مقدمه

ویرایش جدیدی از باج افزار Dharma با نام Brrr منتشر شده است که پس از رمز‌گذاری فایل‌ها پسوند .brrr را به آن‌ها اضافه می‌کند. این نوع جدید از باج افزار اولین بار توسط Jakub Kroustek کشف شد. یکی از ساده‌ترین راه‌ها برای پخش باج افزار Dharma .brrr، اتچ کردن آن به ایمیل است. این روش به هکرها امکان ارسال ویروس را به لیست بزرگی از قربانیان احتمالی می‌دهد. اگر می‌خواهید در مورد باج افزار Dharma .brrr اطلاعات بیشتری به دست آورید، در ادامه‌ی مقاله با ما همراه باشید.

ویرایش جدید باج افزار Dharma

باج افزار‌ها گونه‌ای از بد افزار‌ها هستند که دسترسی کاربر به سیستم را محدود کرده و برای برداشتن این محدودیت‌ها درخواست هزینه می‌کنند. باج افزار‌ها نخستین بار در کشور روسیه مشاهده شدند، اما بعد‌ها در کشور‌های دیگر از جمله آمریکا و آلمان نیز حملات باج افزاری مشاهده شد. در ادامه‌ی مقاله به یکی از باج افزار‌های موجود و ویرایشی از آن به نام Brrr می‌پردازیم.
باج افزار Dharma، یک ویروس رمزنگار است که فایل‌های کاربر را رمزگذاری کرده و برای در اختیار گذاشتن کلید رمز‌گشایی، باج می‌خواهد. این باج افزار به صورت دستی و با سو استفاده از سرویس Remote Desktop Protocol (RDP) از طریق پورت TCP 3389 عمل می‌کند. همانطور که گفته شد یکی از روش‌هایی که هکر‌ها برای انتشار این باج افزار استفاده می‌کنند، ارسال آن در پیوست ایمیل است. پیوست‌های ایمیل‌های اسپم، معمولا دارای فایل‌های word یا انواع دیگری از فایل‌ها هستند که کاربران آن‌ها را بدون درنگ باز می‌کنند. به محض باز شدن این فایل‌ها، حمله‌ی باج افزار شرروع شده و سیستم با ویروس Dharma .brrr آلوده می‌شود.
یکی دیگر از روش‌های آلوده کردن مربوط به ایمیل، هایپر لینک‌های موجود در محتوای پیام‌هاست. این لینک‌ها معمولا دارای لیبل وب سایت‌های آشنا یا مورد علاقه‌ی کاربران هستند.
مجرمان رایانه‌ای که از این باج افزار استفاده می‌کنند، از سایت‌های مخرب یا دانلود پرتال‌ها برای توزیع انواع مختلف بدافزار از جمله ویروس Dharma .brrr استفاده می‌کنند. یکی از گزینه‌های محبوب، استفاده از فایل‌های آلوده در نوع‌های مختلف مانند صفحه گسترده‌، اسناد متنی و پایگاه داده است. هنگام باز کردن این فایل‌ها، معمولا از کاربران خواسته می‌شود که ماکرو‌ها یا اسکریپت‌ها را اجرا کنند که انجام این کار آلودگی در پی خواهد داشت.
سایت‌های تحت کنترل هکر‌ها، پورتال‌های تخصصی هستند که به صورت دستی یا خودکار توسط مجرمان ایجاد شده‌اند. آن‌ها می‌توانند تهدید را به طور مستقیم با ایجاد اسکریپت‌های مختلف یا عملیات خودکار یا با لینک دادن به آن‌ها، پخش کنند. علاوه بر این‌ها، افزونه‌های مخربی برای مرور‌گر‌های محبوب مانند Internet Explorer، Google Chrome، Mozilla Firefox، Opera، Microsoft Edge و Safari ساخته شده‌ است. پس از نصب، این افزونه‌ها نه تنها سیستم کاربر را با بد افزاز آلوده می‌کنند بلکه قربانیان را به سایت‌های تحت کنترل هکرها نیز هدایت می‌کنند. اطلاعات مربوط به باج افزار Dharma .brrr را در ادامه به صورت خلاصه مشاهده می‌کنید:

  • NAME: Brrr ransomware
  • TYPE: Cryptovirus
  • FAMILY: Dharma
  • ACTIVE SINCE: 2016
  • RANSOM NOTE: Info.hta or FILES ENCRYPTED.txt
  • CONTACT EMAIL: paydecryption@qq.com
  • FILE EXTENSION: [paydecryption@qq.com].brrr
  • DISTRIBUTION: Infected spam email attachments
  • DECRYPTION: Other versions can be decrypted

تاثیر ویروس باج افزار Dharma .brrr

ویروس باج افزار Dharma .brrr از الگوی خاصی برای علامت‌گذاری فایل‌های رمز‌گذاری شده استفاده می‌کند. بدین گونه که بعد از رمز‌گذاری، پسوند id-[id].[email].brrr به فایل‌ها اضافه می‌شود. تا زمانی که یک ریکاوری کارآمد، کد این فایل‌ها را به حالت اولیه برنگرداند، تمامی این فایل‌ها غیر‌ قابل دسترس خواهند بود. متاسفانه بسیاری از داده‌های ارزشمند مانند اسناد، بکاپ‌ها، آرشیو‌ها، دیتابیس‌ها، پروژه‌ها، تصاویر و ویدیو‌ها ممکن است به دلیل تغییرات ناشی از کد اجرا شده، غیر قابل دسترس باقی بمانند.

در کنار سایر اتفاقاتی که ممکن است در صورت آلوده شده به ویروس باج افزار Dharma .brrr رخ دهد، ظاهر شدن پیامی بر روی صفحه نمایش کامپیوتر است. این پیام‌ها می‌توانند در دو فایل با نام‌های FILES ENCRYPTED.txt و Info.hta ایجاد شوند. هدف از این پیام درخواست باج از شما بابت رمزگشایی است. آن چه در این پیام قابل مشاهده است، در ادامه آورده شده است:

حذف ویروس باج افزار Dharma .brrr و بازیابی رایانه

توجه داشته باشید که پرداخت باج درخواستی به مجرمان سایبری، مشکل شما را با ویروس Dharma .brrr حل نمی‌کند. در واقع با پرداخت باج درخواستی، هکر‌ها را به ادامه‌ی انتشار باج افزار تشویق می‌کنید. به جای این کار، شما باید فورا تهدید را حذف کرده و به دنبال راهکارهایی برای بازیابی اطلاعات خود باشید. حذف دستی ویروس باج افزار Dharma .brrr مستلزم آشنایی با فایل‌های سیستمی و رجیستر‌هاست. اگر با راهکار‌هایی که باید به صورت دستی انجام شوند، احساس راحتی نمی‌کنید، یک نرم افزار قدرتمند ضد بد‌ افزار دانلود کنید تا سیستم شما را از نظر بد افزار اسکن کند.

حذف دستی ویروس باج افزار Dharma .brrr

  1. کلید WIN + R را فشار دهید.
  2. پنجره‌ی Run ظاهر می‌شود. در آن پنجره، msconfig را نوشته و سپس اینتر را بزنید.
  3. کادر Configuration ظاهر می‌شود. در آن تب Boot را انتخاب کنید.
  4. گزینه‌ی Safe Boot را علامت بزنید، سپس پایین رفته و تیک Network را نیز بزنید.
  5. سپس Apply و OK را بزنید.

حال برای نشان داده شدن فایل‌های هاید شده مراحل زیر را طی کنید.

  1.  My Computer/This PC را باز کنید.
  2.  در ویندوز ۷، روی Organize کلیک کرده و Folder and search options را انتخاب کنید. سپس View tab را انتخاب کنید. روی Hidden files and folders رفته و گزینه‌ی Show hidden files and folders را انتخاب کنید.
  3.  در ویندوز ۸ یا ویندوز ۱۰، View tab را باز کرده و گزینه‌ی Hidden items را انتخاب کنید.
  4.  روی Apply و سپس OK کلیک کنید.

برای متوقف کردن پروسه‌ی مخرب باج افزار Dharma، مراحل زیر را انجام دهید.

  1. این کلید‌ها را به صورت همزمان بر روی کیبورد خود فشار دهید: Ctrl + Shift + Esc
  2.  به روی Processes بروید.
  3.  وقتی فرایند مشکوک را پیدا کردید، بر روی آن راست کلیک کرده و Open File Location را انتخاب کنید.
  4. به Task Manager برگردید و فرایند‌های مخرب را پایان دهید. دوباره روی آن راست کلیک کرده و End Process را انتخاب کنید.
  5.  در مرحله‌ی بعد، باید به فولدری که فایل مخرب در آن قرار گرفته بروید و آن را حذف کنید.
  6.  دوباره ترکیب WIN + R را بر روی کیبورد به طور همزمان فشار دهید.
  7.  در کادر، regedit را نوشته و اینتر را بزنید.
  8.  Ctrl + F را تایپ کرده و نام مخرب را در فیلد جستجو بنویسید تا اجزای فایل مخرب را پیدا کنید.
  9. در صورت پیدا کردن کلید‌های رجیستری و مقادیر مربوط به آن نام، آن‌ها را حذف کنید.

بازیابی فایل‌های .id.ransomed@india(.)com

  •  استفاده از بکاپ‌های فعلی
  •  استفاده از نرم افزار‌های حرفه‌ای بازیابی اطلاعات. به طور مثال استفاده از نرم افزار بازیابی اطلاعات Stellar Phoenix که یک ابزار تخصصی است که می‌تواند پارتیشن‌ها، داده‌ها، اسناد، عکس‌ها و ۳۰۰ نوع فایل دیگر را که در طول انواع اتفاقات از بین رفته‌اند را بازیابی کند.
  •  استفاده از System Restore Point: کلید WIN را فشار داده و Open System Restore را انتخاب کرده و مراحل را دنبال کنید.
  •  بازیابی فایل‌های شخصی با استفاده از File History: کلید WIN را فشار داده و در سرچ باکس، restore your files را تایپ کنید. سپس با استفاده از File History، Restore your files را انتخاب کنید. اکنون نام فایل را در سرچ بار تایپ کنید. نهایتا دکمه‌ی Restore را فشار دهید.

اقدامات امنیتی پیشگیرانه

  •  فایروال خود را فعال و به درستی پیکربندی کنید.
  •  نرم افزار ضد بدافزار قابل اعتمادی را در سیستم خود نصب کنید.
  •  مرورگر‌های خود را ایمن کنید.
  •  به طور مرتب، از به روز رسانی‌های نرم افزاری موجود مطلع شوید و آن‌ها را اعمال کنید.
  •  ماکرو‌ها را در داکیومنت‌های Office غیر فعال کنید.
  •  از رمز عبور‌های قوی استفاده کنید.
  •  اگر از سالم بودن فایل‌های اتچ شده در ایمیل‌هایتان مطمئن نیستید، آن‌ها را باز نکنید.
  •  به صورت مرتب از اطلاعات خود بکاپ بگیرید.