[سوال] ویروسی با عملکرد مشابه HowDecrypt سراغ دارید ؟

[yogishiip]

سلام
متاسفانه سیستم 2 نفر از دوستام دچار مشکل شده
فایل های آفیس و پی دی اف ها باز نمیشه
مطمئن نیستم ویروسه یا نه !
نود آپدیت چیزی پیدا نکرد

سیتم ری استور هم میگه نمیتونه به علت مشکل درایو c برگردونه
درایو c تو لیست درایو های قسمت disk defragment وجود نداره !

جالب اینه که فایل ها دارند کم کم خراب میشند
یعنی هر فایل رو باز میکنم و میبندم دیگه باز نمیشه

با برنامه های مختلف ریکاوری تست کردم فایده نداشت
طبق راهنمایی این تایپیک
http://www.iranled.com/forum/thread-27557-page-9.html
نتونستم با 7zip بازش کنم میگه
---------------------------
7-zip
---------------------------
فايل 'C:\Users\administrator\Desktop\ber.xlsx' يك آرشيو شناخته شده نيست
---------------------------
OK
---------------------------
حجم فایل های اکسل رو به کمتر از 100 کیلو بایت تغییر داده
یکی از فایل ها پیوست شد
کسی میتونه کمکی بکنه ؟

[Di Di]

اين فايل توسط ويروس اينكريپت شده ،

اگر بتونيم به فايل اجرايي ويروس و كليدهاي اوليه كه روي سيستم دوستاتون ذخيره كرده دسترسي پيدا كنيم،‌شايد بتونيم كليد

اصلي رو هم از طريق تريس كردن ويروس پيدا و فايل هاي اينكريپت شده رو برگردونيم.

[yogishiip]

ممنون ار پاسختون
این فايل اجرايي ويروس و كليدهاي اوليه در مسیر مشخصی قرار میگیرند و ایا پسوند خاصی دارند ؟
اگر تیم ویوور خدمتتون بدم میتونید خودتون زحمتشو بکشید ؟

[yogishiip]

فایل پیوست حاوی 4 فایل که دو عدد خراب و دو عدد سالم است میباشد!
اگر کسی از دوستان تونست کمک کنه ممنون میشم
کدهای فایل تخریب شده بهم ریخته و اصلا نمیشه با فایل سالم مقایسه اش کرد !نمیدونم الان باید چکار کنم ؟
  Downl.rar (اندازه: 1.12 MB / تعداد دفعات دریافت: 48)

[Di Di]

اگر ويندوزش رو عوض نكرده باشه احتمال زياد مي شه اون رو پيدا كرد،‌با تيم ويوور هم فكر مي كنم بتونم برات پيداش كنم

فايل ها معمولا در فولدر تمپ يا AppData ذخيره مي شن و مهم تر از همه اينه كه نزاريد ويندوز سيستم پاك بشه چون تمام

سرنخ هاي لازم براي بازيابي فايل ها احتمالا از بين خواهد رفت

[yogishiip]

دوست خوبم

من دقيقا نمي دونم دوستان شما با كدوم مدل از اين ويروس آلوده شدند اما سعي خودم رو مي كنم تا اگر بشه جلوي از دست رفتن فايلها گرفته بشه

ولي واقعا تعجب مي كنم اطلاعات به اين مهمي چرا بك آپي ازش نگرفتن؟

دوست عزیز این ویروس وابسته به زمان عمل میکنه!
طرف بک آپ روزانه میگرفته تو اکانت گوگلش میذاشته گویا این ویروسه چند وقته داره فایل ها رو الوده میکنه و منتها فایل های آلوده روی سیستم خودش باز میشده !
از یه تاریخی به بعد دیگه باز نمیشه !
یه سیستم دیگه هم هست که فایل ها قبل از تعویض ویندوز باز میشده بعد از تعویضش دیگه باز نمیشه !

دارم به صورت دستی میگردم دنبال ویروس و علایم ویروس های مشابه رو دارم با شرایط سیستم بررسی میکنم
تا فردا اگر نتونستم اسمشو پیدا کنم مزاحمتون میشم !

[yogishiip]

سلام
اسم ویروس CryptoDefense بوده
منتها الان آپدیت شده و نمیشه با متد هایی که تو اینترنت دیدم غیرفعالش کرد !
http://www.bleepingcomputer.com/virus-re...nformation
فایل پیوست کلید خصوصی ایجاد شده توسط ویروسه
تو پست اول هم یه فایل خراب رو گذاشتم

[Di Di]

اين كليدهايي كه گذاشتيد ظاهرا مربوط به ويروس نمي شن،

شما بايد اول كليدهاي مربوطه رو به وسيله اون برنامه كه داخل لينك قرار داره بدست بياريد و برام بفرستيد،‌ حتي اگر خود برنامه

رو هم روي سيستم دوستتون اجرا كنيد احتمالا بتونه فايلها رو برگردونه

[yogishiip]

در حالت عادی وقتی نرم افزار decrypt_cryptodefenseرو اجرا میکنم میگه:

کد php:

Encrypted file: D:\picture\1--.png
File could not be decrypted properly. Skipping ... 


زمانی که این کلید

کد php:

b2d250fcc60ea39a08010c1b97844c1e_e0910701-6eff-4005-812f-1851b030e188 


رو که از پوشه crypto در مسیر appdata حذف کنم نرم افزار decrypt_cryptodefense
میگه

کد:

---------------------------
No CryptoDefense key found
---------------------------
No CryptoDefense private key has been found. Please run the decrypter on the infected machine under the same user that encrypted your files. If you want to use a private key export as provided by the malware author or by the CryptoOffense tool to decrypt your files, you can place it as "secret.key" in the same directory as the decrypter.
---------------------------
OK  
---------------------------