ابزار رمزگشایی بیت دیفندر برای باج افزار Ouroboros

ابزار رمزگشایی بیت دیفندر برای باج افزار Ouroboros

باج افزار Ouroboros در اشکال مختلف وجود دارد. و توسط گروه های مختلف جرایم اینترنتی اداره می شود. Ouroboros، از طریق حملات بی رحمانه پروتکل ریموت دسکتاپ و دانلودهای فریبنده گسترش می یابد.تعداد قابل توجهی از قربانیان را در سراسر جهان درگیر کرده است. اکنون بیت دیفندر رمزگشای جدیدی که می تواند پسوندهای پرونده .Lazarus و +Lazarus را رمزگشایی کند ارائه می دهد.

چگونه تشخیص دهید به این نوع خاص Ouroboros آلوده شده اید؟

در رایانه قربانیان ، اکثر پرونده ها رمزگذاری می شوند و به فایل اصلی عبارات زیر اضافه می شود. و نام آن تغییر می کند.

[ID=XXXXXXXXXX][Mail= * ].Lazarus

[ID=XXXXXXXXXX][Mail= * ].Lazarus+

آیدی از 10 کاراکتر تصادفی تشکیل شده است. علاوه بر این، Ouroboros چندین یادداشت باج به نام Read Me Now.txt ایجاد می کند.

اگر به این نوع Lazarus آلوده شده اید.می توانید فوراً رمزگشایی بیت دیفندر برای باج افزار Ouroboros را دانلود کنید. اگر به نحوه کار Ouroboros علاقه مند هستید، شرح فنی را بخوانید.

شرح مختصر فنی

باج‌افزار Ouroboros از الگوریتم AES-256 و بر اساس دستورات aesenc و aesenclast برای عملیات رمزگذاری استفاده می‌کند که این موضوع باعث می‌شود تا این باج‌افزار بر روی سیستم‌های با پردازنده قدیمی (پیش از سال ۲۰۱۰) کار نکند.

بردار مقداردهی اولیه ای که برای رمزگذاری استفاده می شود به جای اینکه تولید شود، به صورت ایستا کدگذاری می شود . و با هر نسخه ای  تغییر می کند.

کلید با استفاده از ترکیب دو PRNG (مولد اعداد شبه تصادفی) Mersenne Twister و IsaacRandom، از الفبای زیر ساخته شده است.

پس از تولید کلید، باج افزار سعی می کند برای ارسال کلید همراه با اطلاعات کاربری با سرور تماس بگیرد. در صورت عدم پاسخ، کلید کنار گذاشته می شود و یک کلید رمزگذاری شده جایگزین می شود.

نحوه استفاده از ابزار رمزگشایی بیت دیفندر برای باج افزار Ouroboros

1- ابزار رمزگشایی بیت دیفندر برای باج افزار Ouroboros را دانلود کنید. و آن را در رایانه خود ذخیره کنید.

این ابزار به اتصال به اینترنت فعال نیاز ندارد.

2- بر روی BDOuroborosDecryptTool.exe  دوبار کلیک کرده و اجازه دهید تا اجرا شود.

3- توافق نامه لایسنس را بپذیرید.

4- گزینه ی Scan entire system را می توانید در صورتی انتخاب کنید که بخواهید تمامی فایل های کد شده را جستجو کنید. ما اکیداً توصیه می کنیم قبل از شروع مراحل رمزگشایی، Backup files را نیز انتخاب کنید. سپس Scan را فشار دهید.

5- در پایان این مرحله، پرونده های شما باید رمزگشایی شوند. این ابزار در محل temp\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt یک لاگ ایجاد می کند.

اجرای ابزار رمزگشایی باج افزار Ouroboros از طریق خط فرمان

این ابزار همچنین می تواند از طریق خط فرمان اجرا شود. در صورت نیاز به استقرار خودکار ابزار در داخل یک شبکه بزرگ، ممکن است بخواهید از این ویژگی استفاده کنید.

help– :اطلاعاتی در مورد نحوه اجرای ابزار ارائه می دهد (این اطلاعات درلاگ فایل نوشته می شود، نه در کنسول)

Start  : این آرگومان اجازه می دهد تا ابزار اجرا شود (بدون رابط کاربری گرافیکی)

Path– : این آرگومان مسیر اسکن را مشخص می کند

Test– : این آرگومان مسیر تست را مشخص می کند که باید یک جفت فایل original/encrypted باشد

o0:1 : امکان اسکن کامل از سیستم را فراهم می کند

o1:1 : گزینه پشتیبان گیری را فعال می کند.

o2:1 : گزینه Overwrite existing files را فعال می کند .

به عنوان مثال

 BDGoGoogleDecryptor.exe start -path:”C:\”

این ابزار اسکن درایو c را بدون رابط گرافیکی شروع می کند.

BDGoGoogleDecryptor.exe start o0:1

این ابزار بدون رابط کاربری گرافیکی شروع به کار می کند .و کل سیستم را اسکن می کند.

BDGoGoogleDecryptor.exe start o0:1 o1:1 o2:1    

این ابزار کل سیستم را اسکن می کند.از پرونده های رمزگذاری شده پشتیبان تهیه می کند. و فایل های سالم موجود را با معادل رمزگشایی شده آنها جایگزین می کند.