مشکل با یک بدافزار گروگان گیر جدید؟؟؟

[Mahm00d]

سلام
دوستان یک از آشنایان بنده لپ تاپ خود را برای من آورد تا مشکلش را حل کنم من قبلا از ویندوز این لپ تاپ با استفاده از نورتون گوست تحت داس بکاپی گرفته بودم وقتی خواستم بکاپ را ریستور کنم دیدم که نرم افزار فایل بکاپ را شناسایی نمی کند و می گوید این فایل مخصوص نورتون گوست نیست بعد از مدتی دیدم که تمامی عکس ها و ... هم خوانده نمی شوند و پیغام خرابی فایل می دهند

بعد از مدتی متوجه شدم که یک بد افزار بر روی سیستم وجود دارد که تمامی اطلاعات را کد گذاری کرده است (گروگان گرفته)
در تمامی پوشه ها سه تا فایل وجود دارد

HOWDECRYPT.TXT
HOWDECRYPT.HTM
HOWDECRYPT.GIF

محتویات فایل txt به صورت زیر است

کد HTML:

All files including videos, photos and documents on your computer are encrypted.
 
Encryption was produced using a unique public key generated for this computer. 
To decrypt files, you need to obtain the private key.
 
The single copy of the private key, which will allow you to decrypt the files,
 located on a secret server on the Internet; the server will destroy the key after a time specified in this window.
 After that, nobody and never will be able to restore files.
 
In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.
 
If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below: 
 
1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. 
We remind you that the sooner you do, the more chances are left to recover the files.
 
IMPORTANT INFORMATION:
 
Your Personal CODE: 00000001-0F344133

عکس فایل GIF

من با یک ویندوز لایو بالا آمده و تمامی این سه فایل که در تمامی پوشه ها وجود داشت را حذف کردم اما باز مشکل پابر جاست و اطلاعات خوانده نمی شوند و پیغام خرابی اطلاعات داده می شود

من چگونه می توانم اطلاعات را بازگردانم؟؟؟

[Magsoud]

شاید لینک زیر بتواند کمکی باشد


CryptoLocker Virus – Removal and Decryption Guide

[Mahm00d]

سلام
با تشکر از استاد عزیز ...

ویندوز را تعویض کردم و بعد به فایل ها مراجعه کرده و دیدم متاسفانه 90 درصد فایل ها خراب شده است و در جستجوی تعمیر فایل ها ...

جالب اینجا بود که پسوند هیچ فایلی تغییر نکرده بود همچنین حجم و... اما وقتی فایل را با برنامه مورد نظر خودش باز می کردی می گفت فایل خراب است؟؟؟

خیلی دوست دارم بدانم این بد افزار چگونه این فایل ها را خراب کرده است اگر اطلاعات به گفته خود بد افزار کد گذاری شده چرا پسوند هیچ فایلی تغییر نکرده یا حجم یا...
مگر کد گذاری اطلاعات نیاز به زمان ندارد چگونه در این مدت کم تمامی اطلاعات کد شده؟؟!!!

توضیحاتی در سایت های خارجی:

کد HTML:

http://deletemalware.blogspot.ca/2013/12/remove-howdecrypt-virus-and-restore.html
http://www.bleepingcomputer.com/forums/t/517689/howdecrypt-file-encrypting-ransomware-500-usd-ransom-information-topic/

..................

در سایت های خارجی که بیشتر روش پیشگیری و حذف این بد افزار را توضیح داده اند و معدود سایت هایی در مورد بازیابی فایل ها توضیح دادند و روش هایی گفته اند و نرم افزار هایی در این ضمینه برای پسوند های محدود ساخته اند اما چندین ساعت راهکار و نرم افزار های زیادی را تست کردم اما موفق نبودم تا تصمیم گرفتم از نرم افزار های ریکاوری استفاده کنم چند نرم افزار را تست کردم اما فایلی برای ریکاوری پیدا نمی کردند چون اصلا فایلی پاک نشده بود!
تا اینکه در یکی از پست های انجمن های خارجی دیدم یکی از کاربران برای تعمیر عکس ها از نرم افزار Stellar Phoenix JPEG Repair استفاده کرده و موفق بوده اما من این نرم افزار را هم تست کردم اما باز ناموفق ...

تسلیم نشدم و نرم افزار ریکاوری این شرکت رو تست کردم که نامش Stellar Phoenix Windows Data Recovery Pro می باشد که توانستم بیشتر عکس ها که برای بازگردانی مهم بودند را ریکاوری کنم
اما نتوانستم اسناد را با استفاده از این نرم افزار بازیابی کنم...

به دوستان پیشنهاد می کنم آنتی ویروس خود را بروز کنند و از نرم افزار های ضدبد افزار در کنار آنتی ویروس خود همچون Malwarebytes Anti-Malware یا SpyHunter که در بیشتر سایت ها توصیه شده است استفاده کنند

نرم افزار CryptoPrevent هم برای جلوگیری از ورود این گروکان گیر ها طراحی شده است که می توانید نصب کنید دوستان اگر کرکی از این نرم افزار داشتید لطفا در اینجا قرار دهید

دوستان اگر دچار این بدافزار شدید به نظر من سریعا ویندوز عوض نکنید با توجه به راهکار هایی که در سایت های خارج گفته شده است اول این بد افزار رو از ویندوز خود پاک کنید سپس اگر خواستید ویندوز خود را عوض کنید شاید بعضی از اطلاعات خراب نشوند!

[Magsoud]

محمود جان ، در لینک های زیر نرم افزار CryptoPrevent 4.3 را برای دانلود قرار داده و آن را رایگان معرفی کرده اند

Download CryptoPrevent - MajorGeeks


http://www.softpedia.com/progDownloa...ad-243821.html

[Mahm00d]

سلام
تشکر استاد ...
استاد وقتی این نرم افزار رو نصب کردن بعد از اجرا گزینه ای آمد که می خواهید نرم افزار را آژدیت کنید و من بله را زدم اما کادری آمد که برای آپدیت باید سریال وراد کنیم!!!

[Magsoud]

محمود جان
در شرح برنامه نوشته شده که در صورتیکه بخواهید برنامه مرتبا" آپدیت شود باید نوع Premium این
برنامه را داشته باشید.
لذا با این نوع هم برنامه کامل کار خواهد کرد و فقط در صورت نیاز به ورژن Premium باید این ورژن
را خریداری کرد که حدود 20 دلار قیمت دارد.

توضیح:
=======
بعدا" اضافه شد
=========
در لینک زیر یک ایزوی بوتیبل از کاسپراسکی وجود دارد که دارای قابلیتی بنام Kaspersky WindowsUnlocker
است که ممکن است کمکی برای رفع مشکل باشد (حجم 379 مگا بایت مستقیم از سرور Kaspersky )

http://rescuedisk.kaspersky-labs.com..._rescue_10.iso

[Mahm00d]

سلام
ممنونم استاد...
استاد می تواند در من این قابلیت کمی توضیح دهید
......................

تست می کنم و نتیجه را اعلام می کنم...

البته این بد افزار را به کلی از سیستم پاک کردم فقط فایل ها کد شده اند که نمی دانم چجوری باید دی کدشان کنم!

[Magsoud]

محمود جان ، خیلی گشتم که بتوانم راهی پیدا کنم.
میتوان به روش های مختلفی ، خود ویروس را از بین برد ولی متاسفانه برای از کد درآوردن فایل های کد شده
تا کنون کسی راهی پیدا نکرده است.

[fg54]

محمود جان هاردت را کامل فرمت کن و دوباره ویندوز نصب کن چون متاسفانه هیچ راهی برای بازیابی وجود نداره شما نمیبایست که ویندوز عوض میکردید ولی اتفاقیه که افتاده و کاریش نمیشه کرد . اگر کسی دچار این مصیبت شد به هیچ عنوان به انتی ویروس اجازه پاک کردن ویروس را ندهد چون برای همیشه فایلهایتان را از دست میدهید (با توجه به عملکرد ویروس) . فایلها را یک جا انبار کنید شاید یک روزی نرم افزاری برای باز کردن انها منتشر شود . انتی ویروس کسپرسکی و نورتون توان مقابله با این مخرب را دارند حالا انتی ویروس محمود چی بوده خودش به ما خواهد گفت .

[Mahm00d]

سلام
ممنون اما من اگر مثل شما فکر می کردم و سریعا تسلیم می شدم اصلا نمی تونستم اون عکس ها رو هم بر گردونم
و حرف شما رو قبول ندارم که نمی شود کاری کرد و هیچ راهی نداره

شما گفتید من نباید ویندوز عوض می کردم بفرمایید اگر راهکاری سراغ دارید بگویید چون مطمئنا به درد افراد دیگری خواهد خورد؟؟؟
به آنتی ویروس هم اجازه ندهیم ویروس را پاک کند پس بفرمایید چه کار کنیم؟؟؟
منتظر باشیم تا اطلاعات بیشتری کد شوند!!!
در زمانی هم که این بد افزار بر روی ویندوز است ما باز به بیشتر اطلاعات دسترسی نداریم

همان جور که اطلاعات کد شده پس همان جور هم می شود دی کد کرد باید منتظر افراد کاردان در این ضمینه بود

مثلا از لینک زیر می توانید برنامه ایی دانلود کنید که پسوند های محدودی را ساپورت می کند و می تواند اطلاعات را دی کد کند و شخص مورد نظر دارد کم کم این پسوند ها را گسترش می دهد!
https://www.dropbox.com/s/5ns1hgchep...torBit_Fix.zip

اگر اطلاعات مهم نبود هارد رو فرمت می کردم قبلا هم گفته بودم که این سیستم برای من نیست برای یک از آشنایان است آنتی ویروس هم یادم نیست داشت یا نه !!!
خود بنده بشخصه از ناد 32 استفاده می کنم و کاملا راضی هستم البته کمتر از آنتی ویروس استفاده می کنم !

در هر صورت ممنونم