باج‌گیر افزار ReadMe نوعی جدید از باج‌افزارهای خانواده LolKek، آیا امکان بازیابی فایل‌ها وجود دارد؟

باج‌افزار Readme در اصل توسط S! Ri که یک تحلیل‌گر ویروس است کشف شد و از خانواده باج‌افزارهای LolKek می‌باشد. این باج‌افزار تمام داده‌های کاربر در رایانه را رمزگذاری می‌کند (شامل عکس، اسناد، جداول اکسل، فایل‌های موسیقی یا فیلم و غیره) و یک پسوند خاص به هر فایل اضافه می‌کند و فایل های Read_me.txt را در هر پوشه‌ای که حاوی فایل‌های رمزگذاری شده است، ایجاد می‌کند [۱].

باج‌گیر افزار STOP/DJVU پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز روی دسکتاپ قربانی در یک فایل _readme.txt قرار داده می‌شود [۲]. (مانند شکل زیر)

باج‌گیر افزار ReadMe چیست؟

Readme را می‌توان به درستی به عنوان یک آلودگی از نوع باج افزاری معرفی کرد.

Readme پسوند اختصاصی “.ReadMe” را به نام هر فایل اضافه می‌کند. به عنوان مثال، عکس شما با نام “my_photo.jpeg” به “my_photo.jpeg.ReadMe” تبدیل خواهد شد، یک فایل اکسل به نام “report.xlsx” به “report.xlsx.ReadMe” تبدیل می شود و غیره.

فایل Read_me.txt که در هر پوشه ای که حاوی پرونده های رمزگذاری شده است یافت می شود، یک یادداشت باج‌خواهی است. در داخل آن، می توانید اطلاعاتی در مورد راه‌های تماس با توسعه‌دهندگان باج‌افزار Readme و برخی اطلاعات دیگر را پیدا کنید. در داخل یادداشت باج، معمولاً دستورالعملی درباره خرید ابزار رمزگشایی وجود دارد. این ابزار رمزگشایی توسط توسعه‌دهندگان باج افزار ایجاد شده است و می‌توانید از طریق ایمیل و تماس با filessupport@cock.li آن را به دست بیاورید.

چگونه کامپیوتر شما به باج‌گیر افزار ReadMe آلوده شده است؟

امروزه فقط دو روش آلوده شدن توسط Readme وجود دارد، یکی نامه های ناخواسته و دیگری تروجان‌ها. ممکن است پیام‌های زیادی در ایمیل خود مشاهده کنید مبنی بر اینکه شما باید قبض‌های مختلفی را پرداخت کنید یا بسته خود را از بخش محلی FedEx بگیرید. اما همه این پیام‌ها از طریق آدرس‌های ایمیل ناشناخته ارسال می‌شوند، نه از طریق ایمیل‌های رسمی آشنای این شرکت‌ها. همه این نامه‌ها حاوی فایل پیوست شده است که به عنوان حامل باج‌افزار استفاده می‌شود. اگر این فایل را باز کنید، سیستم شما توسط Readme آلوده می‌شود.

در صورت حضور تروجان، به شما پیشنهاد می‌شود که باج‌افزار را تحت عنوان چیزی قانونی مانند به‌روزرسانی Chrome یا به‌روزرسانی نرم‌افزاری که در رایانه خود ذخیره می‌کنید، روی رایانه شخصی خود بارگیری و نصب کنید. گاهی اوقات، ویروس‌های Trojan می‌توانند توسط برنامه‌های قانونی مخفی شوند و باج افزار به عنوان یک به‌روزرسانی مهم یا بسته بزرگی از برنامه‌های افزودنی که برای عملکرد مناسب سیستم ضروری است، برای بارگیری ارائه می‌شود.

روش سوم تزریق باج افزار نیز وجود دارد، با این وجود روز به روز محبوبیت کمتری پیدا می‌کند. من در مورد شبکه‌های نظیر تورنت یا eMule صحبت می‌کنم. هیچ‌کس نمی‌تواند فایل‌های بسته‌بندی شده را کنترل کند، بنابراین شما می‌توانید پس از بارگیری بسته بزرگی از دژافزارهای مختلف را کشف کنید. اگر شرایط شما را مجبور به بارگیری چیزی از شبکه‌هایpeering  می‌کند، هر فایل یا آرشیو بارگیری شده را با نرم‌افزار آنتی ویروس اسکن کنید.

در اینجا خلاصه‌ای از اطلاعات مربوط به باج‎گیر افزار Readme آورده شده است:

خانواده باج‌گیر افزار: LolKek

پسوند: readme

یادداشت باج‌گیر افزار: Read_me.txt

اطلاعات تماس: filessupport@cock.li

تشخیص داده شدن با نام: Trojan.Win32.Zenpak.axjl, Trojan.Win32.Zenpak.axjg, Win32/Kryptik.HGVG

نشانه‌ها: فایل‌های شما (عکس، فیلم، اسناد) دارای پسوند .ReadMe هستند و نمی توانید آن‌ها را باز کنید.

تصویر زیر یک دید واضح از چگونگی ظاهر فایل های با پسوند “.ReadMe” را ارائه می دهد:

هنگامی‌که این باج‌گیر افزار کامپیوتر شما را آلوده می‌کند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن می‌کند و آن‌ها را پس از کشف رمزنگاری می‌کند و سپس پسوند readme به انتهای نام آن‌ها اضافه می‌کند. هنگامی‌که این فایل‌ها رمزنگاری شوند، دیگر با برنامه‌های معمول قابلیت باز شدن ندارند. هنگامی‌که این باج‌گیر افزار رمزنگاری فایل‌های سیستم را تمام کند، یک یادداشت باج‌خواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش می‌دهد.

چگونه باج‌گیر افزار ReadMe را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌های شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و Emsisoft Emergency Kit می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم.

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار ReadMe استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۳] دانلود کنید (از IP ایران لینک مورد نظر باز نمی‌شود).

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصب Malwarebytes شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.

پس از نصب Malwarebytes، از شما خواسته می‌شود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باج‌گیر افزار است، بااین‌حال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.

روی Use Malwarebytes Free کلیک کنید.

مرحله ۵: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمهScan  کلیک کنید.

مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۷: روی Quarantine  کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از Emsisoft Emergency Kit برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

Emsisoft Emergency Kit دومین اسکنر پیشنهادی رایگان است که می‌تواند کامپیوترهای آلوده شده را اسکن کند و آن‌ها را از آلودگی پاک کند.

مرحله ۱: Emsisoft Emergency Kit را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۴] دانلود کنید.

مرحله ۲: نرم‌افزار Emsisoft Emergency Kit را نصب کنید.

هنگامی‌که دانلود تمام شد، روی فایل Emsisoft Emergency Kit دو بار کلیک کنید تا فرآیند نصب این برنامه روی رایانه آغاز شود و سپس روی Install کلیک کنید.

مرحله ۳: Emsisoft Emergency Kit را اجرا کنید.

روی دسکتاپ شما فولدر EEK قرار داده شده است، آن را باز کنید. برای اجرای Emsisoft رویStart Emsisoft Emergency Kit کنید تا این برنامه اجرا شود.

ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما می‌پرسد می‌خواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.

مرحله ۴: روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit اجرا می‌شود و از شما اجازه می‌خواهد تا خودش را به‌روزرسانی کند. هنگامی‌که فرآیند به‌روزرسانی تمام شود، در تب Scan روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا فایل‌های مخرب را پیدا کند. این فرآیند ممکن است چند دقیقه طول بکشد.

مرحله ۵: روی Quarantine selected کلیک کنید.

هنگامی‌که Emsisoft اسکن را تمام کند، شما با یک صفحه مواجه می‌شوید که به شما گزارش می‌دهد چه فایل‌های مخربی را روی سیستم شما تشخیص داده است. برای پاک کردن برنامه‌های موذی، روی Quarantine selected کلیک کنید.

هنگامی‌که فرآیند پاک‌سازی دژافزار کامل شود، Emsisoft Emergency Kit نیاز دارد تا سیستم شما مجدداً راه‌اندازی شود. روی Restart کلیک کنید تا سیستم شما مجدداً راه‌اندازی شود.

هنگامی‌که این فرآیند کامل شد، شما می‌توانید از Emsisoft خارج شوید.

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزارReadMe وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار ReadMe امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

علاوه بر رمزگذاری پرونده های یک قربانی، Readme آلوده است و همچنین Azorult Spyware را برای سرقت اطلاعات حساب، کیف پول های ارز رمزنگاری شده، فایل های دسک تاپ و موارد دیگر نصب کرده است.

برای اطمینان از اینکه توزیع کنندگان باج افزار واقعاً ابزار رمزگشایی را دارند، ممکن است پیشنهاد رمزگشایی چندین فایل رمزگذاری شده را بدهند و آنها تنها صاحبان این برنامه رمزگشایی هستند: باج افزار Readme یک نوع کاملاً جدید است، بنابراین هیچ برنامه قانونی از طرف فروشندگان ضد دژافزار وجود ندارد که بتواند فایل های شما را رمزگشایی کند. اما چنین وضعیتی قابل تغییر است: ابزار رمزگشایی هر ماه به روز می شوند.

با این حال، پرداخت باج درخواستی نیز تصمیم بدی است. هیچ تضمینی وجود ندارد که توسعه دهندگان باج افزار Readme ابزار رمزگشایی و یک کلید رمزگشایی مناسب را برای شما ارسال کنند و موارد زیادی وجود دارد که توزیع کنندگان باج افزار با ارسال کلید اشتباه یا حتی هیچ چیز، قربانیان خود را فریب می دهند. در اکثر موارد، راهی برای بازیابی رایگان پرونده‌های شما وجود ندارد.

باج افزار ReadMe منحصر به فرد نیست. باج افزارهای بیشتری از این نوع وجود دارد: Conti ، Efji ، ۳۲aa. این نمونه های باج افزار به روشی مشابه عمل می کنند: رمزگذاری فایل‌های شما، افزودن پسوند خاص و گذاشتن تعداد زیادی یادداشت باج‌خواهی در هر پوشه. اما دو چیز وجود دارد که بین این باج‌افزار تفاوت ایجاد می‌کند: الگوریتم رمزنگاری که برای رمزگذاری فایل و مقدار باج استفاده می‌شود. در برخی موارد، قربانیان می توانند بدون استفاده از هیچ گونه پرداختی، فقط با استفاده از راه حل های رایگان تولید شده توسط چندین فروشنده ضد بدافزار، یا حتی با ابزار رمزگشایی که توسط سازندگان باج افزار ارائه می شود، فایل‌های خود را رمزگشایی کنند. آخرین سناریو زمانی ممکن است که توزیع کنندگان باج افزار کلید رمزگشایی شما را در داخل یادداشت باج‌خواهی تایپ کرده باشند. با این حال، همانطور که قبلاً می توانید حدس بزنید، چنین شانسی چیز کمیابی است. باج‌گیرافزارها برای بدست آوردن پول ایجاد شده اند، نه برای شوخی یا ترساندن.

نتیجه‌گیری

متأسفانه در بیشتر موارد امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار ReadMe وجود ندارد زیرا کلید خصوصی برای بازگشایی فایل‌های رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

در نهایت لطفا دقت داشته باشید که در حقیقت فایل‌های شما ویروسی نشده است، بلکه توسط الگوریتم‌های رمزنگاری پیشرفته، رمز شده است. همانطور که قبلا توضیح داده شد برای بازیابی این فایل‌ها (یا در حقیقت بازگشایی قفل فایل‌های رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آن‌ها این کلید خصوصی را در اختیار شما قرار دهند. به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایل‌هایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی مورد نظر نمی‌توانند فایل‌های شما را بازیابی کنند. می‌توانید فایل‌های رمز شده‌ی خود را نگهداری کنید که اگر زمانی برای این باج‌گیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آن‌‌ها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایل‌هایتان منتشر شده است یا نه می‌توانید به این لینک‌ها [۵-۷] مراجعه کنید.

 

منابع

[۱] https://howtofix.guide/readme-virus

[۲] https://malwarewarrior.com/how-to-remove-readme-ransomware-and-decrypt-readme-files

[۳] https://malwaretips.com/downloads/MBSetup-076886.076886-Consumer.exe

[۴] https://www.emsisoft.com/en/home/emergencykit/download

[۵] https://www.nomoreransom.org/fa/index.htm

[۶] https://noransom.kaspersky.com

[۷] https://www.emsisoft.com/ransomware-decryption-tools/free-download