در صورت آلودگی سیستم به بدافزارها یا تروجان‌های خانواده Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury و یا Trojan-Ransom.Win32.Cryakl تمامی داده‌های روی سیستم به اشکال گوناگون ذکر شده در زیر کدگذاری می‌شوند:

در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.Rannoh، نام و پسوند فایلها همانند الگوی زیر تغییر می‌یابد:

locked-<original_name>.<4 random characters> sample

در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.Cryakl، تگ {CRYPTENDBLACKDC} به انتهای نام فایلهای آلوده اضافه میگردد.

در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.AutoIt ، اسامی و پسوند فایلها با الگوی زیر تغییر می‌یابند:

<original name>@<mail server>_.<random set of characters>

بعنوان مثال ممکن است نام یکی از فایلها به شکل زیر تغییر پیدا کند:

ioblomov@india.com_RZWDTDIC

شرکت امنیتی کسپرسکی* برای بازیابی و کدبرداری از فایل‌هایی که با این دسته از بدافزارها کدگذاری و به عبارتی دستکاری و غیر قابل دسترسی شده‌اند، ابزاری را با نام RannohDecryptor  ارائه نموده است که کاربران میتوانند بصورت رایگان آن را دریافت و طبق دستورات زیر از آن استفاده نمایند.

1- نحوه استفاده از ابزار RannohDecryptor:

ابزار RannohDecryptor را از صفحه ی ابزارهای حذف ویروس دانلود و آن را روی سیستم آلوده اجرا نمایید.

در پنجره اصلی این برنامه Start scan را بزنید.

برای شروع کدبرداری این برنامه از شما میخواهد حداقل مسیر یک فایل کدگذاری شده را مشخص نمایید.

پس از آن، برنامه شروع به جستجوی فایلهای دیگر نموده و اقدام به کدبرداری آنها مینماید.

پس از تکمیل فرآیند، برنامه احتمالاً از شما میخواهد تا سیستم خود را مجدداً راه اندازی (reboot) نمایید.

این ابزار قادر است، فایلهای بازیابی شده را در همان مسیر کپی نماید، لذا در این صورت میتوانید فایلهایی که کدگذاری و با الگوهای فوق الذکر، ذخیره شده بودند را پس از بررسی فایلهای جدید از روی سیستم حذف نمایید؛ لذا برای حذف مؤفق این فایلها میتوانید از گزینه Delete crypted files after decryption در بخش تنظیمات استفاده نمایید.

بصورت پیش فرض، فایل گزارش مربوط به عملکرد این ابزار در درایو سیستم یا درایو سیستم عامل (معمولاً درایو C) و با الگوی اسمی زیر ذخیره میگردد:

UtilityName.Version_Date_Time_log.txt

بعنوان مثال فایل گزارش میتواند در این مسیر و با نامی مشابه ذخیره شود:

C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

2- دستورات مورد استفاده در بخش خط فرمان یا CMD:

ذخیره یک فایل گزارش با عنوان دلخواه

-l <log-file-name>

دستور بستن برنامه پس از پایان کدبرداری فایلها:

-y

3- در صورتی که این ابزار مؤفق به بازیابی فایلها نشد، چه باید کرد؟

در این صورت، میتوانید ابزارهای XoristDecryptor  یا  RectorDecryptorرا نیزاز صفحه ی ابزارهای حذف ویروس دریافت و اجرا نمایید.

کاربران خانگی، میتوانند بمنظور محافظت از سیستم در مقابل انواع تروجانها بویژه اینگونه باج افزارها که اقدام به کدگذاری و ایجاد تغییراتی در داده های شما مینماید، میتوانند از ضدویروس یا بسته امنیتی کامل کسپرسکي یعنی کسپرسکی اینترنت سکیوریتی 2015 استفاده نمایند، چرا که این آنتی ویروس از بهترین ابزارها و قابلیت‌ها (نظیر System Watcher) بمنظور کنترل و شناسایی باج‌افزارها و احیای خودکار فایلهای کدگذاری شده، برخوردار است.

لازم به ذکر است نرم افزار کسپرسکی اینترنت سکیوریتی 2015 فارسی نیز اخیراً توسط شرکت ایدکو، نماینده و توزیع کننده رسمی شرکت کسپرسکی (در خاورمیانه و شمال آفریقا)، عرضه شده و قابل دریافت میباشد.

* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.