مجرمین سایبری از این بدافزار برای مختل سازی عملکرد معمول رایانهها استفاده نموده و همچنین ضمن دسترسی غیرمجاز به فایلهای کاربر اقدام به ویرایش و غیرقابل استفاده نمودن آنها مینمایند. با "گروگانگیری" دادههای کاربر (یعنی مسدودسازی دسترسی به آنها)، شخص سودجو یا هکر از مالک این دادهها درخواست باج مینماید. بدین ترتیب، کاربر برای بازگردانی دسترسی به فایلها و یا بازیابی دادههای مختل شده میبایست طبق خواسته هکر عمل کند تا ابزار مربوطه را دریافت کند.
شرکت کسپرسکی، ابزاری ویژه را بمنظور بازگردانی فایلهای مختل شده توسط Trojan-Ransom.Win32.Rector ارائه نموده است که در ادامه به توضیحات تکمیلی در این خصوص میپردازیم.
1- نشانههای آلودگی سیستم
بدافزار Trojan-Ransom.Win32.Rector فایلهایی با فرمت .jpg، .doc، .pdf و .rar را مختل میسازد و معمولاً شخص سودجو با نام ††KOPPEKTOP†† معرفی میشود و اطلاعات زیر را برای تماس به کاربر ارائه میدهد:
ICQ: 557973252 or 481095
EMAIL: v-martjanov@mail.ru
همچنین ممکن است از کاربر بخواهد تا از طریق یکی از وبسایتهای زیر با وی تماس بگیرد:
http://trojan....sooot.cn/
http://malware....66ghz.com/
در تصویر زیر میتوانید پیغامی که روی سیستم یکی از قربانیان ظاهر شده است را ملاحظه نمایید:
2- نحوه کدبرداری یا بازگردانی فایلهای کدگذاری شده:
برای بازگردانی فایلهایی که به دلیل آلودگی سیستم به این تروجان بلااستفاده شدهاند مراحل زیر را دنبال نمایید:
ابزار مربوطه را در صفحه ابزارهای حذف ویروس دریافت و روی سیستم آلوده اجرا نمایید. برای شروع کار این ابزار روی دکمه Start scan کلیک نمایید. (پنجره اصلی در تصویر زیر آمده است)
این ابزار بلافاصله شروع به اسکن، و شناسایی و بازگردانی فایلها مینماید.
در بخش تنظیمات میتوانید گزینه Delete crypted files after decryption را انتخاب نمایید تا فایلهای کدگذاری شده که با پسوندهای .vscrypt، .infected، .bloc، .korrektor، و غیره پس از بازگردانی مؤفقیتآمیز فایلها حذف شوند.
بصورت پیش فرض، این ابزار گزارش عملکرد خود را روی مسیر اصلی یا روت درایو سیستم عامل شما ذخیره مینماید. فایل گزارش با عنوانی مشابه قالب زیر ذخیره میگردد:
UtilityName.Version_Date_Time_log.txt
برای نمونه:
C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt
3- دستوراتی که در محیط CMDبرای این ابزار میتوانید استفاده نمایید:
ایجاد فایل گزارش با نام دلخواه
-l <file_name>
راهنمای دستورات برای استفاده از این ابزار
-h
دستور بازگردانی یا کدبرداری تمام فایلها در مسیر مشخص شده
-fpath <folder_path>
4- اگر این ابزار مؤفق به بازگردانی فایلها نشد چه باید کرد.
ممکن است باج افزاری که روی سیستم شما کپی شده است از خانواده دیگر باجافزارها باشد و دادههای ویرایش شده توسط آن مستقیماً با این ابزار بازگردانی نشود. لذا میتوانید ابزارهای زیر را نیز از صفحه ابزارهای حذف ویروس دریافت و اجرا نمایید:
XoristDecryptor
RakhniDecryptor
- برای دانلود این ابزار میتوانید به صفحه ویژه ابزارهای حذف ویروس کسپرسکی آنلاین مراجعه نمایید.
- برای برخورداری از بهترین محافظت در مقابل باجافزارها، پیشنهاد میشود کسپرسکي اینترنت سکیوریتی 2015 را نصب و استفاده نمایید، چراکه این ابزار به بهترین نحو ممکن میتواند سیستم و دادههای شما را مقابل بدافزارهای گوناگون بویژه باج افزارهای محافظت نماید. لازم به ذکر است نسخه کسپرسکی اینترنت سکیوریتی 2015 فارسی نیز اخیراً از سوی شرکت ایدکو ارائه شده است که از این صفحه قابل دریافت میباشد.
- کاربرانی که از لایسنسهای کسپرسکي 2014 و یا 2013 استفاده میکنند نیز میتوانند از نرم افزار کسپرسکی اینترنت سکیوریتی نسخه 2015، نسخه انگلیسی یا فارسی استفاده نمایند و با کد فعالسازی خود این نرم افزار را فعال نمایند.