EFDC: کابوس بی‌پایانِ باج‌گیرافزارهای خانواده STOP/DJVU

اگر شما نمی‌توانید عکس‌ها، پرونده‌ها یا فایل‌های خود را باز کنید و پسوند efdc به انتهای آن‌ها اضافه شده است، یعنی سیستم شما توسط یک باج‌گیر افزار از خانواده STOP/DJVU آلوده شده است[۱و۲].

توجه داشته باشید که خانواده‌ی باج‌افزارهای Djvu/STOP برای اولین بار توسط Michael Gillespie، که یک تحلیلگر ویروس است، کشف شد و مورد تجزیه و تحلیل قرار گرفت. همانند سایر آلودگی‌های این نوع، efdc اکثر پرونده‌های ذخیره شده را رمزگذاری می‌کند (بدین ترتیب آنها غیرقابل استفاده می‌شوند) و نام پرونده‌ها را با یک پسوند ضمیمه می‌کند (در این نمونه “.efdc”).

باج‌گیر افزار STOP/DJVU پرونده‌های خصوصی قرار داشته روی کامپیوتر قربانی را رمزگذاری می‌کند، سپس یک پیام نشان می‌دهد که اگر می‌خواهید فایل‌هایتان رمزگشایی شود باید مبلغی را به‌صورت بیت کوین پرداخت کنید. دستورالعمل پرداخت نیز روی دسکتاپ قربانی در یک فایل _readme.txt قرار داده می‌شود [۳]. (مانند شکل زیر)

باج‌گیر افزار Efdc چیست؟

Efdc یک آلودگی از نوع باج‌گیر‌ افزار و رمزگذاری کننده فایل است که دسترسی به داده‌ها (فایل‌ها، تصاویر، فیلم‌ها) را با رمزگذاری پرونده‌ها با پسوند efdc محدود می‌کند. سپس تلاش می‌کند تا در ازای دادن دسترسی به فایل‌ها، با درخواست باج به بیت کوین، از قربانیان پول اخاذی کند.

این باج‌گیر افزار تمام نسخه‌های ویندوز شامل نسخه‌های ۷، ۸٫۱ و ۱۰ را هدف قرار می‌دهد. وقتی این باج‌گیر افزار برای اولین بار روی رایانه نصب شود، یک فایل تصادفی و قابل‌اجرا را در پوشه‌ی %AppData% یا %LocalAppData% ایجاد می‌کند. این فایل با قابلیت اجرا راه‌اندازی می‌شود و شروع به اسکن تمام درایوهای رایانه شما می‌کند تا فایل‌هایی که می‌خواهد رمزگذاری کند را شناسایی کند.

باج‌گیر افزارهای از خانواده STOP/DJVU برای رمزگذاری فایل‌هایی را با پسوند مشخص جستجو می‌کنند. فایل‌های رمزگذاری شده شامل اسناد مهم، تصاویر، فیلم‌ها و پرونده‌هایی مانند .doc، .docx ، .xls ، .pdf و موارد دیگر هستند. با شناسایی این فایل‌ها، این باج‌گیر افزار پسوند فایل‌ها را به efdc تغییر می‌دهد، بنابراین دیگر نمی‌توانید آن‌ها را باز کنید.

باج‌گیر افزار STOP/DJVU نام هر فایل رمزگذاری شده را به فرمت زیر تغییر می‌دهد: name.efdc

پس از رمزگذاری فایل‌های شما با پسوند “efdc”، شما نمی‌توانید این فایل‌ها را باز کنید و این باج‌گیر افزار باعث می‌شود یادداشت باج info.txt در هر پوشه‌ای که یک فایل رمزگذاری شده است قرار داده شود و در دسکتاپ ویندوز نیز ایجاد شود.

هنگامی‌که این باج‌گیر افزار اسکن رایانه شما را تمام کند، تمام نسخه‌های Shadow Volume را که در رایانه آسیب‌دیده قرار دارند حذف می‌کند. این کار به این صورت است که شما نمی‌توانید از نسخه‌های Shadow برای بازیابی فایل‌های رمزگذاری شده خود استفاده کنید.

چگونه کامپیوتر شما به باج‌گیر افزار Efdc آلوده شده است؟

باج‌گیر افزار Efdc از طریق پست‌های الکترونیک اسپم که حاوی پیوست‌های آلوده هستند یا با بهره‌برداری از آسیب‌پذیری‌ها در سیستم‌عامل و نرم‌افزارهای نصب‌شده پخش می‌شود.

مجرمان سایبری با ارسال یک پست الکترونیک اسپم و با سربرگ‌های جعلی برای قربانی، او را گول می‌زنند که این نامه از طرف یک شرکت حمل‌ونقل مانند DHL یا FedEx ارسال شده است. این پست الکترونیک به شما می‌گوید که آن‌ها سعی کردند بسته‌ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. بعضی‌اوقات این پست‌های الکترونیک حاوی اطلاعاتی در مورد یک بسته پستی است که شما ارسال کرده‌اید. درهرصورت، شما نمی‌توانید در مقابل کنجکاوی در مورد اینکه این پست الکترونیک به چه چیزی مربوط می‌شود، مقاومت کنید و فایل پیوست شده را باز می‌کنید (یا روی پیوند تعبیه‌شده در داخل پست الکترونیک کلیک می‌کنید) و با این کار، کامپیوتر شما به باج‌گیر افزار Efdc آلوده می‌شود.

همچنین مشاهده شده است که باج‌گیر افزار Efdc با استفاده از هک کردن پورت‌های باز از راه دور خدمات دسکتاپ (RDP)، به قربانیان حمله می‌کند. مهاجمان سیستم های در حال اجرا RDP (پورت TCP 3389) را اسکن می کنند و سپس سعی می کنند رمز ورود را برای سیستم‌ها از طریق brute force کشف کنند.

آیا کامپیوتر من توسط باج‌گیر افزار Efdc آلوده شده است؟

در اینجا خلاصه‌ای از اطلاعات مربوط به باج‎گیر افزار Efdc آورده شده است:

خانواده باج‌گیر افزار: STOP/DJVU

پسوند: efdc

یادداشت باج‌گیر افزار: _readme.txt

میزان باج: از ۴۹۰ تا ۸۹۰ دلار به بیت کوین

اطلاعات تماس: vengisto@firemail.cc و vengisto@india.com

نشانه‌ها: به فایل‌های شما پسوند efdc افزوده می‌شود و توسط هیچ برنامه‌ای باز نمی‌شوند.

روش گسترده شدن: پیوست‌های یک پست الکترونیک آلوده (macroها)، وب‌سایت‌های تورنت، تبلیغات موذی، و ابزارهای فعال سازی یا به‌روزرسانی غیر رسمی

نمونه فایل‌های رمز شده[۲]: عکس زیر

هنگامی‌کهاین باج‌گیر افزار کامپیوتر شما را آلوده می‌کند، تمامی درایوهای موجود روی هارد شما را برای هدف قرار دادن پسوندهای مورد هدف اسکن می‌کند و آن‌ها را پس از کشف رمزنگاری می‌کند و سپس پسوند efdc به انتهای نام آن‌ها اضافه می‌کند. هنگامی‌که این فایل‌ها رمزنگاری شوند، دیگر با برنامه‌های معمول قابلیت باز شدن ندارند. هنگامی‌که این باج‌گیر افزار رمزنگاری فایل‌های سیستم را تمام کند، یک یادداشت باج‌خواهی را که شامل دستورالعمل نحوه ارتباط با مجرمین است به قربانی نمایش می‌دهد (helpmanager@mail.ch و restoremanager@airmail.cc).

چگونه باج‌گیر افزار Efdc را از روی سیستم خود پاک کنیم؟

توجه به این نکته بسیار مهم است که با شروع فرآیند حذف، امکان از دست دادن تمامی فایل‌های شما وجود دارد، زیرا ما نمی‌توانیم تضمین کنیم که شما قادر به بازیابی آن‌ها خواهید بود. Malwarebytes و Emsisoft Emergency Kit می‌توانند این آلودگی را تشخیص داده و از بین ببرند، اما این برنامه‌ها نمی‌توانند اسناد، تصاویر یا پرونده‌های شما را بازیابی کنند. هنگام تلاش برای از بین بردن این آلودگی یا تلاش برای بازیابی اسناد رمزگذاری شده، پرونده‌های شما به‌طور دائم به خطر می‌افتند. ما نمی‌توانیم مسئولیت از دست دادن پرونده‌ها یا اسناد شما در طی این فرآیند حذف را به عهده بگیریم [۴].

پیشنهاد اول: از Malwarebytes برای حذف باج‌گیر افزار Efdc استفاده کنید.

Malwarebytes یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای ضد دژافزاری برای ویندوز است. این نرم‌افزار قادر است بسیاری از دژافزارهایی را که سایر نرم‌افزارها قادر به تشخیص آن‌ها نیستند را نابود کند، بدون آنکه هزینه‌ای به شما تحمیل کند. وقتی صحبت از تمیز کردن یک دستگاه آلوده می‌شود، Malwarebytes همیشه رایگان بوده و ما آن را به‌عنوان ابزاری اساسی برای مبارزه با دژافزارها توصیه می‌کنیم.

اولین باری که Malwarebytes را نصب می‌کنید، به شما امکان آزمایش ۱۴ روزه نسخه Trial را می‌دهد که شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت ویژه در برابر باج‌گیر افزارهاست. بعد از گذشت دو هفته، به‌طور خودکار به نسخه اولیه رایگان برگردانده می‌شود که فقط هنگام اسکن، آلودگی‌های مخرب را تشخیص داده و پاک می‌کند. لازم به ذکر است که Malwarebytes بدون conflict در کنار نرم‌افزارهای آنتی‌ویروس اجرا خواهد شد.

مرحله ۱: Malwarebytes را دانلود کنید.

شما می‌توانید این نرم‌افزار را از این لینک[۵] دانلود کنید (از IP ایران لینک مورد نظر باز نمی‌شود).

مرحله ۲: روی فایل نصب Malwarebytes دو بار کلیک کنید.

هنگامی‌که دانلود Malwarebytes تمام شد، روی فایل mb3-setup-konsum-x.x.x.xxxx.exe دو بار کلیک کنید تا Malwarebytes را روی رایانه شخصی خود نصب کنید. در بیشتر موارد، فایل‌های بارگیری شده در پوشه Downloads ذخیره می‌شوند.

شما ممکن است با پنجره  User Account Controlکه از شما می‌پرسد آیا می‌خواهید به Malwarebytes اجازه دهید تغییراتی در دستگاه شما ایجاد کند، مواجه شوید. اگر این اتفاق بیفتد، برای ادامه نصب باید روی “بله” کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده‌شده را برای نصب Malwarebytes دنبال کنید.

هنگامی‌که نصب Malwarebytes شروع می‌شود، شما Wizard راه‌اندازی Malwarebytes را مشاهده خواهید کرد که مراحل نصب را به شما نشان می‌دهد. برای نصب Malwarebytes در رایانه شخصی خود، روی دکمه “موافق و نصب” کلیک کنید.

مرحله ۴: گزینه Use Malwarebytes Free را انتخاب کنید.

پس از نصب Malwarebytes، از شما خواسته می‌شود که نسخه رایگان یا Premium را انتخاب کنید. نسخه Malwarebytes Premium شامل ابزارهای پیشگیری مانند اسکن در زمان واقعی و محافظت در برابر باج‌گیر افزار است، بااین‌حال ما از نسخه Free برای تمیز کردن رایانه استفاده خواهیم کرد.

روی Use Malwarebytes Free کلیک کنید.

مرحله ۵: روی Scan Now کلیک کنید.

هنگامی‌که نصب Malwarebytes تمام شد، این نرم‌افزار به‌طور خودکار اجرا می‌شود و پایگاه داده خود را به‌روزرسانی می‌کند. به‌منظور اسکن سیستم خود، روی دکمهScan  کلیک کنید.

مرحله ۶: صبر کنید تا اسکن Malwarebytes تمام شود.

Malwarebytes در این مرحله شروع به اسکن سیستم شما می‌کند تا دژافزارها و دیگر برنامه‌های موذی را شناسایی کند. این فرآیند ممکن است جند دقیقه طول بکشد، به همین علت ما به شما توصیه می‌کنیم تا به کارهای دیگر خود بپردازید و هرچند دقیقه یک‌بار سیستم خود را بررسی کنید تا بفهمید فرآیند اسکن تمام شده است یا نه.

مرحله ۷: روی Quarantine  کلیک کنید.

هنگامی‌که اسکن سیستم شما به پایان رسید، شما با یک پنجره مواجه می‌شوید که آلودگی‌های ناشی از این باج‌گیر افزار را که توسط Malwarebytes شناسایی شده است را نشان می‌دهد. برای پاک کردن برنامه‌های مخربی که این نرم‌افزار شناسایی کرده است، روی دکمه Quarantine Selected کلیک کنید.

مرحله ۷: سیستم خود را مجدداً راه‌اندازی کنید.

Malwarebytes هم‌اکنون تمام فایل‌های موذی و کلیدهای رجیستری آلوده را که پیدا کرده است را پاک می‌کند. برای تکمیل فرآیند پاک‌سازی، این نرم‌افزار ممکن است از شما بخواهد که سیستم خود را مجدداً راه‌اندازی کنید.

هنگامی‌که فرآیند پاک‌سازی به اتمام رسید، شما می‌توانید Malwarebytes را ببندید.

پیشنهاد دوم: از Emsisoft Emergency Kit برای اسکن دژافزارها و برنامه‌های ناخواسته استفاده کنید.

Emsisoft Emergency Kit دومین اسکنر پیشنهادی رایگان است که می‌تواند کامپیوترهای آلوده شده را اسکن کند و آن‌ها را از آلودگی پاک کند.

مرحله ۱: Emsisoft Emergency Kit را دانلود کنید.

شما می‌توانید این نرم‌افزار را از اینجا[۶] دانلود کنید.

مرحله ۲: نرم‌افزار Emsisoft Emergency Kit را نصب کنید.

هنگامی‌که دانلود تمام شد، روی فایل Emsisoft Emergency Kit دو بار کلیک کنید تا فرآیند نصب این برنامه روی رایانه آغاز شود و سپس روی Install کلیک کنید.

مرحله ۳: Emsisoft Emergency Kit را اجرا کنید.

روی دسکتاپ شما فولدر EEK قرار داده شده است، آن را باز کنید. برای اجرای Emsisoft رویStart Emsisoft Emergency Kit کنید تا این برنامه اجرا شود.

ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما می‌پرسد می‌خواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.

مرحله ۴: روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit اجرا می‌شود و از شما اجازه می‌خواهد تا خودش را به‌روزرسانی کند. هنگامی‌که فرآیند به‌روزرسانی تمام شود، در تب Scan روی Malware Scan کلیک کنید.

Emsisoft Emergency Kit در حال حاضر شروع به اسکن کامپیوتر شما می‌کند تا فایل‌های مخرب را پیدا کند. این فرآیند ممکن است چند دقیقه طول بکشد.

مرحله ۵: روی Quarantine selected کلیک کنید.

هنگامی‌که Emsisoft اسکن را تمام کند، شما با یک صفحه مواجه می‌شوید که به شما گزارش می‌دهد چه فایل‌های مخربی را روی سیستم شما تشخیص داده است. برای پاک کردن برنامه‌های موذی، روی Quarantine selected کلیک کنید.

هنگامی‌که فرآیند پاک‌سازی دژافزار کامل شود، Emsisoft Emergency Kit نیاز دارد تا سیستم شما مجدداً راه‌اندازی شود. روی Restart کلیک کنید تا سیستم شما مجدداً راه‌اندازی شود.

هنگامی‌که این فرآیند کامل شد، شما می‌توانید از Emsisoft خارج شوید.

پیشنهاد سوم: همچنین می‌توانید از SpyHunter یا GridinSoft Anti-Malware برای پاکسازی این باج‌گیر افزار از روی سیستم آلوده استفاده کنید [۷ و ۸].

آیا امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Efdc وجود دارد؟

متأسفانه جواب این سؤال منفی است و بازیابی پرونده‌های رمزگذاری شده توسط باج‌گیر افزار Efdc امکان‌پذیر نیست زیرا کلید خصوصی که برای باز کردن پرونده‌های رمزگذاری شده لازم است فقط از طریق مجرمان سایبری در دسترس است.

اما اگر فایل‌های شما توسط یک کلید آفلاین رمزگذاری شده باشد، شانس کمی وجود دارد که شما بتوانید توسط ابزار رمزگشایی Emsisoft Decryptor for STOP Djvu آن‌ها را بازیابی کنید.

در اینجا[۹] می توانید نحوه چگونگی بازیابی فایل‌هایتان توسط Emsisoft Decryptor for STOP Djvu را مطالعه کنید.

قبل از دنبال کردن مراحل زیر اطمینان حاصل کنید که این دژافزار را از روی سیستم خود پاک‌کرده‌اید، وگرنه این باج‌گیر افزار به‌طور مکرر سیستم شما را قفل می‌کند یا فایل‌های شما را مجدداً رمزنگاری می‌کند.

مرحله ۱: نرم‌افزار Emsisoft Decryptor for STOP Djvu را دانلود کنید.

شما می توانید Emsisoft Decryptor for STOP Djvu را از اینجا[۱۰] دانلود کنید.

مرحله ۲: نرم‌افزار Emsisoft Decryptor for STOP Djvu را اجرا کنید.

هنگامی‌که Emsisoft Decryptor for STOP Djvu دانلود شد، روی decrypt_STOPDjvu.exe دو بار کلیک کنید تا این نرم‌افزار روی سیستم شما اجرا شود.

ممکن است شما با یک دیالوگ User Account Control روبرو شوید که از شما می‌پرسد می‌خواهید این فایل را اجرا کنید یا نه. اگر با این دیالوگ مواجه شدید روی YES برای ادامه کار کلیک کنید.

مرحله ۳: پنجره‌های نمایش داده شده در ادامه را دنبال کنید.

هنگامی‌که Emsisoft Decryptor for STOP Djvu اجرا شد، شما باید با Terms موافقت کنید.

مرحله ۴: روی Decrypt کلیک کنید.

روی دکمه Decrypt کلیک کنید تا فرآیند رمزگشایی آغاز شود. صفحه‌نمایش داده شده به حالت View تغییر وضعیت می‌دهد و به شما در ارتباط با فرآیند در حال انجام و وضعیت رمزگشایی فایل‌هایتان اطلاع می‌دهد.

مرحله ۵: هنگامی‌که فرآیند رمزگشایی به اتمام برسد، این ابزار به شما اطلاع می‌دهد. اگر شما نیاز به یک گزارش برای ذخیره کردن داشته باشید، می توانید روی Save log کلیک کنید. اگر سیستم شما از طریق ویژگی Windows Remote Desktop در معرض خطر قرار گرفته باشد، به شما پیشنهاد می‌دهیم که تمامی کلمات عبور کاربران موجود روی سیستم را تغییر دهید.

متأسفانه در بیشتر موارد امکان بازیابی فایل‌های رمز شده توسط باج‌گیر افزار Efdc وجود ندارد زیرا کلید خصوصی برای بازگشایی فایل‌های رمزگذاری شده فقط در اختیار مجرمان سایبری قرار دارد. همچنین برای بازیابی پرونده‌های خود هیچ پولی پرداخت نکنید. زیرا حتی اگر باج درخواستی را بپردازید، هیچ ضمانتی برای دسترسی مجدد به پرونده‌های شما وجود ندارد.

در نهایت لطفا دقت داشته باشید که در حقیقت فایل‌های شما ویروسی نشده است، بلکه توسط الگوریتم‌های رمزنگاری پیشرفته، رمز شده است. همانطور که قبلا توضیح داده شد برای بازیابی این فایل‌ها (یا در حقیقت بازگشایی قفل فایل‌های رمز شده) نیاز به یک کلید خصوصی است که در اختیار مجرمان اینترنتی است. حتی اگر مبلغ خواسته شده را به این مجرمان پرداخت کنید، هیچ ضمانتی وجود ندارد که آن‌ها این کلید خصوصی را در اختیار شما قرار دهند. به همین علت نه به مجرمان اینترنتی و نه به هیچ فرد، تیم تخصصی یا غیرتخصصی، گروه و یا سازمانی وجهی جهت بازگشایی فایل‌هایتان پرداخت نکنید؛ زیرا حتی افراد ماهر نیز بدون کلید خصوصی مورد نظر نمی‌توانند فایل‌های شما را بازیابی کنند. می‌توانید فایل‌های رمز شده‌ی خود را نگهداری کنید که اگر زمانی برای این باج‌گیر افزار یک ابزار رمزگشایی تولید شد، بتوانید آن‌‌ها را رمزگشایی کنید. همچنین برای اطمینان خاطر از اینکه ابزاری برای رمزگشایی فایل‌هایتان منتشر شده است یا نه می‌توانید به این لینک‌ها [۱۱-۱۳] مراجعه کنید.

  منابع

[۱] https://apa.aut.ac.ir/?p=6565

[۲] https://howtofix.guide/efdc-virus

[۳] https://www.pcrisk.com/removal-guides/21673-efdc-ransomware

[۴] https://malwaretips.com/blogs/remove-efdc-virus

[۵] https://malwaretips.com/downloads/MBSetup-076886.076886-Consumer.exe

[۶] https://www.emsisoft.com/en/home/emergencykit/download

[۷] https://www.myantispyware.com/2021/09/03/how-to-remove-efdc-ransomware-decrypt-efdc-files/

[۸] https://www.2-spyware.com/remove-efdc-ransomware.html

[۹] https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_stopdjvu.pdf

[۱۰] https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

[۱۱] https://www.nomoreransom.org/fa/index.htm

[۱۲] https://noransom.kaspersky.com

[۱۳] https://www.emsisoft.com/ransomware-decryption-tools/free-download