ابزار رمزگشایی باج‌افزار LockCrypt

ابزار رمزگشایی باج‌افزار LockCrypt

لاک‌کریپت (LockCrypt) یک خانواده باج‌افزار معروف است که از اواسط سال ۲۰۱۷ با تمرکز ویژه روی کاربران مشاغل و شرکت‌ها منتشر شد. این خانواده باج‌افزاری با استفاده از حمله جستجوی فراگیر (brute-force attack)، کاربران پروتکل‌ کنترل از راه دور (RDP) را مورد هدف قرار داد. و پس از بدست آوردن دسترسی به دستگاه قربانی، تمام اطلاعات را رمزگذاری می‌کند.

باج‌افزار LOCKCRYPT دارای چندین زیرمجموعه  با پسوندهای خاص زیر است.

1btc: قابل رمزگشایی و ابزار رمزگشایی آن منتشر شده است.

lock : قابل رمزگشایی، در حال حاضر ابزاری برای رمزگشایی آن منتشر نشده است.

2018 : قابل رمزگشایی، در حال حاضر ابزاری برای رمزگشایی آن منتشر نشده است.

bi_d  :غیرقابل رمزگشایی.

mich : قابل رمزگشایی، در حال حاضر ابزاری برای رمزگشایی آن منتشر نشده است.

یادداشت های باج که بر روی سیستم قربانی به جا می گذارد ممکن است نام های زیر را داشته باشد.

ReadMe.txt

Restore Files.txt

How To Restore Files.txt

پرونده های رمزگذاری شده با استفاده از باج افزار KeyStream تغییر نام داده و بیشتر به Base64 رمزگذاری می شوند. تا اطمینان حاصل شود که مجموعه به عنوان نام پرونده قابل قبول است. هر پرونده رمزگذاری شده دارای آیدی قربانی است که در زیر مشاهده می شود.

 نامگذاری پرونده های رمزگذاری شده

Renaming template: ^[0-9a-zA-Z+/=]+\sid\s[0-9a-zA-Z]{16}\.lock

Renaming template: ^[0-9a-zA-Z+/=]+\sid\s[0-9a-zA-Z]{16}\.1btc

Renaming template: ^[0-9a-zA-Z+/=]+\sid\s[0-9a-zA-Z]{16}\.2018

Renaming template: ^[0-9a-zA-Z+/=]+\sid\s[0-9a-zA-Z]{16}\.bi_d

Renaming template: ^[0-9a-zA-Z+/=]+\sid\s[0-9a-zA-Z]{16}\.mich

همانطور که در شکل 2 و شکل 3 دیده می شود، دو یادداشت باج چندین جنبه مشترک را حفظ می کند (از جمله اشتباه تایپی). اما تفاوت های قابل توجهی نیز دارند.

ابزار رمزگشایی بیت دیفندر تنها برای پسوند btc1  بهینه شده است. امیدواریم در آینده نزدیک پشتیبانی از سایر نسخه های رمزگشایی نیز اضافه شود. اگر پرونده های شما توسط پسوند btc1 رمزگذاری شده است. لطفاً برای رمزگشایی مراحل زیر را دنبال کنید.

ابزار رمزگشایی بیت دیفندر برای فایل‌های رمزگذاری شده با پسوند btc1

1- ابتدا ابزار رمزگشایی بیت دیفندر را از آدرس زیر دانلود کنید.

2- این برنامه نیاز به دسترسی به اینترنت ندارد. و کافیست پس از دانلود روی فایل BDLockCryptDecryptor.exe  دو بار کلیک کنید. و آن‌ را اجرا کنید.

3-سپس موافقت‌نامه لایسنس را تایید کنید.

4- پس از اجرا، اگر می‌خواهید تمام فایل‌های رمزگذاری شده را جستجو کنید گزینه Scan Entire System را فعال کنید. همچنین می‌توانید مسیر را به پوشه حاوی فایل‌های رمزگذاری شده تغییر دهید. پیشنهاد می‌شود که پیش از شروع عملیات رمزگشایی روی Backup files کلیک کنید. در انتها روی گزینه Scan کلیک کنید تا فرآیند رمزگشایی آغاز شود.

در پایان این مرحله، پرونده های شما باید رمزگشایی شده باشند. این ابزار یک لاگ را در مکان temp\BDRemovalTool\BDRansomDecryptor\BitdefenderLog.txt ایجاد می کند.