مقدمه

طی سال ‌های گذشته حمله باج‌ افزار به سرورهای شخصی و سرورهای شرکت موجب خسارت ‌های قابل توجه ‌ای شده است. یکی از باج‌ افزارهای خطرناک، باج افزار لاکی است. هدف این باج‌ افزار آلوده کردن رایانه‌ های مبتنی بر ویندوز است. ما در این مقاله می‌ خواهیم راهنمایی مناسب برای حذف و بازیابی اطلاعات ویروس باج افزار لاکی ” Locky” ارائه کنیم، پس تا انتهای این مقاله ما را همراه کنید.

باج ‌افزار یا ویروس Locky چیست؟

Locky virus یک بدافزار خطرناک است که رایانه ‌های مبتنی بر ویندوز را آلوده می‌ کند. باج افزار لاکی فایل ‌های کاربر را با رمزگذاری قوی RSA-2048 رمزگذاری می ‌کند، نام فایل‌ های اصلی را تغییر می ‌دهد و پسوند locky را به انتهای هر فایل آلوده اضافه می‌ کند.
پس از آلوده شدن تمام فایل‌ ها توسط این باج افزار، پیام اطلاعاتی ذیل به کاربران نمایش داده می ‌شود:
“همه فایل ‌های شما با رمزهای RSA-2048 و AES-128 رمزگذاری شده‌ اند. رمزگشایی فایل‌ های شما تنها با کلید خصوصی و برنامه رمزگشایی امکان‌پذیر است، که در برنامه ما وجود دارد. سرور مخفی”
هدف از این پیام این است که کاربران را وادار سازد تا در ازای رمزگشایی فایل‌ های رمزگذاری شده، به مهاجمان با استفاده از Bitcoins باج بپردازد. به طور معمول فرایند پرداخت با استفاده از مرورگر اینترنت TOR انجام می‌ شود، بنابراین شناسایی و دستگیری مجرمان نیز دشوار است.

باج افزار لاکی چگونه عمل می ‌کند؟

باج افزار لاکی می ‌تواند رایانه شما و همه درایوهای متصل به شبکه را بدون هیچ نقشه آلوده کند. به طور معمول پس از باز کردن یک ایمیل حاوی یک Word (معمولاً با نام Your Invoice. doc یا مشابه آن)، کد خطرناک (Macros) برای قربانیان ارسال می‌ شود. قربانیان زمانی که می‌ خواهند سند آلوده Word را باز کند، باعث فعال شدن Macros می ‌شوند. در مرحله بعد، ویروس Locky در پس زمینه اجرا می‌ شود و آلوده کردن فایل ‌های موجود در سیستم قربانیان را شروع می ‌کند.
در پایان کار ویروس لاکی، متوجه می‌ شوید که نام همه فایل‌ های شما تغییر کرده است و در انتهای نام هر فایل یک پسوند locky وجود دارد. همچنین این ویروس LOCKY یک فایل تحت عنوان _HELP_instructions که حاوی دستورالعمل پرداخت باج به مهاجمین است را در هر پوشه آلوده اضافه می‌ کنند.

بازیابی فایل‌ های قفل شده توسط ویروس لاکی

به طور کلی باج افزار لاکی به دو صورت کار خود را انجام می‌ دهد. نحوه بازیابی فایل ‌های قفل شده این باج ‌افزار نیز به دو صورت است.

روش اول
در روش اول ویروس به طور کامل نام فایل ‌ها را تغییر می‌ دهد. در این حالت به نام فایل‌ های آلوده شده پسوند locky نیز اضافه می ‌شود. در حال حاضر در این نسخه از LOCKY رمزگشایی پرونده ‌های شما غیرممکن است و شما برای بازیابی پرونده ‌ها باید از موارد ذیل استفاده کنید.

  •  کپی کردن فایل‌ های خود با استفاده از clean backup
  •  اگر شما خوش شانس باشید، ممکن است که هنوز تمام نسخه ‌های Shadow Volume را حذف نکرده باشد. در این صورت می‌ توانید با استفاده از نسخه‌ های Shadow یا حتی بهتر با ابزار Shadow Explorer، فایل ‌های رمزگذاری شده را بازیابی کنید.
  •  از ابزار بازیابی Recuva (undelete) برای بازیابی و جستجوی فایل ‌های حذف شده استفاده کنید.

روش دوم
در این روش باج افزار لاکی به عنوان AutoLocky شناخته می ‌شود. AutoLocky فایل ‌های اصلی را تغییر نام نمی ‌دهد، بلکه فقط پسوند locky را به هر فایل آلوده می‌ افزاید. اگر به Autolocky آلوده شده ‌اید، گزینه‌ های زیر را برای بازگرداندن فایل ‌های خود دارید:

  •  از ابزار AutoLocky ارائه شده توسط Emsisoft برای رمزگشایی فایل ‌های آلوده به ویروس locky استفاده کنید.
  •  کپی کردن فایل ‌های خود با استفاده از clean backup
  •  اگر شما خوش شانس باشید، ممکن است که هنوز تمام نسخه‌ های Shadow Volume را حذف نکرده باشد. در این صورت می‌توانید با استفاده از نسخه‌ های Shadow یا حتی بهتر با ابزار Shadow Explorer، فایل‌ های رمزگذاری شده را بازیابی کنید.
  •  از ابزار بازیابی Recuva (undelete) برای بازیابی و جستجوی فایل‌ های حذف شده استفاده کنید.

چگونه می‌ توان باج ‌افزار لاکی را حذف کرد؟

شما می‌ توانید با پیروی از مراحل ذیل ویروس لاکی را از سیستم خود حذف کنید.
مرحله اول: کامپیوتر خود را در حالت SAFE MODE با NETWORKING راه اندازی کنید.
اول از همه باید کامپیوتر خود را در حالت ایمن بوت کنید تا از اجرای ویروس Locky جلوگیری شود. برای این کار باید موارد ذیل را انجام دهید:

اگر سیستم عامل شما ویندوز ۷، ویستا (Vista) یا ویندوز XP باشد؛ باید از مراحل ذیل پیروی کنید:

  •  کامپیوتر خود را مجدداً راه اندازی کنید و در حالی که کامپیوتر شما در حال راه اندازی است و قبل از ظاهر شدن لوگوی ویندوز، کلید F۸ را فشار دهید.
  •  هنگامی که منوی گزینه ‌های پیشرفته (Advanced options) روی صفحه شما ظاهر شد با استفاده از کلیدهای جهت دار صفحه کلید به گزینه حالت امن با شبکه (Safe Mode With Networking) بروید و Enter را بزنید.

اگر سیستم عامل کامپیوتر شما ویندوز ۱۰ و ویندوز ۸ یا ویندوز ۸.۱ باشد؛ باید از مراحل ذیل پیروی کنید:

  •  کلیدهای R و Windows را به طور همزمان فشار دهید تا پنجره RUN باز شود.
  •  سپس عبارت msconfig در بخش open بنویسد و گزینه OK را انتخاب کنید.
  •  بر روی گزینه Boot کلیک کنید.
  •  گزینه حالت امن با شبکه (Safe Mode With Networking) را انتخاب کرده و در نهایت گزینه OK را انتخاب کنید
  •  کامپیوتر خود را مجدداً راه اندازی کنید.

مرحله ۲: باج افزار لاکی را با MALWAREBYTES ANTI-MALWAR E حذف کنید.

شما برای حذف باج افزار لاکی با استفاده از Malwarebytes Anti-Malware باید مراحل ذیل را دنبال کنید:

  •  در وهله اول باید Malwarebytes Anti-Malware Free را دانلود و نصب کنید. توجه داشته باشید که آخرین صفحه نصب حتما کادر کنار گزینه Enable free Trial of Malwarebytes Anti-Malware PRO را فعال کنید تا از نسخه رایگان GREAT این نرم‌افزار استفاده کنید.
  • نرم‌افزار Malwarebytes Anti-Malware را اجرا کنید.
  •  پایگاه داده را به روز کنید.
  • دکمه Scan Now را فشار دهید و سپس منتظر بمانید تا فرآیند اسکن به پایان برسد.
  •  پس از اتمام اسکن، همه موارد موجود را انتخاب کنید و سپس Quarantine All را فشار دهید.
  •  Malwarebytes Antialware را از سیستم خود حذف کنید.
  • کامپیوتر خود را مجدداً راه اندازی کنید.

مرحله سوم: سیستم خود را با ESET ONLINE SCANNER اسکن کنید.

در وهله اول باید Eset Online Scanner را دانلود و اجرا کنید. در مرحله بعد شرایط مجوز را بپذیرید و روی گزینه شروع (Start) کلیک کنید. سپس منتظر بمانید تا اجزای مورد نیاز ESET Online Scanner بارگیری شود. بعد از اتمام این مراحل این برنامه تمام موارد ذیل را در سیستم شما بررسی می‌ کند و در نهایت به شما کمک می ‌کند تا از شر ویروس ‌هایی نظیر لاکی نجات پیدا کنید.

  •  بررسی و تشخیص فعال بودن برنامه ‌های ناخواسته
  • بررسی تمام گزینه ‌های موجود در منوی گزینه‌ های پیشرفته (Advanced options)

شما می ‌توانید روی گزینه شروع (Start) کلیک کنید تا ویروس ‌ها، برنامه ‌ها و نرم افزارهای مخرب موجود کامپیوتر شما اسکن و حذف شوند. در نهایت شما فقط باید صبور باشید تا برنامه اسکنر آنلاین ESET همه تهدیدهای موجود در سیستم شما را حذف کند.
مرحله چهارم: حذف فایل‌ های ایجاد شده توسط باج افزار LOCKY.
شما باید پس از حذف باج افزار لاکی کامپیوتر خود را برای یافتن تمام فایل ‌های ایجاد شده توسط بدافزار LOCKY جستجو کنید. سپس همه فایل ‌های موجود را حذف کنید. همچنین فراموش نکنید که تمام فایل‌ های با عنوان HELP_instructions را بیابید و حذف کنید.

چگونه از دریافت باج‌ افزار جلوگیری کنیم

در وهله اول به شما توصیه می‌ کنیم تا از بازکردن ایمیل‌ های مشکوک به ویژه فایل همراه آن ‌ها، خودداری فرمایید. همچنین از اتصال سیستم خود به شبکه نامطمئن بپرهیزید.
به شما توصیه می ‌کنیم تا بر روی سیستم خود از آنتی ویروس ‌های مطمئن استفاده کنید تا در صورت فعالیت ‌های مشکوک بدافزار بر روی سیستم به شما هشدار داده شود. همچنین در زمان اتصال سیستم خود با گوشی هوشمند یا فلش از آنتی ویروس مناسب استفاده کنید.

از داده‌ های خود، فایل‌ های پشتیبانی تهیه کنید

باید بدانید که به دلایل زیادی از جمله آلوده شدن سیستم با ویروس‌ های مخرب یا کارهای نادرست خود کاربر ممکن است تمام داده‌ های ارزشمند موجود در سیستم از بین برود. همچنین در کشور ما خطر قطع برق پیش بینی نشده نیز برای از بین رفتن اسناد مهم موجود در سیستم وجود دارد. بعلاوه باج افزارهایی نظیر باج افزار لاکی نیز می ‌توانند فایل‌ های موجود در سیستم را رمزگذاری کرده و آن ‌ها را گروگان بگیرند. اما اگر شما نسخه قبلی هر سند یا پروژه مهم خود را داشته باشید، می ‌توانید از ناامید ی و خرابی جلوگیری کنید.
شما می ‌توانید با (Backup) مناسب و به روز در زمان بروز چنین حوادث ناگواری به راحتی اطلاعات مهم خود را بازیابی کرده و به کار خود بازگردید. همچنین به روزرسانی پشتیبان ‌ها به طور منظم بسیار مهم است تا جدیدترین اطلاعات شما دست نخورده باقی بمانند تا در صورت لزوم تغییرات جدید را اعمال کنید. لازم به ذکر است که شما می‌ توانید به راحتی روندی برای پشتیبان گیری مناسب و به روز داده خود به صورت خودکار را ایجاد کنید. در نهایت باید خاطر نشان کنیم که شما می ‌توانید برای بازیابی اطلاعات خود از Data Recovery Pro استفاده کنید.