هناك تهديدات لا تشكل خطر على الحاسوب فور ازالتها. وبالمقارنة مع حالات أخرى، حتى بعد التخلص تروجان نزع الفدية، تبقى آثاره مستمرة. حيث لا يمكن استعادة الملفات المصابة بفيروس نزع الفدية CryptoLocker ما لم يوافق الضحية على شروط الاستحواذ المفروضة عليه والقيام بتسليم المال الى المبتزين. في بعض الحالات، تكون عملية استعادة البيانات غير مجدية رغم دفع المال. استمر في قراءة هذا المقال لتتعرف على تفاصيل جديدة حيال هذه المسألة.
فكرة فيروس CryptoLocker قائمة على نظريات مؤامرة وتعقيدات. حيث تم إطلاق هذه السلالة بشكل رسمي عام 2013 وكانت واحدة من احدى الاصابات التي تم تطبيقها في ذلك الوقت. وقد حظيت هذه الحملة المشينة باهتمام وثيق من قبل السلطات مما أدى الى القضاء عليها في أقل من عام منذ انطلاقها. وتعرض زيوس بوت نت المسؤول عن توزيع الفيروسات للمساءلة القانونية وتم التخلص من الفيروس على أمل أن المشكلة قد تم حلها بشكل نهائي. وعلى الرغم من ذلك، تبين أن عملية القضاء على الفيروس كانت مؤقتة. ومازال يعاني مستخدمي الحاسوب حول العالم من آثار هجمات فيروس CryptoLocker. وتفسير هذه المشكلة هو ظهور عدة مقلدين وتم اكتشاف انه لهم أصول مختلفة.
يقوم التكرار المعاصر لهذه الآفة بعمل نفس الشيء بالضبط. يقومون بنشر هذه الآفات مع مرفقات البريد الالكتروني، ومن ثم يقومون بتشفير الملفات الشخصية الخاصة بالضحية ويطلبون رسوم لفك تشفيرها. حيث آلية توزيع هذه الآفات تعتبر تافهة جداً. الذي يحدث هو أن المستخدم يتلقى رسالة على البريد الالكتروني تنتحل صفة بعض الشركات ذات السمعة الطيبة. تحتوي هذه الرسالة على مرفق عليه قناع ويظهر بأنه غير ضار ومثير للاهتمام مثل اشعار تسليم سري أو ملف اكسل به كشف راتب. وتبدأ التسوية فور فتح الملف.
يبدأ التروجان بالبحث عن البيانات على القرص الصلب وأقراص الشبكات المعينة وعلى ملفات محددة بامتدادات مثل doc، pdf، xls، psd الخ. حيث يتم تشفير كل ملف بمعيار RSA. ويتم بعد ذلك انشاء مفتاح التشفير واعطاءه عنوان باسم “عام” ويحفظ على الحاسوب. ويتم ارسال مفتاح فك التشفير “خاص” الى خادم التحكم والقيادة الخاص بالهاكرز. وتحاول ملفات نزع الفدية حذف جميع النسخ الاحتياطية للملفات وذلك بهدف افشال جميع طرق استعادة الملفات. ووجد أن التهديدات المتنوعة الحديثة المرفقة للملفات متاحة بامتدادات صغيرة جداً.
ثم تقوم البرمجية الخبيثة بعد ذلك بفتح واجهة تقول “لقد تم تشفير ملفاتك الشخصية.” وتستمر شاشة التحذير بعرض التالي: “تم انشاء التشفير باستخدام مفتاح عام فريد من نوعه “RSA-4096” على حاسوبك. لفك تشفير الملفات، أنت بحاجة الى الحصول على المفتاح الخاص. يتم اعطاء الضحية فترة زمنية من 72 ساعة ليدفع 0.5 بتكوين مقابل فك التشفير. في حالة عدم الدفع خلال هذه الفترة، يقوم العاملين على فيروس CryptoLocker بالتهديد بتدمير المفتاح الخاص وجعل البيانات غير قابلة للاستعادة. بالمناسبة، تبدأ شهية الهاكرز للمال في التقلص لأن النسخ السابقة من برمجياتهم الخبيثة قد ابتزت 2 بتكوين بما يقارب 700 دولار أمريكي. ومع ذلك، حتى لو كان المبلغ الحالي أقل بأربع مرات، فان فكرة الدفع غير سارة أيضاً.
وتعتبر ملفات تعليمات نزع الفدية بمثابة مستندات اضافية لهذه الاصابة. يقوم التروجان بإنشاء المستندات التالية على سطح المكتب في كل مجلد به ملفات مغلقة ومن هذه الملفات: HOW_TO_RECOVER_FILES.html و HOW_TO_RECOVER_FILES.txt. حيث تكرر هذه الملفات نفس المعلومات التي تم عرضها على واجهة المستخدم الرئيسية، وهي قم بالدفع ومن ثم احصل على مفتاح فك التشفير. عموماً، دفع المال يكون الخيار النهائي الذي يجب اتخاذه. وقبل أن تفكر بالدفع، حاول استخدام تقنيات من شأنها تفشل جميع مخططات مجرمي الانترنت.
الازالة التلقائية لفيروس CryptoLocker
يمكن بفعالية القضاء على ملف نزع الفدية CryptoLocker من خلال استخدام مكافح فيروسات موثوق. الاعتماد على تقنية التنظيف التلقائي تضمن ازالة وكنس جميع مكونات الاصابة من نظامك.
١ القيام بتحميل برنامج أمان موصى به وقم بفحص حاسوبك من الكائنات الضارة من خلال تحديد خيار البدء بفحص الحاسوب.
٢ سيقوم الفحص بعرض قائمة بالعناصر التي تم كشفها. أنقر على اصلاح التهديدات لتتمكن من ازالة اعلانات التجسس من نظامك. سيؤدي اكمال هذه المرحلة من عملية المسح الى القضاء التام على الاصابة. أنت تواجه الآن تحدياً كبيراً -ابذل أفضل ما لديك لاستعادة ملفاتك.
طرق استعادة الملفات التي تم تشفيرها من خلال فيروس CryptoLocker
الحل الأول: استخدم برنامج لاستعادة الملفات
من المهم معرفة أن فيروس CryptoLocker يقوم بإنشاء نسخ من ملفاتك ويقوم بتشفيرها. ويتم حذف الملفات الأصلية في نفس الوقت. هناك الكثير من البرامج موجودة على الانترنت لاستعادة البيانات المحذوفة. يمكنك استخدام أداة لهذا الغرض مثل Data Recovery Professional. تميل أحدث اصدارات ملفات نزع الفدية الى النظر في تطبيق حذف آمن مع كتابات متعددة بهدف عدم القدرة على استرجاع تلك الملفات. لكن على أي حال تستحق هذه الطريقة المحاولة
الحل الثاني: استخدم من النسخ الاحتياطي
أولا وقبل كل شيء، هذه طريقة رائعة لاستعادة ملفاتك. حيث يمكن تطبيق هذه الطريقة لو كنت قمت فعلياً بتخزين النسخ الاحتياطي على جهازك. إذا كان الأمر كذلك، حينها يمكنك الاستفادة من هذه الطريقة.
الحل الثالث: استخدم نسخ الظل للمجلدات
في حال عدم معرفتك، يقوم نظام التشغيل بانشاء نسخ ظل لكل ملف طالما كانت خاصية “استعادة النظام” مفعلة على الحاسوب. كما انه يتم انشاء نقاط استعادة في فترات زمنية محددة للملفات. كما اننا ننصحك بأن هذه الطريقة لا تضمن استرداد أحدث اصدارات الملفات الخاصة بك. لكنها تستحق منك المحاولة. يتم تنفيذ هذه الطريقة بخطوتين: يدوياً ومن خلال استخدام الحل التلقائي. دعنا أولاً نأخذ نظرة على العملية اليدوية.
• استخدام ميزة الإصدارات السابقة
نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .
• تطبيق أداة الظل اكسبلورر
هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه
تحقق من اتمام ازالة فيروس نزع الفدية CryptoLocker بشكل كامل
مجدداً، لا يؤدي ازالة فيروس CryptoLocker وحده الى فك تشفير ملفاتك الشخصية. قد تقوم طرق استعادة البيانات الموضحة اعلاه بتنفيذ هذه الحيلة أو لا، لكن ملف انتزاع الفدية نفسه لا يكون موجود داخل حاسوبك. لكن بالمناسبة، قد يأتي هذا النوع من الملفات مع البرمجيات الخبيثة، وينصح بإعادة فحص نظام التشغيل بشكل متكرر من خلال برنامج أمان تلقائي للتأكد من عدم وجود آثار ضارة لهذا الفيروس أو وجود تهديدات داخل سجل الويندوز والمواقع الأخرى.