مقدمه
ویرایش جدیدی از باج افزار Dharma با نام Brrr منتشر شده است که پس از رمزگذاری فایلها پسوند .brrr را به آنها اضافه میکند. این نوع جدید از باج افزار اولین بار توسط Jakub Kroustek کشف شد. یکی از سادهترین راهها برای پخش باج افزار Dharma .brrr، اتچ کردن آن به ایمیل است. این روش به هکرها امکان ارسال ویروس را به لیست بزرگی از قربانیان احتمالی میدهد. اگر میخواهید در مورد باج افزار Dharma .brrr اطلاعات بیشتری به دست آورید، در ادامهی مقاله با ما همراه باشید.
ویرایش جدید باج افزار Dharma
باج افزارها گونهای از بد افزارها هستند که دسترسی کاربر به سیستم را محدود کرده و برای برداشتن این محدودیتها درخواست هزینه میکنند. باج افزارها نخستین بار در کشور روسیه مشاهده شدند، اما بعدها در کشورهای دیگر از جمله آمریکا و آلمان نیز حملات باج افزاری مشاهده شد. در ادامهی مقاله به یکی از باج افزارهای موجود و ویرایشی از آن به نام Brrr میپردازیم.
باج افزار Dharma، یک ویروس رمزنگار است که فایلهای کاربر را رمزگذاری کرده و برای در اختیار گذاشتن کلید رمزگشایی، باج میخواهد. این باج افزار به صورت دستی و با سو استفاده از سرویس Remote Desktop Protocol (RDP) از طریق پورت TCP 3389 عمل میکند. همانطور که گفته شد یکی از روشهایی که هکرها برای انتشار این باج افزار استفاده میکنند، ارسال آن در پیوست ایمیل است. پیوستهای ایمیلهای اسپم، معمولا دارای فایلهای word یا انواع دیگری از فایلها هستند که کاربران آنها را بدون درنگ باز میکنند. به محض باز شدن این فایلها، حملهی باج افزار شرروع شده و سیستم با ویروس Dharma .brrr آلوده میشود.
یکی دیگر از روشهای آلوده کردن مربوط به ایمیل، هایپر لینکهای موجود در محتوای پیامهاست. این لینکها معمولا دارای لیبل وب سایتهای آشنا یا مورد علاقهی کاربران هستند.
مجرمان رایانهای که از این باج افزار استفاده میکنند، از سایتهای مخرب یا دانلود پرتالها برای توزیع انواع مختلف بدافزار از جمله ویروس Dharma .brrr استفاده میکنند. یکی از گزینههای محبوب، استفاده از فایلهای آلوده در نوعهای مختلف مانند صفحه گسترده، اسناد متنی و پایگاه داده است. هنگام باز کردن این فایلها، معمولا از کاربران خواسته میشود که ماکروها یا اسکریپتها را اجرا کنند که انجام این کار آلودگی در پی خواهد داشت.
سایتهای تحت کنترل هکرها، پورتالهای تخصصی هستند که به صورت دستی یا خودکار توسط مجرمان ایجاد شدهاند. آنها میتوانند تهدید را به طور مستقیم با ایجاد اسکریپتهای مختلف یا عملیات خودکار یا با لینک دادن به آنها، پخش کنند. علاوه بر اینها، افزونههای مخربی برای مرورگرهای محبوب مانند Internet Explorer، Google Chrome، Mozilla Firefox، Opera، Microsoft Edge و Safari ساخته شده است. پس از نصب، این افزونهها نه تنها سیستم کاربر را با بد افزاز آلوده میکنند بلکه قربانیان را به سایتهای تحت کنترل هکرها نیز هدایت میکنند. اطلاعات مربوط به باج افزار Dharma .brrr را در ادامه به صورت خلاصه مشاهده میکنید:
- NAME: Brrr ransomware
- TYPE: Cryptovirus
- FAMILY: Dharma
- ACTIVE SINCE: 2016
- RANSOM NOTE: Info.hta or FILES ENCRYPTED.txt
- CONTACT EMAIL: paydecryption@qq.com
- FILE EXTENSION: [paydecryption@qq.com].brrr
- DISTRIBUTION: Infected spam email attachments
- DECRYPTION: Other versions can be decrypted
تاثیر ویروس باج افزار Dharma .brrr
ویروس باج افزار Dharma .brrr از الگوی خاصی برای علامتگذاری فایلهای رمزگذاری شده استفاده میکند. بدین گونه که بعد از رمزگذاری، پسوند id-[id].[email].brrr به فایلها اضافه میشود. تا زمانی که یک ریکاوری کارآمد، کد این فایلها را به حالت اولیه برنگرداند، تمامی این فایلها غیر قابل دسترس خواهند بود. متاسفانه بسیاری از دادههای ارزشمند مانند اسناد، بکاپها، آرشیوها، دیتابیسها، پروژهها، تصاویر و ویدیوها ممکن است به دلیل تغییرات ناشی از کد اجرا شده، غیر قابل دسترس باقی بمانند.
در کنار سایر اتفاقاتی که ممکن است در صورت آلوده شده به ویروس باج افزار Dharma .brrr رخ دهد، ظاهر شدن پیامی بر روی صفحه نمایش کامپیوتر است. این پیامها میتوانند در دو فایل با نامهای FILES ENCRYPTED.txt و Info.hta ایجاد شوند. هدف از این پیام درخواست باج از شما بابت رمزگشایی است. آن چه در این پیام قابل مشاهده است، در ادامه آورده شده است:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail paydecryption@go.com Write this ID in the title of your message In case of no answer in 24 hours write us to these e-mails: paydecryption@gg.corn You have to pay for decryption in Bitcoins. The puce depends on how fast you rate to us. After payment we will send you the decryption tool that vAl decrypt all your ties.
I Free decryption as guarantee Before paying you can send us up to 1 fie for free decryption. The total size of lies must be less than 1Mb (non archived), and lies should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins The easiest way to buy bitcoins s LocaBitcoins site. You have to register, click Buy bitcoins, and select the seller by payment method and puce. hitos://locabitcoins.com/buy bitcoins. Also you can find other places to buy Btcoins and beginners guide here: ******
Attention! • Do not rename encrypted files. • Do not try to decrypt your data usng thrd party software, t may cause permanent data loss. • Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victims of a scam.
حذف ویروس باج افزار Dharma .brrr و بازیابی رایانه
توجه داشته باشید که پرداخت باج درخواستی به مجرمان سایبری، مشکل شما را با ویروس Dharma .brrr حل نمیکند. در واقع با پرداخت باج درخواستی، هکرها را به ادامهی انتشار باج افزار تشویق میکنید. به جای این کار، شما باید فورا تهدید را حذف کرده و به دنبال راهکارهایی برای بازیابی اطلاعات خود باشید. حذف دستی ویروس باج افزار Dharma .brrr مستلزم آشنایی با فایلهای سیستمی و رجیسترهاست. اگر با راهکارهایی که باید به صورت دستی انجام شوند، احساس راحتی نمیکنید، یک نرم افزار قدرتمند ضد بد افزار دانلود کنید تا سیستم شما را از نظر بد افزار اسکن کند.
حذف دستی ویروس باج افزار Dharma .brrr
- کلید WIN + R را فشار دهید.
- پنجرهی Run ظاهر میشود. در آن پنجره، msconfig را نوشته و سپس اینتر را بزنید.
- کادر Configuration ظاهر میشود. در آن تب Boot را انتخاب کنید.
- گزینهی Safe Boot را علامت بزنید، سپس پایین رفته و تیک Network را نیز بزنید.
- سپس Apply و OK را بزنید.
حال برای نشان داده شدن فایلهای هاید شده مراحل زیر را طی کنید.
- My Computer/This PC را باز کنید.
- در ویندوز ۷، روی Organize کلیک کرده و Folder and search options را انتخاب کنید. سپس View tab را انتخاب کنید. روی Hidden files and folders رفته و گزینهی Show hidden files and folders را انتخاب کنید.
- در ویندوز ۸ یا ویندوز ۱۰، View tab را باز کرده و گزینهی Hidden items را انتخاب کنید.
- روی Apply و سپس OK کلیک کنید.
برای متوقف کردن پروسهی مخرب باج افزار Dharma، مراحل زیر را انجام دهید.
- این کلیدها را به صورت همزمان بر روی کیبورد خود فشار دهید: Ctrl + Shift + Esc
- به روی Processes بروید.
- وقتی فرایند مشکوک را پیدا کردید، بر روی آن راست کلیک کرده و Open File Location را انتخاب کنید.
- به Task Manager برگردید و فرایندهای مخرب را پایان دهید. دوباره روی آن راست کلیک کرده و End Process را انتخاب کنید.
- در مرحلهی بعد، باید به فولدری که فایل مخرب در آن قرار گرفته بروید و آن را حذف کنید.
- دوباره ترکیب WIN + R را بر روی کیبورد به طور همزمان فشار دهید.
- در کادر، regedit را نوشته و اینتر را بزنید.
- Ctrl + F را تایپ کرده و نام مخرب را در فیلد جستجو بنویسید تا اجزای فایل مخرب را پیدا کنید.
- در صورت پیدا کردن کلیدهای رجیستری و مقادیر مربوط به آن نام، آنها را حذف کنید.
بازیابی فایلهای .id.ransomed@india(.)com
- استفاده از بکاپهای فعلی
- استفاده از نرم افزارهای حرفهای بازیابی اطلاعات. به طور مثال استفاده از نرم افزار بازیابی اطلاعات Stellar Phoenix که یک ابزار تخصصی است که میتواند پارتیشنها، دادهها، اسناد، عکسها و ۳۰۰ نوع فایل دیگر را که در طول انواع اتفاقات از بین رفتهاند را بازیابی کند.
- استفاده از System Restore Point: کلید WIN را فشار داده و Open System Restore را انتخاب کرده و مراحل را دنبال کنید.
- بازیابی فایلهای شخصی با استفاده از File History: کلید WIN را فشار داده و در سرچ باکس، restore your files را تایپ کنید. سپس با استفاده از File History، Restore your files را انتخاب کنید. اکنون نام فایل را در سرچ بار تایپ کنید. نهایتا دکمهی Restore را فشار دهید.
اقدامات امنیتی پیشگیرانه
- فایروال خود را فعال و به درستی پیکربندی کنید.
- نرم افزار ضد بدافزار قابل اعتمادی را در سیستم خود نصب کنید.
- مرورگرهای خود را ایمن کنید.
- به طور مرتب، از به روز رسانیهای نرم افزاری موجود مطلع شوید و آنها را اعمال کنید.
- ماکروها را در داکیومنتهای Office غیر فعال کنید.
- از رمز عبورهای قوی استفاده کنید.
- اگر از سالم بودن فایلهای اتچ شده در ایمیلهایتان مطمئن نیستید، آنها را باز نکنید.
- به صورت مرتب از اطلاعات خود بکاپ بگیرید.
Leave A Comment