ویروس یا تروجان مخرب خطرناک

[NO DONGLE]

میتونم عکسها وفایلهاتو تا 80 درصد نجات بدم:) دارم بدافزار رو آنالیز میکنم
شما فعلا ویندوز نصب نکن
سرویس Shadow Volume Copies فعاله؟یه بک آپی داری؟

[roozbehm]

واقعا؟؟؟ دمتون گرم... چشم ویندوز رو فعلا دست نمیزنم ولی دیشب SpyHunter رو نصب کردم و باهاش کلی ویروس و تروجان رو به درک واصل کردم! :) الانم Malwarebytes رو نصب کردمو دارم اسکن میکنم که اگه احیانا چیزی از دست اون یکی در رفته، این از بین ببردش. من اسم شما رو هم نمیدونم که ازتون تشکر کنم...!
پس منتظر خبرتون هستم... یه دنیا تشکر.

[NO DONGLE]

سرویس Shadow Volume Copies فعاله؟یه بک آپی داری؟

با این تست کن ببین اسنپ شات رو سیستمت پیدا میکنه یا نه
اینجا

[roozbehm]

نه متاسفانه، هیچ بک آپی هم ندارم.
ShadowExplorer رو دیشب با راهنمایی همون سایتی که معرفی کردین گرفتم ولی هیچی پیدا نمیکرد ولی الان که ویروس رو از بین بردم نشون میده... منتها فقط درایو C رو. راستشو بخواید من اصلا نمیدونم اینیایی که نشون میده چیه و به چه کاری میاد! (من کلا خیلی با ویروس و این برنامه ها آشنا نیستم)

[NO DONGLE]

کارش ساختن نقطه ی بک آپ برای ویندوزه.برای همین موقع ها.باهمین نقطه ی بک آپی که الان دارین .میتونید ویندوزتون رو به حالت امن برگردونید.و هر فایلی که در در درایور c هست و رمز نگاری شده رو نجات بدیدن.ولی برای باقی درایورها نه.
با این حساب شما هیچی ندارین

با یه برنامه بازیابی اطلاعات مثه file active recovery بروز باشه. یه درایو که ویروسی بوده رو بازیابی کن.فقط عکس هارو فعلا.ببین عکس هایی رو که پاک کرده رو برمیگردونه یا نه.نیاز نیست همه ی درایو رو اسکن کنی

اگه بدافزار نسخه ی اورجینال فایل رو پاک کرده باشه قبل از رمز نگاری میتونی تا حدی فایلاتو نجات بدی

اگه فایلی رو بازیابی کردی که نسخه ی رمز نگاریش هم داری .برام ارسال کن .(برای عکس های با فرمت jpg

[roozbehm]

یه سری از فایل هارو با "Recover My Files Pro" ریکاوری کردم ولی فایل هایی که بازیابی کرده هم همون فرمت منحوس رو دارن!
یعنی به غیر از ریکاوری و بک آپ راه دیگه ای نداره؟ نمیشه فایل هارو دیکریپت کرد؟!
شما بدافزار رو آنالیز کردین؟

[NO DONGLE]

فرمتشو تغییر بده ببین باز میشه (عکس ها رو)

اگه کلید واول و دوم رو داشته باشی میشه رمزگشایی کرد :)

آنالیز من رفتار بد افزار رو مشخص میکنه که:
با توجه به اون کلیدی که بهت داده (کلید اول)و کلید دوم رو روی سرور در یه مسیر که توی اون صفحه ی کذایی مشخص شده ذخیره میکنه .به اون نیاز هست و بدون اون فرایند رمزگشایی ممکنه خیلی طولانی باشه.

[roozbehm]

فرمتو تغییر دادم ولی درست نشد...
اگه منظورتون از کلید اول، همون اعداد و ارقامیه که تو اون صفحه هکر بود، باید بگم که این آنتی مالورها پاکش کردن و دیگه اصلا اون صفحه تایمر نمیاد.
الان بزرگترین سوال و دغدغه ای که برای من هست اینه که نرم افزاری وجود نداره که فایل های اینکریپت شده و خراب رو ترمیم کنه؟؟؟!! چون اول همین تاپیک هم آقای "Di Di مدير بخش هك و كرك" برای ویروسی مشابه، یه نرم افزاری با نام "te94decrypt" ارائه کردن. قاعدتا باید همونطوری که یه نرم افزار تونسته این بلا رو سر این فایلها بیاره، باید یه نرم افزار هم باشه که بتونه اونارو به حالت درستش در بیاره! نمیدونم... شایدم من اشتباه میکنم... اینم به خاطر اینه که خیلی ناراحتم و دارم اذیت میشم که میبینم به همین راحتی اون همه عکس و خاطرم داره برای همیشه از بین میره... خواهشا اگر میتونید و میشه نرم افزاری مشابه "te94decrypt" بهم معرفی کنید... ممنون.

---

ظاهرا اسم این نرم افزار Dr.web است. من حتی این رو هم الان امتحان کردم ولی بعد از اسکن نوشت که هیچ فایلی دیکریپت نشد. فکر میکنم این نسخه فقط مخصوص همون نوع ویروسه... برای ویروس سیستم من هم شاید وجود داشته باشه...

[grimm]

درود
دوست عزیز فک نکنم بتونید کاری در مورد فایل هاتون انجام بدید همانطور که جناب NO DONGLE عزیز گفتن این الگوریتمی که برای اینکریپت کردن فایل های شما استفاده شده الگوریتم ساده ای نیست و بسیار پیشرفته هست و دیکریپت کردن متن های اینکریپت شده با این الگوریتم هم کار ساده ای نیست
با توجه به اینکه کلید هارا ندارید تلاش برای دیکریپت کردن این فایل ها عملا کاری بیهوده است.
موفق باشید.

[roozbehm]

ممنون از راهنمایی های خوبتون جناب grimm. ولی من امیدم زیاده! و حتی اگه فعلا هم نتونم برای این فایل ها کاری بکنم، پاکشون نمیکنم تا زمانی که یه نرم افزار یا روشی برای درست کردنشون ساخته بشه... و از همین جا از همه دوستانی که این متن رو میخونن تقاضا میکنم که اگه یه راه حلی پیدا کردن، لطف کنن به من هم اطلاع بدن.
در ضمن تا الان 2 نفر رو از طریق دوستانم پیدا کردم که ادعا کردن می تونن فایل هام رو درست کنن ولی یکیشون که شهرش خیلی دوره و اون یکی هم تقاضای پولی کذایی (در حد و اندازه خود سازنده بدافزار) داره!
اگر واقعا این دو نفر بتونن، پس باز هم هستن کسانی که بتونن اینکار رو انجام بدن!
خود جناب NO DONGLE هم فرمودند که به احتمال 80% میتونن فایل ها و عکس هامو برگردونن... حالا منتظر میمونیم ببینیم چی پیش میاد.

[grimm]

As we have mentioned before, there is no possibility to decrypt files that have been decrypted by CTB Locker. If you are not going to pay the ransom for the cyber criminals, you can restore your files from a backup. There are several ways to accomplish that.

The best option is to simply restore all system settings and settings from a Windows backup. However, it is possible only if you set up a backup before. If you didn’t performed this before, you will not be able to do a system restore. Even if you have a restore a valid restore file, it might be not possible to retrieve lost files, if the directory they are stored in is not covered by Windows backup (you can choose that in settings).

Following method can be quite effective as well. CTB locker does not just encrypt the file – they make a copy of it, encrypt it and then delete the original file. For this reason, you can use particular software to to restore lost files. For example, R-Studio or Photorec could perform this task. If you are wondering why it’s not recommended to wait long after CTB locker gets on your system, it’s because the longer you wait, the harder it will be to file restore programs to retrieve your deleted and un-encrypted files.

منبع:http://www.2-viruses.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files

بهترین کار استفاده از نرم افزار ریکاوری برای باز گردانی فایل هاست
موفق باشید.