تِسلاکریپت و آلفاکریپت چه هستند؟

فائزه

مجاهدطلب

۱۳۹۴/۱۱/۱۹ ۱۲:۰۰ ب.ظ

2421

بار بازدید شده
TeslaCrypt-and-Alpha-Crypt-Ransomware-Information تسلاکریپت و آلفاکریپت برنامه‌ های باج‌ افزاری هستند که تمام نسخه‌ های ویندوز از جمله XP، ویندوز ویستا، ویندوز 7 و ویندوز 8 را مورد هدف قرار می‌ دهند. تسلاکریپت برای اولین بار اواخر فوریه‌ ی 2015 و آلف
2421
تِسلاکریپت و آلفاکریپت چه هستند؟
Vidoal
تِسلاکریپت و آلفاکریپت چه هستند؟
تسلاکریپت و آلفاکریپت برنامه‌ های باج‌ افزاری هستند که تمام نسخه‌ های ویندوز از جمله XP، ویندوز ویستا، ویندوز 7 و ویندوز 8 را مورد هدف قرار می‌ دهند. تسلاکریپت برای اولین بار اواخر فوریه‌ ی 2015 و آلفاکریپت اواخر آوریل 2015 منتشر شد. وقتی کامپیوتر شما به  تسلاکریپت یا آلفاکریپت آلوده می‌ شود، برنامه‌ ی کامپیوترتان را در جست و جوی فایل دیتا اسکن می‌ کند و آن‌ ها را به وسیله‌ ی کدگذار AES کدگذاری کرده تا دیگر قابل باز‌ شدن نباشند. زمانی که برنامه (آلودگی) تمام فایل‌ های دیتا را در همه‌ ی درایو‌ های کامپیوترتان کدگذاری کرد، یک برنامه ارائه می‌ کند که در آن دستورالعمل‌ های چگونگی دسترسی دوباره به فایل‌ هایتان وجود دارد. این دستورالعمل یک لینک به Decryption Service site است که شما را از مقدار باج، تعداد فایل‌ های آلوده و چگونگی پرداختتان با خبر می‌ کند. مقدار باج از حدود 500$ شروع می‌ شود و به وسیله‌ ی "بیت کُین" قابل پرداخت است. نشانی بیت کُینی که شما برای پرداخت تایید می‌ کنید می‌ تواند برای هر قربانی متفاوت باشد.

وقتی تسلاکریپت و آلفاکریبپت بر روی کامپیوتر شما نصب شد، در پوشه‌ ی  %AppData% یک فایل قابل اجرا با نامی تصادفی می‌ سازد. این فایل اجرایی خودش راه‌ اندازی می‌ شود و شروع به اسکن تمام درایوهای کامپیوترتان می‌ کند تا همه‌ ی فایل‌ های داده را بیابد. اگر فایل پشتیبانی شده‌ ای پیدا شود، برنامه، آن را کدگذاری می‌ کند و بعد یک پسوند به اسم فایل اضافه می‌ کند. پسوندهای فعلی‌ ای که توسط تسلاکریپت استفاده می-شود  .ecc, .ezz, .exx .xyz, .zzz, .aaa, .abc, .ccc هستند و نوع دیگری هم وجود دارد که اصلاً اسم فایلتان را تغییر نمی‌ دهد. بر اساس نوع تسلاکریپتی که به آن آلوده شده-اید، ممکن است بتوانید از ابزار TeslaDecoder برای کدگشایی فایل‌ هایتان استفاده کنید.
پسوند‌ هایی که تسلاکریپت مورد هدف قرار می‌ دهد:
.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
پسوند‌ هایی که توسط آلفاکریپت مورد هدف قرار می‌ گیرند و انواع جدید این گروه:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
باید تاکید شود که تسلاکریپت و آلفاکریبپت هردو تمامی درایوهای کامپیوترتان از جمله درایوهای جداشدنی، اشتراکات شبکه و حتیDropBox  را اسکن می‌ کنند. وقتی برنامه، اسکن کامپیوترتان را تمام کرد، همه‌ ی Shadow Volume Copy هایی را که بر روی کامپیوترتان تاثیر می‌ گذارد، پاک می‌ کند. این کار را برای آن انجام می‌ دهد تا نتوانید از Shadow Volume Copy برای بازیابی فایل‌ های کدگذاری شده‌ تان استفاده کنید. پست‌ هایی وجود دارند که می‌ گویند تسلاکریپت Shadow Volume Copy را پاک نکرده است اما این حقیقت ندارد. فرمانی که برای پاک کردن  Shadow Volumesاجرا می‌ شود: vssadmin delete shadows /all است. حالاکه اطلاعات کامپیوترتان کدگذاری شده است، برنامه‌ ی تسلاکریپت یا آلفاکریبپت را نشان خواهد داد. صفحه‌ های هر دو این باج افزارها مشابه هم است و تنها عنوان برنامه متفاوت است. عنوان برنامه، ورژن این باج افزار را نشان می‌ دهد.
 
نظرات ثبت شده (1)
ابالفضل photo
ابالفضل سه شنبه، ۲۱ اردیبهشت ۱۳۹۵
ای کاش یه راه حلی یا راه کاری هم ارائه میدادید