آموزش حذف و پاکسازی تروجان گروگانگیر فایل Trojan-Ransom.Xorist

اگر خاطرتون باشه چندی پیش ویروسی اومده بود که تمامی اطلاعات شما رو قفل میکرد و برای اینکه اونها رو برگردونید نیازمند پرداخت پول به این بندگان خدا بودید!این اتفاق توسط تروجانی به اسم Trojan-Ransom.Win32.Xorist میوفته که فایل های شما رو گروگان میگیره و تا وقتی پول ندید اونا رو در اختیارتون قرار نمیده.شرکت کسپرسکی محصول رایگانی رو برای رفع این مشکل در اختیار شما قرار داده به اسم XoristDecryptor که با هم به بررسی اون میپردازیم.

علایم آلودگی سیستم:

  1. در این نوع بدافزار از کاربر خواسته میشه که برای برگردوندن فایل هاش یه SMS با یه سری توضیحاتی که گفتن ارسال کنه
  2. یه نشونه ی دیگه وجود یک فایل به اسم Read Me: how to decrypt files هست که در درایوی که ویندوزتون نصب هست مشاهده میکنید(معمولا C دیگه!)
  3. معمولا هم فایلی با عنوان CryptLogFile.txt در فولدر ویندوز قابل مشاهده هست.

حالا این برنامه تروجان تمام فایل ها با پسوند های زیر رو قفل میکنه براتون:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

خوب حالا با هم میریم ببینیم که چجوری از شر این تروجان خلاص بشیم:

  • اول این ابزار رایگان رو از این آدرس دانلود کنید

بعد از اینکه Extract کردید فایل XoristDecryptor.exe رو روی سیستم آلودتون اجرا کنید. روی Start Scan کلیک کنید

وب سایت توسینسو

حالا برنامه از شما میخواد که یکی از فایل هایی که آلوده شده رو بهش معرفی کنید.در قسمت Change parameters هم میتونید مکان هایی که نیاز به اسکن هست رو مشخص کنید.بعد از اینکه کار اسکن تموم شد ممکنه سیستم از شما بخواد که یکبار دستگاهتون رو ریست کنید تا عملیات از بین بردن تروجان تکمیل بشه.امیدوارم که این ابزار مورد توجهتون قرار گرفته باشه و سیستمتون هیچ وقت رنگ تروجان و ویروس رو نبینه.

4 نظر
siyavash

اگه اشتباه نگم بد افزار crypto locker هست که اسم های مختلف و ورژن های مختلف داره و با الگوریتم rsa رمز گذاری و قفل می کرد این راه کار kasper فقط بد افزار رو از بین می بره یا فایل های قفل شده رو باز میکنه؟؟؟ چون rsa غیر قابل نفوذ بود و شکستن تو تعریف کلی ولی وقتی یه گیر جهانی مثل این به وجود میاد معمولا بعد مدتی راه کار شکستنش هم میاد چند تا راه کار هم من شنیدم دوست داشتم بد افزار رو داشتم تو محیط virtual تست می کردم

مهدی عسکری

سلام دوست عزیز

وقتی شما برنامه رو اجرا میکنید در قسمت Change parameters داره که فایل مخرب رو هم پاک کنه.و همچنین وقتی سیستمتون رو از تروجان پاک میکنه فایل هاتون رو هم بر میگردونه و قابل استفاده میکنه

نويد

مهندس وقتی فایلهای ویروسی را انتخاب میکنم هیچ اتفاقی نمی افته.در تموم فایلهای ویروسی این فایل ایجاد شده

وب سایت توسینسو

مهدی عسکری

سلام آقای نوید

والا من هیچی تو این عکس نمی تونم ببینم

شما خودت میتونی ببینی؟

لطفا crop کنید تا فضاهای اضافی تو عکس نباشه.ممنون ازتون

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....