آلوده شدن به باجافزار میتواند خیلی ترسناک باشد. اگر یادداشتی روی صفحهی کامپیوتر شما ظاهر شد که اعلام میکرد دستگاهتان قفل یا فایلهایتان رمزگذاری شده، نترسید. در عوض، یک نفس عمیق بکشید، آرام بنشینید و گزینههای موجود را بررسی کنید.
قبل از این که به این فکر کنید که پول هکرها را بدهید یا نه، برای بازپسگیری کنترل سیستم و فایلهای خود چند راه پیش رو دارید.
ابتدا باید ببینید به چه نوع باجافزاری آلوده شدهاید؛ آیا این یک باجافزار رمزگذاری است، یا باجافزاری صفحه قفل کن میباشد، شاید هم بدافزار دیگری است که تظاهر به باجافزار بودن میکند. ببینید امکان دسترسی به فایلها و پوشهها را دارید یا نه.
اگر نمیتوانید یادداشت باجخواهانهی موجود بر روی صفحه را رد کنید، احتمالاً به یک باجافزار صفحه قفل کن آلوده شدهاید که البته گونهی خیلی بدی هم نیست. اگر یادداشتی میبینید که ادعا میکند از طرف پلیس، FBI یا IRS است و میگوید از شما مدارکی دال بر تماشای محتوای مستهجن یا فرار از پرداخت مالیات دارد و به خاطر آن باید جریمه شوید، این بدافزار هم احتمالاً نوعی باجافزار صفحه قفل کن است.
اگر میتوانید وارد پوشهها و برنامهها شوید ولی نمیتوانید فایلهای معمولی آفیس، فیلمها، تصاویر یا ایمیلهای خود را باز کنید، باجافزار مذکور از نوع رمزگذاری است که نسبت به مدل قبلی خیلی بدتر است.
اگر میتوانید در سیستم بچرخید و اکثر فایلها را مشاهده کنید، احتمالاً با بدافزاری مواجه هستید که به باجافزار بودن تظاهر میکند تا شما را به پرداخت پول ترغیب کند. پس میتوانید یادداشت باجخواهانهی آن را نادیده بگیرید. سعی کنید مرورگر خود را ببندید. اگر نمیتوانید دکمههای ترکیبی Control + Shift + Esc را به طور همزمان فشار دهید تا پنجرهی Task Manager باز شود، سپس به زبانهی Application بروید، روی برنامهی مرورگر خود کلیک راست کنید و دکمهی End Task را انتخاب نمایید.
خیلی از متخصصان امنیتی، مثل خود مایکروسافت، انجام این کار را توصیه نمیکنند. هیچ تضمینی وجود ندارد که در صورت پرداخت پول به فایلهایتان دسترسی پیدا کنید. علاوه بر این پرداخت پول هکرها را به انجام دوبارهی این حملات تشویق میکند. (حداقل بابت باجافزارهای صفحه قفل کن پول ندهید، چون تقریباً همیشه میتوانید اینها را به نوعی دور بزنید.)
با این حال، اگر میخواهید اسناد قانونی، پزشکی، شرکتی، عکسهای خانوادگی یا سایر فایلهای مهم خود را برگردانید، پرداخت ۳۰۰ دلار یا مبلغی در همین حد گزینهی معقولی به حساب میآید. اکثر مجرمان باجافزاری هم معمولاً بعد از پرداخت پول فایلهای شما را آزاد میکنند. بنابراین ما دربارهی اخلاقی بودن یا نبودن پرداخت این باجها موضعی نمیگیریم و توصیهای نمیکنیم.
با توجه به این که باجافزارهای رمزگذاری رایجترین و آسیبزاترین نوع باجافزارها هستند، ابتدا به بررسی آنها میپردازیم. مراحل زیر را به ترتیب انجام دهید، حتی اگر قبلاً از فایلهای خود پشتیبان تهیه کردهاید.
۱. دستگاه خود را از سایر دستگاهها و درایوهای اکسترنال جدا کنید. اگر به شبکه وصل هستید از آن قطع شوید. نباید بگذارید باجافزار به سایر دستگاههای موجود در شبکه یا سرویسهای همگامسازی فایل مثل دراپباکس راه پیدا کند.
۲. با استفاده از موبایل یا دوربین از این یادداشت باجخواهانه عکس بگیرید. اگر بعداً بخواهید از مراجع قضایی علیه سازندهی باجافزار اقدام کنید به این عکس نیاز خواهید داشت.
۳. برای پاک کردن باجافزار از آنتی ویروس یا ضد بدافزار استفاده کنید، ولی فقط در صورتی این روش را به کار ببرید که مطمئن شده باشید که نمیخواهید باج را بپردازید. (در غیر این صورت، تا بازیابی شدن فایلها صبر کنید.) برای انجام این کار احتمالاً لازم است وارد حالت Safe Mode شوید.
پاک کردن باجافزار باعث باز شدن قفل فایلها نمیشود، و حتی ممکن است باعث شود شانس بازیابی فایلها را از دست بدهید. اما این کار به شما اجازه میدهد بدون ریسک قفل شدن فایلهای جدید یا ایجاد اخلال در روند بازیابی، قدمهای بعدی را انجام دهید.
۴. ببینید امکان بازیابی فایلهای حذف شده وجود دارد یا نه. بسیاری از باجافزارها ابتدا از فایلّهای شما کپی میگیرند، سپس کپی آنها را رمزگذاری و در نهایت نسخهی اصلی فایلها را پاک میکنند. خوشبختانه، غالباً با کمک ابزارهای رایگانی مثل ShadowExplorer یا موارد پولی مثل Data Recovery Download، به سادگی میتوانید فایلهای خود را بازیابی کنید.
۵. ببینید دقیقاً با چه نوع باجافزار رمزگذاری مواجه هستید. اگر این باجافزار نامی از خود نشان نمیدهد، از ابزار آنلاین Crypto Sheriff یا ID Ransomware استفاده کنید. با آپلود فایلهای قفل شده در این ابزارها میتوانید بفهمید که فایلها قابل بازیابی هستند یا نه. (در بسیاری از موارد این امکان وجود ندارد.)
۶. ببینید ابزاری برای رمزگشایی فایلها وجود دارد یا نه. اگر میدانید این باجافزار از چه نوعی است، با مراجعه به لیست ابزارهای رمزگشایی وبسایت No More Ransom ببینید ابزاری برای شما وجود دارد یا نه. (دو گزینهی بالای لیست یعنی Rakhni و Rannoh، توانایی رمزگشایی چندین مدل از باجافزارها را دارند.) این لیست بر اساس حروف الفبا مرتب نشده و رمزگشاهای جدید به پایین آن اضافه میشود.
اگر ابزار مورد نظر خود را پیدا نمیکنید، به سایر سایتهایی که ابزارهای رمزگشا را لیست کردهاند مراجعه نمایید:
https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys
https://heimdalsecurity.com/blog/ransomware-decryption-tools
https://www.watchpointdata.com/ransomware-decryptors
علاوه بر این میتوانید به وبسایت آنتی ویروسهای مختلف بروید و از صفحهی مربوط به رمزگشاها به دنبال ابزارهای جدیدی که هنوز به لیستهای بالا اضافه نشدهاند بگردید:
Avast: https://www.avast.com/ransomware-decryption-tools
AVG: http://www.avg.com/us-en/ransomware-decryption-tools
Bitdefender: https://www.bitdefender.com/free-virus-removal
Emsisoft: https://decrypter.emsisoft.com
Kaspersky Lab: https://noransom.kaspersky.com
McAfee:
https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx
https://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx
https://www.mcafee.com/us/downloads/free-tools/wildfiredecrypt.aspx
Trend Micro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor
۷. فایلهای خود را از روی نسخهی پشتیبان بازیابی کنید. اگر به طور مرتب از دستگاه خود پشتیبان گرفته باشید، میتوانید فایلها را از روی یکی از این پشتیبانها برگردانید.
با این حال، باید مطمئن شوید که فایلهای پشتیبان نیز رمزگذاری نشده باشد. پس درایو پشتیبان خود را به یک دستگاه دیگر وصل کنید یا وارد سرویس پشتیبانگیری آنلاین خود شوید تا ببینید فایلها در چه وضعیتی قرار دارند. (علاوه بر این باید مطمئن شوید که رسانهی نصب و/یا کلیدهای لایسنس اپلیکیشنهای شخص ثالث را دارید.)
اگر همه چیز درست است، باید درایو را کاملاً پاک کرده، سیستم عامل را از نو نصب و سپس فایلها را از روی نسخهی پشتیبان بازیابی نمایید.
البته بدون پاک کردن درایو و نصب مجدد سیستم عامل هم میتوانید صرفاً فایلها را از درایو پشتیبان برگردانید، ولی این کار ایدهی چندان خوبی نیست، چون ممکن است حتی بعد از اسکن کامل آنتی ویروس آثار باجافزار بر روی دستگاه باقی بماند.
اگر این روشها جواب نداد، بالاخره باید تصمیم نهایی را بگیرید: یا باج را بپردازید، یا از خیر فایلها بگذرید.
۸. اگر قصد پرداخت باج را دارید، ابتدا مذاکره کنید. در خیلی از یادداشتهای باجافزاری اطلاعات مربوط به نحوهی برقراری تماس با صاحب بدافزار قرار داده شده است. اگر چنین بود، با آنها تماس بگیرید و کمی بر سر قیمت چانه بزنید. این شیوه در اغلب اوقات موثر واقع میشود.
بعد از این که بر سر قیمت به توافق رسیدید، مراحل مربوط به پرداخت را انجام دهید. هیچ تضمینی مبنی بر برگشت فایلهای شما وجود ندارد، اما باجافزارهای حرفهای و پیشرفته معمولاً بر سر حرف خود میمانند.
۹. از خیر فایلها بگذرید و سیستم عامل را مجدداً نصب کنید. اگر بیخیال فایلها شدید، باید درایو را کاملاً پاک کنید و بعد سیستم عامل را دوباره نصب نمایید. در بسیاری از دستگاهها میتوان ویندوز ۱۰ را Factory Reset کرد، ولی در سایر سیستم عاملها به دیسک نصب ویندوز یا ایمیجی که بر روی USB ریخته شده باشد نیاز دارید.
۱۰. به پلیس شکایت کنید. این کار در ظاهر بیفایده به نظر میرسد، اما اگر میخواهید از خدمات بیمه استفاده کنید لازم است که شکایت رسمی خود را ثبت نمایید. با این کار به مقامات قضایی نیز کمک میکنید تا اطلاعات بیشتری دربارهی نرخ آلودگی و میزان گستردگی آن داشته باشند.
کرم باجافزار Petya که در ماه ژوئن ۲۰۱۷ در سطح گستردهای اروپا را تحت تاثیر قرار داد مورد عجیبی بود. این بدافزار موجب میشود کامپیوتر Restart شود و بعد سعی میکند Master Boot Record ویندوز را بازنویسی کند. اگر بتوانید مانع از ریبوت شدن کامپیوتر شوید، شاید بتوانید از این اتفاق جلوگیری کنید.
اگر Master Boot Record بازنویسی شود، متن باجخواهانهی زیر را میبینید:
ولی ناامید نشوید. ایجاد Master Boot Record جدید خیلی دشوار نیست. اگر دیسک نصب ویندوز را دارید، برای انجام این کار میتوانید از آموزش زیر استفاده کنید:
http://neosmart.net/wiki/fix-mbr/
در غیر این صورت، کامپیوتر خود را نزد یک تعمیرکار معتبر ببرید و از او بخواهید تا برایتان یک Master Boot Record جدید بسازد.
اما Petya یک ماژول پشتیبانی دارد که در صورت عدم موفقیت در بازنویسی Master Boot Record فایلهای شما را قفل میکند. اگر چنین اتفاقی برای دستگاه شما رخ داد، دستورالعمل عادی مواجهه با باجافزار را دنبال کنید.
هر کاری که میخواهید بکنید، ولی با دادن باج به Petya خودتان را به زحمت نیندازید. این بدافزار طوری نوشته شده که اطلاعات رمزگذاری شدهی آن قابل بازیابی نیست. علاوه بر این، تنها آدرس ایمیلی که برای ارتباط در صفحهی باجخواهی این برنامه قرار داده شده توسط سرویسدهندهی آن سرویس ایمیلی غیرفعال شده است.
باجافزارهای صفحه قفل کن به اندازهی گذشته شایع نیستند، ولی هنوز هم گاهی اوقات خودی نشان میدهند. برای حذف این بدافزارها مراحل زیر را دنبال کنید:
۱. دستگاه خود را از سایر دستگاهها و درایوهای اکسترنال جدا کنید. اگر به شبکه وصل هستید از آن قطع شوید. نباید بگذارید باجافزار به سایر دستگاههای موجود در شبکه یا سرویسهای همگامسازی فایل مثل دراپباکس راه پیدا کند.
۲. با استفاده از موبایل یا دوربین از این یادداشت باجخواهانه عکس بگیرید. اگر بعداً بخواهید از مراجع قضایی علیه سازندهی باجافزار اقدام کنید به این عکس نیاز خواهید داشت.
۳. کامپیوتر را به Safe Mode ببرید. بعد از این که دستگاه Restart شد، نرمافزار آنتی ویروس خود را اجرا کنید تا باجافزار حذف شود.
۴. اگر Safe Mode کار نمیکند، از قابلیت System Restore استفاده کنید. اکثر دستگاههای ویندوزی امکان بازگشت به یک وضعیت پایدار قبلی را در اختیار شما میگذارند.
در ویندوز ۷، کامپیوتر را مجدداً راهاندازی کرده و چندین بار کلید F8 را فشار دهید تا دستگاه وارد منوی Advanced Boot Options شود. گزینهی Repair Your Computer را انتخاب کنید، گذرواژهی خود را وارد نمایید، و System Restore را انتخاب کنید.
در ویندوز ۸، ۸.۱ یا ۱۰، کامپیوتر را مجدداً راهاندازی کرده و کلید Shift را نگه دارید تا وارد صفحهی بازیابی شوید. حالا Troubleshoot، سپس Advanced Options و در نهایت System Restore را انتخاب کنید.
اگر نمیتوانید وارد صفحات بازیابی شوید ولی دیسک نصب ویندوز خود را در اختیار دارید، دستگاه را با کمک آن ریبوت کنید و بعد به جای نصب مجدد سیستم عامل، گزینهی Repair Your Computer را انتخاب نمایید.
۵. برای پاکسازی سیستم یک بار دیگر نرمافزار آنتی ویروس را اجرا کنید.
۶. به پلیس شکایت کنید. این کار در ظاهر بیفایده به نظر میرسد، اما اگر میخواهید از خدمات بیمه استفاده کنید لازم است که شکایت رسمی خود را ثبت نمایید. با این کار به مقامات قضایی نیز کمک میکنید تا اطلاعات بیشتری دربارهی نرخ آلودگی و میزان گستردگی آن داشته باشند.
سایت تعمیریار با هدف آموزش ، عرضه قطعات یدکی مطمئن و تست شده با قیمت مناسب ، تبادل تجربیات و کمک جهت تعمیر دستگاه های مختلف به افراد حرفه ای و همینطور افراد غیر حرفه ای طراحی گردیده ولی با توجه به گستردگی دستگاه های مختلف و تنوع بسیار زیاد دستگاهها فعلا با ارائه خدمت جهت تعمیر چاپگر و فکس که تجربه نسبتا خوبی در این زمینه داریم کارمان را شروع میکنیم .
با پیدا کردن نواقص کارهایمان با راهنمایی و کمک شما عزیزان بزودی در تمامی زمینه ها به شما خدمت رسانی خواهیم کرد.
لطفا در مورد هر دستگاهی که برایتان مشکل پیش آمده طرح سوال بفرمائید تا با پیدا کردن راه حل مورد نظر با شما و دیگر عزیزان تبادل تجربه نماییم و این تبادل تجربه بمانند آرشیو دائمی در سایت برای استفاده عموم باقی بماند.
از کلیه عزیزانی که راه رفع خرابی را از روشهای دیگری تجربه کرده اند نیز خواهشمندیم تجربه اشان را در زیر هر سوال برای ما بفرستند تا برای کمک به دیگران در زیر همان سوال درج شود.
با تشکر و سپاس تعمیریار