مهدی عسکری
مدرس دوره های ICDL

آموزش حذف Trojan-Ransom.Win32.Rakhni با RakhniDecryptor

در این آموزش میخوام که نحوه ی پاکسازی سیستم رو از یک تروجان باج گیر براتون آموزش بدم.تروجان های Trojan-Ransom.Win32.Rakhni و Trojan-Ransom.AndroidOS.Pletor بد افزارهایی هستند که توسط افراد به قول معروف سودجو استفاده میشن تا فایل های شما رو کد گذاری و قفل کنند و از دسترس شما خارج کنند.این کار با تغییر پسوند فایل های شما به یکی از فرمت های زیر انجام میشه:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
<filename>.<original_extension>.<locked>
<filename>.<original_extension>.<kraken>
<filename>.<original_extension>.<darkness>
<filename>.<original_extension>.<nochance>
<filename>.<original_extension>.<oshit>
<filename>.<originalextension&gt;.&lt;oplata@qqcom>
<filename>.<originalextension&gt;.&lt;relock@qqcom>
<filename>.<original_extension>.<crypto>
<filename>.<original_extension>.<helpdecrypt@ukr.net>
<filename>.<originalextension&gt;.&lt;pizda@qqcom>
<filename>.<originalextension&gt;.&lt;dyatel@qqcom>
<filename>.<originalextension&gt;crypt
<filename>.<originalextension&gt;.&lt;nalog@qqcom>
<filename>.<originalextension&gt;.&lt;chifrator@qqcom>
<filename>.<originalextension&gt;.&lt;gruzin@qqcom>
<filename>.<originalextension&gt;.&lt;troyancoder@qqcom>
<filename>.<original_extension>.<encrypted>
<filename>.<original_extension>.<cry>
<filename>.<original_extension>.<AES256>
<filename>.<original_extension>.<enc>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id371>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id372>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id374>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id375>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id376>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id392>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id357>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id356>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id358>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id359>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id360>
<filename>.<originalextension&gt;.&lt;coderksu@gmailcom_id20>

مثلا من یه فایل دارم به اسم mehdi.doc که بعد از اینکه سیستم من آلوده به این تروجان میشه اسم فایل من میشه mehdi.doc.locked که دیگه توسط من قابل استفاده نیست.در این حالت شما نمی تونید فایل رو هم rename کنید تا پسوندش رو تغییر بدین و ازش استفاده کنید.برای حل این مشکل و دسترسی به فایل های آلودتون از نرم افزار ساده و کم حجم و البته رایگان کسپرسکی به اسم RakhniDecryptor استفاده میکنیم که میتونید از این آدرس دانلودش کنید.

این تروجان Trojan-Ransom.Win32.Rakhni یک فایل به اسم exit.hhr.oshit میسازه که خود این فایل رمزگذاری شده و حاوی رمزی هست که شما باهاش میتونید فایلاتون رو ببینید.اگر این فایل روی سیستمتون وجود داشته باشته باشه نرم افزار RakhniDecryptor سریعتر میتونه رمز فایل های آلودتون رو برداره و اونها رو بازیابی کنه.ولی اگر این فایل روی سیستمتون نبود اصلا نگران نشین چون میتونید با ابزار ساده ی بازیابی فایل که باهاش آشنایی دارید این فایل رو برگردونید و اون رو به فولدر %appdata% برگردونید.مسیر معمول این فایل- exit.hhr.oshit - به این صورت هست:

Windows XP: C:\Documents and Settings\<username>\Application Data
Windows 7/8: C:\Users\<username>\AppData\Roaming

حالا بعد از این مقدمات برای بازیابی فایل های آلوده شدمون به روش زیر عمل میکنیم :

بعد از اینکه نرم افزار رو دانلود کردید و از حالت فشده خارج کردین، فایل RakhniDecryptor.exe رو اجرا کنید و change parameters رو انتخاب کنید

وب سایت توسینسو

در مرحله بعد مسیر هایی که نیاز به اسکن دارند و مشخص کنید و تیک Delete crypted files after decryption رو هم بزنید.این گزینه فقط فایلهای کپی ایجاد و ذخیره شده با پسوند kranken،locked و darkness رو حذف میکنه.

وب سایت توسینسو

بعد از اینکه ok کردید و به صفحه اصلی اومدید start scan رو بزنید

وب سایت توسینسو

حالا تو صفحه Specify the path to one of encrypted files که باز میشه براتون فایل کد گذاری شدتون رو بهش معرفی کنید و open رو انتخاب کنید

وب سایت توسینسو

پیغامی که برنامه بهتون میده رو ok کنید و منتظر بمونید تا اتمام برنامه

وب سایت توسینسو

این فرایند طبق پیغامی که براتون نمایش داده شده حتی ممکن هست چندین روز طول بکشه پس مراقب باشید کامپیوترتون خاموش نشه.

در انتها فایل گزارش این فرایند در مسیری با فرمت زیر ذخیره میشه:

C:\RakhniDecryptor.<version>&lt;date&gt;<creationtime&gt;log.txt

امیدوارم که همیشه دور از تروجان و با سیستمی سالم و سرحال کار کنید و این آموزش هم مورد توجهتون قرار گرفته باشه


نظرات