مشکل با یک بدافزار گروگان گیر جدید؟؟؟

سلام
دوستان یک از آشنایان بنده لپ تاپ خود را برای من آورد تا مشکلش را حل کنم من قبلا از ویندوز این لپ تاپ با استفاده از نورتون گوست تحت داس بکاپی گرفته بودم وقتی خواستم بکاپ را ریستور کنم دیدم که نرم افزار فایل بکاپ را شناسایی نمی کند و می گوید این فایل مخصوص نورتون گوست نیست بعد از مدتی دیدم که تمامی عکس ها و ... هم خوانده نمی شوند و پیغام خرابی فایل می دهند

بعد از مدتی متوجه شدم که یک بد افزار بر روی سیستم وجود دارد که تمامی اطلاعات را کد گذاری کرده است (گروگان گرفته)
در تمامی پوشه ها سه تا فایل وجود دارد

HOWDECRYPT.TXT
HOWDECRYPT.HTM
HOWDECRYPT.GIF

محتویات فایل txt به صورت زیر است

کد HTML:

---

All files including videos, photos and documents on your computer are encrypted.
 
Encryption was produced using a unique public key generated for this computer.
To decrypt files, you need to obtain the private key.
 
The single copy of the private key, which will allow you to decrypt the files,
 located on a secret server on the Internet; the server will destroy the key after a time specified in this window.
 After that, nobody and never will be able to restore files.
 
In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.
 
If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:
 
1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site.
We remind you that the sooner you do, the more chances are left to recover the files.
 
IMPORTANT INFORMATION:
 
Your Personal CODE: 00000001-0F344133

---

عکس فایل GIF
http://www.worldup.ir/images/ph6xg82d5x65ceyn0f3j.png

من با یک ویندوز لایو بالا آمده و تمامی این سه فایل که در تمامی پوشه ها وجود داشت را حذف کردم اما باز مشکل پابر جاست و اطلاعات خوانده نمی شوند و پیغام خرابی اطلاعات داده می شود

من چگونه می توانم اطلاعات را بازگردانم؟؟؟

شاید لینک زیر بتواند کمکی باشد


CryptoLocker Virus – Removal and Decryption Guide

سلام
با تشکر از استاد عزیز ...

ویندوز را تعویض کردم و بعد به فایل ها مراجعه کرده و دیدم متاسفانه 90 درصد فایل ها خراب شده است و در جستجوی تعمیر فایل ها ...connie_runner

جالب اینجا بود که پسوند هیچ فایلی تغییر نکرده بود همچنین حجم و... اما وقتی فایل را با برنامه مورد نظر خودش باز می کردی می گفت فایل خراب است؟؟؟

خیلی دوست دارم بدانم این بد افزار چگونه این فایل ها را خراب کرده است اگر اطلاعات به گفته خود بد افزار کد گذاری شده چرا پسوند هیچ فایلی تغییر نکرده یا حجم یا...
مگر کد گذاری اطلاعات نیاز به زمان ندارد چگونه در این مدت کم تمامی اطلاعات کد شده؟؟!!!

توضیحاتی در سایت های خارجی:

کد HTML:

---

http://deletemalware.blogspot.ca/2013/12/remove-howdecrypt-virus-and-restore.html
http://www.bleepingcomputer.com/forums/t/517689/howdecrypt-file-encrypting-ransomware-500-usd-ransom-information-topic/

---

..................

در سایت های خارجی که بیشتر روش پیشگیری و حذف این بد افزار را توضیح داده اند و معدود سایت هایی در مورد بازیابی فایل ها توضیح دادند و روش هایی گفته اند و نرم افزار هایی در این ضمینه برای پسوند های محدود ساخته اند اما چندین ساعت راهکار و نرم افزار های زیادی را تست کردم اما موفق نبودم تا تصمیم گرفتم از نرم افزار های ریکاوری استفاده کنم چند نرم افزار را تست کردم اما فایلی برای ریکاوری پیدا نمی کردند چون اصلا فایلی پاک نشده بود!
تا اینکه در یکی از پست های انجمن های خارجی دیدم یکی از کاربران برای تعمیر عکس ها از نرم افزار Stellar Phoenix JPEG Repair استفاده کرده و موفق بوده اما من این نرم افزار را هم تست کردم اما باز ناموفق ...:mon820:

تسلیم نشدم و نرم افزار ریکاوری این شرکت رو تست کردم که نامش Stellar Phoenix Windows Data Recovery Pro می باشد که توانستم بیشتر عکس ها که برای بازگردانی مهم بودند را ریکاوری کنم :yeah:
اما نتوانستم اسناد را با استفاده از این نرم افزار بازیابی کنم...

به دوستان پیشنهاد می کنم آنتی ویروس خود را بروز کنند و از نرم افزار های ضدبد افزار در کنار آنتی ویروس خود همچون Malwarebytes Anti-Malware یا SpyHunter که در بیشتر سایت ها توصیه شده است استفاده کنند

نرم افزار CryptoPrevent هم برای جلوگیری از ورود این گروکان گیر ها طراحی شده است که می توانید نصب کنید دوستان اگر کرکی از این نرم افزار داشتید لطفا در اینجا قرار دهید

دوستان اگر دچار این بدافزار شدید به نظر من سریعا ویندوز عوض نکنید با توجه به راهکار هایی که در سایت های خارج گفته شده است اول این بد افزار رو از ویندوز خود پاک کنید سپس اگر خواستید ویندوز خود را عوض کنید شاید بعضی از اطلاعات خراب نشوند!

محمود جان ، در لینک های زیر نرم افزار CryptoPrevent 4.3 را برای دانلود قرار داده و آن را رایگان معرفی کرده اند

Download CryptoPrevent - MajorGeeks


http://www.softpedia.com/progDownloa...ad-243821.html

سلام
تشکر استاد ...
استاد وقتی این نرم افزار رو نصب کردن بعد از اجرا گزینه ای آمد که می خواهید نرم افزار را آژدیت کنید و من بله را زدم اما کادری آمد که برای آپدیت باید سریال وراد کنیم!!!:s0:

محمود جان
در شرح برنامه نوشته شده که در صورتیکه بخواهید برنامه مرتبا" آپدیت شود باید نوع Premium این
برنامه را داشته باشید.
لذا با این نوع هم برنامه کامل کار خواهد کرد و فقط در صورت نیاز به ورژن Premium باید این ورژن
را خریداری کرد که حدود 20 دلار قیمت دارد.

توضیح:
=======
بعدا" اضافه شد
=========
در لینک زیر یک ایزوی بوتیبل از کاسپراسکی وجود دارد که دارای قابلیتی بنام Kaspersky WindowsUnlocker
است که ممکن است کمکی برای رفع مشکل باشد (حجم 379 مگا بایت مستقیم از سرور Kaspersky )

http://rescuedisk.kaspersky-labs.com..._rescue_10.iso

سلام
ممنونم استاد...:^:
استاد می تواند در من این قابلیت کمی توضیح دهید
......................

تست می کنم و نتیجه را اعلام می کنم...

البته این بد افزار را به کلی از سیستم پاک کردم فقط فایل ها کد شده اند که نمی دانم چجوری باید دی کدشان کنم!

محمود جان ، خیلی گشتم که بتوانم راهی پیدا کنم.
میتوان به روش های مختلفی ، خود ویروس را از بین برد ولی متاسفانه برای از کد درآوردن فایل های کد شده
تا کنون کسی راهی پیدا نکرده است.

محمود جان هاردت را کامل فرمت کن و دوباره ویندوز نصب کن چون متاسفانه هیچ راهی برای بازیابی وجود نداره شما نمیبایست که ویندوز عوض میکردید ولی اتفاقیه که افتاده و کاریش نمیشه کرد . اگر کسی دچار این مصیبت شد به هیچ عنوان به انتی ویروس اجازه پاک کردن ویروس را ندهد چون برای همیشه فایلهایتان را از دست میدهید (با توجه به عملکرد ویروس) . فایلها را یک جا انبار کنید شاید یک روزی نرم افزاری برای باز کردن انها منتشر شود . انتی ویروس کسپرسکی و نورتون توان مقابله با این مخرب را دارند حالا انتی ویروس محمود چی بوده خودش به ما خواهد گفت .

سلام
ممنون اما من اگر مثل شما فکر می کردم و سریعا تسلیم می شدم اصلا نمی تونستم اون عکس ها رو هم بر گردونم
و حرف شما رو قبول ندارم که نمی شود کاری کرد و هیچ راهی نداره :ekh2:

شما گفتید من نباید ویندوز عوض می کردم بفرمایید اگر راهکاری سراغ دارید بگویید چون مطمئنا به درد افراد دیگری خواهد خورد؟؟؟
به آنتی ویروس هم اجازه ندهیم ویروس را پاک کند پس بفرمایید چه کار کنیم؟؟؟
منتظر باشیم تا اطلاعات بیشتری کد شوند!!!
در زمانی هم که این بد افزار بر روی ویندوز است ما باز به بیشتر اطلاعات دسترسی نداریم

همان جور که اطلاعات کد شده پس همان جور هم می شود دی کد کرد باید منتظر افراد کاردان در این ضمینه بود

مثلا از لینک زیر می توانید برنامه ایی دانلود کنید که پسوند های محدودی را ساپورت می کند و می تواند اطلاعات را دی کد کند و شخص مورد نظر دارد کم کم این پسوند ها را گسترش می دهد!
https://www.dropbox.com/s/5ns1hgchep...torBit_Fix.zip

اگر اطلاعات مهم نبود هارد رو فرمت می کردم قبلا هم گفته بودم که این سیستم برای من نیست برای یک از آشنایان است آنتی ویروس هم یادم نیست داشت یا نه !!!
خود بنده بشخصه از ناد 32 استفاده می کنم و کاملا راضی هستم البته کمتر از آنتی ویروس استفاده می کنم !

در هر صورت ممنونم
:dastt65:

نقل قول:

---

نوشته اصلی توسط Mahm00d

سلام
ممنون اما من اگر مثل شما فکر می کردم و سریعا تسلیم می شدم اصلا نمی تونستم اون عکس ها رو هم بر گردونم
و حرف شما رو قبول ندارم که نمی شود کاری کرد و هیچ راهی نداره :ekh2:

شما گفتید من نباید ویندوز عوض می کردم بفرمایید اگر راهکاری سراغ دارید بگویید چون مطمئنا به درد افراد دیگری خواهد خورد؟؟؟
به آنتی ویروس هم اجازه ندهیم ویروس را پاک کند پس بفرمایید چه کار کنیم؟؟؟
منتظر باشیم تا اطلاعات بیشتری کد شوند!!!
در زمانی هم که این بد افزار بر روی ویندوز است ما باز به بیشتر اطلاعات دسترسی نداریم

همان جور که اطلاعات کد شده پس همان جور هم می شود دی کد کرد باید منتظر افراد کاردان در این ضمینه بود

مثلا از لینک زیر می توانید برنامه ایی دانلود کنید که پسوند های محدودی را ساپورت می کند و می تواند اطلاعات را دی کد کند و شخص مورد نظر دارد کم کم این پسوند ها را گسترش می دهد!
https://www.dropbox.com/s/5ns1hgchep...torBit_Fix.zip

اگر اطلاعات مهم نبود هارد رو فرمت می کردم قبلا هم گفته بودم که این سیستم برای من نیست برای یک از آشنایان است آنتی ویروس هم یادم نیست داشت یا نه !!!
خود بنده بشخصه از ناد 32 استفاده می کنم و کاملا راضی هستم البته کمتر از آنتی ویروس استفاده می کنم !

در هر صورت ممنونم
:dastt65:

---

من ازت تعجب کردم ...شما که از فرهاد کنجکاو کنجکاوتری چطور در اینمورد دنبال قضیه رو نگرفتی ! ugly4محمود جان بد افزار دو تا کلید میسازه که یکی در کامپیوتر و دیگری را روی یک سرور میفرستد و از رمزنگاری 2048 بیتی استفاده میکند ... برای دیکد هر دو کد را ما لازم داریم حالا شما وقتی مخرب را از روی کامپیوترت پاکسازی میکنی یکی از این کلیدها هم از بین میره و برای همین به هیچ عنوان کسی نمیتواند به بازگردانی فایلهایتان کمک کند ... تازه این دو کلید برای هر کامپیوتری اختصاصی ساخته میشوند ... در انتها میتوانید ده میلیارد سال برا باز کردن کد کامپیوترت صبر کنی یا نویسنده ی بد افزار را پیدا کنی و بحسابش برسی ! بهترین را ه پولی را که ازت طلب میکنند تقدیم فرمایی ! ( وقتی میگن بکاپ داشته باشید برای همچین مواقعی است ):ch0m:

سلام
پس از مدتی به یکی از لینک هایی که در پست شماره 3 گذاشتم سری زدم تا شاید بتوانم کاری انجام دهم و فایل های خراب شده را بازگردانم که موفق شدم و فایل های عکس را چک کردم و نرم افزار درست کار کرد و فایل ها خدا رو شکر درست شدند(دوست عزیز fg54 قابل توجه شماکه گفتید "به هیچ عنوان کسی نمیتواند به بازگردانی فایلهایتان کمک کند")
اگر کسی دچار این بد افزار شده است به لینک زیر رفته و نرم افزار گفته شده را دانلود و تست نمایید

Anti-CryptorBit

موفق و پیروز باشید

تشکر از استاد گرامی و fg54 و که در این تاپیک شرکت کردند

:^::^::^: