باجافزار Jaff توسط ابزار RakhniDecryptor رمزگشایی شد

27 خرداد 1396
نویسنده :  

Sinitsyn تحلیلگر ارشد بدافزار آزمایشگاه کسپرسکی، پس از بررسی باج افزار Jaff توانست نقطه ضعف های این بد افزار را کشف کند و برای تمام نسخه های  این بد افزار که تا به امروز تولید و در سطح اینترنت منتشر شده اند یک decryptor ایجاد کند. ابزار RakhniDecryptor برای کسانی که مورد حمله باجافزار جاف قرار گرفته اند  و فایل های آنها با پسوند .jaff، .wlu، یا .sVn رمزنگاری شده اند طراحی شده است که این فایل ها را از حالت رمزنگاری شده خارج میکند و بهبود می بخشد.

چگونگی رمزگشایی فایل های رمز شده توسط باجافزار جاف با اسفاده از RakhniDecryptor :
قربانیان باجافزار جاف را می توان از طریق  فایل های رمزگذاری شده با پسوند .jaff، .wlu، و یا فرمت .sVn  تشخیص داد برای مثال، یک فایل با نام test.jpg  پس از آلوده شدن به این بد افزار  به صورت  test.jpg.jaff، test.jpg.wlu  یا test.jpg.sVn.  تغییر نام می دهد نمونه ای از یک پوشه از فایل های رمزگذاری شده توسط نوع .sVn از جاف زیر دیده می شود.

 

قبل ازاینکه به Decrypt کردن  فایل های Code شده توسط باج افزار جاف بپردازیم، ابتدا باید مکانی که باج افزارJaff  خود را در آن پنهان کرده است پیدا کنیم و آن را حذف نماییم. برای این کار، با فشار دادن کلیدهای ترکیبی Ctrl + Alt + Delete وارد صفحه Task Manager می شویم .در پنجرهTask Manager  شروع به جستجوی یک فرایندی می پردازیم که به نظر می رسد یک نام تصادفی به آن اختصاص داده شده است. به عنوان مثال، یک فایل با نام SKM_C224e9930.exe  آورده شده است که در صورت مشاهده فایل مشابهی درپنجره Task Manager می توان دریافت که سیستم شما آلوده به باج افزار جاف می باشد. پس از آن که این فرایند درحال اجرا تشخیص داده شد با کلیک کردن بر روی آن و هایلایت شدن فرایند دکمه End Process  را انتخاب کرده و پردازش را خاتمه دهید.


حالا که جاف را روی کامپیوتر غیر فعال کردیم ، می توان اقدام  به Decrypt کردن فایل های رمزگذاری شده کرد . در ابتدا شما نیاز به دانلود RakhniDecryptor دارید که پس از دانلود و خارج کردن از حالت فشرده آن را اجرا کنید.  به محض اجرای برنامه  صفحه اصلی زیر برای شما نمایش داده می شود..

قبل از شروع اسکن، باید ابتدا مطمئن شوید که از نسخه 1.21.2.1 استفاده میکنید، زیرا که این نسخه باجافزار جاف را پشتیبانی میکند برای مشاهده نسخه این ابزار کافی است به قسمت about رفته و مشخصات ابزار را بررسی کنید .

حال پس از اطمینان از نسخه ابزار RakhniDecryptor، اسکن را شروع کنید که در مرحله بعد  RakhniDecryptor از شما می خواهد محل فایل هایی را که رمزنگاری شده اند به آن بدهید. فایل های شما می توانند word، اکسل، PDF، موسیقی، و یا فایل تصویر باشند

به محض انتخاب فایل رمزنگاری شده، ابزار RakhniDecryptor از شما می خواهد که فایل ransom note را نیز انتخاب کنید

پس از انتخاب فایل ransom note کلید open را انتخاب کنید در این لحظه ابزار RakhniDecryptor تمام کامپیوتر شما را اسکن میکند و پس از یافتن فایل های رمزنگاری شده به رمزگشایی آنها می پردازد.

ممکن است این پروسه کمی زمان بر باشد، پردازش را قطع نکنید تا تمام سیستم شما اسکن شود.به محض پایان عملیات اسکن و رمزگشای فایل ها صفحه زیر برای شما نمایش داده می شود.


در صورتی که شما بر روی گزینه detail کلیک کنید تمام اطلاعات فایل های اسکن شده و همچنین فایل های آسیب دیده را برای شما نمایش می دهد.نکته ای که باید به آن اشاره شود این است که این ابزار فایل های رمز شده توسط باجافزار جاف را حذف نمی کند و این فایل ها را در کنار فایل های رمزگشای شده نگه می دارد و شما باید آن ها را به صورت دستی حذف کنید .

تا به اینجا کار رمزگشایی اطلاعات کد شده به پایان رسیده است اما مرحله نهایی که شما می توانید انجام دهید این است که پس از اطمینان از رمزگشایی شدن فایل های خود می توانید با استفاده از ابزار CryptoSearch که تمام فایل های رمز شده شما را جستجو می کند و در یک پوشه قرار می دهد – فایل های رمز شده را حذف و یا بایگانی کنید.

6985 تعداد بازدید
علی سالم پناه

متخصص شبکه و امنیت شبکه

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد