به نام خدا

v باج افزار یا Ransomware چیست؟

یکی از مشکلات عمده ای که امروزه افراد در حیطه فناوری اطلاعات با آن موجه هستند ، باج افزار ها یا همان ویروس های باجگیر می باشد . این ویروس ها با ورود به سیستم قربانیان و رمزنگاری فایل های آنان، عملکرد سیستم را مختل کرده و با نمایش پیغامی از کاربر می خواهد که در قبال بازگردانی سیستم به حالت اولیه مبلغی را به عنوان باج به حساب سازنده ویروس واریز نماید.

امروزه باج افزار ها نسبت به گذشته بسیار متنوع تر و پیشرفته تر شده اند , و همچنین حذف ویروس باج گیر سخت تر شده است. از مشهور ترین ویروس های باج گیر موجود می توان به لاکر و پتیا اشاره کرد که این ویروس ها با دستکاری سخت افزار و نرم افزار سیستم های قربانیان ، به منظور دریافت باج برای صاحبانشان فایل های آنان را قفل می کنند. این باج ممکن است به طرق مختلف از جمله پرداخت از طریق بیت کوین یا سایر ارز های دیجیتالی صورت پذیرد.

v ویروس باجگیر یا ویروس باج افزار چگونه سیستم را آلوده می کند؟

درست مانند سایر بدافزارها ، ویروس باج افزار از طریق روش های متداول از قبیل:

وب سایت های غیر قابل اعتماد ، مشکوک یا مخرب ،لینک های مخرب یا فاسد موجود در ایمیل (یا از طریق برنامه های کاربردی چت دیگر رسانه های اجتماعی)، باز کردن یا دانلود فایل ها از فرستنده های ناشناس،نصب نرم افزار دزدان دریایی و همچنین نصب برنامه های نرم افزاری منسوخ شده و قدیمی، دانلود نرم افزار های رایگان: بازی ها ، نرم افزار های جعلی ، محافظ صفحه نمایش و غیره که در نهایت دسترسی به رایانه شخصی که بخشی از شبکه آن آلوده است اقدام به ویروس کردن می کنند.

v چه سیستم هایی مورد هدف ویروس باجگیر Ransomware Attack قرار گرفته است؟

همانطور که قبلاً گفته شد ، به معنای واقعی کلمه هر کسی می تواند در معرض حمله ویروس باجگیر قرار بگیرد:

ü   کاربران خصوصی شرکت ها و ارگان ها و سازمان های بزرگ و حتی سازمان های دولتی.

ü   همه دستگاه هایی که قابلیت اتصال به شبکه یا اینترنت را دارند ، مستعد حملات باج افزار هستند

ü   دسکتاپ یا کامپیوتر های رومیزی، لپ تاپ، تبلت، تلفن همراه هوشمند و غیره.

بدترین چیز در مورد ویروس باج افزار این است که تقابل کافی و سریع برای جلوگیری از فاجعه نشان داده نمی شود.

علاوه بر این ، با استفاده از بیت کوین – یک روش پرداخت ناشناس – هرگز موفق به فرار از دستگیری نمی شوند.زیرا این تراکنش های دیجیتالی قابل ردیابی نیست.

همه این ها منجر به افزایش تغییرات باج افزار در دنیای اینترنت شده است و در نتیجه کلی جرایم سایبری ایجاد می شود.

v چگونه اطلاعات رمزگذاری شده را بازیابی کنیم؟

ده ها راه حل برای بازیابی فایل های قفل گذاری شده توسط ویروس باج گیر وجود دارد.

با استفاده از دستگاه PC 3000 به این فایل ها دسترسی پیدا کند. تنها در صورتیکه فایل ها دستکاری نشده باشند.

ü   اتصال اینترنت و دستگاه های ذخیره سازی را قطع کنید.

ابتدا، کامپیوتر شبکه و سیم و Wi-Fi و دستگاه های ذخیره سازی مانند:هارد اکسترنال استوریج هاSAN Storage و NAS Storageتبلت و گوشی تلفن همراه فلش Flash سرور Server و یا ماشین مجازی WMWareبه محض اینکه مظنون به آلوده شدن شدید، قطع کنید.

این کار برای جلوگیری از اتصال اینترنت انجام می شود.که با استفاده از آن امکان موفقیت در گسترش هک در شبکه و رمزگذاری اطلاعات حیاتی ضروری است.

ü   بررسی کنید با چه نوع باج افزارهایی روبرو هستید!

مشخص کنید که با چه نوع بد افزارهایی با پیام ها و ابزارهای شناسایی ارتباط دارید.

هر کدام از انواع باج افزار به گونه ای متفاوت عمل می کنند ، این کار به شما کمک می کند تا دریابید که گزینه های بازیابی شما چیست.

ü   بازیابی فایل های پشتیبان Backup Recovery

از اطلاعات نسخه پشتیبان داشتن و تهیه منظم بک آپ از دیتا می تواند همیشه شما را از حملات مخرب ویروس باج گیر یا باج افزار نجات دهد.

دستگاه شما در یک هارد اکسترنال ، SSD، کارت SD، ابر یا Cloud یا هرگونه فضای ذخیره سازی دیگر ممکن است در صورت مواجهه با ویروس باجگیر، اطلاعات مهم شما در اثر حمله بدافزار باجگیر، از پرداخت پول برای نجات اطلاعاتتان نجات پیدا کنید.

ü   اگر نسخه پشتیبان تهیه کرده اید ، همه اطلاعات را از ابتدا مجدداً نصب کنید،

زیرا این بهترین کار برای پاک کردن کامل سیستم شما از ویروس باجگیر خواهد بود.

ü   فرمت کردن هارد بعد از حمله هکر و انتقال ویروس به هارد شما مطمئن ترین راه است.بعد از فرمت هیچ بقایایی از ویروس باجگیر و بدافزار باج افزار باقی نخواهد ماند.

در نتیجه بزرگترین اشتباهی که می توانید انجام دهید ارسال پول برای هکر است!!!!

انتقال پول به هکر ها هیچ تضمینی ندارد ، بلکه فقط به معنای حمایت از عملکرد مخرب آن ها است. موارد بسیاری وجود داشته است که پس از پرداخت هیچ کد و یا رمزی به شما تحویل داده نمی شود. بک آپ گرفتن و داشتن نسخه پشتیبان از اطلاعات مهم می تواند به شما در به حداقل رساندن ضررهای احتمالی کمک کند. مقدار اطلاعات خراب شده مورد نیاز برای بازیابی را کاهش می دهد.

v انواع باج افزارRansomware

باج افزار ها دارای انواع گوناگونی می باشند که در کل می توان آن ها را به سه دسته کلی تقسیم بندی کرد :

 Scareware

اسکارور ها ساده ترین نوع از باج افزارها هستند که به آن ترس افزار نیز گفته می شود .نحوه عملکرد این نوع از باج افزار ها به شکلی است که کار بر تصور می کند سیستم دچار ویروس شده است و برای ازبین بردن ویروس scareware را نصب می نماید ولی از لحظه ای که این باج افزار روی سیستم نصب و اجرا می شود کاربر با پیام ها و pop up هایی مواجه می شود که اعلام می‌کنند که جهت احیای سیستم و توانایی استفاده مجدد از آن می بایست مبلغی را به سازنده ویروس پرداخت نمایید و اجازه اجرای برنامه های دیگر را نمی‌دهد.

Lock screen viruses

گروهی دیگر از Ransomware ها نیز وجود دارند که با قفل کردن صفحه نمایش به هیچ عنوان به کاربر سیستم اجازه استفاده از آن را نمی‌دهد.پس از اینکه سیستم به این ویروس آلوده شد، هنگام روشن کردن کامپیوتر ، یک پنجره با اندازه صفحه نمایشگر باز می‌شود و اعلام می‌کند که این پیغام از طرف وزارت دادگستری و یا FBI است و شما قانونی را نقض کرده‌اید و باید جریمه بپردازید.

 The really nasty stuff

و اما بد ترین نوع ویروس های باج گیر The really nasty stuffمی باشد. در این باج افزار تا زمانی که شما مبلغ درخواست شده را نپرداخته اید اطلاعاتتان کاملا قفل می شود و برای بازیابی اطلاعات فقط دو راه دارید ، یک اینکه وجه درخواست شده را بپردازید و دوم هم اینکه شما باید از قبل از اطلاعات خود نسخه پشتیبان تهیه کرده باشید.

اصلی ترین تفاوت بین نوع عملکرد باج‌ افزار مسدودکننده و رمزگذار این است که صدماتی که توسط باج‌افزار مسدودکننده به سیستم فرد قربانی وارد می شود قابل بازگشت هستند یعنی در بدترین شرایط هم فرد می تواند با نصب ویندوزی جدید از شر این ویروس خلاص شود و مجددا بتواند به تمامی فایل های سیستم خود دسترسی داشته باشد.در حالی که باج‌افزارهای رمزگذار عملکرد بسیار پیچیده تری دارند و در حالت کلی امکان این که فایلی را بتوان بدون کلید رمزگشایی مجدداً به بازیابی اطلاعات باج افزار اقدادم کرد وجود ندارد و مساله تاسف بار دیگر اینکه این کلید ها فقط بر روی سرور سازنده باج افزار وجود دارد و قربانیان نمی توانند به هیچ عنوان به کلید دسترسی پیدا کنند. از همین رو حذف ویروس باج گیر در این نوع پیچیده تر است.

v نحوه عملکرد باج افزار و حذف ویروس باج گیر

ویروس های باج گیر به قدری مخرب و قوی هستند که می توانند بعد از ورود به سیستم قربانیان و آلوده کردن فایل ها و اطلاعات آنان ، کامپیوترشان را به کلی از کار بیندازند . پس از اینکه سیستم را آلوده کردند پیغامی به صورت پنجره پاپ آپ بر روی صفحه نمایش ، نمایش می یابد و به کار بر اعلام می کند که سیستم و یا فایل های شما باز نخواهد شد و اگر مایل هستید سیستم شما به وضعیت نرمال خود باز گردد مبلغ n دلار را پرداخت نمایید. در ادامه پیغام نیز یک لینک برای واریز مبلغ درخواست شده نمایش داده می شود .

نوع دیگری از باج افزارها نیز وجود دارند که می توانند سرورهایی را که از طریق اتصال به شبکه با هم در ارتباط هستند را نیز آلوده کنند . این نوع ویروس ها خطرناکترین ویروس های باج گیر برای سازمان ها و شرکت ها هستند زیرا ممکن است با ورود به سیستم یکی از کارمندان ،کل کامپیوتر های مجموعه را آلوده کرده و عملکرد شرکت را متوقف نماید.

پروتکل رمز نگاری در این نوع ویروس ها اغلب ترکیبی از دو پروتکل RSA و AES-128 می باشد که لازم به ذکر است هر دوی این پروتکل از قوی ترین رمزنگار ها در دنیای فناوری اطلاعات هستند و شکستن قفل این نوع رمز نگاری ها و حذف ویروس باج گیر و بازیابی اطلاعات باج افزار بدون داشتن کلید کار بسیار مشکل و گاهاً ناممکن است .

v مشهورترین باج افزار های حال حاضر

Ø   Ryuk

یکی از جدید ترین و خطرناکترین باج افزاری هایی که امروزه دنیای آی تی را به خود در گیر کرده است باج افزار ryuk می باشد. بر اساس اعلام FBI،اهدافی که این ویروس برای حمله انتخاب می کند اغلب شرکت‌های لجستیکی، شرکت‌های فناوری و شهرداری‌های کوچکی که اطلاعات ارزشمندی در اختیار داشتند ، می باشد. این باج افزار ابتدا اطلاعات قربانیان را به سرقت می برد و سپس در ازای آزاد کردن اطلاعاتشان، مبالغ بسیار هنگفتی (حتی تا پنج میلیون دلار) را به شکل بیت کوین از قربانی طلب می کند .

طبق نظر کارشناسان، Ryuk نسخه ‌ای جدید و بهینه ‌سازی شده از ویروس هرمسHerme  می باشد که اولین بار در ماه آگوست سال گذشته میلادی دیده شد. این ویروس توسط «بات نت» منتشر می گردد و اغلب به آدرس آی پی ‌های محافظت نشده رخنه می‌کند.

این ویروس پس‌ از آنکه به شبکه قربانی دسترسی پیدا کرد، ممکن است اقدام به بار گذاری ابزاری برای استخراج فایل‌ های اساسی سیستم قربانی کند. پس از اجرا، مخفیانه حضور خود را از طریق رجیستری بر روی رایانه تثبیت می کند . سپس درعملیات ‌های جاری سیستم نفوذ می نماید و به دنبال فایل‌ هایی می ‌گردد که به سیستم متصل هستند و در نهایت شروع به رمزگذاری فایل ‌های قربانی می کند.

در کنار رمز گذاری اطلاعات ، ویروس همچنین یک فایل توضیحات با عنوان   RyukReadMe  هم در سیستم قربانی باز می‌ کند. پس از اینکه فایل توضیحات باز شد، کاربر در سمت چپ بالای صفحه نمایش خود، ایمیل دو هکر و نام ویروس را در وسط صفحه نمایش خود مشاهده می کند. در سمت راست پایین صفحه نمایش نیز عبارت مشکوک «توازن جهانِ سایه» نمایش داده می شود.

طبق تحقیقاتی که FBI بر روی این باج افزار انجام داده، گفته می شود این ویروس از سال 2018 تا کنون چندین بار تغییر کرده است و همچنان در حال آپدیت شدن است. به همین خاطر حذف ویروس باج گیر ryuk بسیار سخت و پیچیده است.

Ø   باج‌افزار کریپتولاکر

از جمله خطرناکترین باج افزار های کنونی، باج افزار کریپتولاکر می باشد .این باج افزار از ماه سپتامبر سال 2013 شروع به آلوده کردن سیستم های کامپیوتری کاربران کرد . این باج افزار می تواند فایل ها را با استفاده از کلید عمومی 2048بیتی رمز گذاری نماید.بعد از رمزنگاری کریپتولاگر کاربران را تهدید می کرد که درصورت عدم پرداخت هزینه کلید تا سه روز، کلید خصوصی مربوط به این رمز نگاری به صورت خودکار حذف خواهد شد.

 با توجه به این مساله که در این ویروس طول کلید استفاده شده بسیار طولانی است در نتیجه بدیهی ست عملیات بازیابی اطلاعات باج افزار نیز کاری سخت و طولانی شود، و همین مساله باعث خطرناک شناخته شدن کریپتولاگر شده است.

Ø   باج ‌افزار Shark

 shark نوع جدیدی از باج افزار ها است که امروزه در بازار زیر زمینی سایبری در حال گسترش است. طراحان و نویسندگان این بد افزار آن به عنوان نوعی خدمات برای مشتریان ارائه می کنند. و به آن بیزینس مدلِ RaaS می گویند. سازندگان این باج افزار، آن را به شکل رایگان در میان مهاجمانی که علاقه مند به این امر هستند توزیع می کند. در واقع می توان گفت که این برنامه نویسان به مهاجمان آماتور این امکان را می دهد تا بدون داشتن هیچگونه مهارت و تجربه ی فنی و فقط با پرکردن یک فرم و یک کلیک باج افزار دلخواه خودشان را ایجاد نمایند. طراحان باج افزار shark در قبال ارائه خدمات این چنینی 20% از مبالغ پرداخت شده به عنوان باج برای مشتریانشان را برای خودشان برمی‌دارند و تنها 80 درصد از آن را به توزیع کننده می‌ دهند. پروژه باج افزار شارک از جولای سال 2016 آغاز به فعالیت کرد و میزبانی آن بر روی یک سایت ورد پرس با دسترسی عمومی انجام می گیرد و این در حالی است که سایر توسعه دهندگان RaaS و باج ‌افزار ها برای پیشگیری از شناسائی شدن ، معمولا این قبیل خدمات تجاری خود را بر روی شبکه ناشناس ساز TOR میزبانی می نمایند .

Ø   باج افزار CBT LOCKER

 آخرین باج افزاری که در این مقاله به آن اشاره خواهیم کرد، باج افزار cbt LOCKER می باشد. این باج افزار از جمله بد افزار های اخیری است که اطلاعات بسیاری از کاربران فضای مجازی را به خطر انداخته است، از مهمترین دلایل خطرناک شناخته شدن این باج افزار این است که سیستم هایی که با این بدافزار آلوده می شوند نه تنها بخشی از اطلاعات آنها رمزنگاری شده و از دسترس خارج می شوند، بلکه ممکن است بخشی از اطلاعات مهم کاربر نیز کاملا از بین برود.

این باج افزار به این شکل عمل می کند که در ابتدای کار کنترل ورودی و خروجی‌ های کامپیوتر قربانی، مثل کیبورد و صفحه نمایش در دست می گیرد و پس از آن با نمایش دادن پیام‌های تهدید‌آمیزی به کاربران و از آنها درخواست واریز پول می کند.

این باج‌افزار می تواند با تولید کردن فایل های با پسوند‌های PEM، MP4، DB، DOC، DOCX و JPG و… سیستم عامل‌های ویندوز XP، 7 ، 8 و ویستا را آلوده کند و روش کار آن به این شکل است که ابتدا فایل هایی را با پسوند های ذکر شده در بالا تولید می کند و بعد فایل ‌های مهم و اساسی کاربر را با یک کلید سرّی و نا ‌مشخص رمز گذاری می نماید. این باج افزار کلیدهایی را بر می گزیند که حذف ویروس باج گیر و بازیابی اطلاعات باج افزار این نوع تفریبا غیر ممکن باشد و بعد از اینکه عملیات رمزنگاری پایان یافت، پیامی به کاربر ارسال می کند و در آن از وی برای باز کردن فایل های رمز نگاری شده پول طلب می‌کند.

·       ویروس های باج افزار چگونه وارد سیستم کامپیوتر می شوند؟

اولین نکته ای که در مورد قربانیان ویروس باجگیر اهمیت دارد ، متصل بودن سیستم به اینترنت است به عبارت دیگر این ویروس به سراغ سیستم هایی می رود که امکان کنترل از راه دور برای آنها فراهم باشد .

ویروس های باج گیر اغلب از طریق ایمیل های ناشناس به سیستم های قربانیان وارد می شوند ، در این حالت ویروس به شکل یک فایل پیوست به ایمیل قربانی ارسال می گردد و زمانی که فرد فایل پیوست را اجرا می کند ویروس به داخل سیستم رخنه کرده و شروع به رمزنگاری اطلاعات می کند و فایل های رمز نگاری شده را با پسوند های جدید ذخیره می کند.

البته راه های دیگری نیز برای ورود این ویروس به سیستم های رایانه ای وجود دارد که می توان به موارد زیر اشاره کرد:

•        کلیک روی لینک هایی که ممکن است در ایمیل، سایت ها و یا شبکه های اجتماعی برای قربانی ارسال شود.

مراجعه به سایت های خطرناک و مشکوک که غالبا دارای محتواهای مستهجن می باشند.

•        اجرای فایل های آلوده به ویروس باجگیر

•        اجرای ماکرو های ویروسی شده در اسناد برخی برنامه ها ،مثل واژه پرداز ها و صفحه گسترده ها

•        ورود از طریق دستگاه های جانبی مثل فلش مموری ، هارد اکسترنال و …

فایل مربوط به ویروس غالبا با ظاهر یک فایل word برای قربانی ارسال می شود که این فایل حاوی یک ماکرو است و پس از اینکه توسط فرد دانلود و اجرا شد ، این ماکرو یک فایل از نوع BAT را در داخل هارد کامپیوتر قربانی ایجاد می کند که این فایل قابلیت اجرای دستورات سیستم عامل را دارا می باشد. این فایل BAT ایجاد شده مثل یک دانلود کننده عمل می کند و می تواند فایل دیگری را با فرمت VBScript که همان فایل اصلی ویروس باج گیر است را از اینترنت دانلود کرده و اجرا نماید.

اغلب کاربران ایرانی که قربانی این ویروس شده اند اعلام کرده اند که ایمیلی با عنوان معینی را باز کرده اند و پس از آن دچار چنین مشکلی شده اند . این ویروس ها غالبا تحت ایمیل های تبلیغاتی ناشناس برای افراد ارسال می گردند.

v راه های پیشگیری از ورود باج افزار به سیستم

در صورتی که در هنگام استفاده ازکامپیوتر به خصوص زمانی که به اینترنت متصل هستید برخی نکات ایمنی ضروری را رعایت کنید احتمال آلوده شدن سیستم شما به باج افزار بسیار کمتر می شود. در زیر به تعدادی از این نکات اشاره می کنیم:

•        به هیچ عناون فایل های پیوست ایمیل های ناشناس و مشکوک را دانلود نکنید.

•        از نسخه های آنتی ویروس قوی و فایروال امن و موثر در سرور های هاست استفاده کنید.

•        تمامی برنامه های کاربردی ، سیستم عامل و نیز آنتی ویروس و فایروال کامپیوتر خود را بطور مرتب به روز رسانی کنید.

•        سعی کنید همیشه نسخه بکاپی از اطلاعات حیاتی خود را در مکانی امن نگهداری نمایید تا در شرایط بروز حمله باج افزاری بتوانید از آن نسخه پشتیبان استفاده کنید.

•        در هنگام خرید هاست، امنیت و امکان تهیه بکاپ های دوره ای را نیز به عنوان مهمترین ملاکهای انتخاب، مد نظر قرار دهید.

•        سعی کنید از سایت های ناشناس فایل و نرم افزار/اپلیکیشن موبایل دانلود و نصب ننمایید .

•        همواره برای دانلود های خود به خصوص دانلود نرم افزار ها ، به سایت های معروف و امن مراجعه نمایید.

•        همیشه بر روی سیستم خود از برنامه ها و نرم افزارهای ضد اسپم Anti Spamاستفاده کنید.

•        ایمیل هایی که از آدرس های نا شناخته و یا مشکوک دریافت می کنید را باز نکنید و مستقیما حذف کنید. زیرا ممکن است فایل باج افزار تنها با باز کردن ایمیل نیز بتواند وارد سیستم شما شود .

•        هر وسیله ورودی خروجی که به دستتان می رسد را به سیستم خود وصل نکنید و حتما قبلا از باز کردن فلش مموری، سی دی و یا فلاپی دیسک و… آنها را با استفاده از آنتی ویروس آپدیت شده اسکن کنید.

•        هرگز هرز نامه های موجود در بخش Spam ایمیلتان را باز نکنید.

•        اگر شما مسئول سازمانی هستید که در مورد تهدید باج ‌افزارها نگرانی دارید، بهترین کار این است که تمامی کارکنان خود را جهت مقابله با این نوع ویروس ها و موارد مشابه آن آموزش دهید.

v بازیابی اطلاعات باج افزار | حذف ویروس باج گیر

•        در ابتدا برای حذف باج افزار یا سایر انواع نرم افزارهای مخرب که ممکن است بر روی کامپیوتر شما نصب شده باشند، یک scan کامل با یک solution امنیتی مناسب و آپدیت شده انجام دهید.

•        سعی کنید از تصمیمات آنی که باعث می شود اطلاعاتتان به کلی از بین برود بپرهیزید و آرامش خود را حفظ کنید.

•        با توجه به اینکه به احتمال زیاد افراد مهاجم پس از دریافت باج نیز اطلاعات شما را بازگردانی نکنند ،پس پرداخت باج خواسته شده اصلا تصمیم عاقلانه ای نمی باشد.

•        اگر از سیستم خود بکاپ دارید می توانید برای حل مشکل این بکاپ ها را نیز تست و بررسی کنید .

•        در آخر بهترین راه این است که با متخصصان  کلینیک هارد مشورت کرده و شرایط بازیابی اطلاعات از دست رفته خود را بررسی کنید.

نحوه‌ی بازیابی فایل‌های رمزگذاری شده باج افزار در ویندوز10

روش اول: روش Expert

نرم افزار Windows Data Recovery یکی از بهترین نرم افزارهای تعمیر هارد دیسک برای استفاده و بازیابی فایل‌های آلوده ازهارد دیسک می‌باشد، این ابزار می‌تواند فایل‌های مهم مانند ویدیو، موسیقی، اسناد، تصاویر و بسیاری از اشیاء دیگر را از هارد دیسک آلوده به باج افزار بازیابی کند، هم چنین این ابزار می‌تواند به حفظ ساختار اصلی فایل‌ها کمک کند. این ابزار از فرمت‌های مانند NTFS و FAT پشتیبانی می‌کند و شما به راحتی می‌توانید از آن برای استخراج و ذخیره پوشه‌های خاص از فایل‌های HTML بازیابی شده استفاده کنید.

مراحل زیر را دنبال کنید:

نرم افزار را دانلود و نصب کنید، شما باید نمای دقیق فایل‌های خود را در پنل ببینید، به محلی که باید فایل‌های بازیابی شده را ذخیره کنید بروید. فایل‌ها را در مکانی که انتخاب کرده‌اید؛ ذخیره کنید.

ابزار دیگری که می‌توانید به طور قابل اعتماد از آن استفاده کنید، Disk Drill است که توسط CleverFiles توسعه یافته است، این ابزار علاوه بر بازیابی فایل‌ها از هارد دیسک آلوده به باج افزار، می‌تواند فایل‌ها را از یک هارددیسک خراب نیز بازیابی کند.

روش2: بازیابی از پشتیبان گیری

روش دوم برای بازیابی فایل‌ها پس از حمله باج افزار، استفاده از پشتیبان گیری است. اگر قبل از این اتفاق یک نسخه پشتیبان در ویندوز 10 خود داشتید این می‌تواند یکی از سریع‌ترین روش‌ها باشد. همچنین سیستم شما باید شرایط زیر را داشته باشد:

شما باید یک نسخه جدید از داده‌ها و برنامه‌های خود داشته باشید.پیش از ادامه بازیابی فایل‌های سیستم ،اطمینان حاصل کنید که باج افزار حذف شده است. شما می‌توانید با بازنشانی سیستم به تنظیمات کارخانه به این مهم دست یابید.

روش3: بازیابی از نسخه‌های قبلی

این روش فایل‌های پاک شده را از هارد دیسک بازیابی می‌کند، مراحل زیر را برای تکمیل بازیابی سیستم دنبال کنید.

دایرکتوری داده‌های خود را پیدا کنید، روی فایل کلیک راست کرده و "Prpperties " را انتخاب کنید، سپس در پنجره ظاهر شده روی گزینه Previous Version کلیک کنید، اگر برگه‌ی نسخه‌ی قبلی را نمی بینید باید کلاینت را نصب کنید یا با پشتیبانی خود برای کمک صحبت کنید.

وقتی از فهرستی از اسنپ شات‌های فایل‌های موجود ظاهر می‌شوند، اسنپ شاتی را که جدیدترین نسخه شناخته شده فایل را منعکس می‌کند؛ انتخاب کنید، برای تایید این که نسخه مناسب است، رویView کلیک کنید، سپس می‌توانید با کلیک روی گزینه Fileو سپسSave As فایل را ذخیره کنید، اگر از ویندو 7 استفاده می‌کنید، برای بازیابی فایل‌ها روی گزینه Restore کلیک کنید.

v شکستن قفل باج افزار

از اقداماتی که در خصوص بازیابی فایل رمزگذاری شده توسط باج افزار ارائه می شود، شکستن قفل آن می باشد. در واقع شکستن قفل به عملی اشاره دارد که در آن رمز فایل بدون پرداخت هزینه به هکر، بازگشایی می شود. در این خصوص از نرم افزارهای خاصی بهره گرفته می شود. البته همانطور که گفتیم ممکن است در برخی از باج‌افزارها رمزگشایی بسیار پیچیده باشد.

v حذف باج افزار

از دیگر مسائلی که در خصوص بازیابی باج افزار و رمزگشایی آن مورد توجه است، حذف خود باج افزار می باشد. واقعیت آن است که باج افزارها برنامه های غیرقابل حذفی نیستند بلکه می توان آن ها را با روش های مختلفی حذف کرد. اما دقت کنید که این کار نمی تواند توسط شما انجام شود؛ چراکه اگر داده های رمزنگاری شده به هر دلیل پاک شوند یا خراب شوند، حتی متخصصان بازیابی اطلاعات هم قادر نخواهند بود آنها را ریکاوری کنند. بنابراین بهتر است ریسک نکرده و این کار را به متخصصان واگذار کنید. آنها تمامی داده های رمزنگاری شده توسط ransom ware را از طریق نرم افزارهای تخصصی بازیابی می کنند.

v ابزارها و نرم افزارهای بازیابی باج افزار و رمزگشایی

ابزارهای متنوعی برای حذف باج افزارها و رمزگشایی داده ها ارائه شده است اما واقعیت آن است همه آنها قدرت مقابله با باج افزار را نداشته و درصورت عدم شناخت کافی از آنها ممکن است شانس بازیابی اطلاعات برای همیشه از بین برود. با این حال در زمینه بازیابی باج افزار و رمزگشایی داده ها چند ابزار قابل توجه می باشند: رمزگشای AutoLocky، رمزگشای Jigsaw، رمزگشای باج‌افزارKaspersky، رمزگشای Hitmanpro.Kickstart و ابزار ضد باج‌افزاری trend micro برخی از این ابزارها می باشند.