چگونه می‌توان باج‌گیر افزار GESD را از روی سیستم حذف کرد؟ آیا امکان بازیابی فایل‌ها وجود دارد؟

اگر شما نمی‌توانید عکس‌ها، پرونده‌ها یا فایل‌های خود را باز کنید و پسوند gesd به انتهای آن‌ها اضافه شده است، یعنی سیستم شما توسط یک باج‌گیر افزار از خانواده STOP/DJVU آلوده شده است[۱].

باج‌گیر افزار STOP/DJVU پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز روی دسکتاپ قربانی در یک فایل _readme.txt قرار داده می‌شود. (مانند شکل زیر)

باج‌گیر افزار Gesd چیست؟

Gesd یک آلودگی از نوع باج‌گیر‌ افزار و رمزگذاری کننده فایل است که دسترسی به داده‌ها (فایل‌ها، تصاویر، فیلم‌ها) را با رمزگذاری پرونده‌ها با پسوند gesd محدود می‌کند. سپس تلاش می‌کند تا در ازای دادن دسترسی به فایل‌ها، با درخواست باج به بیت کوین، از قربانیان پول اخاذی کند.

این باج‌گیر افزار تمام نسخه‌های ویندوز شامل نسخه‌های ۷، ۸٫۱ و ۱۰ را هدف قرار می‌دهد. وقتی این باج‌گیر افزار برای اولین بار روی رایانه نصب شود، یک فایل تصادفی و قابل‌اجرا را در پوشه‌ی %AppData% یا %LocalAppData% ایجاد می‌کند. این فایل با قابلیت اجرا راه‌اندازی می‌شود و شروع به اسکن تمام درایوهای رایانه شما می‌کند تا فایل‌هایی که می‌خواهد رمزگذاری کند را شناسایی کند.

باج‌گیر افزارهای از خانواده STOP/DJVU برای رمزگذاری فایل‌هایی را با پسوند مشخص جستجو می‌کنند. فایل‌های رمزگذاری شده شامل اسناد مهم، تصاویر، فیلم‌ها و پرونده‌هایی مانند .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایل‌ها، این باج‌گیر افزار پسوند فایل‌ها را به gesd تغییر می‌دهد، بنابراین دیگر نمی‌توانید آن‌ها را باز کنید.

باج‌گیر افزار STOP/DJVU نام هر فایل رمزگذاری شده را به فرمت زیر تغییر می‌دهد: name.gesd

پس از رمزگذاری فایل‌های شما با پسوند “gesd”، شما نمی‌توانید این فایل‌ها را باز کنید و این باج‌گیر افزار باعث می‌شود یادداشت باج info.txt در هر پوشه‌ای که یک فایل رمزگذاری شده است قرار داده شود و در دسکتاپ ویندوز نیز ایجاد شود.

هنگامی‌که این باج‌گیر افزار اسکن رایانه شما را تمام کند، تمام نسخه‌های Shadow Volume را که در رایانه آسیب‌دیده قرار دارند حذف می‌کند. این کار به این صورت است که شما نمی‌توانید از نسخه‌های Shadow برای بازیابی فایل‌های رمزگذاری شده خود استفاده کنید.

چگونه کامپیوتر شما به باج‌گیر افزار Gesd آلوده شده است؟

باج‌گیر افزار Gesd از طریق پست‌های الکترونیک اسپم که حاوی پیوست‌های آلوده هستند یا با بهره‌برداری از آسیب‌پذیری‌ها در سیستم‌عامل و نرم‌افزارهای نصب‌شده پخش می‌شود.

مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگ‌های جعلی برای قربانی، او را گول می‌زنند که این نامه از طرف یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضی‌اوقات این پست‌های الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کرده‌اید. درهرصورت، شما نمی‌توانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی مربوط می‌شود، مقاومت کنید و فایل پیوست شده را باز می‌کنید (یا روی پیوند تعبیه‌شده در داخل پست الکترونیک کلیک می‌کنید) و با این کار، کامپیوتر شما به باج‌گیر افزار Gesd آلوده می‌شود.

همچنین مشاهده شده است باج‌گیر افزار Gesd با هک کردن پورت‌های باز سرویس‌های Remote Desktop به قربانیان حمله می‌کند. مهاجمان سیستم‌هایی که RDP (پورت TCP 3389) باز دارند را اسکن می‌کنند و سپس سعی می‌کنند رمز ورود را برای این سیستم‌ها brute force کنند.

آیا کامپیوتر من توسط باج‌گیر افزار Gesd آلوده شده است؟

در اینجا خلاصه‌ای از اطلاعات مربوط به باج‎گیر افزار Gesd آورده شده است:

خانواده باج‌گیر افزار: STOP/DJVU

پسوند: Gesd

یادداشت باج‌گیر افزار: _readme.txt

میزان باج: از ۴۹۰ تا ۸۹۰ دلار به بیت کوین

اطلاعات تماس: datarestorehelp@firemail.cc

نشانه‌ها: به فایل‌های شما پسوند gesd افزوده می‌شود و توسط هیچ برنامه‌ای باز نمی‌شوند.

نمونه فایل‌های رمز شده[۲]: عکس زیر

هنگامی‌که این باج‌گیر افزار کامپیوتر شما را آلوده می‌کند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن می‌کند و آن‌ها را پس از کشف رمزنگاری می‌کند و سپس پسوند gesd را به انتهای نام آن‌ها اضافه می‌کند. هنگامی‌که این فایل‌ها رمزنگاری شوند، دیگر با برنامه‌های معمول قابلیت باز شدن ندارند. هنگامی‌که این باج‌گیر افزار رمزنگاری فایل‌های سیستم را تمام کند، یک یادداشت باج‌خواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش می‌دهد (datarestorehelp@firemail.cc).

پیامی که باج‌گیر افزار gesd در فایل _readme.txt  نمایش می‌دهد بدین شرح است:

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-4NWUGZxdHc
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
datarestorehelp@firemail.cc

چگونه باج‌گیر افزار Gesd را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌های شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes وEmsisoft Emergency Kit می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار Gesd استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۳] دانلود کنید (از IP ایران لینک مورد نظر باز نمی‌شود).

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.

پس از نصب Malwarebytes، از شما خواسته می‌شود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باج‌گیر افزار است، بااین‌حال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.

روی Use Malwarebytes Free کلیک کنید.

مرحله ۵: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمهScan  کلیک کنید.

مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۷: روی Quarantine  کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از Emsisoft Emergency Kit برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

Emsisoft Emergency Kit دومین اسکنر پیشنهادی رایگان است که می‌تواند کامپیوترهای آلوده شده را اسکن کند و آن‌ها را از آلودگی پاک کند.

مرحله ۱: Emsisoft Emergency Kit را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۴] دانلود کنید.

مرحله ۲: نرم‌افزار Emsisoft Emergency Kit را نصب کنید.

هنگامی‌که دانلود تمام شد، روی فایل Emsisoft Emergency Kit دو بار کلیک کنید تا فرآیند نصب این برنامه روی رایانه آغاز شود و سپس روی Install کلیک کنید.

مرحله ۳: Emsisoft Emergency Kit را اجرا کنید.

روی دسکتاپ شما فولدر EEK قرار داده شده است، آن را باز کنید. برای اجرای Emsisoft رویStart Emsisoft Emergency Kit کنید تا این برنامه اجرا شود.

ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما می‌پرسد می‌خواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.

مرحله ۴: روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit اجرا می‌شود و از شما اجازه می‌خواهد تا خودش را به‌روزرسانی کند. هنگامی‌که فرآیند به‌روزرسانی تمام شود، در تب Scan روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا فایل‌های مخرب را پیدا کند. این فرآیند ممکن است چند دقیقه طول بکشد.

مرحله ۵: روی Quarantine selected کلیک کنید.

هنگامی‌که Emsisoft اسکن را تمام کند، شما با یک صفحه مواجه می‌شوید که به شما گزارش می‌دهد چه فایل‌های مخربی را روی سیستم شما تشخیص داده است. برای پاک کردن برنامه‌های موذی، روی Quarantine selected کلیک کنید.

هنگامی‌که فرآیند پاک‌سازی دژافزار کامل شود، Emsisoft Emergency Kit نیاز دارد تا سیستم شما مجدداً راه‌اندازی شود. روی Restart کلیک کنید تا سیستم شما مجدداً راه‌اندازی شود.

هنگامی‌که این فرآیند کامل شد، شما می‌توانید از Emsisoft خارج شوید.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Gesd وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار Gesd امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

اما اگر فایل‌های شما توسط یک کلید آفلاین رمزگذاری شده باشد، شانس کمی وجود دارد که شما بتوانید توسط ابزار رمزگشایی Emsisoft Decryptor for STOP Djvu آن‌ها را بازیابی کنید.

در اینجا[۵] می توانید نحوه چگونگی بازیابی فایل‌هایتان توسط Emsisoft Decryptor for STOP Djvu را مطالعه کنید.

قبل از دنبال کردن مراحل زیر اطمینان حاصل کنید که این دژافزار را از روی سیستم خود پاک‌کرده‌اید، وگرنه این باج‌گیر افزار به‌طور مکرر سیستم شما را قفل می‌کند یا فایل‌های شما را مجدداً رمزنگاری می‌کند.

مرحله ۱: نرم‌افزار Emsisoft Decryptor for STOP Djvu را دانلود کنید.

شما می توانید Emsisoft Decryptor for STOP Djvu را از اینجا[۳] دانلود کنید.

مرحله ۲: نرم‌افزار Emsisoft Decryptor for STOP Djvu را اجرا کنید.

هنگامی‌که Emsisoft Decryptor for STOP Djvu دانلود شد، روی decrypt_STOPDjvu.exe دو بار کلیک کنید تا این نرم‌افزار روی سیستم شما اجرا شود.

ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما می‌پرسد می‌خواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده در ادامه را دنبال کنید.

هنگامی‌که Emsisoft Decryptor for STOP Djvu اجرا شد، شما باید با Terms موافقت کنید.

مرحله ۴: روی Decrypt کلیک کنید.

روی دکمه Decrypt کلیک کنید تا فرآیند رمزگشایی آغاز شود. صفحه‌نمایش داده شده به حالت View تغییر وضعیت می‌دهد و به شما در ارتباط با فرآیند در حال انجام و وضعیت رمزگشایی فایل‌هایتان اطلاع می‌دهد.

مرحله ۵: هنگامی‌که فرآیند رمزگشایی به اتمام برسد، این ابزار به شما اطلاع می‌دهد. اگر شما نیاز به یک گزارش برای ذخیره کردن داشته باشید، می توانید روی Save log کلیک کنید. اگر سیستم شما از طریق ویژگی Windows Remote Desktop در معرض خطر قرار گرفته باشد، به شما پیشنهاد می‌دهیم که تمامی کلمات عبور کاربران موجود روی سیستم را تغییر دهید.

متأسفانه در بیشتر موارد امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Gesd وجود ندارد زیرا کلید خصوصی برای بازگشایی فایل‌های رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد.

برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

 

منابع

[۱] https://malwaretips.com/blogs/remove-gesd-virus

[۲] https://geeksadvice.com/remove-gesd-ransomware-virus

[۳] https://malwaretips.com/download-malwarebytes

[۴] https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

[۵]https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_stopdjvu.pdf