اگر شما نمیتوانید عکسها، پروندهها یا فایلهای خود را باز کنید و پسوند zzla به انتهای آنها اضافه شده است، یعنی سیستم شما توسط یک باجگیر افزار از خانواده STOP/DJVU آلوده شده است[۱و۲].
توجه داشته باشید که خانوادهی باجافزارهای Djvu/STOP برای اولین بار توسط Michael Gillespie، که یک تحلیلگر ویروس است، کشف شد و مورد تجزیه و تحلیل قرار گرفت. همانند سایر آلودگیهای این نوع، zzla اکثر پروندههای ذخیره شده را رمزگذاری میکند (بدین ترتیب آنها غیرقابل استفاده میشوند) و نام پروندهها را با یک پسوند ضمیمه میکند (در این نمونه “.zzla”).
باجگیر افزار STOP/DJVU پروندههای خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری میکند، سپس یک پیام نشان میدهد که اگر میخواهید فایلهایتان رمزگشایی شود باید مبلغی را بهصورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز روی دسکتاپ قربانی در یک فایل _readme.txt قرار داده میشود [۳]. (مانند شکل زیر)
باجگیر افزار Zzla چیست؟
Zzla یک آلودگی از نوع باجگیر افزار و رمزگذاری کننده فایل است که دسترسی به دادهها (فایلها، تصاویر، فیلمها) را با رمزگذاری پروندهها با پسوند zzla محدود میکند. سپس تلاش میکند تا در ازای دادن دسترسی به فایلها، با درخواست باج به بیت کوین، از قربانیان پول اخاذی کند.
این باجگیر افزار تمام نسخههای ویندوز شامل نسخههای ۷، ۸٫۱ و ۱۰ را هدف قرار میدهد. وقتی این باجگیر افزار برای اولین بار روی رایانه نصب شود، یک فایل تصادفی و قابلاجرا را در پوشهی %AppData% یا %LocalAppData% ایجاد میکند. این فایل با قابلیت اجرا راهاندازی میشود و شروع به اسکن تمام درایوهای رایانه شما میکند تا فایلهایی که میخواهد رمزگذاری کند را شناسایی کند.
باجگیر افزارهای از خانواده STOP/DJVU برای رمزگذاری فایلهایی را با پسوند مشخص جستجو میکنند. فایلهای رمزگذاری شده شامل اسناد مهم، تصاویر، فیلمها و پروندههایی مانند .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایلها، این باجگیر افزار پسوند فایلها را به zzla تغییر میدهد، بنابراین دیگر نمیتوانید آنها را باز کنید.
باجگیر افزار STOP/DJVU نام هر فایل رمزگذاری شده را به فرمت زیر تغییر میدهد: name.zzla
پس از رمزگذاری فایلهای شما با پسوند “zzla”، شما نمیتوانید این فایلها را باز کنید و این باجگیر افزار باعث میشود یادداشت باج info.txt در هر پوشهای که یک فایل رمزگذاری شده است قرار داده شود و در دسکتاپ ویندوز نیز ایجاد شود.
هنگامیکه این باجگیر افزار اسکن رایانه شما را تمام کند، تمام نسخههای Shadow Volume را که در رایانه آسیبدیده قرار دارند حذف میکند. این کار به این صورت است که شما نمیتوانید از نسخههای Shadow برای بازیابی فایلهای رمزگذاری شده خود استفاده کنید.
چگونه کامپیوتر شما به باجگیر افزار Zzla آلوده شده است؟
باجگیر افزار Zzla از طریق پستهای الکترونیک اسپم که حاوی پیوستهای آلوده هستند یا با بهرهبرداری از آسیبپذیریها در سیستمعامل و نرمافزارهای نصبشده پخش میشود.
مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگهای جعلی برای قربانی، او را گول میزنند که این نامه از طرف یک شرکت حملونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما میگوید که آنها سعی کردند بستهای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضیاوقات این پستهای الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کردهاید. درهرصورت، شما نمیتوانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی مربوط میشود، مقاومت کنید و فایل پیوست شده را باز میکنید (یا روی پیوند تعبیهشده در داخل پست الکترونیک کلیک میکنید) و با این کار، کامپیوتر شما به باجگیر افزار Zzla آلوده میشود.
همچنین مشاهده شده است که باجگیر افزار Zzla با استفاده از هک کردن پورتهای باز از راه دور خدمات دسکتاپ (RDP)، به قربانیان حمله میکند. مهاجمان سیستم های در حال اجرا RDP (پورت TCP 3389) را اسکن می کنند و سپس سعی می کنند رمز ورود را برای سیستمها از طریق brute force کشف کنند.
آیا کامپیوتر من توسط باجگیر افزار Zzla آلوده شده است؟
در اینجا خلاصهای از اطلاعات مربوط به باجگیر افزار Zzla آورده شده است:
خانواده باجگیر افزار: STOP/DJVU
پسوند: zzla
یادداشت باجگیر افزار: _readme.txt
میزان باج: از ۴۹۰ تا ۸۹۰ دلار به بیت کوین
اطلاعات تماس: vengisto@firemail.cc و vengisto@india.com
نشانهها: به فایلهای شما پسوند zzla افزوده میشود و توسط هیچ برنامهای باز نمیشوند.
روش گسترده شدن: پیوستهای یک پست الکترونیک آلوده (macroها)، وبسایتهای تورنت، تبلیغات موذی، و ابزارهای فعال سازی یا بهروزرسانی غیر رسمی
نمونه فایلهای رمز شده[۲]: عکس زیر
هنگامیکهاین باجگیر افزار کامپیوتر شما را آلوده میکند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن میکند و آنها را پس از کشف رمزنگاری میکند و سپس پسوند zzla به انتهای نام آنها اضافه میکند. هنگامیکه این فایلها رمزنگاری شوند، دیگر با برنامههای معمول قابلیت باز شدن ندارند. هنگامیکه این باجگیر افزار رمزنگاری فایلهای سیستم را تمام کند، یک یادداشت باجخواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش میدهد (helpmanager@mail.ch و restoremanager@airmail.cc).
چگونه باجگیر افزار Zzla را از روی سیستم خود پاک کنیم؟
توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایلهای شما وجود دارد، زیرا ما نمیتوانیم تضمین کنیم که شما قادر به بازیابی آنها خواهید بود. Malwarebytes و Emsisoft Emergency Kit میتوانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامهها نمیتوانند اسناد، تصاویر یا پروندههای شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پروندههای شما بهطور دائم به خطر میافتند. ما نمیتوانیم مسئولیت از دست دادن پروندهها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم [۴].
پیشنهاد اول: از Malwarebytes برای حذف باجگیر افزار Zzla استفاده کنید.
Malwarebytes یکی از محبوبترین و پرکاربردترین نرمافزارهای ضد دژافزاری برای ویندوز است. این نرمافزار قادر است بسیاری از دژافزارهایی را که سایر نرمافزارها قادر به تشخیص آنها نیستند را نابود کند، بدون آنکه هزینهای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده میشود، Malwarebytes همیشه رایگان بوده و ما آن را بهعنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه میکنیم.
اولین باری که Malwarebytes را نصب میکنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را میدهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باجگیر افزارهاست. بعد از گذشت دو هفته، بهطور خودکار به نسخه اولیه رایگان برگردانده میشود که فقط هنگام اسکن، آلودگیهای مخرب را تشخیص داده و پاک میکند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرمافزارهای آنتیویروس اجرا خواهد شد.
مرحله ۱: Malwarebytes را دانلود کنید.
شما میتوانید این نرمافزار را از این لینک[۵] دانلود کنید (از IP ایران لینک مورد نظر باز نمیشود).
مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.
هنگامیکه دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایلهای بارگیری شده در پوشه Downloads ذخیره میشوند.
شما ممکن است با پنجره User Account Controlکه از شما میپرسد آیا میخواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.
مرحله ۳: پنجرههای نمایش دادهشده را برای نصب Malwarebytes دنبال کنید.
هنگامیکه نصب Malwarebytes شروع میشود، شما Wizard راهاندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان میدهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.
مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.
پس از نصب Malwarebytes، از شما خواسته میشود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باجگیر افزار است، بااینحال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.
روی Use Malwarebytes Free کلیک کنید.
مرحله ۵: روی Scan Now کلیک کنید.
هنگامیکه نصب Malwarebytes تمام شد، این نرمافزار بهطور خودکار اجرا میشود و پایگاه داده خود را بهروزرسانی میکند. بهمنظور اسکن سیستم خود، روی دکمهScan کلیک کنید.
مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.
Malwarebytes در این مرحله شروع به اسکن سیستم شما میکند تا دژافزارها و دیگر برنامههای موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه میکنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یکبار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.
مرحله ۷: روی Quarantine کلیک کنید.
هنگامیکه اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه میشوید که آلودگیهای ناشی از این باجگیر افزار را که توسط Malwarebytes شناسایی شده است را نشان میدهد. برای پاک کردن برنامههای مخربی که این نرمافزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.
مرحله ۷: سیستم خود را مجدداً راهاندازی کنید.
Malwarebytes هماکنون تمام فایلهای موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک میکند. برای تکمیل فرآیند پاکسازی، این نرمافزار ممکن است از شما بخواهد که سیستم خود را مجدداً راهاندازی کنید.
هنگامیکه فرآیند پاکسازی به اتمام رسید، شما میتوانید Malwarebytes را ببندید.
پیشنهاد دوم: از Emsisoft Emergency Kit برای اسکن دژافزارها و برنامههای ناخواسته استفاده کنید.
Emsisoft Emergency Kit دومین اسکنر پیشنهادی رایگان است که میتواند کامپیوترهای آلوده شده را اسکن کند و آنها را از آلودگی پاک کند.
مرحله ۱: Emsisoft Emergency Kit را دانلود کنید.
شما میتوانید این نرمافزار را از اینجا[۶] دانلود کنید.
مرحله ۲: نرمافزار Emsisoft Emergency Kit را نصب کنید.
هنگامیکه دانلود تمام شد، روی فایل Emsisoft Emergency Kit دو بار کلیک کنید تا فرآیند نصب این برنامه روی رایانه آغاز شود و سپس روی Install کلیک کنید.
مرحله ۳: Emsisoft Emergency Kit را اجرا کنید.
روی دسکتاپ شما فولدر EEK قرار داده شده است، آن را باز کنید. برای اجرای Emsisoft رویStart Emsisoft Emergency Kit کنید تا این برنامه اجرا شود.
ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما میپرسد میخواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.
مرحله ۴: روی Malware Scan کلیک کنید.
Emsisoft Emergency Kit اجرا میشود و از شما اجازه میخواهد تا خودش را بهروزرسانی کند. هنگامیکه فرآیند بهروزرسانی تمام شود، در تب Scan روی Malware Scan کلیک کنید.
Emsisoft Emergency Kit در حال حاضر شروع به اسکن کامپیوتر شما میکند تا فایلهای مخرب را پیدا کند. این فرآیند ممکن است چند دقیقه طول بکشد.
مرحله ۵: روی Quarantine selected کلیک کنید.
هنگامیکه Emsisoft اسکن را تمام کند، شما با یک صفحه مواجه میشوید که به شما گزارش میدهد چه فایلهای مخربی را روی سیستم شما تشخیص داده است. برای پاک کردن برنامههای موذی، روی Quarantine selected کلیک کنید.
هنگامیکه فرآیند پاکسازی دژافزار کامل شود، Emsisoft Emergency Kit نیاز دارد تا سیستم شما مجدداً راهاندازی شود. روی Restart کلیک کنید تا سیستم شما مجدداً راهاندازی شود.
هنگامیکه این فرآیند کامل شد، شما میتوانید از Emsisoft خارج شوید.
پیشنهاد سوم: همچنین میتوانید از SpyHunter یا GridinSoft Anti-Malware برای پاکسازی این باجگیر افزار از روی سیستم آلوده استفاده کنید [۷ و ۸].
آیا امکان بازیابی فایلهای رمز شده توسط باجگیر افزار Zzla وجود دارد؟
متأسفانه جواب این سؤال منفی است و بازیابی پروندههای رمزگذاری شده توسط باجگیر افزار Zzla امکانپذیر نیست زیرا کلید خصوصی که برای باز کردن پروندههای رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.
اما اگر فایلهای شما توسط یک کلید آفلاین رمزگذاری شده باشد، شانس کمی وجود دارد که شما بتوانید توسط ابزار رمزگشایی Emsisoft Decryptor for STOP Djvu آنها را بازیابی کنید.
در اینجا[۹] می توانید نحوه چگونگی بازیابی فایلهایتان توسط Emsisoft Decryptor for STOP Djvu را مطالعه کنید.
قبل از دنبال کردن مراحل زیر اطمینان حاصل کنید که این دژافزار را از روی سیستم خود پاککردهاید، وگرنه این باجگیر افزار بهطور مکرر سیستم شما را قفل میکند یا فایلهای شما را مجدداً رمزنگاری میکند.
مرحله ۱: نرمافزار Emsisoft Decryptor for STOP Djvu را دانلود کنید.
شما می توانید Emsisoft Decryptor for STOP Djvu را از اینجا[۱۰] دانلود کنید.
مرحله ۲: نرمافزار Emsisoft Decryptor for STOP Djvu را اجرا کنید.
هنگامیکه Emsisoft Decryptor for STOP Djvu دانلود شد، روی decrypt_STOPDjvu.exe دو بار کلیک کنید تا این نرمافزار روی سیستم شما اجرا شود.
ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما میپرسد میخواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.
مرحله ۳: پنجرههای نمایش داده شده در ادامه را دنبال کنید.
هنگامیکه Emsisoft Decryptor for STOP Djvu اجرا شد، شما باید با Terms موافقت کنید.
مرحله ۴: روی Decrypt کلیک کنید.
روی دکمه Decrypt کلیک کنید تا فرآیند رمزگشایی آغاز شود. صفحهنمایش داده شده به حالت View تغییر وضعیت میدهد و به شما در ارتباط با فرآیند در حال انجام و وضعیت رمزگشایی فایلهایتان اطلاع میدهد.
مرحله ۵: هنگامیکه فرآیند رمزگشایی به اتمام برسد، این ابزار به شما اطلاع میدهد. اگر شما نیاز به یک گزارش برای ذخیره کردن داشته باشید، می توانید روی Save log کلیک کنید. اگر سیستم شما از طریق ویژگی Windows Remote Desktop در معرض خطر قرار گرفته باشد، به شما پیشنهاد میدهیم که تمامی کلمات عبور کاربران موجود روی سیستم را تغییر دهید.
متأسفانه در بیشتر موارد امکان بازیابی فایلهای رمز شده توسط باجگیر افزار Zzla وجود ندارد زیرا کلید خصوصی برای بازگشایی فایلهای رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پروندههای خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پروندههای شما وجود ندارد.
در نهایت لطفا دقت داشته باشید که در حقیقت فایلهای شما ویروسی نشده است، بلکه توسط الگوریتمهای رمزنگاری پیشرفته، رمز شده است. همانطور که قبلا توضیح داده شد برای بازیابی این فایلها (یا در حقیقت بازگشایی قفل فایلهای رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آنها این کلید خصوصی را در اختیار شما قرار دهند. به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایلهایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی مورد نظر نمیتوانند فایلهای شما را بازیابی کنند. میتوانید فایلهای رمز شدهی خود را نگهداری کنید که اگر زمانی برای این باجگیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آنها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایلهایتان منتشر شده است یا نه میتوانید به این لینکها [۱۱-۱۳] مراجعه کنید.
منابع
[۱] https://apa.aut.ac.ir/?p=6565
[۲] https://howtofix.guide/zzla-virus-file
[۳] https://www.pcrisk.com/removal-guides/21283-zzla-ransomware
[۴] https://www.myantispyware.com/2021/07/07/how-to-remove-zzla-ransomware-decrypt-zzla-files
[۵] https://malwaretips.com/downloads/MBSetup-076886.076886-Consumer.exe
[۶] https://www.emsisoft.com/en/home/emergencykit/download
[۷] https://trojan-killer.net/remove-zzla-virus
[۸] https://www.2-spyware.com/remove-zzla-ransomware.html
[۹] https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_stopdjvu.pdf
[۱۰] https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu
[۱۱] https://www.nomoreransom.org/fa/index.htm
[۱۲] https://noransom.kaspersky.com
[۱۳] https://www.emsisoft.com/ransomware-decryption-tools/free-download
ثبت ديدگاه