مقدمه

باج‌ گیر افزار Nasoh برای اولین بار توسط Michael Gillespie کشف شد، Nasoh نسخه بعدی خانواده بزرگ رمزنگاری شده؛ باج افزار STOP (DJVU) است. Nasoh فایل های کاربر را با فرمت های مختلف از جمله اسناد MS Office، فایل های صوتی، آرشیو، عکس ها و موارد دیگر رمزگذاری می کند. نیازی به گفتن نیست که بسیاری از کاربران نمی خواهند با پرونده های خود خداحافظی کنند.
به همین دلیل است که شما باید باج‌ گیر افزار Nasoh را حذف کرده و فایل ها را رمزگشایی کنید.
با دستورالعمل های این مقاله می توانید این کار را انجام دهید

آشنایی بیشتر با باج‌ گیر افزار Nasoh

این باج افزار برای افزودن هر نام فایل با پسوند nasoh به عنوان مثال:
e.g., “sample.jpg” -> “sample.jpg.nasoh طراحی شده است. یک فایل متنی به نام “_readme.txt” نیز ایجاد می شود که کپی های آن در اکثر پوشه های موجود ذخیره می شود. این فایل متنی حاوی یک پیام باج خواهی است. اکثر باج افزار ها از خانواده Djvu، یک پیام باج خواهی یکسان ارائه می دهند. این پیام ادعا می کند که پرونده ها در معرض خطر هستند یا به زبان ساده تر رمزگذاری می شوند و قربانیان برای بازگرداندن آن ها باید یک کلید رمزگشایی بخرند.
باج‌ گیر افزار Nasoh با استفاده از یک الگوریتم رمزنگاری که یک کلید رمزگشایی منحصر به فرد برای هر قربانی ایجاد می کند، داده ها را به خطر می اندازد. علاوه بر این، قربانیان نمی توانند به کلید های خود دسترسی داشته باشند، زیرا آن ها در سروری که متعلق به توسعه دهندگان Nasoh است ذخیره می شوند که این موضوع مجرمان را قادر می سازد تا قربانیان تهدید نمایند. هزینه هر کلید معادل 980 دلار است، با این حال، در صورت تماس با توسعه دهندگان در 72 ساعت پس از رمزگذاری، 50 درصد تخفیف به قربانیان داده خواهد شد.
این افراد همچنین رمزگشایی رایگان یک فایل را به عنوان “اثبات” ارائه می دهند که قادر به بازیابی داده ها هستند. در هر صورت، هرگز به این افراد اعتماد نکنید. توسعه دهندگان بدافزار غالباً پس از پرداخت، قربانیان را نادیده می گیرند. بنابراین، پرداخت اغلب نتیجه مثبتی ندارد.

آیا رایانه من به باج‌ گیر افزار Nasoh آلوده است؟

هنگامی که این باج افزار رایانه شما را آلوده کند، تمام حروف درایو را برای انواع فایل های مورد نظر اسکن خواهد نمود، آن ها را رمزگذاری کرده و پسوند Nasoh را به آن ها اضافه می کند. زمانیکه این اتفاق می افتد؛ فایل های شما دیگر نمی توانند توسط برنامه های عادی شما باز شوند و وقتیکه رمزگذاری پرونده ها توسط باج گیر افزار به اتمام برسد، یک یادداشت باج خواهی را خواهید دید که شامل دستورالعمل های نحوه تماس با این مجرمان سایبری است.

باج افزار Nasoh چگونه روی رایانه من قرار گرفت؟

باج‌ گیر افزار Nasoh از طریق ایمیل های اسپم حاوی پیوست های آلوده یا با سوء استفاده از آسیب پذیری های سیستم عامل و نرم افزار نصب شده توزیع می شود.
مجرمان سایبری یک ایمیل را با اطلاعات جعلی سرصفحه ارسال نموده تا شما را فریب دهند؛ که فکر کنید آن پیام از یک شرکت معتبر است.
به عنوان مثال: یک شرکت حمل و نقل معتبر مانند: DHL یا FedEx را در نظر بگیرید. ایمیل به شما می گوید که آن ها سعی کردند بسته ای را به شما تحویل دهند، اما به دلایلی موفق نشدند. گاهی اوقات نیز در ایمیل ها گفته می شود که اعلان محموله ای است که شما ارسال کرده اید. در هر صورت، کنجکاوی در مورد آنچه ایمیل به آن اشاره می کند باعث می شود، فایل پیوست را باز کنید و یا روی لینک گذاشته شده در ایمیل کلیک نمایید. اما در واقع با این کار، رایانه شما به باج افزار Nasoh آلوده می شود.
همچنین مشاهده شده است که گاهی باج افزار Nasoh با هک کردن پورت های باز خدمات Remote Desktop (RDP) به قربانیان حمله می کند. مهاجمان سیستم های RDP (پورت TCP 3389) را اسکن نموده و سپس سعی می کنند رمز عبور سیستم ها را دزدیده و وارد آن شوند.

چگونه باج‌ گیر افزار Nasoh را حذف کنیم؟

علاوه بر رمزگذاری پرونده های یک قربانی، باج‌ گیر افزار Nasoh همچنین شروع به نصب Azorult Spyware بر روی سیستم برای سرقت اطلاعات حساب، کیف پول ارز های رمزنگاری شده، فایل های دکستاپ و موارد دیگر خواهد کرد.

آماده سازی قبل از حذف باج‌ گیر افزار Nasoh

  •  از فایل های خود نسخه پشتیبان تهیه کنید.
  • صفحه دستورالعمل را باز نگه دارید تا بتوانید مراحل را دنبال نمایید.
  •  صبور باشید؛ زیرا انجام مراحل حذف آن ممکن است کمی طول بکشد.

فرایند حذف باج‌ گیر افزار Nasoh

  •  ابزار GridinSoft Anti-Malware را دانلود نمایید.
  •  فایل راه اندازی را اجرا کنید.

پس از اتمام دانلود، روی فایل install-antimalware-fix.exe دوبار کلیک نموده تا GridinSoft Anti-Malware بر روی رایانه شما نصب شود.

3. یک صفحه User Account Control باز خواهد شد و از شما می خواهد به GridinSoft Anti-Malware اجازه دهید در دستگاه شما تغییراتی ایجاد کند. بنابراین، برای ادامه نصب باید روی “بله” کلیک نمایید.
4. بر روی گزینه “نصب” کلیک نموده. پس از نصب، Anti-Malware به طور خودکار اجرا می شود.

5. منتظر بمانید تا اسکن Anti-Malware کامل شود.
GridinSoft Anti-Malware بطور خودکار اسکن رایانه شما را برای باج‌ گیر افزار Nasoh و سایر برنامه های مخرب شروع می کند. این فرآیند می تواند 20-30 دقیقه طول بکشد، بنابراین پیشنهاد می کنم به صورت دوره ای وضعیت فرایند اسکن را بررسی نمایید.

6. بر روی دکمه “Clean now” کلیک کنید.
پس از اتمام اسکن، لیستی از ویروس هایی که GridinSoft Anti-Malware شناسایی کرده است را مشاهده خواهید کرد. برای حذف آن ها روی دکمه “Clean Now” در گوشه سمت راست کلیک نمایید.

بازیابی پرونده های رمزگذاری شده توسط باج‌ گیر افزار Nasoh

Michael Gillespie، متخصص رمزگذاری موفق شد، رمزگشایی برای برخی از نسخه ها و انواع این خانواده باج افزار (Coharos ، Mtogas ، Krusop و غیره) ایجاد کند. اما تنها زمانی کار خواهد کرد که باج‌ گیر افزار Nasoh از یک کلید آفلاین برای رمزگذاری استفاده نماید.
این ابزار شامل BruteForcer فقط برای نسخه هایی است که از رمزگذاری XOR استفاده می کنند.
1. پس از بارگیری ابزار STOPDecrypter، آن را به پوشه Desktop خود Extract نمایید.

2. سپس ابزار STOPDecrypter را اجرا کنید.
فراموش نکنید که STOPDecrypter باید به عنوان Administrator از Desktop اجرا شود.
3. پوشه خود را انتخاب کرده و بر روی دکمه “رمزگشایی- Decrypt” کلیک نمایید.

اگر فایل شما با استفاده از یک کلید آفلاین رمزگذاری شده، این احتمال وجود دارد که بتوانید با استفاده از ابزار رمزگشایی STOPDecrypter که در بالا توضیح دادیم؛ پرونده های خود را بازیابی کنید. متأسفانه، در اکثر موارد، بازیابی پرونده های رمزگذاری شده توسط این باج افزار امکان پذیر نیست. زیرا کلید خصوصی مورد نیاز برای باز کردن قفل پرونده رمزگذاری شده فقط در دست مجرمان می باشد. اما ما در این مقاله سه روش متفاوت که ممکن است به بازیابی و رمزگشایی فایل های شما کمک نمایند را توضیح خواهیم داد.

روش اول: استفاده از Shadow Explorer

در صورتی که سابقه فایل را در Windows خود فعال کرده باشید، تنها کاری که می توانید انجام دهید این است که از Shadow Explorer برای بازگرداندن فایل های خود استفاده کنید. متأسفانه برخی از ویروس های باج افزار ممکن است آن کپی های shadow volume را با یک فرمان اجرایی حذف کنند؛ تا مانع شما برای انجام این کار شوند.

روش دوم: بازیابی اطلاعات با Stellar Data Recovery

Stellar Data Recovery قادر است انواع مختلف فایل های رمزگذاری شده، از جمله ایمیل های حذف شده را پیدا و بازیابی کند.
1_ Stellar Data Recovery را بارگیری و نصب کنید.
2_ درایو ها و پوشه هایی خود را انتخاب نموده، سپس بر روی دکمه اسکن کلیک کنید.
3_ همه پرونده های موجود در یک پوشه را انتخاب کرده، سپس روی دکمه بازیابی کلیک نمایید.
4_ Manage export location، این دقیقا خودشه!

روش سوم: بازیابی فایل های رمزگذاری شده با استفاده از Recuva

Recuva یک برنامه جایگزین می باشد که ممکن است به شما در بازیابی فایل ها کمک کند.
1_ Recuva را اجرا کنید.
2_ دستور العمل ها را دنبال نموده و منتظر بمانید تا فرآیند اسکن به پایان برسد.
3_ فایل های مورد نیاز را بیابید، آن ها را علامت گذاری کرده و بر روی دکمه بازیابی را کلیک نمایید.

جمع بندی:

برای محافظت از رایانه خود در برابر باج‌ گیر افزار Nasoh، همیشه باید یک آنتی ویروس روی رایانه خود نصب نموده و از اسناد شخصی خود پشتیبان تهیه کنید. به عنوان یک روش حفاظتی اضافی، می توانید از برنامه هایی به نام HitmanPro.Alert استفاده کنید که از اجرای هرگونه بدافزار رمزنگاری کننده فایل جلوگیری شود.