باج افزار Jokeroo چیست؟
باج افزار Jokeroo از طریق سایت های جعلی و شبکه های اجتماعی گسترش می یابد. در ابتدا، ویروس به نوع Gandcrab اختصاص داده شد، ولی بعد از مدتی به یک نوع جداگانه از ویروس Jokeroo RaaS تبدیل شد. کلاهبرداران شروع به تبلیغ آن در توییتر کردند. هدف اصلی توسعه دهندگان گسترش باج افزار Jokeroo و آلوده كردن تعداد زیادی رایانه است. برخلاف سایر باج افزارها، باج افزارهای Jokeroo به روشی کاملاً متفاوت آلوده و کلاهبرداری می کنند. توسعه دهندگان برای انتشار خود در سریع ترین و فراوانترین حالت ممکن سعی در توزیع این برنامه از طریق کلیه توسعه دهندگان برنامه های دیگر دارند. باج افزار Jokeroo پیشنهاد می دهد به قربانیان که یک بسته عضویت با عملکردهای مختلف خریداری کنید. سپس روشهای معمول انتقال ویروس نه تنها از طرف توسعه دهندگان ویروس بلکه از بسیاری دیگر نیز به دست می آید. باج افزار Jokeroo تمام پرونده های شما را آلوده کرده و سپس برای شما پیام باج ارسال می کند.
وظیفه ما جلوگیری از آلودگی بیشتر به باج افزار Jokeroo است. برای انجام این کار، باج افزار Jokeroo را حذف کنید.
نحوه حذف باج افزار Jokeroo
اگر از پرونده های رمزگذاری شده خود پشتیبان تهیه می کنید یا قصد ندارید فایل های از دست رفته را بازیابی کنید، رایانه خود را با یک یا چند برنامه ضد ویروس و ضد بدافزار اسکن کنید یا سیستم عامل را مجدداً نصب کنید.
چگونه فایلهای رمزگذاری شده توسط Null را بازیابی کنیم
اگر می خواهید فایل های رمزگذاری شده توسط باج افزار را بازیابی کنید، می توانید رمزگشایی کنید یا از روش های بازیابی فایل استفاده کنید.
راه های رمزگشایی پرونده ها:
- با نویسندگان باج افزار تماس بگیرید، باج را پرداخت کرده و احتمالاً رمزگشایی آن را از آنها بگیرید. این قابل اعتماد نیست: آنها ممکن است رمزگشایی را برای شما ارسال نکنند یا ممکن است ضعیف انجام شود و نتواند پرونده های شما را رمزگشایی کند.
- منتظر بمانید تا محققان امنیتی برخی آسیب پذیری ها را در باج افزار پیدا کنند که به شما امکان رمزگشایی فایل ها را بدون پرداخت هزینه می دهد. این اتفاق ممکن است اما خیلی محتمل نیست: از هزاران نسخه شناخته شده باج افزار، تنها ده ها مورد قابل رمزگشایی رایگان بودند. می توانید هر از چندگاهی به سایت NoMoreRansom مراجعه کنید تا ببینید آیا رمزگشایی رایگان وجود دارد یا خیر.
- برای رمزگشایی از خدمات پولی استفاده کنید. به عنوان مثال، فروشنده آنتی ویروس خدمات رمزگشایی خاص خود را ارائه می دهد.
روش های دیگر برای بازیابی فایل های رمزگذاری شده:
1. بازیابی از پشتیبان گیری اگر به طور منظم از دستگاه جداگانه پشتیبان تهیه می کنید و هر از چند گاهی بررسی می کنید که این سیستم ها در وضعیت مطلوبی قرار دارند و می توان فایل ها را با موفقیت بازیابی کرد. خب، احتمالاً مشکلی برای پس گرفتن پرونده ها نخواهید داشت. فقط کافیست کامپیوتر خود را با چند AV و برنامه ضد بدافزار اسکن کنید یا سیستم عامل را دوباره نصب کنید و سپس از نسخه پشتیبان تهیه کنید.
2. برخی از پرونده ها را از فضای ذخیره سازی ابری (DropBox ، Google Drive ، OneDrive و غیره) بازیابی کنید، اگر یکی از آنها متصل است. حتی اگر پرونده های رمزگذاری شده از قبل با ابر همگام سازی شده باشند، بسیاری از سرویس های ابری فایل های تغییر یافته را برای مدتی (معمولاً 30 روز) نگه می دارند.
3. در صورت موجود بودن Shadow Volume Copy از پرونده های خود را بازیابی کنید. باج افزار معمولاً سعی می کند آنها را نیز حذف کند. (Volume Shadow Copy Service ) یک فناوری ویندوز است که به صورت دوره ای از پرونده های شما عکس فوری ایجاد می کند و به شما امکان می دهد تغییرات ایجاد شده در آن پرونده ها را دوباره برگردانید یا پرونده های حذف شده را بازیابی کنید. VSS همراه با System Restore فعال است: به طور پیش فرض در Windows XP به Windows 8 روشن شده و به طور پیش فرض در Windows 10 غیرفعال است.
4. از نرم افزار بازیابی پرونده استفاده کنید. این احتمالاً برای درایوهای حالت جامد کار نمی کند (SSD – نوع جدیدتر، سریع تر و گرانتری از دستگاه های ذخیره اطلاعات است) اما اگر داده های خود را روی هارد دیسک ذخیره کنید (HDD – قدیمی تر و بیشتر) ارزش امتحان را دارد. وقتی فایلی را از رایانه خود پاک می کنید منظور من کاملاً پاک کردن است: از Shift + Del استفاده کنید یا سطل آشغال را خالی کنید در SSD بلافاصله از درایو پاک می شود. با این حال، در HDD، به عنوان پاک شده مشخص می شود و فضای بیشتری را در هارد دیسک اشغال می کند، همانطور که برای نوشتن در دسترس است، اما داده ها هنوز وجود دارند و معمولاً توسط نرم افزارهای ویژه قابل بازیابی هستند. با این حال، هرچه بیشتر از رایانه استفاده کنید، به خصوص اگر کاری انجام دهید که داده های جدیدی را روی هارد دیسک بنویسد، احتمال بیشتری وجود دارد که پرونده حذف شده شما رونویسی شود و برای همیشه از بین برود. به همین دلیل است که در این راهنما سعی خواهیم کرد فایل های حذف شده را بازیابی کنیم (همانطور که به یاد دارید، باج افزار یک کپی رمزگذاری شده از یک فایل را ایجاد می کند و فایل اصلی را حذف می کند) بدون اینکه چیزی روی دیسک نصب شود. فقط بدانید که این ممکن است برای بازیابی موفقیت آمیز پرونده های شما کافی نباشد. به هر حال، وقتی باج افزار پرونده های رمزگذاری شده ایجاد می کند، اطلاعات جدیدی را روی دیسک می نویسد، احتمالاً در بالای پرونده هایی که پاک کرده است. این در واقع به میزان فضای خالی دیسک سخت شما بستگی دارد: هر چه فضای خالی بیشتر باشد، احتمال اینکه داده های جدید داده های قدیمی را رونویسی کنند کمتر است.
با ادامه کار، باید
1) باج افزارها را از رمزگذاری پرونده هایی که بازیابی می کنیم، متوقف کنیم، اگر بدافزار همچنان فعال باشد.
2) سعی کنید فایل های پاک شده توسط باج افزار را بازنویسی نکنید. بهترین روش برای این کار جدا کردن هارد دیسک و اتصال آن به رایانه دیگری است. شما می توانید تمام پوشه های خود را مرور کنید، آنها را با برنامه های ضد ویروس اسکن کنید، از نرم افزار بازیابی فایل استفاده کنید یا داده ها را از Shadow Volume Copies بازیابی کنید. اگرچه بهتر است قبل از اتصال هارد دیسک آلوده، همه ابزارهای مورد نیاز خود را بارگیری کرده و کامپیوتر را از اینترنت جدا کنید، فقط برای ایمن بودن.
معایب این روش:
- این ممکن است ضمانت شما را باطل کند.
- انجام این کار با لپ تاپ دشوارتر است و برای قرار دادن هارد دیسک قبل از اتصال آن به دستگاه دیگر، به یک محفظه دیسک نیاز دارید.
- اگر قبل از اسکن درایو با AV و حذف همه بدافزارهای یافت شده، در صورت باز کردن پرونده از درایو آلوده، رایانه دیگر آلوده میشود. یا اگر همه AV ها نتوانند بدافزار را پیدا و حذف کنند.
روش ساده تر، بارگذاری در Safe Mode و انجام کلیه اقدامات بازیابی پرونده از آنجاست. با این حال، این به معنای استفاده از هارد دیسک و رونویسی بالقوه برخی از داده ها است. در این حالت ترجیح داده می شود فقط از نسخه های قابل حمل نرم افزار بازیابی استفاده کنید، آنها را در دستگاه خارجی بارگیری کنید و فایل های بازیابی شده را نیز روی دستگاه خارجی ذخیره کنید.
راه اندازی در حالت Safe Mode:
Windows XP ،Windows Vista ،Windows 7:
- رایانه را دوباره Restart کنید.
- هنگامی که صفحه بوت را می بینید به طور مداوم روی کلید F8 ضربه می زنید تا لیست گزینه ها ظاهر شود.
- با استفاده از کلیدهای جهت دار، Safe Mode with Networking را انتخاب کنید.
- Enter را فشار دهید.
Windows 8 ،Windows 8.1 ،Windows 10:
- کلید Windows را نگه دارید و کلید X را فشار دهید.
- Shut down یا sign out را انتخاب کنید.
- کلید Shift را فشار دهید و بر روی Restart کلیک کنید.
- وقتی از شما خواسته شد گزینه ای را انتخاب کنید، روی Advanced options => Startup Settings کلیک کنید.
- در گوشه پایین سمت راست روی Restart کلیک کنید.
- پس از راه اندازی مجدد ویندوز و ارائه لیستی از گزینه ها، F5 را فشار دهید تا Enable Safe Mode with Networking فعال شود.
از پرونده های رمزگذاری شده خود پشتیبان تهیه کنید.
همیشه توصیه می شود که کپی ای از فایل های رمزگذاری شده تهیه و کنار بگذارید. اگر رمزگشایی باج افزار رایگان در آینده در دسترس قرار بگیرد یا اگر تصمیم به پرداخت و دریافت رمزگشایی دارید اما مشکلی پیش می آید و پرونده ها در روند رمزگشایی غیرقابل جبران می شوند، ممکن است به شما کمک کند.
پرونده های رمزگذاری شده را از بازیابی کنید.
ساده ترین راه دسترسی به Shadow Volume Copies استفاده از ابزاری رایگان و به نام است.
5. hadow Explorer را راه اندازی کنید.
Explorer rel = ”noopener noreferrer”> Shadow Explorer. فقط آخرین نسخه را بارگیری و نصب کنید یا نسخه قابل حمل را بارگیری کنید.
6. در قسمت سمت چپ و بالای پنجره می توانید یک دیسک (C: \ ، D: \ و غیره) و تاریخی را انتخاب کنید که عکس فوری از آنها گرفته شده است.
7. برای بازیابی یک فایل یا پوشه بر روی آن کلیک راست کرده و Export select را انتخاب کنید.
8. می خواهید پرونده ها را در کجا قرار دهید.
باج افزار Jokeroo را حذف کنید.
اکنون که پرونده های بازیابی شده یا رمزگذاری شده خود را در دستگاه خارجی دارید، وقت آن است که کامپیوتر خود را با استفاده از نرم افزار AV و ضد بدافزار اسکن کنید یا بهتر است، سیستم عامل را مجدداً نصب کنید تا از ردیابی های احتمالی باج افزار خلاص شوید. به یاد داشته باشید که قبل از قرار دادن مجدد پرونده ها روی رایانه، دستگاه خارجی خود را نیز اسکن کنید!
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید