باج‌گیر افزار Kvag چیست؟ آیا امکان بازیابی فایل‌های رمز شده وجود دارد؟

اگر شما نمی‌توانید عکس‌ها، پرونده‌ها یا فایل‌های خود را باز کنید و پسوند Kvag به انتهای آن‌ها اضافه شده است، یعنی سیستم شما توسط یک باج‌گیر افزار از خانواده STOP/DJVU آلوده شده است[۱].

باج‌گیر افزار STOP/DJVU پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز روی دسکتاپ قربانی در یک فایل _readme.txt قرار داده می‌شود. (مانند شکل زیر)

تاکنون هیچ ابزار رمزگشایی برای این نوع از باج‌گیر افزار منتشر نشده است. اما شما می‌توانید سایت‌های زیر را به منظور بررسی انتشار ابزار رمزگشایی جستجو کنید.

https://idransomware.malwarehunterteam.com
https://decrypter.emsisoft.com
https://noransom.kaspersky.com
https://www.avast.com/ransomware-decryption-tools

چگونه کامپیوتر شما به باج‌گیر افزار Kvag آلوده شده است؟

باج‌گیر افزار Kvag از طریق پست‌های الکترونیک اسپم که حاوی پیوست‌های آلوده هستند یا با بهره‌برداری از آسیب‌پذیری‌ها در سیستم‌عامل و نرم‌افزارهای نصب‌شده پخش می‌شود.

مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگ‌های جعلی برای قربانی، او را گول می‌زنند که این نامه از طرف یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضی‌اوقات این پست‌های الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کرده‌اید. درهرصورت، شما نمی‌توانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی مربوط می‌شود، مقاومت کنید و فایل پیوست شده را باز می‌کنید (یا روی پیوند تعبیه‌شده در داخل پست الکترونیک کلیک می‌کنید) و با این کار، کامپیوتر شما به باج‌گیر افزار Kvag آلوده می‌شود.

همچنین مشاهده شده است باج‌گیر افزار Kvag با هک کردن پورت‌های باز سرویس‌های Remote Desktop به قربانیان حمله می‌کند. مهاجمان سیستم‌هایی که RDP (پورت TCP 3389) باز دارند را اسکن می‌کنند و سپس سعی می‌کنند رمز ورود را برای این سیستم‌ها brute force کنند.

باج‌گیر افزار Kvag چیست؟

در اینجا خلاصه‌ای از اطلاعات مربوط به باج‎گیر افزار Kvag آورده شده است:

خانواده باج‌گیر افزار: STOP/DJVU

پسوند: kvag

یادداشت باج‌گیر افزار: _readme.txt

میزان باج: از ۴۹۰ تا ۸۹۰ دلار به بیت کوین

اطلاعات تماس: gorentos@bitmessage.ch, gerentoshelp@firemail.cc, or @datarestore on Telegram

نشانه‌ها: به فایل‌های شما پسوند kvag افزوده می‌شود و توسط هیچ برنامه‌ای باز نمی‌شوند.

نمونه فایل‌های رمز شده[۲]: عکس زیر

Kvag یک آلودگی از نوع باج‌گیر‌ افزار و رمزگذاری کننده فایل است که دسترسی به داده‌ها را با رمزگذاری فایل‌ها محدود می‌کند. سپس تلاش می‌کند تا در ازای دادن دسترسی به فایل‌ها، با درخواست باج به بیت کوین، از قربانیان پول اخاذی کند.

این باج‌گیر افزار تمام نسخه‌های ویندوز شامل نسخه‌های ۷، ۸٫۱ و ۱۰ را هدف قرار می‌دهد. وقتی این باج‌گیر افزار برای اولین بار روی رایانه نصب شود، یک فایل تصادفی و قابل‌اجرا را در پوشه‌ی %AppData% یا %LocalAppData% ایجاد می‌کند. این فایل با قابلیت اجرا راه‌اندازی می‌شود و شروع به اسکن تمام درایوهای رایانه شما می‌کند تا فایل‌هایی که می‌خواهد رمزگذاری کند را شناسایی کند.

باج‌گیر افزارهای از خانواده STOP/DJVU برای رمزگذاری فایل‌هایی را با پسوند مشخص جستجو می‌کنند. فایل‌های رمزگذاری شده شامل اسناد مهم، تصاویر، فیلم‌ها و پرونده‌هایی مانند .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایل‌ها، این باج‌گیر افزار پسوند فایل‌ها را به Kvag تغییر می‌دهد، بنابراین دیگر نمی‌توانید آن‌ها را باز کنید.

فایل‌های مورد فایل‌هایی هستند که امروزه روی بیشتر کامپیوترها پیدا می‌شوند، لیستی از پسوندهای فایل‌های مورد هدف در اینجا آورده شده است:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

هنگامی که فایل‌های شما توسط پسوند .kvag رمزگذاری شد، این باج‌گیر افزار یک فایل حاوی یادداشت باج‌خواهی به نام _readme.txt را در هر فولدری که فایل‌های رمز شده قرار دارند و همچنین روی دسکتاپ تولید می‌کند. در یادداشت موجود روی _readme.txt اطلاعات مربوط به نحوه تماس با مجرمان سایبری قرار داده شده است.

هنگامی‌که این باج‌گیر افزار اسکن رایانه شما را تمام کند، تمام نسخه‌های Shadow Volume را که در رایانه آسیب‌دیده قرار دارند حذف می‌کند. این کار به این صورت است که شما نمی‌توانید از نسخه‌های Shadow برای بازیابی فایل‌های رمزگذاری شده خود استفاده کنید.

آیا کامپیوتر من توسط باج‌گیر افزار Kvag آلوده شده است؟

هنگامی‌که این باج‌گیر افزار کامپیوتر شما را آلوده می‌کند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن می‌کند و آن‌ها را پس از کشف رمزنگاری می‌کند و سپس پسوند kvag را به انتهای نام آن‌ها اضافه می‌کند. هنگامی‌که این فایل‌ها رمزنگاری شوند، دیگر با برنامه‌های معمول قابلیت باز شدن ندارند. هنگامی‌که این باج‌گیر افزار رمزنگاری فایل‌های سیستم را تمام کند، یک یادداشت باج‌خواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش می‌دهد (gorentos@bitmessage.ch or gerentoshelp@firemail.cc).

پیامی که باج‌گیر افزار Kvag در فایل _readme.txt  نمایش می‌دهد بدین شرح است:

ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-4NWUGZxdHc
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
datarestorehelp@firemail.cc

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Kvag وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار Kvag امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

چگونه باج‌گیر افزار Kvag را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌های شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و HitmanPro می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار Kvag استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۳] دانلود کنید.

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.

پس از نصب Malwarebytes، از شما خواسته می‌شود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باج‌گیر افزار است، بااین‌حال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.

روی Use Malwarebytes Free کلیک کنید.

مرحله ۵: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمهScan  کلیک کنید.

مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۷: روی Quarantine  کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از HitmanPro برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

HitmanPro دومین اسکنر پیشنهادی است که از یک روش منحصربه‌فرد مبتنی بر Cloud برای اسکن دژافزارها استفاده می‌کند. HitmanPro رفتار پرونده‌های فعال و همچنین پرونده‌هایی را در مکان‌هایی که دژافزارها به‌طورمعمول برای فعالیت مشکوک خود انتخاب می‌کنند، اسکن می‌کند. اگر پرونده مشکوکی پیدا کند که ناشناخته است، HitmanPro آن را برای Cloudهای خود ارسال می‌کند تا توسط دو تا از بهترین موتورهای آنتی‌ویروس امروزی اسکن شوند که عبارت‌اند از Bitdefender و Kaspersky.

اگرچه HitmanPro یک سیستم اشتراک‌گذاری شده است و به مدت ۱ سال و روی یک رایانه ۲۴٫۹۵ دلار هزینه دارد، اما درواقع هیچ محدودیتی برای اسکن وجود ندارد. این محدودیت زمانی شروع می‌شود که نیاز به از بین بردن یا قرنطینه کردن دژ افزارهای شناسایی‌شده توسط HitmanPro روی سیستم شما وجود داشته باشد و تا آن زمان، شما می‌توانید از نسخه ۳۰ روزه این نرم‌افزار برای پاک‌سازی فایل‌های خود استفاده کنید.

مرحله ۱: نرم‌افزار HitmanPro را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۴] دانلود کنید.

مرحله ۲: نرم‌افزار HitmanPro را دانلود کنید.

هنگامی‌که دانلود HitmanPro تمام شد، روی فایل hitmanpro.exe برای نسخه ۳۲ بیتی و یا hitmanpro_x64.exe برای نسخه ۶۴ بیتی کلیک کنید تا این برنامه را روی رایانه خود نصب کنید. در اکثر موارد فایل‌های دانلود شده در فولدر Downloads قرار داده می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به HitmanPro اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده را دنبال کنید.

هنگامی‌که HitmanPro شروع به کار می‌کند شما با یک پنجره آغازین مشابه شکل زیر مواجه می‌شوید. روی دکمه Next کلیک کنید تا فرآیند اسکن آغاز شود.

مرحله ۴: منتظر شوید تا اسکن HitmanPro کامل شود.

HitmanPro در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا برنامه‌های موذی را پیدا کند. این فرآیند جند دقیقه طول می‌کشد.

مرحله ۵: روی Next کلیک کنید.

هنگامی‌که HitmanPro اسکن را تمام کند، فهرستی از دژ افزارهایی را که پیدا کرده است را نمایش می‌دهد. روی Next کلیک کنید تا برنامه‌های موذی کشف‌شده را پاک کند.

مرحله ۶: روی Activate free license کلیک کنید.

روی دکمه Activate free license کلیک کنید تا دوره Trial نرم‌افزار که ۳۰ روزه است آغاز شود و تمامی برنامه‌های موذی کشف‌شده روی سیستم شما را پاک کند.

هنگامی‌که این فرآیند تکمیل شد، شما می‌توانید HitmanPro را ببندید.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Kvag وجود دارد؟

در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایل‌های رمز شده توسط Kvag را با استفاده از کپی‌های Shadow بازیابی کرد.

راه‌حل اول: فایل‌هایی که توسط باج‌گیر افزار Kvag رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.

باج‌گیر افزار Kvag تلاش می‌کند تا تمامی کپی‌های Shadow تولیدشده را پس‌ازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپی‌های Shadow نیست، بنابراین شما می‌توانید با استفاده از این روش فایل‌های خود را بازیابی کنید.

مرحله اول: می‌توانید ShadowExplorer را از این لینک[۵] دانلود کنید.

مرحله دوم: هنگامی‌که شما ShadowExplorer را دانلود و نصب کردید، می‌توانید این ویدیو[۶] را برای نحوه بازیابی فایل‌های خود توسط این نرم‌افزار تماشا کنید.

راه‌حل دوم: فایل‌های خود را که توسط افزونه Kvag رمز شده است را توسط نرم‌افزارهای بازیابی Restore کنید.

هنگامی‌که فایل‌های شما رمزگذاری می‌شود، این باج‌گیر افزار در ابتدا یک کپی از آن‌ها تولید می‌کند، فایل‌های کپی شده را رمزگذاری می‌کند و سپس فایل‌های اصلی را پاک می‌کند. به همین علت، ممکن است شانس کمی وجود داشته باشد که با استفاده از نرم‌افزارهای بازیابی، فایل‌های پاک‌شده را Restore کرد.

چگونه باید از آلوده شدن توسط چنین باج‌گیر افزارهایی جلوگیری کرد؟

برای جلوگیری از آلوده شدن توسط باج‌گیر افزارهایی مانند Kvag، شما همیشه باید یک آنتی‌ویروس به‌روز روی کامپیوتر خود داشته باشید و همچنین به‌طور مرتب از فایل‌های خود پشتیبان تهیه کنید. به‌عنوان یک‌لایه محافظتی اضافی، می‌توانید از نرم‌افزارهایی مانند HitmanPro.Alert استفاده کنید[۷]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری می‌کنند.

همچنین توجه داشته باشید که آخرین نسخه از ویندوز ۱۰ دارای یک ویژگی به نام Controlled Folder Access است که تلاش‌های باج‌گیر افزارها برای رمزگذاری فایل‌ها شما را بلاک می‌کند. به‌طور پیش‌فرض، این ویژگی به‌طور خودکار فایل‌هایی را که در فولدرهای Documents، Pictures، Videos، Music، Favorites و دسکتاپ قرار دارند را محافظت می‌کند. به همین دلیل به کاربران ویندوز ۱۰ توصیه می‌شود که ویندوزهای خود را به آخرین نسخه به‌روزرسانی کنند.

 

منابع

[۱] https://malwaretips.com/blogs/remove-kvag

[۲] https://howtoremove.guide/kvag-virus-file

[۳] https://malwaretips.com/download-malwarebytes

[۴] https://malwaretips.com/download-hitman-pro

[۵] http://www.shadowexplorer.com/downloads.html

[۶] https://youtu.be/oaXtQ6rbvxA

[۷] https://malwaretips.com/download-hitmanproalert