باج افزار Jigsaw برای اولین بار در سال 2016 شناسایی شد و با مکانیزم منحصربفرد خود برای دریافت باج که بسیار مشابه با مکانیزم مجازات در فیلم ترسناک و محبوب saw (اره) بود، مورد توجه قرار گرفت. در این فیلم قربانیانی که گروگان گرفته شدهاند در صورتی که معمایی را در یک محدودیت زمانی حل نکنند عواقب ناگواری را متحمل می شوند.
باج افزار Jigsaw نیز از مکانیزم مشابهی استفاده می کند. نه تنها فایل ها و اطلاعات حیاتی را رمزنگاری می کند، چنانچه در مدت زمان محدودی باج را پرداخت نکنید، شروع به حذف فایل ها در یک شمارش معکوس می کند. یک ساعت پس از رمزگذاری داده ها، یکی از فایل ها را بصورت تصادفی حذف می کند و پس از آن به ازا هر ساعت، بصورت تصاعدی فایل های بیشتری را برای همیشه حذف می کند. پس از 72 ساعت، تقریبا تمام اطلاعات کاربر حذف می شوند. اگر کاربری در این حین سیستم را ریستارت و یا پروسه باج افزار را متوقف کند، مجددا بصورت خودکار اجرا می شود و به عنوان مجازات، 1000 عدد فایل را بصورت یکجا حذف می کند.
ابزار رمزگشای Jigsaw
ابزار رمزگشای باج افزار Jigsaw در سال 2016 منتشر شد. در ابتدا این باج افزار در بازار Tor به فروش می رسید اما بعد از آن به شکل Open Source در اختیار افراد قرار گرفت و باعث شد گونه های مختلفی ایجاد شود که ابزار رمزگشای اولیه قادر به رمزگشایی آنها نبود. ابزار جدید در حال حاضر می تواند 85 پسوند متفاوت را رمزگشایی کند و با ظهور انواع جدید نیز به روز خواهد شد.
ابزار رمزگشای امسی سافت پیش نیاز خاصی احتیاج ندارد و کاربران کافیست آن را در حالت آنلاین اجرا کنند و فرآیند رمزگشایی آغاز می شود. با اینحال راهنمای استفاده نیز در آن تعبیه شده است.
لطفا قبل از اجرای ابزار رمزگشا مراحل زیر را انجام دهید:
- Task Manager ویندوز را باز کنید.
- در تب Processes فرآیندهای firefox.exe و drpbx.exe را انتخاب و بر روی گزینه End Task کلیک کنید.
- در این مرحله از طریق Run، پنجره msconfig را باز کنید. توجه داشته باشید که msconfig در ویندوز 10 وجود ندارد و به جای آن بایستی از تب Startup منوی Task Manager استفاده کنید.
- در این تب آیتم firefox.exe که در مسیر UserProfile%\AppData\Roaming\Frfx\firefox.exe% قرار دارد را غیرفعال کرده و گزینه OK را کلیک کنید.
پس از اتمام این مراحل، می توانید ابزار رمزگشا را اجرا و فایل های خود را بازگردانی کنید.
جزئیات فنی باج افزار Jigsaw
نسخه اصلی و ابتدایی این باج افزار (2016) تحت عنوان بروزرسانی Firefox و Dropbox ارائه می شد و رابط گرافیکی آن تصویر شخصیت Billy the Puppet از فیلم اره بود.
Jigsaw فایل های قربانیان را با الگوریتم رمزنگاری AES-128 رمزگذاری می کند و پسوند های زیادی از جمله fun ،game ،KKK و BTC را ضمیمه فایل ها می کند. یک پیغام خطای جعلی هم نمایش داده می شود تا کاربر گمراه شده و تصور کند که چیزی اجرا نشده است.
نمونه های رابط گرافیکی (GUI):
Jigsaw پس از رمزنگاری یک فایل، نام آن را در لیست فایل های قفل شده در مسیر زیر ذخیره می کند:
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
سپس یک آدرس کیف پول بیت کوین برای پرداخت باج اختصاص داده و مجددا آن را در مسیرزیر ذخیره می کند:
%UserProfile%\AppData\Roaming\System32Work\Address.txt
در پایان یک autorun تنظیم کرده که با هر بار بالا آمدن ویندوز، باج افزار اجرا می شود. متأسفانه همانطور که اشاره کردیم، با هر بار ریستارت سیستم و یا قطع پروسه باج افزار، 1000 فایل رمزنگاری شده به عنوان مجازات حذف می شود.
صرف نظر از اینکه در مورد باج افزار Jigsaw چه گفته شده، ابزار رمزگشای امسی سافت برای باج افزار Jigsaw می تواند به شما کمک کند تا فایل های خود را به صورت رایگان بازگردانی کنید.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
بدون نظر