تِسلاکریپت و آلفاکریپت چه هستند؟

فائزه

مجاهدطلب

۱۳۹۴/۱۱/۱۹ ۱۲:۰۰ ب.ظ

3783

بار بازدید شده
TeslaCrypt-and-Alpha-Crypt-Ransomware-Information تسلاکریپت و آلفاکریپت برنامه‌ های باج‌ افزاری هستند که تمام نسخه‌ های ویندوز از جمله XP، ویندوز ویستا، ویندوز 7 و ویندوز 8 را مورد هدف قرار می‌ دهند. تسلاکریپت برای اولین بار اواخر فوریه‌ ی 2015 و آلف
3783
تِسلاکریپت و آلفاکریپت چه هستند؟
Vidoal
تِسلاکریپت و آلفاکریپت چه هستند؟
تسلاکریپت و آلفاکریپت برنامه‌ های باج‌ افزاری هستند که تمام نسخه‌ های ویندوز از جمله XP، ویندوز ویستا، ویندوز 7 و ویندوز 8 را مورد هدف قرار می‌ دهند. تسلاکریپت برای اولین بار اواخر فوریه‌ ی 2015 و آلفاکریپت اواخر آوریل 2015 منتشر شد. وقتی کامپیوتر شما به  تسلاکریپت یا آلفاکریپت آلوده می‌ شود، برنامه‌ ی کامپیوترتان را در جست و جوی فایل دیتا اسکن می‌ کند و آن‌ ها را به وسیله‌ ی کدگذار AES کدگذاری کرده تا دیگر قابل باز‌ شدن نباشند. زمانی که برنامه (آلودگی) تمام فایل‌ های دیتا را در همه‌ ی درایو‌ های کامپیوترتان کدگذاری کرد، یک برنامه ارائه می‌ کند که در آن دستورالعمل‌ های چگونگی دسترسی دوباره به فایل‌ هایتان وجود دارد. این دستورالعمل یک لینک به Decryption Service site است که شما را از مقدار باج، تعداد فایل‌ های آلوده و چگونگی پرداختتان با خبر می‌ کند. مقدار باج از حدود 500$ شروع می‌ شود و به وسیله‌ ی "بیت کُین" قابل پرداخت است. نشانی بیت کُینی که شما برای پرداخت تایید می‌ کنید می‌ تواند برای هر قربانی متفاوت باشد.

وقتی تسلاکریپت و آلفاکریبپت بر روی کامپیوتر شما نصب شد، در پوشه‌ ی  %AppData% یک فایل قابل اجرا با نامی تصادفی می‌ سازد. این فایل اجرایی خودش راه‌ اندازی می‌ شود و شروع به اسکن تمام درایوهای کامپیوترتان می‌ کند تا همه‌ ی فایل‌ های داده را بیابد. اگر فایل پشتیبانی شده‌ ای پیدا شود، برنامه، آن را کدگذاری می‌ کند و بعد یک پسوند به اسم فایل اضافه می‌ کند. پسوندهای فعلی‌ ای که توسط تسلاکریپت استفاده می-شود  .ecc, .ezz, .exx .xyz, .zzz, .aaa, .abc, .ccc هستند و نوع دیگری هم وجود دارد که اصلاً اسم فایلتان را تغییر نمی‌ دهد. بر اساس نوع تسلاکریپتی که به آن آلوده شده-اید، ممکن است بتوانید از ابزار TeslaDecoder برای کدگشایی فایل‌ هایتان استفاده کنید.
پسوند‌ هایی که تسلاکریپت مورد هدف قرار می‌ دهد:
.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
پسوند‌ هایی که توسط آلفاکریپت مورد هدف قرار می‌ گیرند و انواع جدید این گروه:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
باید تاکید شود که تسلاکریپت و آلفاکریبپت هردو تمامی درایوهای کامپیوترتان از جمله درایوهای جداشدنی، اشتراکات شبکه و حتیDropBox  را اسکن می‌ کنند. وقتی برنامه، اسکن کامپیوترتان را تمام کرد، همه‌ ی Shadow Volume Copy هایی را که بر روی کامپیوترتان تاثیر می‌ گذارد، پاک می‌ کند. این کار را برای آن انجام می‌ دهد تا نتوانید از Shadow Volume Copy برای بازیابی فایل‌ های کدگذاری شده‌ تان استفاده کنید. پست‌ هایی وجود دارند که می‌ گویند تسلاکریپت Shadow Volume Copy را پاک نکرده است اما این حقیقت ندارد. فرمانی که برای پاک کردن  Shadow Volumesاجرا می‌ شود: vssadmin delete shadows /all است. حالاکه اطلاعات کامپیوترتان کدگذاری شده است، برنامه‌ ی تسلاکریپت یا آلفاکریبپت را نشان خواهد داد. صفحه‌ های هر دو این باج افزارها مشابه هم است و تنها عنوان برنامه متفاوت است. عنوان برنامه، ورژن این باج افزار را نشان می‌ دهد.
 
نظرات ثبت شده (11)
محمدرضا جوکار
محمدرضا جوکار سه شنبه، ۲۴ اسفند ۱۳۹۵
ممنون خوب بود
حسن خداوردی
حسن خداوردی شنبه، ۱۴ اسفند ۱۳۹۵
متاسفانه شرکت ما هم گرفتار باج افزار مشابهی قرار گرفت که این باج افزار دیتا های ما رو با پسوند XTBL کدکذاری کرده بود و از پورت 3389 برای ورود استفاده کرد تقریبا نیمی از فایلهای آفیس و PDF رو کدکذاری و تخریب کرده بود البته با پشتیبانهایی که از قبل گرفته بودیم توانستیم چیزی حدود 80 درصد اطلاعات رو بازگردانی کنیم
اکبر فاریابی
اکبر فاریابی شنبه، ۰۷ اسفند ۱۳۹۵
باج افزارها از هر طریقی ممکن است وارد کامپیوتر شما شوند، از راه usb ، ایمیل ، مرورگر و . . . تفاوت اصلیشون با ویروس ها اینه که ویروس برنامه یا فایل های شما را تخریب میکنه ولی باج افزار انها را رمزگذاری میکنه و برای بازکردنشون از شما پول دریافت میکنه
محمدمهدی رحیم پور
محمدمهدی رحیم پور دوشنبه، ۲۷ دی ۱۳۹۵
برای رفع این موارد چیکار باید بکنیم؟ ایا انتی ویروس جواب میده به این مسئله یا نه؟
فرزاد بزازان
Farzad Bazazan شنبه، ۰۴ دی ۱۳۹۵
آیا از وارد شدن به سایت نامعتبر و غیر متعارف هم این موارد(تسلا کریپ وآلفا کریپ) وارد سیستم ما می شن ؟؟
افشین ذریه
افشین ذریه شنبه، ۰۴ دی ۱۳۹۵
(پاسخ) سلام، بله چنین مواردی هم می‌تونن باعث آلوده شدن سیستم عامل بشن
مصطفی کهن
مصطفی کهن یکشنبه، ۲۸ آذر ۱۳۹۵
آلودگی به این باج افزار از چه طریقی هست؟؟فقط ایمیل و فایلهای ناشناس؟
افشین ذریه
افشین ذریه یکشنبه، ۲۸ آذر ۱۳۹۵
(پاسخ) سلام، بله اکثرا از طریق ایمیل‌‌ها و فایل‌های ناشناس انتقال پیدا میکنه
هادي اصفهاني
هادي اصفهاني یکشنبه، ۲۱ آذر ۱۳۹۵
فرق تسلاكريپ و آلفا كريپ چيه؟ با آنتي ويروس از بين ميره؟ از كجا بفهميم سيستم ما اين مشكل رو داره؟ ويندوز 10 از اين باچ افزار ايمنه؟
افشین ذریه
افشین ذریه دوشنبه، ۲۲ آذر ۱۳۹۵
(پاسخ) سلام، هر دو از یک خانواده هستن و متاسفانه آنتی ویروس‌ها گاهی اوقات در شناسایی و منهدم کردنش ناکام میمونن، ویندوز 10 هم از این باج افزار مصون نیست. فایل‌ها و ایمیل‌های ناشناس رو باز نکنید و حتما از دیتاهای مهم بکاپ تهیه کنید. این باج افزار وقتی فعال میشه و فایل‌هاتون رو اسیر میکنه، هیچ راهی برای برگردوندنشون نخواهید داشت.
ابالفضل photo
ابالفضل سه شنبه، ۲۱ اردیبهشت ۱۳۹۵
ای کاش یه راه حلی یا راه کاری هم ارائه میدادید