اگر عکسها، پروندهها یا فایلهای شما توسط باجگیر افزار openpgp@foxmail.com.pgp رمزگذاری شده است[۱]، بدین معنی است که کامپیوتر شما توسط یاجگیرافزاری از خانوادهی باجافزارهای Dharma آلوده شده است [۲ و ۳]. در حقیقت PGP یک برنامه مخرب است که اسناد شخصی موجود در رایانهی قربانی را با پسوند openpgp@foxmail.com.pgp رمزگذاری می کند.
باجگیر افزارهای Dharma پروندههای خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری میکند، سپس یک پیام نشان میدهد که اگر میخواهید فایلهایتان رمزگشایی شود باید مبلغی را بهصورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز در یک پنجره pop-up با عنوان admin@datastex.club روی دسکتاپ قربانی نمایش داده میشود (مانند شکل زیر[۴]) و یا در محلی که فایلهای رمزگشایی قرار داده شده است، درون یک فایل text با عنوان FILES ENCRYPTED.txt قرار میگیرد.
باجگیر افزار openpgp@foxmail.com.pgp چیست؟
openpgp@foxmail.com.pgp یک آلودگی از نوع باجگیر افزار و رمزگذاری کننده فایل است که دسترسی به دادهها (فایلها، تصاویر، فیلمها) را با رمزگذاری پروندهها با پسوند openpgp@foxmail.com.pgp محدود میکند. سپس تلاش میکند تا در ازای دادن دسترسی به فایلها، با درخواست باج به بیت کوین، از قربانیان پول اخاذی کند.
این باجگیر افزار تمام نسخههای ویندوز شامل نسخههای ۷، ۸٫۱ و ۱۰ را هدف قرار میدهد. وقتی این باجگیر افزار برای اولین بار روی رایانه نصب شود، یک فایل تصادفی و قابلاجرا را در پوشهی %AppData% یا %LocalAppData% ایجاد میکند. این فایل با قابلیت اجرا راهاندازی میشود و شروع به اسکن تمام درایوهای رایانه شما میکند تا فایلهایی که میخواهد رمزگذاری کند را شناسایی کند.
باجگیر افزار Dharma برای رمزگذاری فایلهایی را با پسوند مشخص جستجو میکند. فایلهای رمزگذاری شده شامل اسناد مهم، تصاویر، فیلمها و پروندههایی مانند .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایلها، این باجگیر افزار پسوند فایلها را به openpgp@foxmail.com.pgp تغییر میدهد، بنابراین دیگر نمیتوانید آنها را باز کنید.
باجگیر افزار Dharma نام هر فایل رمزگذاری شده را به فرمت زیر تغییر میدهد: name.openpgp@foxmail.com.pgp
پس از رمزگذاری فایلهای شما با پسوند “openpgp@foxmail.com.pgp”، شما نمیتوانید این فایلها را باز کنید و این باجگیر افزار باعث میشود یادداشت باج FILES ENCRYPTED در هر پوشهای که یک فایل رمزگذاری شده است قرار داده شود و در دسکتاپ ویندوز نیز ایجاد شود.
هنگامیکه این باجگیر افزار اسکن رایانه شما را تمام کند، تمام نسخههای Shadow Volume را که در رایانه آسیبدیده قرار دارند حذف میکند. این کار به این صورت است که شما نمیتوانید از نسخههای Shadow برای بازیابی فایلهای رمزگذاری شده خود استفاده کنید.
چگونه کامپیوتر شما به باجگیر افزار openpgp@foxmail.com.pgp آلوده شده است؟
باجگیر افزار openpgp@foxmail.com.pgp از طریق پستهای الکترونیک اسپم که حاوی پیوستهای آلوده هستند یا با بهرهبرداری از آسیبپذیریها در سیستمعامل و نرمافزارهای نصبشده پخش میشود.
مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگهای جعلی برای قربانی، او را گول میزنند که این نامه از طرف یک شرکت حملونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما میگوید که آنها سعی کردند بستهای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضیاوقات این پستهای الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کردهاید. درهرصورت، شما نمیتوانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی مربوط میشود، مقاومت کنید و فایل پیوست شده را باز میکنید (یا روی پیوند تعبیهشده در داخل پست الکترونیک کلیک میکنید) و با این کار، کامپیوتر شما به باجگیر افزار openpgp@foxmail.com.pgp آلوده میشود.
همچنین مشاهده شده است باجگیر افزار openpgp@foxmail.com.pgp با هک کردن پورتهای باز سرویسهای Remote Desktop به قربانیان حمله میکند. مهاجمان سیستمهایی که RDP (پورت TCP 3389) باز دارند را اسکن میکنند و سپس سعی میکنند رمز ورود را برای این سیستمها brute force کنند.
آیا کامپیوتر من توسط باجگیر افزار openpgp@foxmail.com.pgp آلوده شده است؟
در اینجا خلاصهای از اطلاعات مربوط به باجگیر افزار openpgp@foxmail.com.pgp آورده شده است:
خانواده باجگیر افزار: Dharma
پسوند: openpgp@foxmail.com.pgp
یادداشت باجگیر افزار: FILES ENCRYPTED.txt
میزان باج: از ۵۰۰ دلار به بیت کوین به بالا
اطلاعات تماس: openpgp@foxmail.com
نشانهها: به فایلهای شما پسوند openpgp@foxmail.com.pgp افزوده میشود و توسط هیچ برنامهای باز نمیشوند.
نمونه فایلهای رمز شده[۵]: عکس زیر
هنگامیکه این باجگیر افزار کامپیوتر شما را آلوده میکند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن میکند و آنها را پس از کشف رمزنگاری میکند و سپس پسوند openpgp@foxmail.com.pgp را به انتهای نام آنها اضافه میکند. هنگامیکه این فایلها رمزنگاری شوند، دیگر با برنامههای معمول قابلیت باز شدن ندارند. هنگامیکه این باجگیر افزار رمزنگاری فایلهای سیستم را تمام کند، یک یادداشت باجخواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش میدهد.
پیامی که باجگیر افزار openpgp@foxmail.com.pgp نمایش میدهد بدین شرح است:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail openpgp@foxmail.com
Write this ID in the title of your message
In case of no answer in 24 hours write us to these e-mails: openpgp@foxmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: merlinwebster@aol.com.
If we don’t answer in 24h., send e-mail to this address: merlinwebster@aol.com
چگونه باجگیر افزار openpgp@foxmail.com.pgp را از روی سیستم خود پاک کنیم؟
توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایلهای شما وجود دارد، زیرا ما نمیتوانیم تضمین کنیم که شما قادر به بازیابی آنها خواهید بود. Malwarebytes و Emsisoft Emergency Kit میتوانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامهها نمیتوانند اسناد، تصاویر یا پروندههای شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پروندههای شما بهطور دائم به خطر میافتند. ما نمیتوانیم مسئولیت از دست دادن پروندهها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.
پیشنهاد اول: از Malwarebytes برای حذف باجگیر افزار openpgp@foxmail.com.pgp استفاده کنید.
Malwarebytes یکی از محبوبترین و پرکاربردترین نرمافزارهای ضد دژافزاری برای ویندوز است. این نرمافزار قادر است بسیاری از دژافزارهایی را که سایر نرمافزارها قادر به تشخیص آنها نیستند را نابود کند، بدون آنکه هزینهای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده میشود، Malwarebytes همیشه رایگان بوده و ما آن را بهعنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه میکنیم.
اولین باری که Malwarebytes را نصب میکنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را میدهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باجگیر افزارهاست. بعد از گذشت دو هفته، بهطور خودکار به نسخه اولیه رایگان برگردانده میشود که فقط هنگام اسکن، آلودگیهای مخرب را تشخیص داده و پاک میکند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرمافزارهای آنتیویروس اجرا خواهد شد.
مرحله ۱: Malwarebytes را دانلود کنید.
شما میتوانید این نرمافزار را از این لینک[۶] دانلود کنید.
مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.
هنگامیکه دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایلهای بارگیری شده در پوشه Downloads ذخیره میشوند.
شما ممکن است با پنجره User Account Controlکه از شما میپرسد آیا میخواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.
مرحله ۳: پنجرههای نمایش دادهشده را برای نصب Malwarebytes دنبال کنید.
هنگامیکه نصبMalwarebytes شروع میشود، شما Wizard راهاندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان میدهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.
مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.
پس از نصب Malwarebytes، از شما خواسته میشود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باجگیر افزار است، بااینحال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.
روی Use Malwarebytes Free کلیک کنید.
مرحله ۵: روی Scan Now کلیک کنید.
هنگامیکه نصب Malwarebytes تمام شد، این نرمافزار بهطور خودکار اجرا میشود و پایگاه داده خود را بهروزرسانی میکند. بهمنظور اسکن سیستم خود، روی دکمهScan کلیک کنید.
مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.
Malwarebytes در این مرحله شروع به اسکن سیستم شما میکند تا دژافزارها و دیگر برنامههای موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه میکنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یکبار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.
مرحله ۷: روی Quarantine کلیک کنید.
هنگامیکه اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه میشوید که آلودگیهای ناشی از این باجگیر افزار را که توسط Malwarebytes شناسایی شده است را نشان میدهد. برای پاک کردن برنامههای مخربی که این نرمافزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.
مرحله ۷: سیستم خود را مجدداً راهاندازی کنید.
Malwarebytes هماکنون تمام فایلهای موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک میکند. برای تکمیل فرآیند پاکسازی، این نرمافزار ممکن است از شما بخواهد که سیستم خود را مجدداً راهاندازی کنید.
هنگامیکه فرآیند پاکسازی به اتمام رسید، شما میتوانید Malwarebytes را ببندید.
پیشنهاد دوم: از Emsisoft Emergency Kit برای اسکن دژافزارها و برنامههای ناخواسته استفاده کنید.
Emsisoft Emergency Kit دومین اسکنر پیشنهادی رایگان است که میتواند کامپیوترهای آلوده شده را اسکن کند و آنها را از آلودگی پاک کند.
مرحله ۱: Emsisoft Emergency Kit را دانلود کنید.
شما میتوانید این نرمافزار را از اینجا[۷] دانلود کنید.
مرحله ۲: نرمافزار Emsisoft Emergency Kit را نصب کنید.
هنگامیکه دانلود تمام شد، روی فایل Emsisoft Emergency Kit دو بار کلیک کنید تا فرآیند نصب این برنامه روی رایانه آغاز شود و سپس روی Install کلیک کنید.
مرحله ۳: Emsisoft Emergency Kit را اجرا کنید.
روی دسکتاپ شما فولدر EEK قرار داده شده است، آن را باز کنید. برای اجرای Emsisoft رویStart Emsisoft Emergency Kit کنید تا این برنامه اجرا شود.
ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما میپرسد میخواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.
مرحله ۴: روی Malware Scan کلیک کنید.
Emsisoft Emergency Kit اجرا میشود و از شما اجازه میخواهد تا خودش را بهروزرسانی کند. هنگامیکه فرآیند بهروزرسانی تمام شود، در تب Scan روی Malware Scan کلیک کنید.
Emsisoft Emergency Kit در حال حاضر شروع به اسکن کامپیوتر شما میکند تا فایلهای مخرب را پیدا کند. این فرآیند ممکن است چند دقیقه طول بکشد.
مرحله ۵: روی Quarantine selected کلیک کنید.
هنگامیکه Emsisoft اسکن را تمام کند، شما با یک صفحه مواجه میشوید که به شما گزارش میدهد چه فایلهای مخربی را روی سیستم شما تشخیص داده است. برای پاک کردن برنامههای موذی، روی Quarantine selected کلیک کنید.
هنگامیکه فرآیند پاکسازی دژافزار کامل شود، Emsisoft Emergency Kit نیاز دارد تا سیستم شما مجدداً راهاندازی شود. روی Restart کلیک کنید تا سیستم شما مجدداً راهاندازی شود.
هنگامیکه این فرآیند کامل شد، شما میتوانید از Emsisoft خارج شوید.
آیا امکان بازیابی فایلهای رمز شده توسط باجگیر افزار openpgp@foxmail.com.pgp وجود دارد؟
متأسفانه جواب این سؤال منفی است و بازیابی پروندههای رمزگذاری شده توسط باجگیر افزار openpgp@foxmail.com.pgp امکانپذیر نیست زیرا کلید خصوصی که برای باز کردن پروندههای رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.
برای بازیابی پروندههای خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پروندههای شما وجود ندارد.
قبل از بررسی گزینههای زیر اطمینان حاصل کنید که این دژافزار را از روی سیستم خود پاککردهاید، وگرنه این باجگیر افزار بهطور مکرر سیستم شما را قفل میکند یا فایلهای شما را مجدداً رمزنگاری میکند.
در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایلهای رمز شده توسط openpgp@foxmail.com.pgp را بازیابی کرد. میتوانید گزینههای زیر را امتحان کنید:
راهحل اول: به دنبال یک ابزار رمزگشایی برای باجگیر افزار openpgp@foxmail.com.pgp بگردید.
در حال حاضر هیچ ابزار رمزگشایی برای باجگیر افزار openpgp@foxmail.com.pgp معرفی نشده است. هرچند جوامع امنیت سایبری در حال کار برای تولید یک ابزار رمزگشایی برای آن هستند؛ شما میتوانید هر از چند گاهی به سایتهای زیر مراجعه کنید تا ببینید ابزار موردنظر منتشر شده است یا نه:
- https://id-ransomware.malwarehunterteam.com
- https://decrypter.emsisoft.com
- https://noransom.kaspersky.com
- https://www.avast.com/ransomware-decryption-tools
همچنین می توانید این ابزار رمزگشایی را که کسپرسکی منتشر کرده است، بارگیری و استفاده کنید [۸].
راهحل دوم: فایلهایی که توسط باجگیر افزار openpgp@foxmail.com.pgp رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.
در موارد بسیار کمی، بازیابی نسخههای قبلی فایلهای رمزگذاری شده با استفاده از یک نرمافزار بازیابی برای به دست آوردن shadow copies فایلها ممکن است امکانپذیر باشد. ما دو گزینه را در زیر ذکر کردهایم، به خاطر داشته باشید که بهاحتمالزیاد این برنامهها قادر به بازیابی فایلهای شما نخواهند بود.
باجگیر افزار openpgp@foxmail.com.pgp تلاش میکند تا تمامی کپیهای Shadow تولیدشده را پسازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپیهای Shadow نیست، بنابراین شما میتوانید با استفاده از این روش فایلهای خود را بازیابی کنید.
مرحله اول: میتوانید ShadowExplorer را از این لینک[۹] دانلود کنید.
مرحله دوم: هنگامیکه شما ShadowExplorer را دانلود و نصب کردید، میتوانید این ویدیو[۱۰] را برای نحوه بازیابی فایلهای خود توسط این نرمافزار تماشا کنید.
راهحل دوم: استفاده از نرمافزارهای بازیابی رایگان مانند Recuva Free که در ادامه نحوه استفاده از آن آورده شده است.
مرحله اول: میتوانید Recuva Free را از این لینک[۱۱] دانلود کنید.
مرحله دوم: هنگامیکه شما Recuva Free را دانلود و نصب کردید، میتوانید این ویدیو[۱۲] را برای نحوه بازیابی فایلهای خود توسط این نرمافزار تماشا کنید.
چگونه باید از آلوده شدن توسط چنین باجگیر افزارهایی جلوگیری کرد؟
برای جلوگیری از آلوده شدن توسط باجگیر افزارهایی مانند openpgp@foxmail.com.pgp، شما همیشه باید یک آنتیویروس بهروز روی کامپیوتر خود داشته باشید و همچنین بهطور مرتب از فایلهای خود پشتیبان تهیه کنید. بهعنوان یکلایه محافظتی اضافی، میتوانید از نرمافزارهایی مانند HitmanPro.Alert استفاده کنید[۱۳]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری میکنند.
همچنین توجه داشته باشید که آخرین نسخه از ویندوز ۱۰ دارای یک ویژگی به نام Controlled Folder Access است که تلاشهای باجگیر افزارها برای رمزگذاری فایلها شما را بلاک میکند. بهطور پیشفرض، این ویژگی بهطور خودکار فایلهایی را که در فولدرهای Documents، Pictures، Videos، Music، Favorites و دسکتاپ قرار دارند را محافظت میکند. به همین دلیل به کاربران ویندوز ۱۰ توصیه میشود که ویندوزهای خود را به آخرین نسخه بهروزرسانی کنند.
متأسفانه در بیشتر موارد امکان بازیابی فایلهای رمز شده توسط باجگیر افزار PGP وجود ندارد زیرا کلید خصوصی برای بازگشایی فایلهای رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پروندههای خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پروندههای شما وجود ندارد.
در نهایت لطفا دقت داشته باشید که در حقیقت فایلهای شما ویروسی نشده است، بلکه توسط الگوریتمهای رمزنگاری پیشرفته، رمز شده است. همانطور که قبلا توضیح داده شد برای بازیابی این فایلها (یا در حقیقت بازگشایی قفل فایلهای رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آنها این کلید خصوصی را در اختیار شما قرار دهند.
به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایلهایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی مورد نظر نمیتوانند فایلهای شما را بازیابی کنند.
میتوانید فایلهای رمز شدهی خود را نگهداری کنید که اگر زمانی برای این باجگیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آنها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایلهایتان منتشر شده است یا نه میتوانید به این لینکها [۱۴-۱۶] مراجعه کنید.
منابع
[۱] https://malwaretips.com/blogs/remove-pgp/
[۲] https://apa.aut.ac.ir/?p=6807
[۳] https://apa.aut.ac.ir/?p=6700
[۴] https://howtofix.guide/pgp-file-virus-openpgpfoxmail-com/
[۵] https://www.pcrisk.com/removal-guides/18031-pgp-ransomware
[۶] https://malwaretips.com/download-malwarebytes
[۷] https://malwaretips.com/download-emsisoft
[۹] http://www.shadowexplorer.com/downloads.html
[۱۰] https://youtu.be/oaXtQ6rbvxA
[۱۱] https://www.ccleaner.com/recuva
[۱۲] https://youtu.be/LeEICG0zWqY
[۱۳] https://malwaretips.com/download-hitmanproalert
[۱۴] https://www.nomoreransom.org/fa/index.html
[۱۵] https://noransom.kaspersky.com
[۱۶] https://www.emsisoft.com/ransomware-decryption-tools/free-download
ثبت ديدگاه