.com].Money رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.

باج‌گیر افزار [admin@stex777.com].Money تلاش می‌کند تا تمامی کپی‌های Shadow تولیدشده را پس‌ازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپی‌های Shadow نیست، بنابراین شما می‌توانید با استفاده از این روش فایل‌های خود را بازیابی کنید.

مرحله اول: می‌توانید ShadowExplorer را از این لینک[۶] دانلود کنید.

مرحله دوم: هنگامی‌که شما ShadowExplorer را دانلود و نصب کردید، می‌توانید این ویدیو[۷] را برای نحوه بازیابی فایل‌های خود توسط این نرم‌افزار تماشا کنید.

راه‌حل دوم: فایل‌های خود را که توسط افزونه [admin@stex777.com].Money رمز شده است را توسط نرم‌افزارهای بازیابی Restore کنید.

هنگامی‌که فایل‌های شما رمزگذاری می‌شود، این باج‌گیر افزار در ابتدا یک کپی از آن‌ها تولید می‌کند، فایل‌های کپی شده را رمزگذاری می‌کند و سپس فایل‌های اصلی را پاک می‌کند. به همین علت، ممکن است شانس کمی وجود داشته باشد که با استفاده از نرم‌افزارهای بازیابی، فایل‌های پاک‌شده را Restore کرد.

چگونه باید از آلوده شدن توسط چنین باج‌گیر افزارهایی جلوگیری کرد؟

برای جلوگیری از آلوده شدن توسط باج‌گیر افزارهایی مانند [admin@stex777.com].Money، شما همیشه باید یک آنتی‌ویروس به‌روز روی کامپیوتر خود داشته باشید و همچنین به‌طور مرتب از فایل‌های خود پشتیبان تهیه کنید. به‌عنوان یک‌لایه محافظتی اضافی، می‌توانید از نرم‌افزارهایی مانند HitmanPro.Alert استفاده کنید[۸]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری می‌کنند.

HitmanPro.Alert

همچنین توجه داشته باشید که آخرین نسخه از ویندوز ۱۰ دارای یک ویژگی به نام Controlled Folder Access است که تلاش‌های باج‌گیر افزارها برای رمزگذاری فایل‌ها شما را بلاک می‌کند. به‌طور پیش‌فرض، این ویژگی به‌طور خودکار فایل‌هایی را که در فولدرهای Documents، Pictures، Videos، Music، Favorites و دسکتاپ قرار دارند را محافظت می‌کند. به همین دلیل به کاربران ویندوز ۱۰ توصیه می‌شود که ویندوزهای خود را به آخرین نسخه به‌روزرسانی کنند[۹].

منابع

[۱] https://malwaretips.com/blogs/remove-admin-stex777-com-money

[۲] https://howtoremove.guide/adminstex777-com-virus-file

[۳]http://www.besttechtips.org/how-to-remove-money-ransomware-and-decrypt-adminstex777-com-money-files

[۴] https://malwaretips.com/download-malwarebytes

[۵] https://malwaretips.com/download-hitman-pro

[۶] http://www.shadowexplorer.com/downloads.html

[۷] https://youtu.be/oaXtQ6rbvxA

[۸] https://youtu.be/LeEICG0zWqY

[۹] https://malwaretips.com/download-hitmanproalert