باج افزار Jigsaw: معرفی، آنالیز و دانلود ابزار رمزگشا

باج افزار
چهارشنبه, ۰۱ ارديبهشت ۱۴۰۰
زمان مورد نیاز برای مطالعه: حدود 3 دقیقه

باج افزار Jigsaw برای اولین بار در سال 2016 شناسایی شد و با مکانیزم منحصربفرد خود برای دریافت باج که بسیار مشابه با مکانیزم مجازات در فیلم ترسناک و محبوب saw (اره) بود، مورد توجه قرار گرفت. در این فیلم قربانیانی که گروگان گرفته شده‌اند در صورتی که معمایی را در یک محدودیت زمانی حل نکنند عواقب ناگواری را متحمل می شوند.

باج افزار Jigsaw نیز از مکانیزم مشابهی استفاده می کند. نه تنها فایل ها و اطلاعات حیاتی را رمزنگاری می کند، چنانچه در مدت زمان محدودی باج را پرداخت نکنید، شروع به حذف فایل ها در یک شمارش معکوس می کند. یک ساعت پس از رمزگذاری داده ها، یکی از فایل ها را بصورت تصادفی حذف می کند و پس از آن به ازا هر ساعت، بصورت تصاعدی فایل های بیشتری را برای همیشه حذف می کند. پس از 72 ساعت، تقریبا تمام اطلاعات کاربر حذف می شوند. اگر کاربری در این حین سیستم را ریستارت و یا پروسه باج افزار را متوقف کند، مجددا بصورت خودکار اجرا می شود و به عنوان مجازات، 1000 عدد فایل را بصورت یکجا حذف می کند.

ابزار رمزگشای Jigsaw

ابزار رمزگشای باج افزار Jigsaw در سال 2016 منتشر شد. در ابتدا این باج افزار در بازار Tor به فروش می رسید اما بعد از آن به شکل Open Source در اختیار افراد قرار گرفت و باعث شد گونه های مختلفی ایجاد شود که ابزار رمزگشای اولیه قادر به رمزگشایی آنها نبود. ابزار جدید در حال حاضر می تواند 85 پسوند متفاوت را رمزگشایی کند و با ظهور انواع جدید نیز به روز خواهد شد.

ابزار رمزگشای باج افزار jigsaw
ابزار رمزگشای باج افزار jigsaw

ابزار رمزگشای امسی سافت پیش نیاز خاصی احتیاج ندارد و کاربران کافیست آن را در حالت آنلاین اجرا کنند و فرآیند رمزگشایی آغاز می شود. با اینحال راهنمای استفاده نیز در آن تعبیه شده است.

لطفا قبل از اجرای ابزار رمزگشا مراحل زیر را انجام دهید:

  1. Task Manager ویندوز را باز کنید.
  2. در تب Processes فرآیندهای firefox.exe و drpbx.exe را انتخاب و بر روی گزینه End Task کلیک کنید.
  3. در این مرحله از طریق Run، پنجره msconfig را باز کنید. توجه داشته باشید که msconfig در ویندوز 10 وجود ندارد و به جای آن بایستی از تب Startup منوی Task Manager استفاده کنید.
  4. در این تب آیتم firefox.exe که در مسیر UserProfile%\AppData\Roaming\Frfx\firefox.exe% قرار دارد را غیرفعال کرده و گزینه OK را کلیک کنید.

پس از اتمام این مراحل، می توانید ابزار رمزگشا را اجرا و فایل های خود را بازگردانی کنید.

جزئیات فنی باج افزار Jigsaw

نسخه اصلی و ابتدایی این باج افزار (2016) تحت عنوان بروزرسانی Firefox و Dropbox ارائه می شد و رابط گرافیکی آن تصویر شخصیت Billy the Puppet از فیلم اره بود.

شخصیت Billy the Puppet فیم اره، تصویر اصلی باج افزار jigsaw
شخصیت Billy the Puppet فیم اره، تصویر اصلی باج افزار jigsaw

Jigsaw فایل های قربانیان را با الگوریتم رمزنگاری AES-128 رمزگذاری می کند و پسوند های زیادی از جمله fun ،game ،KKK و BTC را ضمیمه فایل ها می کند. یک پیغام خطای جعلی هم نمایش داده می شود تا کاربر گمراه شده و تصور کند که چیزی اجرا نشده است.

پیغام خطای جعلی در باج افزار jigsaw
پیغام خطای جعلی در باج افزار jigsaw

نمونه های رابط گرافیکی (GUI):

تصویر رابط گرافیکی باج افزار jigsaw
رابط گرافیکی باج افزار jigsaw
تصویر رابط گرافیکی باج افزار jigsaw
رابط گرافیکی باج افزار jigsaw

Jigsaw پس از رمزنگاری یک فایل، نام آن را در لیست فایل های قفل شده در مسیر زیر ذخیره می کند:

%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

سپس یک آدرس کیف پول بیت کوین برای پرداخت باج اختصاص داده و مجددا آن را در مسیرزیر ذخیره می کند:

%UserProfile%\AppData\Roaming\System32Work\Address.txt

در پایان یک autorun تنظیم کرده که با هر بار بالا آمدن ویندوز، باج افزار اجرا می شود. متأسفانه همانطور که اشاره کردیم، با هر بار ریستارت سیستم و یا قطع پروسه باج افزار، 1000 فایل رمزنگاری شده به عنوان مجازات حذف می شود.

صرف نظر از اینکه در مورد باج افزار Jigsaw چه گفته شده، ابزار رمزگشای امسی سافت برای باج افزار Jigsaw می تواند به شما کمک کند تا فایل های خود را به صورت رایگان بازگردانی کنید.

روز خوب و بدون باج افزاری داشته باشید!

برگرفته از:

Emsisoft releases new decryptor for Jigsaw ransomware

آیا این مطلب برای شما مفید بود؟

این مطلب را با دوستان و آشنایان خود به اشتراک بگذارید.

مشاهده همه مطالب مشابه

نظر مخاطبان

بدون نظر

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *