ویروس باج گیر « لاکی Locky » بخش اول

ویروس باج گیر « لاکی Locky » بخش اول

locky01
ویروس « لاکی » در دسته‌بندی نرم‌افزارهای «باج افزار» یا بصورت تخصصی‌تر در دسته بندی ویروس‌های «باج گیر»  قرار می‌گیرد. این دسته از ویروس‌ها به روش‌های گوناگون مانع کار عادی سیستم کامپیوتر می‌گردند و به سرعت تقاضای مبلغی پول بعنوان باج می‌نمایند. معمولاً ویروس‌های باج گیر کارایی کامپیوتر را کاملاً مختل می‌نمایند یا اطلاعات آنرا غیر قابل دسترسی می‌کنند به نحوی که هیچ کار  مفیدی نتوان با آن انجام داد. در صورتی که قربانی مبلغ باج را بپردازد ویروس سیستم را به حالت عادی بر می‌گرداند و خودش را پاک می‌کند اما اگر قربانی حاضر به پرداخت مبلغ باج نباشد باید از خیر تمامی اطلاعات خود بگذرد و با پاک کردن تمامی اطلاعات هارد دیسک و نصب مجدد سیستم عامل کامپیوتر را به حالت عادی برگرداند.

نحوه نفوذ لاکی

locky02
لاکی توسط ۱-ایمیل  و ۲-فایل پیوست شده به ایمیل منتقل میشود، بویژه پیوستی که از نوع فایل ورد (word) باشد. این فایل ورد شامل یک ماکرو است که به محض اجرا شدن «ویروس باج گیر» اصلی را از اینترنت دانلود می‌کند. البته خود ایمیل بدون پیوست نیز قدرت انتقال را دارد بنابراین بهتر است از بازکردن ایمیل‌های تبلیغاتی یا با آدرس ناآشنا بپرهیزید.  در برخی موارد کاربران ایرانی آلوده شده به مرجع آنتی ویروس ایران اعلام نموده‌اند که ایمیلی با عنوان مُعین را باز نموده‌اند و بعد از آن دچار مشکل شده‌اند بطور کلی در بیشتر موارد ایمیل‌های تبلیغاتی و با آدرس‌های ناآشنا بوده‌اند. بطور دقیق‌تر به محض اجرا شدن فایل ورد، ماکرو یک فایل از نوع BAT در هارد دیسک قربانی می‌سازد که قابلیت اجرای دستورات سیستم عامل را دارد. این فایل BAT مانند یک دانلود کننده، فایل دیگری را با فرمت VBScript  از اینترنت گرفته و اجرا می‌کند.

نحوه خرابکاری ویروس لاکی

locky03
این ویروس به محض آلوده شدن کامپیوتر شروع به دستکاری اطلاعات فایل‌های شما می‌کند. هدف اصلی این ویروس رمزگذاری اطلاعات مهم فایل‌های کامپیوتر است. از آنجایی که بیشتر فایل‌های مهم کاربران متن‌های نوشته شده با برنامه‌های آفیس، فیلم‌ها، عکس‌ها و تصاویر شخصی می‌باشند این ویروس با رمزکردن اطلاعات داخل آنها مانع دسترسی عادی به آنها می‌شود. برخی از فایل‌های معروف متنی، تصویری و صوتی که توسط ویروس لاکی مورد حمله قرار می‌گیرند عبارتند از:

.doc, .docx, RTF, .pdf, .XLS, .PPT,  .dotx, .docm, .DOT, .max, .xml, .txt, .CSV, .uot, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm,  .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

توجه داشته باشید که ویروس لاکی فقط به فایل‌های درایو C شما بسنده نمی‌کند بلکه تمام فایل‌های موجود در درایوهای کامپیوتر شما را حتی حافظه‌های فلش و هارددیسک‌های اکسترنال متصل به آنرا نیز رمز می‌کند.

بعد از رمزگذاری پسوند فایل‌ها به locky. تغییر می‌یابد البته این ویروس نام فایل‌ها را نیز عوض می‌کند که باعث سخت‌تر شدن کار با فایل‌ها می‌شود. رمزنگاری مورد استفاده این ویروس ترکیبی از دو رمزنگاری بسیار پیچیده RSA و AES-128 می‌باشد که هر دو واقعاً از رمزنگاری‌های قوی هستند. در حال حاضر امکان شکستن سریع این نوع رمزنگاری بدون داشتن کلید رمز میسر نیست.

بعد از اتمام رمزگذاری نوبت درخواست پرداخت باج است. این ویروس مبلغی بین ۲۰۰ تا ۴۰۰ دلار بصورت بیت‌کوین درخواست می‌کند تا کلید رمز و برنامه بازگرداننده اطلاعات بصورت اول آنرا در اختیارتان قرار دهد. بیت‌کوین یک نوع پول الکترونیکی است و از آنجایی که امکان ردیابی آن سخت است در بین هکرها بسیار محبوب است.

بهتر است بدانید ویروس لاکی حتی فایل‌های VSS (Volume Snapshot Service) که به عنوان فایل های shadow copies نیز معروف هستند را به طور کامل حذف می کند. Shadow copies روشی است که ویندوز به صورت پنهانی و بدون اینکه در فعالیت‌های کاربر خللی ایجاد شود، از درایوهای مشخص شده snapshot تهیه می کند.

نحوه  انتشار ویروس لاکی در شبکه
باج افزار « لاکی » حمله خود را از یک کامپیوتر آلوده دارای سیستم عامل ویندوز شروع می‌کند و به تدریج به دیگر سیستم‌های قابل دسترس در شبکه گسترش می‌یابد. گرچه حمله از سیستم عامل ویندوز شروع می‌شود اما این ویروس قابلیت آلوده کردن دیگر سیستم عامل‌ها نظیر لینوکس و OS X اپل را نیز دارد.

نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس لاکی اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز AES-128 داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

به اشتراک گذاری این نوشته

Comments (87)

  • محمد Reply

    سلام جلوی اکثر فایل های کامپیوتر من کد گذاری شده و locky file زده شما میتونید درستش کنین؟با تشکر

    ۲۹ فروردین, ۱۳۹۵ at ۱۱:۴۰ ق٫ظ
    • نیما عارفی Reply

      با سلام
      متاسفانه راه حلی برای بازگرداندن فایل‌هابه حالت اولیه وجود ندارد و فقط می توان ویروس را از دستگاه پاک کرد.
      در صورت پاک کردن فایل ویروس از دستگاه دیگر امکان بازگرداندن فایل‌ها وجود ندارد.

      شرکت پاندا نرم افزاری را ارائه کرده که در برخی موارد با مقایسه فایل سالم و فایل رمزنگاری شده امکان بازگردانی فایل‌ها به حالت اول را فراهم می کند که بزودی می‌توانید آنرا از بخش مرکز دانلود دریافت نمایید.

      ۳۰ فروردین, ۱۳۹۵ at ۲:۳۶ ب٫ظ
  • ایمان امینی Reply

    سیستم دوستم آلوده شده تمام فایل هاش از بین رفت

    ۹ اردیبهشت, ۱۳۹۵ at ۶:۴۱ ب٫ظ
  • سروش Reply

    لطفا آنتی ویروس رایگان قابل دانلود برای حذف ویروس لاکی روی سیستم ویندوز معرفی فرمایید

    ۲۳ اردیبهشت, ۱۳۹۵ at ۸:۴۷ ق٫ظ
  • مهدی Reply

    با سلام
    لطفا به دادم برسید
    همه فایلها از جمله عکس و فیلم های شخصیم رو قفل کرده
    چکار کنم تا گسترش پیدا نکنه ؟
    شما گفتید ” در صورت پاک کردن فایل ویروس از دستگاه دیگر امکان بازگرداندن فایل‌ها وجود ندارد ” یعنی من فعلا پی سی رو خاموش نگه دارم ؟
    ممنون

    ۲ خرداد, ۱۳۹۵ at ۶:۵۶ ب٫ظ
    • ramin Reply

      سلام،
      متاسفانه در مورد ویروس لاکی، خاموش نگهداشتن پی سی کار خاصی انجام نمی‌دهد فقط باعث می‌شود دیگر دستگاه‌های موجود در شبکه آلوده نشوند.
      در حال حاضر چاره‌ایی بجز فراموش کردن اطلاعات قبلی خود ندارید و مجبور به نصب مجدد ویندوز هستید. اما اگر اطلاعات رمز شده برای شما خیلی مهم است به شما توصیه می‌کنم با یک برنامه نظیر Norton Ghost یا Acronis تمام پارتیشن‌های دستگاه خود را بصورت سکتور به سکتور پشتیبان‌گیری نمایید تا در آینده اگر رمزشکن این ویروس آماده شد بتوانید این اطلاعات رمز شده را دوباره بازیابی نموده و سپس رمز آنها را بشکنید.
      ویروس لاکی اطلاعات شما را با رمز RSA128 رمزنگاری نموده است که پیدا کردن رمز آن بصورت آزمون و خطا ۳ سال طول می‌کشید! ممکن است در آینده نزدیک بتوانند با استفاده از فایلهای خود ویروس لاکی یا دستگاه آلوده راهی برای رمزگشایی اطلاعات بیابند، پس بهتر است با استفاده از برنامه‌های بالا پشتیبان بگیرید و امیدوار باشید راه‌حلی پیدا شود.
      به شما توصیه می‌کنم حافظه‌های USB Flash یا هاردیسک‌های اکسترنال خود را با یک دستگاه مجهز به آنتی‌ویروس جدید چک نمایید و حداقل اطلاعات آنها را روی CD یا DVD کپی نمایید. در ضمن از آنجایی که ویروس لاکی توسط ایمیل منتقل می‌شود به احتمال ۹۹% یکی از ایمیل‌های دریافتی شما آلوده بوده است و هنوز در صندوق پستی شما موجود است، بنابراین از بازدید ایمیل‌های خود مخصوصاً آنهایی که ضمیمه دارند و آدرس آنها برای شما آشنا نیست خودداری نمایید.

      ۳ خرداد, ۱۳۹۵ at ۸:۳۵ ب٫ظ
  • شهریار نوروزی Reply

    باسلام آیا این یک ویروس است یا تروجان؟؟در قسمت share سرور من توسط اجرای یکی از کلاینتها این برنامه اجرا شده ولی طی ۴۸ ساعت تکثیر نشده است .. آیا باید چیزی پاک بشه ؟؟؟البته هم سرور هم کلاینت ذکر شده مشکلی در ادامه کار ها ندارند و فایلهایی که بعدا در قسمت share قرار گرفتند مشکلی ندارند.

    ۹ خرداد, ۱۳۹۵ at ۳:۳۶ ب٫ظ
    • ramin Reply

      مسلماً لاکی یک نوع تروجان است، اگر سرور یا کلاینت‌های شما مجهز به آنتی‌ویروس برروز باشند مشکلی نخواهید داشت، متاسفانه روزانه حداقل ۲ تا ۳ مورد آلودگی و رمز شدن فایلها به ما گزارش میشود و در حال حاضر کمکی از دست ما برای بازگرداندن آنها برنمی‌آید. بنابراین به شما توصیه میشود از اطلاعات خود روی DVD پشتیبان تهیه نمایید و به کاربران شبکه یاد دهید که بی‌جهت ماکرو(ها) را در برنامه Word فعال نکنند.

      ۱۴ خرداد, ۱۳۹۵ at ۶:۲۸ ب٫ظ
  • رسول Reply

    سلام برای ویروس rsa-4096 میشه کاری کرد

    ۱۷ خرداد, ۱۳۹۵ at ۱۱:۱۳ ق٫ظ
    • نیما عارفی Reply

      سلام ،
      سیستم شما به ویروس TeslaCrypt و Alpha Crypt آلوده شده است.
      ممکن است فایل‎های شما به حالت قبلی خود برگردد. برای اطلاعات بیشتر به این صفحه مراجعه کنید.(این روش بر روی ویروس لاکی امتحان شده است اما فایل ها به حالت اولیه خود برنگشته‎اند)

      ۱۸ خرداد, ۱۳۹۵ at ۷:۴۲ ب٫ظ
  • محمد Reply

    سلام،متاسفانه سیستم من با این مشکل مواجه شده ولی متاسفانه حتی نمی تونم سیستم خودم رو reset factory کنم ؟چیکار کنم تا از دست این سیستم راحت شم ؟حتما باید دوباره ویندوز بریزم یا اینکه میشه همینجوری هم ازش استفاده کرد؟اگه بهش فلش وصل کنیم هم ویروسی می شه؟
    آخه ویندوز خودم حیفه اورجینال کارخونه بود مثلا.
    تورو خدا کمکم کنید

    ۱۸ خرداد, ۱۳۹۵ at ۱۱:۱۹ ق٫ظ
    • نیما عارفی Reply

      سلام ،
      شما می توانید ویروس را از روی سیستم خود حذف کنید اما فایل‎های آلوده شده به حالت اولیه خود برنمی‎گردند و دیگر هیچ راهی برای بازگرداندن آن وجود ندارد.
      دررابطه با نسخه و مدل ویندوز، درصورت ریتیل بودن ویندوز شما می‎توانید ویندوز را از سایت مایکروسافت دانلود کنید و دوباره اقدام به نصب کنید و کد فعال سازی خود را وارد کنید.در صورت OEM بودن نسخه ویندوز نیز شما باید ویندوز خود را از روی Backup قبلی Restore کنید.
      هر حافظه جانبی که قابلیت خواندن و نوشتن(اعم از هارد، فلش و …) را داشته باشد درصورت اتصال با دستگاه آلوده شده، امکان انتقال ویروس را فراهم می سازد.

      ۱۸ خرداد, ۱۳۹۵ at ۷:۵۵ ب٫ظ
  • بامداد لشکری Reply

    سلام دوستان گرامی متاسفانه محل کارم که شامل تعداد زیادی کامپیوتر هستنش یکیشون همین مشکلو پیدا کرده یکبار ویندوزشو عوض کردم ولی دوباره فایلهاشون به همین شکل در اومده با توجه به اینکه از کسپر اسکای استفاده میکنم نمیدونم چطوری راه جلوگیریشو بگیرم و نمیدونم بقیه سیستمهام این مشکلو دارن یا نه یه راهنمایی موثر بفرمایید ممنون میشم فایلهای ورد همکارم رو نابود کرده به این شکل word.doc.crypt

    ۲۲ خرداد, ۱۳۹۵ at ۴:۵۳ ق٫ظ
    • ramin Reply

      سلام،
      اگر آنتی ویروس کسپرسکی شما بروز باشد این ویروس را قبل از نصب و فعال شدن، شناسایی و پاک می‌نماید. اما توجه داشته باشید اگر فایلها رمز گذاری شده باشند و بعد آنتی ویروس کسپرسکی را نصب کنید برای فایلهای رمزگذاری شده کاری نمی‌توان انجام داد.
      برای پیشگیری و جلوگیری از رمز شدن فایلها توسط اینگونه ویروسها، لطفا برنامه جلوگیری کننده بیت دیفندر را از بخش مرکز دانلود سایت ما دانلود و روی تمام کامپیوترهای خود نصب نمایید.

      ۲۳ خرداد, ۱۳۹۵ at ۱۰:۱۵ ق٫ظ
  • بامداد لشکری Reply

    در ضمن من برای اینکه ویروسشو از بین ببرم و بتونم فایلشو دوباره باز کنم فایلهای ورد پاور پوینت و اکسلشون رو به سیستم دیگه ای منتقل کردم که بتونم بلکه درستشون کنم که موفق نشدم آیا امکانش هست که با جابجایی فایل ورد این ویروس انتقال پیدا کنه حتی اگه انتی ویروس اونو از بین برده باشه . سپاسگذارم

    ۲۲ خرداد, ۱۳۹۵ at ۴:۵۶ ق٫ظ
    • ramin Reply

      متاسفانه جابجایی فایلها باعث آلوده شده کامپیوترهای دیگر می‌شود، بنابراین مراقب باشید. ابتدا این کارها را انجام دهید:
      ۱. آنتی ویروس دستگاه گیرنده فایلها را بروز کنید.
      ۲. برنامه «پیشگیری و جلوگیری کننده از رمز شدن بیت دیفندر» را از بخش مرکز دانلود سایت ما دانلود و روی تمام کامپیوترهای خود نصب نمایید.
      ۳. در موقع اجرای فایلهای ورد یا اکسل و … پیغام فعال سازی ماکرو را نزنید یعنی ماکرو باید خاموش باشد.
      سپس فایلهای خود را انتقال دهید.

      ۲۳ خرداد, ۱۳۹۵ at ۱۰:۲۵ ق٫ظ
  • سارا Reply

    سلام همه فایلام با پسوند crypz قفل شدن اگه هاردمو فرمت کنم امکان ریکاوری اطلاعاتم و عکسام هست ؟

    ۲۷ خرداد, ۱۳۹۵ at ۵:۴۵ ق٫ظ
    • نیما عارفی Reply

      باسلام،
      به احتمال خیلی زیاد اینکار انجام پذیر نیست زیرا فایل های رمزنگاری شده جایگزین فایل های اصلی شده‎اند، و در صورت ریکاوری فایل های رمزنگاری شده ریکاوری می شوند.
      اما در شرایطی ممکن است بعضی از فایل‎های اصلی بازگردند.

      ۳۱ خرداد, ۱۳۹۵ at ۷:۲۸ ق٫ظ
  • علیرضا Reply

    آیا این ویروس میتونه لینوکس رو هم آلوده کنه؟

    ۶ تیر, ۱۳۹۵ at ۶:۴۴ ق٫ظ
    • نیما عارفی Reply

      باسلام
      به صورت مستقیم خیر، اما از طریق دیگر کامپیوترها درون شبکه امکان آلوده شدن وجود دارد.

      ۱۵ تیر, ۱۳۹۵ at ۷:۴۴ ق٫ظ
  • رضا Reply

    سلام و خسته نباشید.
    مدیر محترم لطفا یه سر به این لینک بزنید ببینم این به درد بخور هست یا نه؟ اگه کارگشا هست یه بررسی کنید نتیجه رو بگید شاید مشکل بنده و دوستان حل شد . باتشکر
    https://blog.kaspersky.com/cryptxxx-ransomware/11939/

    ۸ تیر, ۱۳۹۵ at ۱۰:۵۹ ق٫ظ
  • محمد Reply

    سلام
    لپ تاب من به ویروس crypz الوده شده است.
    از یک فایل هم الوده شده و هم الوده نشده اش را روی سی دی دارم.اگر برایتان ارسال کنم احتمال دارد کلید رمز را استخراج کنید تا فایل های دیگر را نجات دهم.
    با تشکر

    ۱۰ تیر, ۱۳۹۵ at ۸:۳۰ ق٫ظ
  • دانیال Reply

    سلام
    اخیرا از طریق ایمل این ویروس دریافت کردم و اکثر فایل هام تبدیل شده و بعضیا نشده اگر اونایی که تبدیل نشده را انتقال بدم ایا همراش ویروس هست یا نه؟

    ۱۲ تیر, ۱۳۹۵ at ۰:۳۱ ق٫ظ
    • نیما عارفی Reply

      سلام به احتمال زیاد فایل ویروس اصلی به همراه فایل‎های شما کپی خواهد شد.
      پیشنهاد می‎شود فایل‎های خود را برروی یک DVD ویا CD کپی گرفته و در آینده پس از پیدا شدن راه حلی برای جلوگیری از اجرا شدن ویروس بتوانید از فایل‎های خود استفاده نمایید.

      ۱۵ تیر, ۱۳۹۵ at ۷:۴۱ ق٫ظ
  • محمدرضا Reply

    سلام.چند روزی هست که فایل های عکس،متن،موزیک و ویدیو بدون اینکه پسوند و یا اسمشون تغییر کنه دیگه باز نمیشن.آیا میتونه همین ویروس باشه یا خیر؟
    ویندوز رو عوض کردم ولی تغییری حاصل نشده.

    ۱۲ مرداد, ۱۳۹۵ at ۱۱:۱۳ ب٫ظ
    • نیما عارفی Reply

      سلام بله امکان آلوده شدن فایلها و یا برنامه‎ای که فایل‎ها را برای شما باز می کند وجود دارد.
      پس از نصب ویندوز و نصب آنتی ویروس، شروع به اسکن کردن درایو‎های خود کردید! اگر درایوی که دارای فایل ویروس است را بدون آنتی ویروس و اسکن کردن اجرا کنید ویروس دوباره فعال شده و شروغ به تخریب می‌کند

      ۱۷ مرداد, ۱۳۹۵ at ۷:۰۹ ق٫ظ
  • پریسا Reply

    سلام و خسته نباشید خدمت شما آقای عارفی.
    ببخشید لپ تاپ من به این ویروس آلوده شده اما عکس ها و فیلم ها و موزیک هام سالم هستند یعنی هنوز پسوند crypt انتهاشون نیومده و باز می شوند.
    سوال من اینه که اگر این فایل ها رو روی سیستم دیگر کپی کنم آیا امکان آلوده شدن سیستم مقصد وجود دارد یا خیر؟
    پیشاپیش ممنون و سپاسگذار.

    ۲۰ مرداد, ۱۳۹۵ at ۴:۵۳ ب٫ظ
    • نیما عارفی Reply

      سلام بله امکان آلوده شدن فایلها و یا برنامه‎ای که فایل‎ها را برای شما باز می کند وجود دارد.
      پس از نصب ویندوز و نصب آنتی ویروس، شروع به اسکن کردن درایو‎های خود کردید! اگر درایوی که دارای فایل ویروس است را بدون آنتی ویروس و اسکن کردن اجرا کنید ویروس دوباره فعال شده و شروغ به تخریب می‌کند

      ۲۹ مرداد, ۱۳۹۵ at ۷:۴۵ ب٫ظ
  • نسیم Reply

    تشکر بابت مطالب آموزنده تون
    بهترین آنتی ویروس کدومه از نظر شما؟
    اگه امکانش هست جواب رو به ایمیلم هم بفرستید خیلی ممنونتون میشم

    ۲۳ مرداد, ۱۳۹۵ at ۲:۴۳ ب٫ظ
    • نیما عارفی Reply

      با سلام
      همان طور که در صفحه اصلی وب سایت نیز توضیح داده‎ایم اگر سیستم شما دارای مشخصات سخت‎افزاری مناسب است می‎توانید از آنتی ویروس شرکت کسپرسکی استفاده کنید در غیر اینصورت از آنتی‎ویروس شرکت ایی‎ست یا آنتی‎ویروس های دیگر استفاده نمایید.

      ۲۹ مرداد, ۱۳۹۵ at ۷:۴۷ ب٫ظ
  • بیگی Reply

    سلام و خسته نباشید.
    من یه ایمیل رو باز کردم و بعد از اون تمام فایل های سیستمم پسوند zepto گرفتن و باز نمیشن. یعنی هیچ راهی برای برگشتشون نیست. اخه تمام اطلاعاتم داخل سیستم بوده . لطفا کمک کنید همه اطلاعاتم توش بوده

    ۲ شهریور, ۱۳۹۵ at ۷:۵۲ ق٫ظ
    • نیما عارفی Reply

      سلام
      اطلاعات شما رمز نگاری شده است و تنها با پرداخت هزینه به صورت بیت کوین به حالت اول بر می‎گردد.

      ۸ شهریور, ۱۳۹۵ at ۶:۵۶ ق٫ظ
  • mehdi Reply

    با سلام
    فایلهای word و عکس های من به این شکل درآمدن چطوری برگردانم؟ البته الان ویندوز سیستم عوض کردم. ولی فایلها به همین شکل در درایو d نگه داشتم شاید برگردند. ممنون راهنمایی کنید. wnidows7

    ۸۰۲۹C0E86EA4FDA2AF84C32C1CDA1211.locky

    ۶ شهریور, ۱۳۹۵ at ۳:۵۹ ق٫ظ
    • نیما عارفی Reply

      سلام متاسفانه فایل‎های شما رمزنگاری شده است و فقط با پرداخت هزینه به صورت بیت کوین اطلاعات شما به حالت اولیه بر می‎گردد

      ۸ شهریور, ۱۳۹۵ at ۶:۵۴ ق٫ظ
  • محمد Reply

    سلام
    پرداخت بیت کوین به چه صورتی هست میشه توضیح بدید ؟
    اطلاعاتم را خیلی لازم دارم فقط میخوام برگردن.با هرروشی باشه.
    لطفا راهنمایی کنید باید برای پرداخت چیکار کنم و به کدام سایت برم ؟

    ۱۸ شهریور, ۱۳۹۵ at ۷:۲۰ ق٫ظ
    • نیما عارفی Reply

      بهتر است با ما تماس تلفنی داشته باشید تا شما را راهنمایی کنیم. اگر سیستم خودتان را دستکاری نکرده باشید به احتمال ۵۰ درصد امکان برگشت اطلاعات شما هست.

      ۱۸ شهریور, ۱۳۹۵ at ۱۱:۲۵ ق٫ظ
      • محمد sh Reply

        سلام
        من کامپیوترم الوده به ویروس باجگیر cerber شده.
        حالا اگر من بخوام اون مبلغی رو که گفته پرداخت کنم ایا واقعا اطلاعاتم بر میگرده؟! یا امکان داره حتی با پرداخت اون هم اطلاعاتم بر نگرده؟!!

        ۲۸ شهریور, ۱۳۹۵ at ۱۰:۱۸ ق٫ظ
        • ramin Reply

          سلام
          جواب شما بله هست. با پرداخت باج، رمز اطلاعات شما باز میشود و شما به تمام اطلاعات خود دسترسی دارید.
          البته ممکن است در همان هفته دوباره آلوده شوید پس مراقب باشید به محض دسترسی به اطلاعات خود آنها را روی DVD کپی نمایید.

          ۳۱ شهریور, ۱۳۹۵ at ۱:۱۹ ب٫ظ
  • محمد Reply

    سلام
    من کامپیوترم الوده به ویروس باجگیر cerber شده.
    حالا اگر من بخوام اون مبلغی رو که گفته پرداخت کنم ایا واقعا اطلاعاتم بر میگرده؟! یا امکان داره حتی با پرداخت اون هم اطلاعاتم بر نگرده؟!!

    ۲۷ شهریور, ۱۳۹۵ at ۷:۲۱ ب٫ظ
  • بامداد لشگری Reply

    با سلام و خدا قوت به تیم پشتیبانی سایت. نوع ضعیف تری از این ویروس که با پسوند word.cerber3 به سیستما سرایت کردن آیا با فرمت هارد و تعویض ویندوز و نصب انتی ویروس قوی مشکل برطرف میشه . یا باید کلا هارد رو هم عوض کرد ؟

    ۲۹ شهریور, ۱۳۹۵ at ۵:۴۵ ق٫ظ
    • ramin Reply

      سلام
      با تعویض ویندوز و نصب آنتی ویرس قوی، ویروس از بین می‌رود ولی آثار آن یعنی فایلهای رمز شده به همان شکل باقی می‌مانند.
      فایلهای باقیمانده امکان آلوده سازی مجدد را دارند لطفاً مراقب باشید.
      نیازی به تعویض هارد دیسک نیست.

      ۳۱ شهریور, ۱۳۹۵ at ۱:۳۵ ب٫ظ
  • سحر Reply

    سلام لپ تاپ من به ویروس cerber3 الوده شده لطفا کمکم کنید کلی عکس های شخصی دارم لطفا یک راح حلی بگید؟

    ۵ مهر, ۱۳۹۵ at ۰:۳۹ ق٫ظ
    • ramin Reply

      در حال حاضر شما چهار راه پیش رو دارید با توجه به اهیمت فایل‌های خود اقدام نمایید:

      راه اول – پرداخت باج
      یک کارت اعتباری به مبلغ باج تهیه و مبلغ باج را بپردازید، تمام فایل‌های شما به حالت اولیه برمی‌گردد.

      راه دوم – مقابله با ویروس
      ۱- ابتدا با برنامه Malwarebytes Anti-Malware ویروس را از بین ببرید.
      ۲- سعی کنید با برنامه decryptor مخصوص cerber3 فایل‌ها را رمزگشایی کنید. ممکن است موفق نشود و هیچ فایلی بازگردانده نشود.
      برای decryptor به بخش مرکز دانلود مراجعه نمایید. (این برنامه مخصوص cerber3 است و نه در مورد lucky)

      راه سوم – پاک کردن ویندوز
      ۱- ویندوز را مجدداً در درایو C نصب کنید.
      ۲- سعی کنید با یک برنامه recovery بعضی از فایل‌های خود را بازیابی کنید. تعداد خیلی کمی از فایل‌های شما بازیابی می‌شوند.

      راه چهارم – توقف
      مدتی صبر کنید تا راه حل جدید پیدا شود.

      ۸ مهر, ۱۳۹۵ at ۴:۱۸ ب٫ظ
  • مهدی خانی متخصص IT Reply

    پروژه نرم افزار TeslaCrypt بسته شده و سازندگان این ویروس در عین معذرت خواهی master key برای رمز گشایی رو گداشت این نرم افزار رو دالود کنید و فایلهای هود را به حالت اولیه برگردانید من امتحان کردم کار می کنه
    http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

    توضیحات در سایت
    http://soft2secure.com/knowledgebase/teslacrypt-3-0

    ۷ مهر, ۱۳۹۵ at ۷:۱۱ ب٫ظ
  • baha Reply

    سلام من دیروز به ویروس Cerber3 الوده شدم و همه ی فایلام کد شدن و پسوند cerber3 گرفتن کلی مطلب توی نت خوندم به ظاهر که راهی جز سوختن و ساختن نیس یا باید هزینه ی ۳۶۳ دلاری پرداخت کنم.
    خیلی سعی کردم که بتونم موقعیت ویروس رو پیدا کنم که بازم نشد.
    در نهایت تونستم با تغییر اسم و پسوند فایل ها، فایل های تصویریمو با kmplayer پخش کنم با توجه به اینکه km تونسته کد هارو بخونه و باز کنه گفتم شاید بشه راهی پیدا کرد که کدها شکسته بشه.
    ممنون میشم پیگیری کنین و به من هم اطلاع بدین.

    ۱۰ مهر, ۱۳۹۵ at ۷:۵۷ ق٫ظ
    • ramin Reply

      سلام
      از آنجایی که رمز کردن فایلهای خیلی فشرده مثل mp4 که خود نوعی کدینگ محسوب می‌شوند معمولاً با مشکل روبرو می‌شود، احتمالاً ویروس سربر در رمز کردن آنها هم دچار مشکل شده و فقط نام فایل را تغییر داده است. بهر حال شما اولین نفری هستید که به این موضوع پی برده‌اید. در مورد فایلهای word و excel متاسفانه تغییر پسوند عمل نمی‌کند.
      در صورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند. البته توسط دوستان چندین برنامه مدعی «رمزگشایی کننده فایل‌های آلوده به سربر ۳» ارسال شده است که متاسفانه هنوز نتوانستم هیچ فایل رمز شده‌ایی را توسط آنها به حالت اولیه برگردانم، در صورت نیاز به این فایل‌های رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد.

      ۱۱ مهر, ۱۳۹۵ at ۳:۵۴ ب٫ظ
  • احمد Reply

    سلام
    مشکلی که برای فایل های ورد من پیش آمده اینکه هر فایل که باز می کنم یک فایل شبیه به آن هم باز میشه تقریباً با همون نام ولی یک علامت شبیه دلار اول نام فایل هست! کسپرسکی رو هم اخیراً نصب کردم ولی باز مشکل از بین نرفت. متشکر میشه اگر راهنمایی کنید

    ۱۳ مهر, ۱۳۹۵ at ۴:۰۵ ق٫ظ
    • ramin Reply

      سلام
      اگر این اتفاق زمانی که فایلهای word و excel را باز می‌کنید می‌افتد، مشکلی نیست. این فایلهای دارای $ فایلهای موقت برنامه های word و excel هستند و کامپیوتر شما آلوده هیچ ویروسی نشده است.

      ۱۶ مهر, ۱۳۹۵ at ۷:۱۵ ب٫ظ
  • نیلوفر Reply

    سلام هیچکدوم از عکسها و اهنگهای من باز نمیشه متاسفانه نوعشو نمیتونم تشخیص بدم فقط یه صفحه با چندتا لینک باز میشه که اینهارو نوشتهCERBER RANSOMWARE
    Instructions
    ☑ Select your language

    English
    العربیه
    中文
    Nederlands
    Français
    Deutsch
    Italiano
    日本語
    한국어
    Polski
    Português
    Español
    Türkçe
    Can’t you find the necessary files?
    Is the content of your files not readable?

    It is normal because the files’ names and the data in your files have been encrypted by “Cerber Ransomware”.

    It means your files are NOT damaged! Your files are modified only. This modification is reversible.
    From now it is not possible to use your files until they will be decrypted.

    The only way to decrypt your files safely is to buy the special decryption software “Cerber Decryptor”.

    Any attempts to restore your files with the third-party software will be fatal for your files!

    برای من هیچ ایمیل آلوده ای نیومده بود نمیدونم این ویروس رو چطور گرفته باید چیکار کنم؟؟؟

    ۱۴ مهر, ۱۳۹۵ at ۱۰:۴۰ ق٫ظ
    • ramin Reply

      متاسفانه شما آلوده به ویروس سربر ۳ شده‌اید. این ویروس از راه ایمیل و دقیقاً از فایلهای ضمیمه آن به کامپیوتر شما انتقال یافته است.

      ۱۶ مهر, ۱۳۹۵ at ۶:۴۳ ب٫ظ
  • Morteza Reply

    از این برنامه استفاده کنید ،شاید درست بشه!!!
    http://uploadboy.me/p921j7sh36dh/Spy.Hunter.zip.html

    ۱۴ مهر, ۱۳۹۵ at ۳:۵۶ ب٫ظ
  • مجتبی Reply

    سلام. من تقریبا همه فایلهای کاریم تغییر نام پیدا کردن و با پسوند a570 نمایش داده میشن. راه بازگردوندنشون چیه؟ ممنون میشم از راهنماییتون

    ۱۴ مهر, ۱۳۹۵ at ۴:۰۰ ب٫ظ
    • ramin Reply

      شما به سربر ۴، نوع جدید ویروس باج‌گیر سربر آلوده شده‌اید. قبلاً پسوند فایلهای آلوده شده فقط cerber3. بود اما در نوع جدید پسوند فایلهای آلوده به اعداد و حروف هگزا دسیمال متنوع و تصادفی مثل َA570 که شما اشاره کرده‌اید یا برای دیگران به پسوندهای DA3D1. و … تغییر می‌کند. البته این تغییر بخاطر عدم شناسایی نوع ویروس انجام شده!
      برای اطلاعات بیشتر به مقاله « سربر ۴ cerber» مراجعه نمایید.

      ۱۶ مهر, ۱۳۹۵ at ۷:۰۲ ب٫ظ
      • مجتبی Reply

        با تشکر از راهنمایی و زحماتتون. انجام دادم. اما متاسفانه کارساز نبود

        ۱۷ مهر, ۱۳۹۵ at ۷:۲۹ ب٫ظ
  • سعید Reply

    دوستان سلام توروخدا هرکی میتونه راهنماییم کنه با لب تابم کار میکردم بانرم افزار اتوکد وپس از یک پیغام ارور برنامه بسته شد ومجددا برای اجرای فایل مورد نظر به درایو رفتم ولی تمامی فایلهای موجود در لب تابم تغییر نام داده شدند وفرمتشو هم بهa559.تغییر داده شده خواهشا کمکم کنید ممنون میشم

    ۱۶ مهر, ۱۳۹۵ at ۷:۲۴ ب٫ظ
    • ramin Reply

      شما به سربر ۴، نوع جدید ویروس باج‌گیر سربر آلوده شده‌اید. قبلاً پسوند فایلهای آلوده شده فقط cerber3. بود اما در نوع جدید پسوند فایلهای آلوده به اعداد و حروف هگزا دسیمال متنوع و تصادفی مثل a559 که شما اشاره کرده‌اید یا برای دیگران به پسوندهای DA3D1. و … تغییر می‌کند. البته این تغییر بخاطر عدم شناسایی نوع ویروس انجام شده!
      برای اطلاعات بیشتر به مقاله « سربر ۴ cerber» مراجعه نمایید.

      ۱۶ مهر, ۱۳۹۵ at ۷:۵۴ ب٫ظ
  • شاهین Reply

    این ضد رمز شرکت امن پرداز تا چه حد موثر هست؟

    http://padvish.com/contents.php/fa/187/%D8%B6%D8%AF%D8%B1%D9%85%D8%B2-%D9%BE%D8%A7%D8%AF%D9%88%DB%8C%D8%B4–Padvish-AntiCrypto

    کسی تست کرده؟

    ۱۷ مهر, ۱۳۹۵ at ۱:۴۳ ب٫ظ
    • ramin Reply

      سلام
      این برنامه پیش گیرنده است، یعنی اگر سیستم آلوده شده باشد نمی‌تواند فایلهای شما را برگرداند.

      ۱۸ مهر, ۱۳۹۵ at ۳:۰۴ ب٫ظ
  • عباس Reply

    سلام خسته نباشید
    کامپیوترم به ویروس cerber3 الوده شده ایا راهی هست که بتونم عکسام رو برگردونم فیلمها و اهنگها تا حدودی با kmplayer باز شدن فقط عکسام موندن که خیلی مهمترن اگه راهی هست خواهش میکنم راهنماییم کنید
    باتشکر

    ۱۷ مهر, ۱۳۹۵ at ۳:۱۱ ب٫ظ
    • ramin Reply

      سلام
      در حال حاضر خیر، سعی کنید با برنامه های بازیابی برخی از فایلهای خود را بازگردانید.

      ۱۸ مهر, ۱۳۹۵ at ۳:۰۳ ب٫ظ
  • عباس Reply

    http://www.7zshare.blogspot.com/2016/09/download-decryptor-cerber3-ransomware.html
    یه سری به این لینک بزنید ببینید میشه کاری کرد؟

    ۱۸ مهر, ۱۳۹۵ at ۳:۵۵ ب٫ظ
    • ramin Reply

      قبلاً این فایل را آزمایش کردم، عمل نمی‌کند.

      ۲۰ مهر, ۱۳۹۵ at ۲:۰۰ ق٫ظ
  • بابک Reply

    سلام در لپ تاب من کل عکس ها به پسوند .۹۰۶۷ تغییر کرده اند راهی برای بازیابی وجود دارد؟

    ۱۸ مهر, ۱۳۹۵ at ۴:۳۳ ب٫ظ
    • ramin Reply

      شما به سربر ۴، نوع جدید ویروس باج‌گیر سربر آلوده شده‌اید. قبلاً پسوند فایلهای آلوده شده فقط cerber3. بود اما در نوع جدید پسوند فایلهای آلوده به اعداد و حروف هگزا دسیمال متنوع و تصادفی مثل ۹۰۶۷٫ که شما اشاره کرده‌اید یا برای دیگران به پسوندهای DA3D1. و … تغییر می‌کند. البته این تغییر بخاطر عدم شناسایی نوع ویروس انجام شده!
      برای اطلاعات بیشتر به مقاله « سربر ۴ cerber» مراجعه نمایید.

      ۲۰ مهر, ۱۳۹۵ at ۲:۱۲ ق٫ظ
  • مصطفی Reply

    سلام من چندوقت پیش همه عکسها و فیلم های یکی از درایوام دیگه نشون نمیده!
    آخر هر پوشه هم یه فایل کمک هست که محتویاتش اینه:
    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption with RSA4096
    More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

    How did this happen ?
    !!! Specially for your PC was generated personal RSA4096 Key , both public and private.
    !!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
    !!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

    What do I do ?
    So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
    If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_

    Your personal ID: C370BD3E:48DC4CF3:09D6E38A:3B35A813

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

    ۱ – http://………………………….onion.to
    ۲ – http://……………………………………….city

    If for some reasons the addresses are not availablweropie, follow these steps:

    ۱ – Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
    ۲ – Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
    ۳ – After a successful installation, run the browser
    ۴ – Type in the address bar: http://r……………….onion
    ۵ – Follow the instructions on the site

    ممنون میشم نوع ویروس رو بگید و بگید چیکار میشه کرد؟؟؟؟؟؟؟

    ۲۶ مهر, ۱۳۹۵ at ۰:۳۰ ق٫ظ
    • ramin Reply

      سلام
      کامپیوتر شما آلوده به ویروس سربر ۴ شده است و فایلهای شما رمزنگاری و غیر قابل استفاده شده اند. متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست.
      البته بخشی از عکسهای شما (حدود ۵ تا ۱۵ درصد) با برنامه‌های ریکاوری فایل به حالت اولیه باز خواهند گشت.
      پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

      ۱۳ آبان, ۱۳۹۵ at ۸:۰۰ ب٫ظ
  • هادی Reply

    سلام
    آیا با نرم افزار deep freeze می توان درایوی را که اطلاعات حیاتی در آن است از دسترسی ویروس ها (به ویژه باجگیرها) در امان نگه داشت؟
    آیا با remove کردن drive letter امکان از دسترس خارج کردن درایو از دست ویروس ها (به ویژه باجگیرها) وجود دارد؟
    آیا ransomeware های ویندوز امکان رمزنگاری درایوهای فرمت لینوکس ext یا btrfsرا دارد؟

    ۱ آبان, ۱۳۹۵ at ۸:۳۵ ب٫ظ
    • ramin Reply

      سلام
      در وضعیت اضطراری نوع دوم کپی و نگهداری اطلاعات در حافظه‌های فلش یا هارددیسک اکسترنال اشتباه است، با این وجود شما قصد نگهداری اطلاعات خود را در هارد دیسک اصلی دارید که به نظرم اشتباه است. بهتر است اطلاعات خود را روی DVD کپی یا پشتیبان بگیرید. قانون ۳۲۱ را بخاطر بسپارید، که عبارت است از سه بار کپی(پشتیبان گیری) اطلاعات، در ۲ دستگاه(حافظه) مختلف، و یکی(۱) در یک جای کاملاً امن مثل گاوصندوق.
      معمولاً از نرم افزار deep freeze برای برگرداندن سیستم عامل به نقطه خاص پشتیبان گرفته شده از قبل استفاده می‌شود، استفاده از آن برای حفظ اطلاعات کل هارد دیسک توصیه نمی‌شود چون با هر بار restart کل سیستم به حالت قبل برمی‌گردد.
      بله اگر drive letter را remove کنید هارد در دسترس سیستم نخواهد بود پس اطلاعاتش حفظ خواهد شد، اما کار درستی نیست، بهتر است قانون ۳۲۱ را اعمال کنید.
      باجگیرهای ویندوز (بویژه باجگیر سربر ۳ و ۴) امکان رمزنگاری هر درایو به اشتراک گذاشته شده با قابلیت write را دارند، بنابراین درایوهای با فرمت لینوکس ext یا btrfs اگر در دسترس شبکه‌ایی باشند که یکی از کامپیوترهای با سیستم ویندوز آن آلوده باشد و دسترسی نوشتن هم توسط آن سیستم ویندوز داشته باشد، حتماً اطلاعاتش رمزنگاری خواهد شد.

      ۲ آبان, ۱۳۹۵ at ۰:۲۳ ق٫ظ
      • هادی Reply

        ممنون از پاسخ شما.
        پاسخی که دادید یکم برام مبهمه، اینکه دیپ فریز تا چه حد می تونه جلوی آسیب رو بگیره؟ و اینکه باجگیرها می تونند drive letter را دوباره برای پارتیشن مورد نظر تخصیص دهند؟
        دو تا سوال دیگر هم داشتم
        از کجا می تونم فایل های آلوده به ransomware ها رو برای تست عملکرد بر روی فایل هایم دانلود کنم؟
        به نظر شما می تونم این فایل ها را بر روی یک ماشین مجازی بدون آسیب دیدن سیستم فیزیکی ام بررسی کنم؟ با این شرط که ماشین مجازی دارای آداپتور شبکه نمی باشد؟
        یک سوال دیگر؛ با توجه به تجربه ای که در زمینه هاردهای اکسترنال داشتم و به نظر من یکی از نا امن ترین دستگاه های ذخیره سازی هستند چون بی هیچ دلیل خاصی بعد از مدتی از نگهداری آنها اطلاعات موجود بر روی اکسترنال ها پاک می شود یا بهتر است بگوییم که در زمان اتصال مجدد آنها به سیستم، ویندوز درایو را به عنوان درایو فرمت نشده می شناسد و باید بعد از فرمت نمودن اقدام به ریکاوری نمود؛ درصورت بالا بودن حجم اطلاعات باید از چه دستگاه هایی برای پشتیبان گیری استفاده نماییم؟
        با تشکر
        ممنون میشوم اگر که مقداری مبسوط تر توضیح بدین

        ۲ آبان, ۱۳۹۵ at ۳:۴۳ ب٫ظ
      • هادی Reply

        ممنون از پاسخ شما.
        پاسخی که دادید یکم برام مبهمه، اینکه دیپ فریز تا چه حد می تونه جلوی آسیب رو بگیره؟ و اینکه باجگیرها می تونند drive letter را دوباره برای پارتیشن مورد نظر تخصیص دهند؟
        دو تا سوال دیگر هم داشتم
        از کجا می تونم فایل های آلوده به ransomware ها رو برای تست عملکرد بر روی فایل هایم دانلود کنم؟
        به نظر شما می تونم این فایل ها را بر روی یک ماشین مجازی بدون آسیب دیدن سیستم فیزیکی ام بررسی کنم؟ با این شرط که ماشین مجازی دارای آداپتور شبکه نمی باشد؟
        یک سوال دیگر؛ با توجه به تجربه ای که در زمینه هاردهای اکسترنال داشتم و به نظر من یکی از نا امن ترین دستگاه های ذخیره سازی هستند چون بی هیچ دلیل خاصی بعد از مدتی از نگهداری آنها اطلاعات موجود بر روی اکسترنال ها پاک می شود یا بهتر است بگوییم که در زمان اتصال مجدد آنها به سیستم، ویندوز درایو را به عنوان درایو فرمت نشده می شناسد و باید بعد از فرمت نمودن اقدام به ریکاوری نمود؛ درصورت بالا بودن حجم اطلاعات باید از چه دستگاه هایی برای پشتیبان گیری استفاده نماییم؟
        با تشکر
        ممنون میشوم اگر که مقداری مبسوط تر توضیح بدین

        ۷ آبان, ۱۳۹۵ at ۱۱:۴۸ ق٫ظ
      • ramin Reply

        در کافی‌نت‌ها از deep freeze استفاده می‌کنند تا با اتمام کار یک مشتری، وضعیت کامپیوتر به حالت قبل فریز شده برگردد یعنی مشتری هر کاری با کامپیوتر انجام داده باشد پاک خواهد شد. مثلاً یک فایل با برنامه notepad مینویسد بعد از خاموش و روشن کردن دستگاه دیگر اثری از این فایل نخواهد بود. ویروسهای باجگیر در مورد deep freeze کاری نمی‌توانند انجام دهند، شما هم وقتی از deep freeze استفاده کنید باید فایلهای خود را جای دیگری مثل ایمیل یا فلش یا هارددیسک اکسترنال کپی کنید. با اینکار کارایی سیستم خود را بشدت پایین می‌آورید.
        باجگیرها نمی‌توانند drive letter را دوباره برای پارتیشنی تخصیص دهند، اما تخصیص و پاک کردن مداوم پارتیشن هارد توسط شما توصیه نمی‌شود و احتمال می‌رود خودتان کل اطلاعات خودتان را نابود کنید.
        فایل های آلوده به چندین ransomware دارم برای نمونه با سربر ۴ شروع کنید به بنده به آدرس ali.arefi@antivirus.ir ایمیل بزنید تا نمونه آلوده شده و آلوده کننده را برایتان بفرستم، البته توصیه می‌کنم از کامپیوتر اصلی خود برای باز کردن آن استفاده ننمایید.
        اگر چه می‌توانید برای بررسی این ویروس از ماشین مجازی استفاده کنید اما بهتر است ماشین مجازی را هم در کامپیوتر اصلی خود اجرا نکنید، یک اشتباه باعث میشود تا آلوده شوید.
        در مورد هاردهای اکسترنال حق با شماست بنده هم چندین بار با مشکل خرابی آنها درگیر بوده‌ام اما قانون ۳۲۱ را بخاطر بسپارید، که عبارت است از سه بار کپی(پشتیبان گیری) اطلاعات، در ۲ دستگاه(حافظه) مختلف، و یکی(۱) در یک جای کاملاً امن، بنابراین تا حالا با اینکه چندین خرابی هارددیسک داشته‌ام اطلاعات خودم را از سال ۱۳۶۹ تا حالا حفظ کرده‌ام. جایگزین مناسب هاردهای اکسترنال SSD هستند که در مقابل ضربه و خرابی بسیار مقاوم هستند. بهتر است اطلاعات حجیم را روی Blu-ray با حجم ۲۰ گیگ یا ۲۵ یا ۵۰ گیگ کپی نمایید.

        ۱۰ آبان, ۱۳۹۵ at ۱۱:۵۹ ب٫ظ
  • hadi Reply

    سلام خدمت شما دوست عزیز.این نرم افزار شرکت پاندا که فایلارو باهم مقایسه میکنه اسمشو نمیدونید؟و اینکه تا چه حدی میتونه کمک کنه برای ویروس لاکی؟

    ۱۵ آبان, ۱۳۹۵ at ۱۰:۴۲ ق٫ظ
    • ramin Reply

      سلام
      متاسفانه در مورد فایلهای رمزشده توسط ویروسهای باجگیر سربر ۳ و سربر ۴ و لاکی قابل استفاده نیست.

      ۱۵ آبان, ۱۳۹۵ at ۴:۵۱ ب٫ظ
  • سعید Reply

    سلام فایلهای من همش پسوندش شده . THOR باید چیکار کنم تا بتونم فایل هارو بازش کنم تراخدا لطفا کمکم کنید.

    ۱۶ آبان, ۱۳۹۵ at ۹:۳۶ ق٫ظ
    • ramin Reply

      احتمالاً کامپیوتر شما به نوع جدید ویروس لاکی که از پسوند .thor استفاده می‌کند آلوده شده است. ببینید آیا فایلهایی مثل WHAT_is.html دارید. متاسفانه در حال حاضر برای خود ویروس قدیم لاکی امکان برگشت فایلها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست، چه برسد به اینکه نوع جدید ویروس لاکی است.
      پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

      ۱۸ آبان, ۱۳۹۵ at ۱:۱۰ ق٫ظ
      • سعید Reply

        بله فایل WHAT_is.htm در همه پوشها هر کدوم یدونه هستش
        کل اطلاعات هلو هم از بین رفته نمیدونم چیکار کنم
        چجوری میتونم اطلاعات نرم افزار هلو را برگردانم؟

        ۲۳ آبان, ۱۳۹۵ at ۲:۵۹ ب٫ظ
        • ramin Reply

          وجود فایل WHAT_is.html نشانه نوع جدید ویروس باجگیر لاکی است. متاسفانه اطلاعات برنامه هلو شما هم رمزنگاری شده ، اما با کمی شانس این امکان را خواهید داشت اطلاعات پشتیبان روز قبل (یا روزهای قبل) را با برنامه های ریکاوری بازگردانی نمایید. برنامه هلو در موقع پشتیبان گیری ابتدا فایل موقتی با پسوند bak از SQL می‌سازد سپس آنرا zip کرده و فایل موقتی bak را حذف می‌کند. احتمالاً این فایل bak را میتوانید ریکاوری نمایید. اگر موفق نشدید باید به فکر پرداخت باج باشید یا هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

          ۲۴ آبان, ۱۳۹۵ at ۷:۴۵ ب٫ظ
  • میلاد Reply

    با عرض سلام و خسته نباشید . من الان چند ماهی میشه که از آلوده شدن کامپیوترم به ویریس .cerber
    میگذره و الان ۲ تا از پوشه هامو که عکس هام داخلشه رو نگه داشتمو بقیه هاردو پاک کردم و آنتی ویریس اورجینالم نصب کردم . حالا سوالم اینکه آیا راهی پیدا شده که بتونم این عکسارو برگردونم یا خیر ؟ و اینکه این پوشه هایی که من نگه داشتم دوباره که ویروسو برنمیگردونن ؟
    از نرم افزار TeslaDecoder استفاده کردم و هیچ فایده ای نداشته . ممنون میشم راهنماییم کنید . با نشکر

    ۱۶ آذر, ۱۳۹۵ at ۲:۵۰ ب٫ظ
    • ramin Reply

      سلام
      متاسفانه اگر قصد پرداخت باج را ندارید هنوز باید منتظر بمانید، فعلاً راهی ندارد.
      شما توسط ایمیل آلوده شده اید بنابراین ممکن است دوباره همان ایمیل را بازکنید یا ایمیل آلوده جدیدی دریافت کنید، بنابراین باید بازهم مراقب باشید.
      ویروس کشها فایل hta این ویروس را که حاوی کلید شما است پاک می کنند، لطفاً آنرا به همراه فایلها روی CD کپی نمایید.

      ۱۸ آذر, ۱۳۹۵ at ۰:۳۶ ق٫ظ
  • Ali Reply

    سلام تو اینترنت با موبایل در حال گشت گزار بودم که ناگهان فایلی به صورت خودکار دانلود شد اون فایل فک کنم با فرمت txt بود صفحه ای در وب مشخصات گوشی و همزمان گوشی ویبره میخورد من به سرعت اینترنت و قطع کردم و از صفحه وب بیرون زدم و کل فایل دانلود رو حذف کردم الان مشکلی ندارم و با آنتی ویروس اوست دارم سرچ میکنم .این ویروس بود و مشکلی برای موبایل ایجاد میکنه؟

    ۳۰ دی, ۱۳۹۵ at ۳:۲۴ ق٫ظ
    • ramin Reply

      سلام
      بیشتر موارد آلودگی به ویروسها از طریق اینترنت صورت میگیرد. با توجه به نصب آنتی ویروس کمتر دچار مشکل می شوید اما بهتر است اطلاعات موبایل خود نظیر عکسها و … را روی CD یا DVD کپی نمایید.

      ۳۰ دی, ۱۳۹۵ at ۱۰:۳۹ ق٫ظ
  • محمد Reply

    با سلام
    من ۲ عدد از فلش مموری هام رو وصل کردم به سیستمی که الوده شده بود به ویروس سربر (ویندوز سیستم الوده شده XP بود و انتی ویروس غیر فعال شید هم داشت)
    بعد فلش مموری ها رو وصل کردم به سیستم خودم و با نود ۳۲ که آپدیت ۳ یا ۴ روز پیش بود چک کردم هیچ چیزی پیدا نکرد (ورژن اسمارت سکوریتی ۸ )
    ایافلش ها ویروسی شدن ؟
    سیستم من ویروسی شده ؟
    هیچ چیز مشکوکی ندیدم بعد از وصل کردن فلش ها به سیستم خودم
    چند ادرس داده بودین در ویندوزکه چک کردم، هیچ موردی پیدا نکردم
    الان اصلاً احساس خوبی نسبت به این موضوع ندارم
    هر دو فلش رو فرمت کردم
    راه های انتقال این ویروس لاکی و سربر به چه صورت هایی هست ؟
    آیا با وصل کردن فلش به سیستم الوده ، فلش هم ویروسی میشه و به این صورت منتقل میشه به سیستم بعدی
    با سپاس بابت پاسخگویی

    ۸ بهمن, ۱۳۹۵ at ۱۰:۵۹ ب٫ظ
    • ramin Reply

      سلام
      اگر فایلهای فلش شما رمزنگاری نشده باشد، مشکلی نخواهید داشت (یعنی آلوده نشده است)، البته این فقط در مورد ویروس لاکی صدق می کند و نه در مورد دیگر باجگیرها.
      لاکی از طریق ایمیل و باز کردن ضمیمه آن و یا کلیک کردن شما روی لینک داخل ایمیل منتقل می شود. بعد از رمز کردن فایلها و اعلام متن باجگیری، وسایل اضافه شده را رمز نمی کند.
      در مورد لاکی بعد از رمزشدن فایلها، فلش جدید را آلوده نمی کند(البته این فقط در مورد ویروس لاکی صدق می کند).

      ۱۲ بهمن, ۱۳۹۵ at ۳:۴۲ ق٫ظ
  • a Reply

    سلام تو لبتابم همه عکسا و بعضیاز فیلمها و آهنگها همه دارن با ی فرمت نشون داده میشن و اسمشونم اینطوریه C63953F7–0C10–5E20–84B98029–A5D800A5A77E اولpdfبودن ک تو اینترنت سرچ کردم ی سری راهکار داده بودن ک کار نکرد هنوزم هیچکدومشونو نمیتونم باز کنم اینم ویروسه؟آنتی ویروسم نود۳۲ آپدیتم کردم ولی هنوز نمیتونم از فایلهام استفاده کنم لطفا راهکار بدین چکار کنم؟و اینک ممکنه بقیه فایلایی ک فعلا سالمن الوده شن؟

    ۱۶ بهمن, ۱۳۹۵ at ۳:۳۹ ق٫ظ
    • ramin Reply

      سلام
      متاسفانه بعد از آلودگی، آنتی ویروسها کاری برای اطلاعات رمز شده انجام نمی دهند. لطفاً یک عکس از یکی از پوشه کامپیوتر خود به آدرس ایمیل بنده ali.arefi@antivirus.ir بفرستید تا نوع ویروس باجگیر شما را مشخص کنم

      ۱۶ بهمن, ۱۳۹۵ at ۷:۳۱ ب٫ظ
  • a Reply

    تو پوشه هام فایلی ب نام OSIRIS-8e7e ایجاد شده راهی هست بشه فایلهامو برگردونم؟

    ۱۶ بهمن, ۱۳۹۵ at ۳:۵۰ ق٫ظ
    • ramin Reply

      سلام
      یک نسخه جدید از ویروس لاکی جدید هست، متاسفانه در حال حاضر راهی بغیر از پرداخت مبلغ باج وجود ندارد.

      ۱۶ بهمن, ۱۳۹۵ at ۷:۳۳ ب٫ظ

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload CAPTCHA.