در صورت آلودگی سیستم به بدافزارها یا تروجانهای خانواده Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.AutoIt، Trojan-Ransom.Win32.Fury و یا Trojan-Ransom.Win32.Cryakl تمامی دادههای روی سیستم به اشکال گوناگون ذکر شده در زیر کدگذاری میشوند:
در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.Rannoh، نام و پسوند فایلها همانند الگوی زیر تغییر مییابد:
locked-<original_name>.<4 random characters> sample
در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.Cryakl، تگ {CRYPTENDBLACKDC} به انتهای نام فایلهای آلوده اضافه میگردد.
در موارد آلودگی سیستم به بدافزارهای Trojan-Ransom.Win32.AutoIt ، اسامی و پسوند فایلها با الگوی زیر تغییر مییابند:
<original name>@<mail server>_.<random set of characters>
بعنوان مثال ممکن است نام یکی از فایلها به شکل زیر تغییر پیدا کند:
ioblomov@india.com_RZWDTDIC
شرکت امنیتی کسپرسکی* برای بازیابی و کدبرداری از فایلهایی که با این دسته از بدافزارها کدگذاری و به عبارتی دستکاری و غیر قابل دسترسی شدهاند، ابزاری را با نام RannohDecryptor ارائه نموده است که کاربران میتوانند بصورت رایگان آن را دریافت و طبق دستورات زیر از آن استفاده نمایند.
1- نحوه استفاده از ابزار RannohDecryptor:
ابزار RannohDecryptor را از صفحه ی ابزارهای حذف ویروس دانلود و آن را روی سیستم آلوده اجرا نمایید.
در پنجره اصلی این برنامه Start scan را بزنید.
برای شروع کدبرداری این برنامه از شما میخواهد حداقل مسیر یک فایل کدگذاری شده را مشخص نمایید.
پس از آن، برنامه شروع به جستجوی فایلهای دیگر نموده و اقدام به کدبرداری آنها مینماید.
پس از تکمیل فرآیند، برنامه احتمالاً از شما میخواهد تا سیستم خود را مجدداً راه اندازی (reboot) نمایید.
این ابزار قادر است، فایلهای بازیابی شده را در همان مسیر کپی نماید، لذا در این صورت میتوانید فایلهایی که کدگذاری و با الگوهای فوق الذکر، ذخیره شده بودند را پس از بررسی فایلهای جدید از روی سیستم حذف نمایید؛ لذا برای حذف مؤفق این فایلها میتوانید از گزینه Delete crypted files after decryption در بخش تنظیمات استفاده نمایید.
بصورت پیش فرض، فایل گزارش مربوط به عملکرد این ابزار در درایو سیستم یا درایو سیستم عامل (معمولاً درایو C) و با الگوی اسمی زیر ذخیره میگردد:
UtilityName.Version_Date_Time_log.txt
بعنوان مثال فایل گزارش میتواند در این مسیر و با نامی مشابه ذخیره شود:
C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
2- دستورات مورد استفاده در بخش خط فرمان یا CMD:
ذخیره یک فایل گزارش با عنوان دلخواه
-l <log-file-name>
دستور بستن برنامه پس از پایان کدبرداری فایلها:
-y
3- در صورتی که این ابزار مؤفق به بازیابی فایلها نشد، چه باید کرد؟
در این صورت، میتوانید ابزارهای XoristDecryptor یا RectorDecryptorرا نیزاز صفحه ی ابزارهای حذف ویروس دریافت و اجرا نمایید.
کاربران خانگی، میتوانند بمنظور محافظت از سیستم در مقابل انواع تروجانها بویژه اینگونه باج افزارها که اقدام به کدگذاری و ایجاد تغییراتی در داده های شما مینماید، میتوانند از ضدویروس یا بسته امنیتی کامل کسپرسکي یعنی کسپرسکی اینترنت سکیوریتی 2015 استفاده نمایند، چرا که این آنتی ویروس از بهترین ابزارها و قابلیتها (نظیر System Watcher) بمنظور کنترل و شناسایی باجافزارها و احیای خودکار فایلهای کدگذاری شده، برخوردار است.
لازم به ذکر است نرم افزار کسپرسکی اینترنت سکیوریتی 2015 فارسی نیز اخیراً توسط شرکت ایدکو، نماینده و توزیع کننده رسمی شرکت کسپرسکی (در خاورمیانه و شمال آفریقا)، عرضه شده و قابل دریافت میباشد.
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.