تتحدث هذه المقالة على واحدة من أطول حملات الابتزاز أمداً حتى الآن. وفي الأصل تعرف هذه الحملة باسم TorrentLocker، وتدعى ملفات انتزاع الفدية الحالية النشطة باسم Crypt0L0cker والتي تم اطلاقها تقريباً منذ أواخر شهر ابريل لعام 2015. وكان منشئي هذا الفيروس قادرين على اخفاء آثار أعمالهم القذرة من خلال استخدام تكنولوجيا تشفير عملة البتكوين التي يصعب تعقب أثرها وتكنولوجيا Onion Router.
ما هو فيروس Crypt0L0cker؟
Crypt0L0cker هو عبارة عن تروجان نزع الفدية يتم ارساله عبر الرسائل المزعجة، ويقوم بتشفير جميع المعلومات المهمة على الحاسوب ويطلب مبالغ بتكوين مقابل فك التشفير. خلال فترة تطور هذا الفيروس، خضع عدد من الأقراص للإصابة. كل فيروس من الاصدارات السابقة قام بالحاق الضرر بملفات الضحية بامتدادات معينة بما في ذلك امتداد enc. وencrypted. وعلى عكس انذاراته، تقوم النسخة الحالية بتوظيف قليل من العشوائية من حيث تسمية ادخالات البيانات المشوشة. تقوم بعمل سلسلة من امتدادات مكونة من 6 حروف عشوائية لكل ملف مشفر. على سبيل المثال، الصورة التي تحمل اسم Pic.bmp سوف تتحول الى Pic.bmp.ayncxo. وبالتالي اي محاولات لفتح الملف المشوه سيظهر رسالة خطأ.
على الرغم من أن صيغة الامتداد تشكل عقبة أمام تحديد السلالة، فان فيروس Crypt0L0cker يقوم بعرض الكثير من الخصائص التي لا تترك مجالاً للشك عن ماهية التهديد الذي تتعامل معه. يقوم الفيروس بتنزيل ملاحظات فدية وهي عبارة عن ملفات تقوم بتحذير الضحايا عن الحادثة المؤسفة وتعطيهم توجيهات أولية لاستعادة الملفات. تقوم الاصدارات الأخيرة من ملفات نزع الفدية هذه بإنشاء كتيبات نزع الفية التالية: HOW_TO_RESTORE_FILES.html and HOW_TO_RESTORE_FILES.txt. البحث عن هذه الملفات لا يحتاج الى مجهود لأنها تظهر تلقائياً على سطح المكتب وفي المجلدات التي تحتوي على ملفات لم يعد الوصول اليها ممكناً. صياغة كتابة هذه المستندات ثابتة وتحتوي على نفس النصوص. ومحتواها يكون: “تم تشفير ملفاتك المهمة بما في ذلك الملفات الموجودة على اقراص الشبكة وذاكرة الفلاش مثل الصور والفيديوهات والمستندات الخ بواسطة فيروس Crypt0L0cker. الطريقة الوحيدة لاستعادة ملفاتك هي أن تدفع لنا والا سيتم فقدان ملفاتك.
باتباع التعليمات، سينتهي الأمر بالمستخدمين المصابين الى توجيههم الى صفحة Tor تخبرهم بشراء فك التشفير. يفترض أن يتم دفع 0.5 بتكوين في هذه الصفقة للهاكرز. هناك فترة دفع محدودة لمدة 120 ساعة أو 5 أيام كي ترسل الفدية وعدم القيام بالدفع خلال هذه الفترة سيؤدي الى مضاعفة المبلغ. حيث بإمكان المستخدم المصاب معرفة العدد الكلي للملفات المشفرة الخاصة به على صفحة “شراء فك التشفير”. ويقوم المجرمون بإعطاء خيار لفك تشفير ملف واحد مجاناً ولكن يجب أن يكون حجم الملف الذي سيتم فك تشفيره أقل من 1 ميجابايت.
كما تم مناقشته سابقاً، يقوم محتالون حملة Crypt0L0cker 2017 باستخدام الرسائل المزعجة كوسيله لنشر هذه الملفات. حيث يقوم بوت نت بتوليد موجات ضخمة من الرسائل لإرسال ملفات نزع الفدية للآلاف المستخدمين بنقرة واحدة فقط. تبدو المرفقات خداعة مثل ملفات مايكروسوفت وورد أو ملفات مضغوطة تحتوي على عناصر جافا سكريبت خبيثة. حيث فتح هذه الملفات سيؤدي الى عملية انتشار ملفات نزع الفدية في النظام. إذا تم الاختراق وتم اقفال جميع بياناتك الشخصية، فان هذه الخطوات يجب أن الخيار الأول لحل المشكلة. ودفع الفدية يجب أن يكون الخيار الأخير، وقم بتجربة كل شيء لحل هذه المشكلة قبل الدفع.
الازالة التلقائية لفيروس Crypt0L0cker
يمكن بفعالية القضاء على ملف نزع الفدية Crypt0L0cker من خلال استخدام مكافح فيروسات موثوق. الاعتماد على تقنية التنظيف التلقائي تضمن ازالة وكنس جميع مكونات الاصابة من نظامك.
١ القيام بتحميل برنامج أمان موصى به وقم بفحص حاسوبك من الكائنات الضارة من خلال تحديد خيار البدء بفحص الحاسوب.
٢ سيقوم الفحص بعرض قائمة بالعناصر التي تم كشفها. أنقر على اصلاح التهديدات لتتمكن من ازالة اعلانات التجسس من نظامك. سيؤدي اكمال هذه المرحلة من عملية المسح الى القضاء التام على الاصابة. أنت تواجه الآن تحدياً كبيراً -ابذل أفضل ما لديك لاستعادة ملفاتك.
طرق استعادة الملفات التي تم تشفيرها من خلال فيروس Crypt0L0cker
الحل الأول: استخدم برنامج لاستعادة الملفات
من المهم معرفة أن فيروس Crypt0L0cker يقوم بإنشاء نسخ من ملفاتك ويقوم بتشفيرها. ويتم حذف الملفات الأصلية في نفس الوقت. هناك الكثير من البرامج موجودة على الانترنت لاستعادة البيانات المحذوفة. يمكنك استخدام أداة لهذا الغرض مثل Data Recovery Professional. تميل أحدث اصدارات ملفات نزع الفدية الى النظر في تطبيق حذف آمن مع كتابات متعددة بهدف عدم القدرة على استرجاع تلك الملفات. لكن على أي حال تستحق هذه الطريقة المحاولة.
الحل الثاني: استخدم من النسخ الاحتياطي
أولا وقبل كل شيء، هذه طريقة رائعة لاستعادة ملفاتك. حيث يمكن تطبيق هذه الطريقة لو كنت قمت فعلياً بتخزين النسخ الاحتياطي على جهازك. إذا كان الأمر كذلك، حينها يمكنك الاستفادة من هذه الطريقة.
الحل الثالث: استخدم نسخ الظل للمجلدات
في حال عدم معرفتك، يقوم نظام التشغيل بانشاء نسخ ظل لكل ملف طالما كانت خاصية “استعادة النظام” مفعلة على الحاسوب. كما انه يتم انشاء نقاط استعادة في فترات زمنية محددة للملفات. كما اننا ننصحك بأن هذه الطريقة لا تضمن استرداد أحدث اصدارات الملفات الخاصة بك. لكنها تستحق منك المحاولة. يتم تنفيذ هذه الطريقة بخطوتين: يدوياً ومن خلال استخدام الحل التلقائي. دعنا أولاً نأخذ نظرة على العملية اليدوية.
• استخدام ميزة الإصدارات السابقة
نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .
• تطبيق أداة الظل اكسبلورر
هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه
تحقق من اتمام ازالة فيروس نزع الفدية Crypt0L0cker بشكل كامل
مجدداً، لا يؤدي ازالة فيروس Crypt0L0cker وحده الى فك تشفير ملفاتك الشخصية. قد تقوم طرق استعادة البيانات الموضحة اعلاه بتنفيذ هذه الحيلة أو لا، لكن ملف انتزاع الفدية نفسه لا يكون موجود داخل حاسوبك. لكن بالمناسبة، قد يأتي هذا النوع من الملفات مع البرمجيات الخبيثة، وينصح بإعادة فحص نظام التشغيل بشكل متكرر من خلال برنامج أمان تلقائي للتأكد من عدم وجود آثار ضارة لهذا الفيروس أو وجود تهديدات داخل سجل الويندوز والمواقع الأخرى.
التعليق هنا