ویروسی که پسوند فایلها رو به crypt. تغییر میده

دوست عزيز اينها نوعي باج افزار يا malware هستند كه از يك feature امنيتي ويندوز براي كدگذاري اطلاعات استفاده مي كنند. به خاطر همينم هست كه انتي ويروسها هنوز راهكاري واسه مقابله باهاشون ندارن.

يا بايد هزينشو بپردازي يا اينكه فعلا قيد اطلاعاتتو بزني

سلام دوست عزیز

فایل های شما Encrypt شده

من برای بعضی مشتری هام تونستم با ریکاوری سخت افزاری مشکلشون رو حل کنم

شاید برای شما هم اینجوری درست شه

نه با یک دستگاهی به نام PC3000 این کارو انجام میدند

سلام

سیستم شما به باج افزار الوده شده است.

نوع ویروسی رو که توسط Virustotal پیدا شده در گوگل سرچ کنید شاید راه حل جدیدی براش پیدا شده باشه.

در غیر اینصورت راهی جز پرداخت وجه درخواستی وجود نداره.

البته با سیاستی که FBI و صاحب نظران و غیره در این زمینه پیش گرفته اند مبنی بر عدم پرداخت هر گونه وجه به این نوع باج گیری الکترونیکی و پیدا شدن راه حل برای دو نوع از انواع باج افزار ها بعید نیست که در اینده نزدیک راه حل جدیدی برای تمامی باج افزار ها کشف بشه.

سلام

یک جایی یک راه حلی پیشنهاد شده بود خواستم ببینم کسی از دوستان این روش رو تست کرده و جواب گرفته برای رمزگشایی فایل های encrypt شده توسط باج افزارها:

باید ویندوز xp نصب کنید و از کل درایو ها بکاپ بگیرید و سپس داریو رو فرمت کنید و درنهایت درایو را ریستور کنید با بکاپ گرفته شده...

ضمنا تاکید شده اگر بار اول نشد مجدد این کار را تکرار کنید. و اینکه حجم و نام درایوها رو اصلا تغییر ندید.

خواستم ببینم دوستان این روش رو امتحان کردن و اوکی شده؟

بله

این که گرون در میاد

راه دیگه ای هم هست بنظرتون؟!

با سلام اول باید بگم من با موبایل جواب میدم و به پی سی دسترسی ندارم و فارسی نوشتنم خوب نیست پای بی سوادیم نزارید.

دوم این که فقط برای جواب این مشکل در سایت ثبت نام کردم چون دیدم مشکل خیلی ها هست و کاربران ایرانی درگیر این مشکل هستن خوب چند راه حل وجود داره البته بگم نه برای پاک کردن ویروس اون که کاری ندارخ برای برگرداندن فایل ها خوب اولین راه حل استفاده از نرم افزاری هست که کسپراسکای برای این کار طراحی کرده به اسم KASPERSKY RANNOHDECRYPTOR که در سایت زیر مراحل انجام کار و لینک دانلود هست

http://www.bleepingcomputer.comnewssecuritydecrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware

دومین راه حل استفاده از نرم افزار Shadow Explorer

که باز در سایت زیر اطلاعاتی راجب ویروس و مراحل پاک کردن و بازگردانی اطلاعات وجود داره

http://deletemalware.blogspot.de201508/files-encrypted-crypt-extension.html?m=1

خوب و تگر فایل شما عکس و فیلم هست با فراخوانی فایل هاتون با یک نرم افزار دیگه مثل پاورپوینت و سیو کردن مجدد با پسوند دلخواه یا آپلود در یک هاست و تعغییر پسوند ( در شیوه اآپلود فایل های پی دی اف و... نیز ممکن است جواب بده) و دانلود مجدد

تمامی راه کارها نتیجه سوال و جست و جو است و بنده حقیر تست نکردم دوستان اگر. تست کردن و جواب گرفتن در همینجا اعلام کنن با تشکر Mr.Nashena3

یک نکته خیلی جالب داره این ویروس...

اون هم اینه که با فایل هایی که نامشون فارسی تایپ شده هیچ کاری نداره!

و البته جالب تر این که من فقط یک پوشه از فایل هام این مشکل رو پیدا کرده...

اون هم به صورت نصفه!

فقط امیدوارم آرامش قبل از طوفان نباشه...!!! :-(

نه دوست عزیز

راه حل دیگه ای سراغ ندارم

دوست عزیز ما برای این قضیه راهکاری پیدا کردیم

تیم R&D ما در مورد این موضوع تحقیق کردند و بر روی Symantec Endpoint Protection تونستیم این راه رو پیدا کنم،البته این راهکار برای آنتی ویروسهایی که از طریق کنسول مدیریت می شوند

به این نوع ویروس ها ransomware(باج افزار) گفته میشود،که عموما کارش این هستش که از طریق یک ایمیل به شما ارسال میشه که معمولا هم فایلهای word هستش که داخلش یک micro هستش اون را اجرا می کنه و یک فایل Exe در Temp شما ایجاد می کنه و Encryption رو دانلود می کنه و تمامی فایل های شما لاک میکند که معمولا فایلهایی که به صورت اسناد هستند(PDF,Word,..) با پسوند locky. , .crypt میشوند

در نهایت اینکه اینها بیشتر فعالیتشون رو در %appdata%, %temp% ,... آغاز میکنند

بهترین راهکار برای جلوگیری از این موضوع گرفتن Backup منظم از فایلها می باشد

این رو هم بگم آنتی ویروس Symantec Endpoint Protection یک قابلیتی به نام Proactive Threat Protection دارد که در یک تبی به نام Application and device control دارد که این قابلیت میتواند از تغییر فایلها در فولدرهایی که گفتم جلوگیری کند

در ضمن این نکته رو هم بگم این باج افزار ها به Map network های شما هم رجوع می کند و اگر شما در آنها permission مناسب برای تغییر را داشته باشید در حقیقت فایلهای اون Drive رو هم لاک خواهد کرد

ولی سریعترین راهکارش اینه که شما یک ایمیل به اون شخص بزنی و اعلام کنی که من در ایران هستم و براش توضیح بدی که ما اصلا قابلیت واریز همچین مبالغی رو نداریم

امیدوارم همکاری کند

موفق باشید

این ویروس توسط پیچیده ترین الگوریتم های ریاضی که بنام RSA هست رمزگذاری شده و برای اینکه شما بتوانید این فایل ها را تغییر کد بدهید نیاز است که 1024 کد را تغییر دهید تا شاید فایل هایتان اصلاح شود و شاید هم خیر

هکرها این ویروس را از طریق ایمیل ها و یا بد افزارهایی که وجود دارند به خورد کاربرها دادند و نهایتا در سال 2014 توسط مقامات امنیتی شناسایی شد و این سروها را که در کشور آلمان وجود داشتند را هک کردند و از کار انداختند.

ولی کماکان این ویروس در محیط اینترنت وجود دارد و همانطور که گفتم بیشتر از طریق ایمیل وارد کامپیوتر کاربر م شود و به اسم ویروس گروگان گیر یا باج گیر نیز شناخته می شود

بهترین روشی که کاربران میتوانند انجام دهند مراجعه به مراکز ریکاوری تخصصی و علمی است که با دستگاه pc3000 انجام میگیرد و در بسیاری از موارد جواب داده است

بله همشون کد شدن

منظورتون از ریکاوری سخت افزاری این هستش که با نرم افزارهای بازیابی کارکنم؟!

عزیزان دل برادر !! زیاد امیدوار نکنید دوستمون رو که فایل هاش رو بتونه بازیابی کنه ، تا صبح هم اینجا بحث بشه نمیشه با باج افزارها در افتاد ، باج افزار یا راهکارش بکاپ برگرداندن هست و یا اگر ندارید بکاپ باید باج رو پرداخت کنید ، حالا بتونید چونه بزنید کمترش کنید ، واسه همین روزهاست که میگن همیشه بکاپ بگیرید ... خیلی مهم هست ... دوست من دنبال این باشید چجوری پول رو پرداخت کنید یا بکاپ برگردونید ... امیدوارتون نمی کنم