images

هشدار: تروژان جدید Teslacrypt و نحوه برخورد با آن و بازیابی اطلاعات

Teslacrypt جدیدترین نوع Ransome است. همانند سایر انواع Ransome این تروژان نیز از طریق ایمیل های spam در شبکه توزیع می شود. در فولدر spamهای خود ایمیلی را خواهید دید که از شخصی ناشناس ارسال شده و حاوی یک فایل پیوست می باشد و در قسمت موضوع آن ممکن است جمالتی از قبیل “Urgant” )ضروری( یا Important documents” “attached )فایل های پیوست شده مهم( و یا جمالتی از این قبیل مشاهده شود. این راهکاری است که از سوی مجرمان جهت جلب توجه شما استفاده می شود. به محض باز شدن این ایمیل، سیستم شما آلوده به TeslaCrypt می شود.

علل خطرناک بودن TeslaCrypt نخستین هدف هکرهای تولید کننده این تروژان، دریافت هرچه بیشتر پول از کاربران می باشد. به همین دلیل، آنها کاربران را با عدم دسترسی به فایل ها و برنامه هایشان دچار ترس و واحمه می کنند. اکثر کاربران به منظور دریافت فایل ها و اطالعاتشان، در تصمیم گیری شتاب کرده و تصمیم به پرداخت پول می نمایند. اما، شما نباید یکی از آنها باشید!! هیچ ضمانتی مبنی بر وجود کلید برای رمزگشایی فایل های شما وجود نخواهد داشت.

توجه داشته باشید که TeslaCrypt به سرعت باید از روی سیستم شما پاک شوند تا تاثیرات مخرب بیشتری را با اتصال به اینترنت، به وجود نیاورند.

فایل هایی که توسط TeslaCrypt رمزنگاری می شوند، عبارتند از:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

 

پس از آلوده شدن فایل ها به این تروژان، فایل های اصلی پاک شده و فایل هایی با نامهای قبلی و با پسوند vvv. جایگزین آنها می شوند.

 

از بین بردن TeslaCrypt

1. با زدن همزمان کلیدهای CTRL+SHIFT+DEL وارد task manager شوید.

2. فرآیند در حال اجرای مرتبط با TeslaCrypt را بیابید.

3. قبل از پاک کردن فرآیند، نام آن را در یک Text file ذخیره نمایید.

4. وارد فولدر %appdata% شده و فایل اجرایی مرتبط را پاک کنید.

5. همچنین می توانید وارد قسمت msconfig شده و در startup tab سرویس های مشکوک را غیر فعال نمایید تا از اجرای ویروس اطمینان حاصل نمایید.

6. توجه داشته باشد که نام ها در ماشین های مختلف، ممکن است متفاوت باشد. زیرا این نام ها به صورت تصادفی انتخاب می شوند.

7. پس از اجرای مراحل فوق وارد قسمت registry شوید. در قسمت regedit ،run را بنویسید و Enter کنید.

8. کلید CTRL و F را زده و نام ویروس را وارد نمایید.

9. بر روی تمام اطالعات دارای این نام right click کرده و انها را delete نمایید.

توجه داشته باشید که حذف هرگونه اطالعات که مرتبط با ویروس نبوده و جز اطالعات ضروری سیستم به حساب می آیند، می تواند تاثیرات مخربی را به همراه داشته باشد.

10. درصورتیکه ورودیهایی با نام ویروس یافت نشد، مراحل زیر را طی کنید:

– در قسمت the ransomware ،registry را بیابید و تمام ورودیهای شامل آن را پاک کنید.

– %temp%  را نوشته و تمام فایل های موجود در آن را پاک کنید.

 

بازگرداندن فایل های آلوده شده

 

تنها راه بازگرداندن اطالعات، استفاده از system restore می باشد. این روش می تواند به طور کامل از فایل های شما محاقظت نماید. به منظور انجام این کار، system restore را بنویسید. سپس restore point را انتخاب کرده و Next را بزنید.

 

– با توجه به فراگیر شدن TelsaCrypt Ransome، الزامی است که کاربران هنگام باز نمودن ایمیل های خود، دقت الزم را داشته و از باز نمودن هرگونه ایمیل ناشناس و مشکوک جداً خودداری نمایند.

 

 

 

 




پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

* Copy This Password *

* Type Or Paste Password Here *