اگر به انتهای عکس‌ها، فیلم‌ها و پرونده‌های شما پسوند exx اضافه شده است، یعنی کامپیوتر شما توسط باجگیر افزار Alpha Crypt آلوده شده است[۱].

Alpha Crypt یک باجگیر افزار رمزگذاری-فایل است که فایل‌های شخصی پیدا شده روی کامپیوتر قربانی را با استفاده از کلید RSA-2048 (الگوریتم رمزنگاری AES CBC 256-bit) رمزنگاری می‌کند. سپس Alpha Crypt یک پیام نمایش می‌دهد مبنی بر اینکه در صورت پرداخت ۰٫۷ بیت‌کوین تا ۹۶ ساعت، فایل‌های شما را رمزگشایی می‌کند در غیر این صورت فایل‌ها دیگر قابلیت رمزگشایی نخواهند داشت.

exx

در همین ابتدا توجه داشته باشید که این مقاله به‌احتمال‌زیاد کمکی به بازیابی فایل‌های شما نمی‌کند، تنها یک نرم‎افزار معرفی می‌کند که احتمال دارد بتوانند به شما برای رمزگشایی فایل‌هایتان کمک کند. به همین خاطر ما هیچ مسئولیتی در قبال از دست دادن فایل‌هایتان نداریم. هدف این مقاله افزایش دانش فنی در مورد این باجگیر افزار و همچنین نحوه‌‎ی پاک کردن کامل آن از روی سیستم است.

چگونه باجگیر افزار exx توانسته است به سیستم شما وارد شود؟

باجگیر افزار .exx توسط چندین روش توزیع می‌شود. وب‌سایت‌های موذی یا وب‌سایت‌های قانونی که هک شده‌اند، می‌توانند دستگاه شما را از طریق کیت‌های بهره‌بردار که از آسیب‌پذیری‌های موجود در رایانه‌ی شما استفاده می‌کنند، برای نصب این تروجان و بدون اطلاع شما، آلوده کنند.

روش دیگری که برای انتشار این نوع دژافزارها به کار می‌رود، پست الکترونیک اسپم حاوی پیوست‌های آلوده یا لینک به وب‌سایت‌های موذی است. مجرمان سایبری با ارسال اطلاعات جعلی توسط یک پست الکترونیکی شما را به این باور می‌اندازند که از یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده‌اند‌. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نبودند. بعضی ‌اوقات این پست‌های الکترونیک ادعا می‌کنند که حاوی اطلاعاتی در مورد بسته‌ی پستی شما هستند. درهرصورت، شما نمی‌توانید در برابر کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی اطلاق می‌شود، مقاومت نکنید و فایل پیوست شده را باز نکنید (یا روی لینک تعبیه‌شده در پست الکترونیک کلیک نکنید) و درنهایت با انجام یکی از این کارها، رایانه‌ی شما به باجگیر افزار .exx یا Alpha Crypt آلوده می‌شود.

این تهدید ممکن است با فریب دادن کاربر در مورد اینکه در حال نصب یک نرم‌افزار مفید است، به‌صورت دستی نیز دانلود شود، به‌عنوان‌مثال به‌روزرسانی جعلی برای Adobe Flash Player یا یک نرم‌افزار دیگر.

باجگیر افزار .exx چیست؟

پسوند .exx بخشی از باجگیر افزار Alpha Crypt است که تمامی نسخه‌های ویندوز را هدف قرار می‌دهد. این آلودگی به دلیل نحوه رمزگذاری فایل‌های کاربر قابل‌توجه است، یعنی از AES 256 و روش رمزگذاری RSA استفاده می‌کند به‌منظور اطمینان از اینکه کاربر مبتلا چاره‌ای جز خرید کلید خصوصی نداشته باشد.

هنگامی‌که باجگیر افزار.exx برای اولین بار در رایانه شما نصب می‌شود، در پوشه AppData یا LocalAppData یک فایل اجرایی تصادفی ایجاد می‌کند. این فایل باقابلیت اجرا راه‌اندازی می‌شود و شروع به اسکن تمام درایوهای روی رایانه شما می‌کند تا فایل‌های موردنیاز برای رمزگذاری را پیدا کند.

باج‌گیر افزار Alpha Crypt برای رمزگذاری فایل‌هایی را با پسوندهای خاص جستجو می‌کند. فایل‌هایی را که رمزگذاری می‌کند شامل اسناد و فایل‌های مهم ازجمله .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایل‌ها، این آلودگی یک پسوند جدید .exx را به نام فایل موردنظر اضافه می‌کند.

فایل‌های مورد هدف همان مواردی هستند که امروزه در اکثر رایانه‌های شخصی یافت می‌شوند. فهرستی از پسوندهای فایل‌های مورد هدف شامل موارد زیر است:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

در هنگام رمزنگاری فایل‌های شما، این باجگیر افزار همچنین یک یادداشت باج‌خواهی با عنوان HELP_TO_SAVE_FILES.txt را در هر پوشه و در دسکتاپ ویندوز ایجاد می‌کند مبنی بر اینکه فایل‌های شما رمزگذاری شده است. این باجگیر افزار همچنین تصویر زمینه دسکتاپ ویندوز شما را به HELP_TO_SAVE_FILES.bmp تغییر می‌دهد.

هر دو تصویر زمینه دسکتاپ و یادداشت باج‌خواهی حاوی اطلاعاتی در مورد نحوه‌ی دسترسی به سایت پرداخت و برگرداندن فایل‌های شما هستند.

هنگامی‌که به URL های ذکرشده در یادداشت باج‌خواهی مربوطه مراجعه می‌کنید، شما به یک سایت TOR منتقل می‌شوید که می‌توانید میزان باج خود را بفهمید و از چگونگی نحوه پرداخت آن مطلع شوید.

باج‌گیر افزار  .exxهمچنین پسوندهای .EXE شما را hijack می‌کند بنابراین هنگامی‌که شما یک فایل اجرایی را راه‌اندازی می‌کنید، سعی می‌کند تا Shadow Volume Copies را که در رایانه آسیب‌دیده وجود دارد، پاک کند. این کار به این دلیل است که شما می‌توانید از Shadow Volume Copies برای بازگرداندن پرونده‌های رمزگذاری شده خود استفاده کنید. هنگامی‌که این باجگیر افزار Shadow Volume Copies شما را با موفقیت حذف کرد، پسوند exe شما را به حالت پیش‌فرض ویندوز بازمی‌گرداند.

پس از پایان رمزگذاری فایل‌های شما، پسوند .exx را در انتهای اسناد شخصی شما نشان می‌دهد و صفحه‌ای که خواستار باج ۰٫۷ بیت کوینی برای رمزگشایی فایل‌هایتان است را نمایش می‌دهد. همچنین بیان می‌کند که باید این باج را ظرف ۹۶ ساعت بپردازید یا کلید رمزگذاری خصوصی روی سرورهای توسعه‌دهنده از بین می‌رود.

آیا کامپیوتر شما به باج‌گیر افزار exx آلوده شده است؟

اگر رایانه شما به باجگیر افزار .exx آلوده شده باشد، یک تصویر ‌پس‌زمینه‌ی سیاه HELP_TO_SAVE_FILES.bmp نمایش داده می‌شود که کل دسکتاپ شما را پوشش می‌دهد. یک فایل متنی HELP_TO_SAVE_FILES.txt نیز در دسکتاپ شما قرار می‌گیرد. هر دو فایل حاوی دستورالعملی در مورد نحوه‌ی بازیابی فایل‌های رمزگذاری شده‌ی شما هستند.

پیام‌های نمایش داده‌شده توسط این باجگیر افزار می‌توانند بسته به موقعیت مکانی کاربر، با متن نوشته‌شده به زبان مناسب بومی‌سازی شوند.

این پیغامی است که باج افزار .exx ممکن است نمایش دهد:

Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click “Show encrypted files” Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key, which allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to recover.

آیا امکان بازیابی فایل‌های رمز شده توسط باجگیر افزار exx وجود دارد؟

خیر، به‌احتمال‌زیاد این امکان وجود ندارد.

باجگیر افزار .exx به دلیل چگونگی رمزگذاری پرونده‌های کاربر، یعنی استفاده از روش رمزگذاری AES-265 و RSA به‌منظور اطمینان از اینکه کاربر آسیب‌دیده چاره‌ای جز خرید کلید خصوصی ندارد، قابل‌توجه است. کلید عمومی RSA فقط با کلید خصوصی مربوطه قابل رمزگشایی است. ازآنجاکه کلید AES با استفاده از رمزگذاری RSA پنهان‌ شده است و کلید خصوصی RSA در دسترس نیست، رمزگشایی فایل‌ها به‌احتمال‌زیاد امکان‌پذیر نیست.

به دلیل طولانی بودن زمان لازم برای شکستن کلید رمزنگاری AES، استفاده از Brute forcing برای رمزگشایی جوابگو نیست.

متأسفانه، پس از اتمام رمزگذاری فایل‌ها توسط exx، رمزگشایی بدون پرداخت باج امکان‌پذیر نیست.

ازآنجاکه کلید خصوصی موردنیاز برای باز کردن پرونده رمزگذاری شده فقط از طریق مجرمان سایبری در دسترس است، قربانیان ممکن است وسوسه شوند تا آن را خریداری کرده و هزینه گزافی را پرداخت کنند. بااین‌حال، انجام این کار ممکن است این افراد مجرم را ترغیب کند که به کار خود ادامه دهند و حتی عملیات خود را گسترش دهند. ضمن اینکه پرداخت باج هیچ ضمانتی برای بازگشت فایل‌هایتان به شما نخواهد داد. ما اکیداً پیشنهاد می‌کنیم که هیچ پولی به این مجرمان سایبری پرداخت نکنید و در عوض برای گزارش این حمله به سازمان اجرای قانون در کشور خود مراجعه کنید.

درنهایت با توجه به انواع مختلف این باجگیر افزار و استفاده از الگوریتم‌های رمزنگاری پیشرفته، احتمال بازیابی فایل‌های رمز شده توسط این خانواده از باج‌گیر افزارها بسیار کم است. اما شرکت BloodDolly ادعا کرده است[۲] که یک ابزار رمزگشایی برای این باجگیر افزار تولید کرده است[۳] که نحوه‌ی استفاده از آن در ادامه آورده شده است[۴].

چگونگی استفاده از ابزار TeslaDecoder برای بازگشایی فایلهای قفل‌شده توسط باجگیر افزار exx

مرحله ۱: فایل tesladecoder.zip را از حالت فشرده خارج کنید و فایل  TeslaDecoder.exe را اجرا کنید.

مرحله ۲: اگر این ابزار به‌طور خودکار اطلاعات موردنیاز را بارگذاری نکرد، روی Set Key کلیک کنید و نسخه باجگیر افزار موردنظر را انتخاب کنید.

TeslaDecoder

مرحله ۳: بعدازاینکه این ابزار کلید رمزگشایی را تعیین کرد، شما می‌توانید فولدر موردنظر یا فایل‌های موردنظر را برای رمزگشایی با استفاده از منوی سمت راست انتخاب کنید.

چگونه باجگیر افزار exx را از روی سیستم خود پاک کنیم؟

درک این نکته بسیار مهم است که با شروع فرآیند حذف، شما خطر از دست دادن فایل‌های خود را دارید، زیرا هیچ‌کس نمی‌تواند تضمین کند که شما قادر به بازیابی آن‌ها خواهید بود. علاوه بر این، هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، ممکن است فایل‌های شما به‌طور دائم به خطر بیفتند.

این مقاله یک راهنمای جامع است، که باج‌گیر افزار .exx را از رایانه شما حذف کند، اما نمی‌تواند تضمین کند که فایل‌های شخصی شما بازیابی می‌شوند. ما نمی‌توانیم مسئولیت از دست دادن فایل‌های شما را در طی این فرآیند حذف بپذیریم.

نرم‌افزارهای Malwarebytes و HitmanPro می‌توانند این باجگیر افزار را تشخیص داده و از بین ببرند، اما این برنامه‌ها به دلیل ماهیت رمزنگاری نامتقارن، نمی‌توانند فایل‌های رمزگذاری شده شما را بازیابی کنند، زیرا برای رمزگشایی فایل‌های رمزگذاری شده با کلید عمومی به یک کلید خصوصی نیاز دارند.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار exx استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزار توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۵] دانلود کنید.

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

Malwarebytes

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

Malwarebytes

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصبMalwarebytes  شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

Malwarebytes

Malwarebytes

مرحله ۴: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمه Scan Now کلیک کنید.

Malwarebytes

مرحله ۵: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند مکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هر جند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

Malwarebytes

مرحله ۶: روی Quarantine Selected کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

Malwarebytes

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از HitmanPro برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

HitmanPro دومین اسکنر پیشنهادی است که از یک روش منحصربه‌فرد مبتنی بر Cloud برای اسکن دژافزارها استفاده می‌کند. HitmanPro رفتار پرونده‌های فعال و همچنین پرونده‌هایی را در مکان‌هایی که دژافزارها به‌طورمعمول برای فعالیت مشکوک خود انتخاب می‌کنند، اسکن می‌کند. اگر پرونده مشکوکی پیدا کند که ناشناخته است، HitmanPro آن را برای Cloudهای خود ارسال می‌کند تا توسط دو تا از بهترین موتورهای آنتی‌ویروس امروزی اسکن شوند که عبارت‌اند از Bitdefender و Kaspersky.

اگرچه HitmanPro یک سیستم اشتراک‌گذاری شده است و به مدت ۱ سال و روی یک رایانه ۲۴٫۹۵ دلار هزینه دارد، اما درواقع هیچ محدودیتی برای اسکن وجود ندارد. این محدودیت زمانی شروع می‌شود که نیاز به از بین بردن یا قرنطینه کردن دژ افزارهای شناسایی‌شده توسط HitmanPro روی سیستم شما وجود داشته باشد و تا آن زمان، شما می‌توانید از نسخه ۳۰ روزه این نرم‌افزار برای پاک‌سازی فایل‌های خود استفاده کنید.

مرحله ۱: نرم‌افزار HitmanPro را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۶] دانلود کنید.

مرحله ۲: نرم‌افزار HitmanPro را دانلود کنید.

هنگامی‌که دانلود HitmanPro تمام شد، روی فایل hitmanpro.exe برای نسخه ۳۲ بیتی و یا hitmanpro_x64.exe برای نسخه ۶۴ بیتی کلیک کنید تا این برنامه را روی رایانه خود نصب کنید. در اکثر موارد فایل‌های دانلود شده در فولدر Downloads قرار داده می‌شوند.

HitmanPro

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به HitmanPro اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده را دنبال کنید.

هنگامی‌که HitmanPro شروع به کار می‌کند شما با یک پنجره آغازین مشابه شکل زیر مواجه می‌شوید. روی دکمه Next کلیک کنید تا فرآیند اسکن آغاز شود.

HitmanPro

HitmanPro

مرحله ۴: منتظر شوید تا اسکن HitmanPro کامل شود.

HitmanPro در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا برنامه‌های موذی را پیدا کند. این فرآیند جند دقیقه طول می‌کشد.

HitmanPro

مرحله ۵: روی Next کلیک کنید.

هنگامی‌که HitmanPro اسکن را تمام کند، فهرستی از دژ افزارهایی را که پیدا کرده است را نمایش می‌دهد. روی Next کلیک کنید تا برنامه‌های موذی کشف‌شده را پاک کند.

HitmanPro

مرحله ۶: روی Activate free license کلیک کنید.

روی دکمه Activate free license کلیک کنید تا دوره Trial نرم‌افزار که ۳۰ روزه است آغاز شود و تمامی برنامه‌های موذی کشف‌شده روی سیستم شما را پاک کند.

HitmanPro

HitmanPro

هنگامی‌که این فرآیند تکمیل شد، شما می‌توانید HitmanPro را ببندید.

آیا امکان بازیابی فایل‌های رمز شده توسط باجگیر افزار exx وجود دارد؟

در بعضی موارد، که احتمال آن بسیار کم است، شاید بتوانید فایل‌های رمز شده توسط exx را با استفاده از کپی‌های Shadow بازیابی کرد.

راه‌حل اول: فایل‌هایی که توسط باجگیر افزار exx رمزگذاری شده است را توسط ShadowExplorer بازیابی کنید.

باج‌یر افزار exx تلاش می‌کند تا تمامی کپی‌های Shadow تولیدشده را پس‌ازاینکه آلوده شدید از روی سیستم شما پاک کند. خوشبختانه، این آلودگی همیشه قادر به پاک کردن تمامی کپی‌های Shadow نیست، بنابراین شما می‌توانید با استفاده از این روش فایل‌های خود را بازیابی کنید.

مرحله اول: می‌توانید ShadowExplorer را از این لینک[۶] دانلود کنید.

مرحله دوم: هنگامی‌که شما ShadowExplorer را دانلود و نصب کردید، می‌توانید این ویدیو[۷] را برای نحوه بازیابی فایل‌های خود توسط این نرم‌افزار تماشا کنید.

راه‌حل دوم: فایل‌های خود را که توسط افزونه exx رمز شده است را توسط نرم‌افزارهای بازیابی Restore کنید.

هنگامی‌که فایل‌های شما رمزگذاری می‌شود، این باج‌گیر افزار در ابتدا یک کپی از آن‌ها تولید می‌کند، فایل‌های کپی شده را رمزگذاری می‌کند و سپس فایل‌های اصلی را پاک می‌کند. به همین علت، ممکن است شانس کمی وجود داشته باشد که با استفاده از نرم‌افزارهای بازیابی، فایل‌های پاک‌شده را Restore کرد.

چگونه باید از آلوده شدن توسط چنین باج‌گیر افزارهایی جلوگیری کرد؟

برای جلوگیری از آلوده شدن توسط باج‌گیر افزارهایی مانند exx، به‌عنوان یک‌لایه محافظتی اضافی، می‌توانید از نرم‌افزارهایی مانند HitmanPro.Alert استفاده کنید[۸]، که از اجراشدن هرگونه دژ افزاری که از نوع رمزگذاری فایل باشد جلوگیری می‌کنند.

HitmanPro.Alert

خوشبختانه جلوگیری از آلوده شدن توسط باجگیر افزار exx سخت نیست. برای این کار، شما همیشه باید از یک برنامه ضد جاسوسی قابل‌اعتماد استفاده کنید و همیشه آن را به‌روز کنید. فقط برنامه‌های ضد جاسوسی قانونی می‌تواند به شما در جلوگیری از دانلود فایل‌های آلوده و خطرات مشابه کمک کنند. همچنین مطمئن شوید که از وب‌سایت‌های غیرقانونی دوری می‌کنید زیرا هدف آن‌ها فریب کاربران و آلوده کردن رایانه‌های آن‌ها به دژافزار است. در آخر، از crack ها، نسخه‌ها و به‌روزرسانی‌های غیرقانونی برنامه‌ها کنید. اگر به ابزاری خاص نیاز دارید و نمی‌خواهید هزینه آن را بپردازید، سعی کنید به‌جای جستجوی یک crack، برنامه رایگان و قانونی آن را پیدا کنید. بیشتر نسخه‌های crack شده آلوده به دژافزارها هستند[۹].

درنهایت همیشه و با دقت نکات زیر را رعایت کنید[۱۰]:

  1. به‌طور منظم از فایل‌های خود پشتیبان تهیه کنید. بنابراین یک آلودگی باجگیر افزاری هیچ‌گاه نمی‌تواند اطلاعات شخصی‌ شما را از بین ببرد. بهترین کار داشتن دو نسخه پشتیبان است: یکی برای ذخیره در cloud (به خاطر داشته باشید از سرویسی استفاده کنید که به‌طور خودکار از اطلاعات شما نسخه‌ی پشتیبان ایجاد می‌کند) و یکی برای ذخیره به‌صورت فیزیکی (هارد قابل‌حمل، فلش، لپ‌تاپ اضافی و غیره). وقتی کار پشتیبان گیری انجام شد، این دستگاه‌ها را از کامپیوتر جدا کنید. همچنین اگر به‌طور اتفاقی فایل بسیار مهمی را حذف کنید یا هارد شما دچار خرابی شود، نسخه‌های پشتیبان می‌تواند مفید واقع شوند.
  2. برای محافظت از سیستم خود در مقابل باجگیر افزار،از آنتی‌ویروس‌های قوی استفاده کنید. گزینه‌‎ی کارکردهای اکتشافی را خاموش نکنید زیرا آن‌ها به نمونه‌‌گیری از باجگیر افزارهایی که هنوز رسماً شناسایی نشده‌اند، کمک می‌کنند.
  3. همه نرم‌افزارهای روی کامپیوتر خود را به‌روز نگه‌دارید. وقتی نسخه جدیدی از سیستم‌عامل یا برنامه‌هایتان منتشر می‌شود، آن‌ را نصب کنید و اگر نرم‌افزار، به‌روزرسانی خودکار را ارائه می‌دهد آن را نصب کنید.
  4. به معنای واقعی کلمه، به هیچ‌کس اعتماد نکنید. هر اکانتی (حساب کاربری) می‌تواند هک شود و لینک‌های مخرب می‌توانند از حساب‌های دوستان در شبکه‌های اجتماعی، همکاران یا شرکای بازی آنلاین، ارسال شوند. هرگز ضمیمه‌ مربوط به پست‌های الکترونیک ناشناس را باز نکنید. مجرمان سایبری اغلب پست‌های الکترونیک جعلی منتشر می‌کنند که به پست‌های الکترونیک اطلاع‌رسانی یک فروشگاه آنلاین، بانک، پلیس، دادگاه یا سازمان جمع‌آوری مالیات شباهت زیادی دارند و از این طریق دریافت‌کنندگان یک پست‌ الکترونیکی را اغوا می‌کنند تا بر روی لینک مخرب کلیک کرده تا دژافزار موردنظر روی سیستم آن‌ها منتشر شود.
  5. گزینه نمایش پسوند فایل‌ها را در تنظیمات ویندوز فعال کنید. این کار شناسایی فایل‌های مخرب بالقوه را تسهیل می‌کند. از اجرا کردن فایل‌هایی با پسوند “exe.” ، “vbs.” و “scr” به‌شدت پرهیز نمایید. کلاه‌برداران می‌توانند برای مخفی ساختن یک فایل مخرب از پسوندهای مختلف استفاده نمایند و فایل‌های مخرب را به‌عنوان ویدئو، عکس، یا سند ارائه نمایند. مانندavi.exe یا  doc.scr.
  6. اگر متوجه فرآیند ناشناخته‌ای در دستگاه خود شدید،بلافاصله اتصال اینترنت یا دیگر اتصالات شبکه (مانند WiFi خانه) آن را قطع نمایید. این کار باعث پیشگیری از انتشار آلودگی می‌شود.

متأسفانه در بیشتر موارد امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار exx وجود ندارد زیرا کلید خصوصی برای بازگشایی فایل‌های رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

درنهایت لطفاً دقت داشته باشید که در حقیقت فایل‌های شما ویروسی نشده است، بلکه توسط الگوریتم‌های رمزنگاری پیشرفته، رمز شده است. همان‌طور که قبلاً توضیح داده شد برای بازیابی این فایل‌ها (یا در حقیقت بازگشایی قفل فایل‌های رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته‌شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آن‌ها این کلید خصوصی را در اختیار شما قرار دهند.

 به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایل‌هایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی موردنظر نمی‌توانند فایل‌های شما را بازیابی کنند.

 می‌توانید فایل‌های رمز شده‌ی خود را نگهداری کنید که اگر زمانی برای این باج‌گیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آن‌ها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایل‌هایتان منتشر شده است یا نه می‌توانید به این لینک‌ها[۱۱-۱۳] مراجعه کنید.

منابع

[۱] https://malwaretips.com/blogs/remove-exx-virus

[۲] https://apa.aut.ac.ir/?p=892

[۳] http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

[۴]https://www.free-uninstall.org/how-to-remove-teslacrypt-4-http://www.shadowexplorer.com/downloads.html

[۵] https://malwaretips.com/download-hitman-pro

[۶] http://www.shadowexplorer.com/downloads.html

[۷] https://youtu.be/oaXtQ6rbvxA

[۸] https://youtu.be/LeEICG0zWqY

[۹] https://www.2-spyware.com/remove-exx-file-extension-virus.html

[۱۰] https://www.nomoreransom.org/fa/prevention-advice.html

[۱۱] https://www.nomoreransom.org/fa/index.html

[۱۲] https://noransom.kaspersky.com

[۱۳] https://www.emsisoft.com/ransomware-decryption-tools/free-download