کسپرسکی

معرفی ابزار رایگان ضد تروجان RakhniDecryptor

۱۳۹۳/۱۱/۱۹مقالات آموزشی

تروجان ها یا بدافزارهای Trojan-Ransom.Win32.Rakhni  و Trojan-Ransom.AndroidOS.Pletor  توسط افراد سودجو مورد استفاده قرار میگیرند تا داده ها و فایلهای شما را کدگذاری و غیرقابل دسترس نموده و پسوند آنها را به پسوندهای زیر تغییر میدهد:

<filename>.<original_extension>.<locked>

<filename>.<original_extension>.<kraken>

<filename>.<original_extension>.<darkness> 

<filename>.<original_extension>.<nochance> 

<filename>.<original_extension>.<oshit> 

<filename>.<original_extension>.<oplata@qq_com>

<filename>.<original_extension>.<relock@qq_com>

<filename>.<original_extension>.<crypto>

<filename>.<original_extension>.<helpdecrypt@ukr.net>

<filename>.<original_extension>.<pizda@qq_com>

<filename>.<original_extension>.<dyatel@qq_com>

<filename>.<original_extension>_crypt

<filename>.<original_extension>.<nalog@qq_com>

<filename>.<original_extension>.<chifrator@qq_com>

<filename>.<original_extension>.<gruzin@qq_com>  

<filename>.<original_extension>.<troyancoder@qq_com>

<filename>.<original_extension>.<encrypted>

<filename>.<original_extension>.<cry>

<filename>.<original_extension>.<AES256>

<filename>.<original_extension>.<enc>

<filename>.<original_extension>.<coderksu@gmail_com_id371>

<filename>.<original_extension>.<coderksu@gmail_com_id372>

<filename>.<original_extension>.<coderksu@gmail_com_id374>

<filename>.<original_extension>.<coderksu@gmail_com_id375>

<filename>.<original_extension>.<coderksu@gmail_com_id376>

<filename>.<original_extension>.<coderksu@gmail_com_id392>

<filename>.<original_extension>.<coderksu@gmail_com_id357>

<filename>.<original_extension>.<coderksu@gmail_com_id356>

<filename>.<original_extension>.<coderksu@gmail_com_id358>

<filename>.<original_extension>.<coderksu@gmail_com_id359>

<filename>.<original_extension>.<coderksu@gmail_com_id360>

<filename>.<original_extension>.<coderksu@gmail_com_id20>

بعنوان مثال:

فایل document.doc که یک فایل متنی است ممکن است بعد از آلودگی سیستم به این تروجان ها به document.doc.locked تغییر کند که دیگر توسط کاربر نیز قابل استفاده نیست (کاربر براحتی هم نمیتواند آن را Rename کند تا با تغییر دستی پسوند بتواند به آن دسترسی مجدد داشته باشد.)

برای حل این مشکل و دسترسی مجدد به فایلهای آلوده و کدگذاری شده توسط تروجان‌های فوق الذکر، میتوانید از ابزار ویژه و رایگان RakhniDecryptor که توسط شرکت امنیتی کسپرسکی ارائه شده است، استفاده نمایید.

 

 نحوه کار با این ابزار:

مهم: بدافزار Trojan-Ransom.Win32.Rakhni فایلی با عنوان exit.hhr.oshit  میسازد که خود کدگذاری شده و حاوی کلمه عبوری برای بازیابی یا کدبرداری فایلهای آلوده شده میباشد. در صورت وجود این فایل بر روی سیستم، ابزار بازیابی معرفی شده یعنی RakhniDecryptor سریعتر قادر به کدبرداری و بازیابی فایلهای آلوده میباشد. و از طرفی در صورتی که از روی سیستم حذف شود با ابزارهای رایج بازیابی داده های پاک شده قابل بازیابی است. در صورت یافتن یا بازیابی این فایل آن را به پوشه ی %APPDATA%  منتقل نموده و مجدداً اقدام به اسکن توسط ابزار ضد تروجان فوق نمایید. مسیر معمول فایل exit.hhr.oshit بشرح زیر است:

Windows XP: C:\Documents and Settings\<username>\Application Data

Windows 7/8: C:\Users\<username>\AppData\Roaming

 

برای بازیابی فایلهای آلوده مراحل زیر را طی نمایید:

ابزار RakhniDecryptor را از صفحه ی ابزارهای حذف ویروس دانلود و آن را روی سیستم آلوده اجرا نمایید.

برای تعیین مسیرهایی که میخواهید توسط این بررسی شوند روی Change parameters کلیک نموده و مسیرهای مورد نظر را علامت گذاری نمایید

 

مطمئن شوید Delete crypted files after decryption یعنی «پاک نمودن فایلهای کدگذاری شده پس از بازیابی و کدبرداری فایلها» نیز فعال است. (این گزینه تنها فایلهای کپی ایجاد و ذخیره شده با پسوند locked، kraken و darkness  را حذف خواهد کرد.)

 

کلید OK را زده و در پنجره اصلی این برنامه Start scan را بزنید.

 

در پنجره ای که با نام Specify the path to one of encrypted files باز میشود فایل کدگذاری شده مورد نظر را انتخاب و روی دکمه open کلیک نمایید تا نرم افزار شروع به کدبرداری و رمزگشایی نماید.

 

به پیغام هشداری که پس از آن از سوی کسپرسکی ظاهر میشود توجه نمایید و تا زمان پایان فرآیند منتظر بمانید:

این پیغام مبنی بر این است که فرآیند رمزگشایی (بویژه در صورت حذف شدن فایل حاوی پسورد که در بالا ذکر شد) ممکن است مدت زیادی به طول بیانجامد (مثلاً بیش از یک روز). لذا میبایست در تمام این مدت سیستم کاپیوتر را روشن نگه داشته و هرگز برنامه را نبندید.

 فایل گزارش فرآیند کدبرداری و رمزگشایی فایلهای آلوده و کدگذاری شده در فایلی با فرمت و مسیر زیر ذخیره میشود:

C:\RakhniDecryptor.<version>_<date>_<creation_time>_log.txt

بازگشت وجه
ضمانت بازگشت وجه شما برای زمان و محصولات زیر معتبر است: - 72 ساعت از زمان انجام خرید از فروشگاه آنلاین - تمامی محصولات موجود در سایت
ایدکو: نماد اعتماد و بیشترین تعداد مشتری در خاورمیانه

ایدکو: نماد اعتماد و بیشترین تعداد مشتری در خاورمیانه

«شرکت گسترش خدمات تجارت الکترونیک ایرانیان» که به اختصار به آن «ایدکو» نیز گفته می‌شود، با بیش از یک دهه فعالیت در دنیای امنیت سایبری، همراه با سال جدید خورشیدی 1403، با افتخار، جایزه‌ی بیشترین تعداد مشتریان در منطقه خاورمیانه را از آن خود کرده‌است. این جایزه تنها یکی از دستاوردهای اخیر ایدکو است که نشان‌دهنده‌ی تعهد آن‌ها به ارائه‌ی خدمات استثنایی و راهکارهای امنیتی قابل اعتماد است.

ادامه خبر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد