ویروس باج گیر « سربر ۳ Cerber »

ویروس باج گیر « سربر ۳ Cerber »

توجه مهم: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کرده‌است به مطلب  تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »  در بخش مقالات همین سایت مراجعه نمایید و به توصیه‌های داده شده عمل نمایید.

cerber01

( *** بعد از مطالعه این مطلب حتماً مقاله بعدی را با عنوان ویروس باج گیر « سربر ۴ Cerber » بخوانید ***)
ویروس « سربر » نظیر ویروس « لاکی » در دسته‌بندی نرم‌افزارهای «باج گیر»  قرار می‌گیرد. این ویروس فایل‌های شخصی موجود در کامپیوتر قربانی را با الگوریتم RSA-2048 رمزنگاری و غیرقابل استفاده می‌نماید. به فایلهای رمزنگاری شده پسوند .cerber3 اضافه شده و اسم فایل به حروف تصادفی (ده حرفی) تغییر می‌کند. مثلاً فایل عکسی به نام arefi.jpg به  « G0S-4kha_j.cerber3 » تغییر می‌کند.  این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیت‌کوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) می‌نماید همچنین به قربانی تذکر می‌دهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.

cerber03

 

نحوه نفوذ سربر ۳

سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ می‌کند:
الف- آگهی‌های تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی می‌فرستند.
ب- دانلود برنامه‌های کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد می‌شود.
ج- ایمیل‌های ناشناس، تبلیغاتی و هرزنامه‌ها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل «ورد word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی می‌شود.
د- فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده می‌شوند.

سربر ۳ فایل‌های مهم حاوی اطلاعات را هدف قرار می‌دهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص می‌دهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک می‌کند و فایلهای این محدوده از کشورها را رمزنگاری نمی‌کند.

cerber05

 

نحوه خرابکاری ویروس سربر ۳

این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامه‌های اجرایی ویندوز مثلاً autochk.exe تغییر می‌دهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» می‌شود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل می‌کند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایل‌های شخصی  قربانی می‌کند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشه‌های آلوده، با نام‌های زیر قرارمی‌دهد و در آن آلوده شدن و رمزشدن فایل‌های قربانی و  دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح می‌دهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جمله‌ای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن می‌شود «چیزی که مرا نمی‌کشد، من را قوی‌تر می‌کند» البته این ترجمه من نویسنده است ولی به نظرم حرص‌درآور است. ویروس سربر ۳ با شما صحبت هم می‌کند، اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده می‌شود!

cerber02

هدف اصلی این ویروس رمزکردن محتوای فایل‌های مهم و شخصی قربانی است، بطوری که فایل‌ها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایل‌های متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار می‌گیرند عبارتند از:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه بابت هر دستگاه جداگانه باید مبلغ باج پرداخت شود. البته توسط دوستان چندین برنامه مدعی «رمزگشایی کننده فایل‌های آلوده به سربر ۳» ارسال شده است که متاسفانه هنوز نتوانستم هیچ فایل رمز شده‌ایی را توسط آنها به حالت اولیه برگردانم، در صورت نیاز به این فایل‌های رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.

درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.
نکته اینکه بسیاری از کسانی که آلوده شده‌اند توانسته‌اند فایلهای بزرگ فیلم، موسیقی و در برخی موارد عکس را با عوض کردن پسوند cerber3 به پسوند اصلی (مثلاً mp4) به حالت اولیه برگردانند، به عبارتی ویروس فقط پسوند فایلهای بزرگ را عوض می‌کند! بنابراین بهتر است این راه را امتحان کنید.

 

خربکاری فایلهای شبکه توسط ویروس سربر ۳
ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشه‌ها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری می‌کند.

cerber06

 

نتیجه گیری

بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز RSA-2048 داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

 

به اشتراک گذاری این نوشته

Comments (76)

  • ساجد Reply

    سلام
    من چند تا عکس که مورد حمله قرار گرفته اند رو موبایلم دارم ولی با تغییر نام معلوم نیست فایل خراب شده کدوم هست وگرنه بهتون می دادم تا مقایسه بفرمایید

    ۱۲ مهر, ۱۳۹۵ at ۲:۵۱ ب٫ظ
    • ramin Reply

      سلام،
      مشکلی نیست، فعلاً آنها را نگهداری نمایید، بزودی رمزگشای آن عرضه خواهد شد.

      ۱۶ مهر, ۱۳۹۵ at ۷:۰۶ ب٫ظ
  • I.L.S.F Reply

    با سلام دوستان. ی راه حل توووووووووپ ( روی عکسا زیاد جواب نمیده ولی روی فیلم و اهنگ تقریبا خوبه ). روی فایل خراب شده ( مثلا ی اهنگ ) کلیک راست کنید و Rename را بزنید یا میتونید دوبار با فاصله زمانی کلیک کنید که بتونید اسم رو تغییر دهید. سپس بدون اینکه اسم را عوض کنید، اخر فایل ( که اینجا اهنگ مثال زده شد ) .mp4 (دات ام پی فور ) بزارید و بر روی یس کلیک کنید. برای فیلم ها هم بستگی به پسوند اولیه برای مثال .mp4 بزارید.

    ۱۲ مهر, ۱۳۹۵ at ۸:۴۴ ب٫ظ
  • امیرحسین Reply

    با تشکر از لطف شما دوست عزیز و گرامی

    ۱۳ مهر, ۱۳۹۵ at ۳:۱۶ ب٫ظ
    • ramin Reply

      خواهش می‌کنم این وظیفه ما است.
      اگر شما هم به دیگران توصیه کنید فایلهایشان را روی DVD یا CD کپی کنند، به آنها لطف بزرگی کرده‌اید.

      ۱۶ مهر, ۱۳۹۵ at ۷:۰۴ ب٫ظ
  • نوید Reply

    با سلام و منون بابت اطلاعات مفیدتون
    یه سوال
    اگر بتونیم آپی خودمونو به یکی از این کشورها تغییر بدیم این ویروس پاک نمیشه؟

    ۱۴ مهر, ۱۳۹۵ at ۸:۵۰ ب٫ظ
    • ramin Reply

      متاسفانه خیر،
      اگر قبل از آلوده شدن به یکی از کشورهای اعلام شده «تغییر ناحیه» داده باشید ویروس شما را آلوده نمی‌کند. اما بعد از آلوده شدن «تغییر ناحیه» هیچ اثری ندارد.

      ۱۶ مهر, ۱۳۹۵ at ۶:۴۰ ب٫ظ
  • ژاله Reply

    اگر ویندوز رو restore کنیم باز هم نمیشه فایل هارو برگردوند؟

    ۲۳ مهر, ۱۳۹۵ at ۹:۱۵ ب٫ظ
    • ramin Reply

      متاسفانه این ویروس system restore را خاموش و پشتیبانهای آنرا هم پاک می‌کند. حتی پشتیبان Shadow را نیز پاک می‌کند.
      سعی کنید پسوند فایلها به حالت اولیه برگردانید این ویروس خیلی وقتها فایلهای بزرگ را رمز نمی‌کند به عبارتی فقط اسم فایلهای را عوض می‌کند.
      سعی کنید برخی از فایلها را با برنامه های ریکاوری مثل GetDataBack یا R-Studio بازگردانی نمایید.

      ۲۵ مهر, ۱۳۹۵ at ۴:۲۴ ب٫ظ
  • شهرام Reply

    سلام
    دوستان راه حلی پیدا نشد؟

    ۲ آبان, ۱۳۹۵ at ۵:۴۹ ب٫ظ
    • ramin Reply

      متاسفانه خیر.

      ۱۱ آبان, ۱۳۹۵ at ۰:۰۰ ق٫ظ
  • ag Reply

    سلام ، دوستان من پول رو پرداخت کردم واسه سربر ، ورژن ۴
    نرمافزار رو هم دادن، ولی تو اجراش مشکل دارم ، Tor browser رو هم نصب کردم اما متاسفانه اجراش کامل نمیشه، چیکا رکنم

    ۱۰ آبان, ۱۳۹۵ at ۱۰:۵۵ ب٫ظ
    • ramin Reply

      این برنامه نیاز به اتصال به سرورهای باجگیرندگان دارند که در کشور ما فیلتر هستند. شما باید راهی برای گذر پیدا کنید. در ایمیل برایتان توضیح داده‌ام.

      ۱۱ آبان, ۱۳۹۵ at ۰:۱۰ ق٫ظ
    • محمدحسین محدث Reply

      در گوشه بالا راست صفحه بخش Support براش پیغام بزار
      بعدر از حدود ۴ ساعت بهت میگه که باید یک فایل زیر ۵۰۰ کیلو بایت براش بفرستی و بخش چت گزینه آپلود اضافه میشه
      بعد از ارسال فایل حدود ۴ ساعت بعد برات یک فایل کلید میفرسته
      فایل کلید رو بنداز کنار Decryptoy و عملیات رمز گشایی شروع میشه.

      وقتی سیستم آلوده میشه حتما از تمامی داده ها یک پشتیبان بگیرید و مطمئن شوید که “تمامی فایل های آلوده یک پسوند مشترک دارند”

      در هفته گذشته سیستمی داشتیم که ۱۲۰۰ باج پرداخت شد و پس از رمز کشایی متوجه شدیم که برخی فایل ها با اسامی صحیح ولیکن داده ناصحیح وجود دارند ؛ پس از بررسی بیشتر متوجه شدیم که برخی فایل ها احتمالا در یک بازه زمانی دیگر و با یک کلید متفاوت رمز شده بودند و به علت باگ در Decryptor با کلید اشتباه رمز گشایی شده بودند ؛ یعنی ۲ باره رمز شدند به سبکی که خود سربر هم نمیتونست باز کنه !!!

      ۱۲ آبان, ۱۳۹۵ at ۱۱:۴۵ ب٫ظ
  • سجاد Reply

    با سلام و خسته نباشید به تمام دوستان و اساتید محترم
    جدیدا با یه مشکلی برخوردکردم
    که عکس های عروسیمو ریختم تو هارد کامپیوتر ولی نمیدونم ویروسی شده یا چی که نام عکس ها تغییر یافته خودبخود و فرمتشون به cerber3. تغییر پیدا کرده
    هرکاری هم کردم عکسی نشون داده نمیشه
    فرمتشو تغییر دادم و حتی با نرم افزار خود ویندوز که عکسو باز میکنه هم امتحان کردم ولی باز هم جوایی نگرفتم
    خیلی ممنون میشم اساتید و بزرگان راهنماییم کنن. کل عکسای عروسیم به باد فنا رفتن

    ۱۲ آبان, ۱۳۹۵ at ۶:۳۴ ب٫ظ
    • ramin Reply

      سلام
      کامپیوتر شما آلوده به ویروس سربر ۳ شده است و فایلهای عکس شما رمزنگاری و غیر قابل استفاده شده اند. متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست.
      البته بخشی از عکسهای شما (حدود ۵ تا ۱۵ درصد) با برنامه‌های ریکاوری فایل به حالت اولیه باز خواهند گشت.
      پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

      ۱۳ آبان, ۱۳۹۵ at ۵:۵۱ ب٫ظ
  • میلاد محمدی Reply

    با سلام و خسته نباشید..
    من چن روز پیش موبایلم ک داشتم باهاش کار میکردم خود ب خود رفت واسه ریکاوری فون و تمام اطلاعات دیوایس و مموری رو پاک کرد.همه چیز خود ب خود صورت گرف و من اصلا نفهمیدم چی شد/
    ب هر حال اطلاعات مموری رو برگردوندم ./ اما اطلاعات دیوایس رو فعلا ن/اگه نرم افزاری رو میشناسید برای ریکاوری اطلاعات دیوایس معرفی کنید ممنون
    و اینکه ب نظر شما چرا این اطفاق افتاد؟؟
    هیچ فایلی رو باز نکردم فقط رفتم داخل کلش
    با تشکر ممنون

    ۱۳ آبان, ۱۳۹۵ at ۲:۳۳ ب٫ظ
  • بهنام Reply

    سلام
    یک چیز جالب که در مورد این ویروس برای من اتفاق افتاد اینه که فایلهایی که پسوند دوحرفی دارند آلوده نشدند. مثلا فایلهای ویدیویی .ts

    ۲۷ آبان, ۱۳۹۵ at ۱۲:۰۸ ب٫ظ
  • حسن Reply

    سلام
    دقیقا ۲ ماهه که خواب و خوراک ندارم به خاطر این ویروس لعنتی،میخاستم بدونم تضمینی هست که اگه پول رو پرداخت کردیم فایل هامون همه برگردن ؟

    ۱۱ آذر, ۱۳۹۵ at ۲:۳۶ ق٫ظ
    • ramin Reply

      سلام،
      تا کنون ۱۵ مورد پرداخت باج برای ویروس سربر ۴ انجام داده ایم که با درخواست مشتریان صورت گرفته است، به غیر از یک مورد در ۱۴ مورد بقیه اطلاعات به حالت اولیه برگشته است.
      بنابراین جواب بله است.

      ۱۸ آذر, ۱۳۹۵ at ۰:۲۲ ق٫ظ
      • حسن Reply

        Cerber 3 چطور؟

        ۲۳ آذر, ۱۳۹۵ at ۱۱:۲۷ ق٫ظ
        • ramin Reply

          سلام
          اولین پرداخت ما برای cerber3 بود، اگر الان قصد پرداخت وجه را دارید، از قسمت « support متن باجگیری» میتوانید با باجگیر ارتباط برقرار کنید، از او درباره نسخه سربر ۳ بپرسید، به شما اجازه میدهد یک فایل را برای تست ارسال و رمزگشایی شده آنرا تحویل بگیرید. اگر فایل را گرفتید و درست بود میتوانید وجه باج را پرداخت کنید.

          ۲۴ آذر, ۱۳۹۵ at ۰:۱۰ ق٫ظ
      • ehsan_alimoradi80@yahoo.com Reply

        ایران که ارتباط بانکی نداره شما چطور پول پرداخت کردی ؟

        ۵ دی, ۱۳۹۵ at ۶:۰۹ ب٫ظ
        • ramin Reply

          سلام،
          بیت کوین از ایران قابل خریداری است فقط بعضی وقتها موجودی آن کم میشود و باید صبر نمود.
          تا کنون برای ۲۱ نفر به اندازه مبلغ درخواستی باجگیر، بیت کوین خریداری و پرداخت کرده ام و در تمام موارد عملیات رمزگشایی موفقیت آمیز بوده است.

          ۵ دی, ۱۳۹۵ at ۶:۵۷ ب٫ظ
          • علی

            سلام میشه کمک من هم بکنین تا عکس هام باز بشه پ

            ۲۹ بهمن, ۱۳۹۵ at ۱:۳۱ ب٫ظ
          • ramin

            سلام
            متاسفانه هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج برای برگشت فایلهای شما نیست.
            قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

            ۱ اسفند, ۱۳۹۵ at ۲:۲۷ ق٫ظ
  • mahsa Reply

    سلام،
    لپ تاپ من مورد حمله این ویروس قرار گرفت و مچبور شدم ویندوزمو عوض کنم. اما قبل از این کار یه سری از اطلاعاتمو مثل متن پایان نامه (فایل ورد) برای خودم ایمیل کرده بودم. میخوام بدونم این اطلاعات آیا حاوی این ویروس هستند و اگر دانلودشون کنم ممکنه سیستمم دوباره آلوده بشه؟

    ۲۷ آذر, ۱۳۹۵ at ۱۲:۲۰ ب٫ظ
    • ramin Reply

      سلام،
      معمولاً خیر، فایلهای رمز شده شما قابلیت آلوده سازی ندارند ولی کلیک بر روی فایل «متن باجگیری» که کنار فایلهای شما هست، شما را به وب سایت باجگیر هدایت میکند و ممکن است شما را آلوده نماید.
      از آنجایی که این ویروس با ایمیل منتقل میشود، شما باید نگران ایمیلی باشید که کامپیوتر شما را آلوده کرده و ممکن است هنوز در صندوق پستی شما باشد.

      ۲۷ آذر, ۱۳۹۵ at ۷:۰۸ ب٫ظ
  • mahsa Reply

    ممنون از پاسختون

    درباره ویروس cerber4 هم همینطور هست؟

    ۲۷ آذر, ۱۳۹۵ at ۱۰:۳۶ ب٫ظ
    • ramin Reply

      بله

      ۵ دی, ۱۳۹۵ at ۵:۵۴ ق٫ظ
  • حسن Reply

    سلام
    آیا اعتباری برای پرداخت هست،منظورم اینه که تا چه مدتی پس از آلوده شدن میتونیم با پرداخت باج فایل هارو برگردونیمبرگردونیم؟

    ۷ دی, ۱۳۹۵ at ۱۱:۲۸ ب٫ظ
    • ramin Reply

      بستگی به نوع ویروس دارد.
      درباره سربر (Cerber 3, 4) تا ۹۶ ساعت اول مبلغ باج عادی محاسبه میشود ولی بعد از آن ۲ برابر محاسبه میگردد. بارها با طرف باجگیر سربر چونه زده ام! مبلغ را به حالت عادی برگردانده است یعنی شما تا چند ماه بعد میتوانید باج را بصورت عادی پرداخت نمایید. مبلغ ویروس سربر حدود ۵۰۰ هزار تومان تا ۱.۵ میلیون تومان متغیر است.
      متاسفانه درباره ویروس شید (Shade) که با پسوند xtbl و wallet و dharma فایلها را رمزنگاری میکند اصلاً نمیشه چونه زد یا معطل کرد، و وقتی بفهمد اهل پول دادن نیستید دیگر جواب ایمیل شما را نمی دهد. بدبختانه مببلغ باج این ویروس در روز اول ۳ بیت کوین (حدوداً معادل ۹ میلیون تومان) و در روزهای بعد ۵ بیت کوین (حدوداً معادل ۱۵ میلیون تومان) می باشد.

      ۸ دی, ۱۳۹۵ at ۳:۳۴ ب٫ظ
  • علی Reply

    با سلام خدمت اساتید محترم
    جدیدا سیستم من هم دچار بد افزار شده و تمامی پسوند فایلهام پسوند a73a شده
    ممنون میشم اگه من رو راهنمایی کنین
    البته این رو هم بگم که بعضی از فیلمها رو تونستم فقط اجرا کنم با نرم افزار kmp player ولی تو سیستمای دیگه نشون نمیده

    ۱۰ دی, ۱۳۹۵ at ۹:۴۳ ب٫ظ
    • نیما عارفی Reply

      متاسفانه کامپیوتر شما به ویروس سربر ۴ آلوده شده است و فایلهای شما رمزنگاری شده اند. در مورد فیلم ها بخاطر حجم بالا فقط قسمت کوچکی رمزنگاری میشود و برنام پخش کننده آنرا بصورت نویز در نظر می گیرد و از روی آن رد میشود ولی در مورد بقیه فایلها اینطوری نیست.
      در حال حاضر بجز پرداخت باج، راهی برای بازگشت اطلاعات شما نیست.

      ۱۰ دی, ۱۳۹۵ at ۱۰:۰۱ ب٫ظ
  • zohre Reply

    سلام . سیستمم به cerber ransomware آلوده شده تموم درایورهام که اطلاعات مهم کاری توش بود قفل شده ولی فایل های روی دسکتاپ سالم هستند تموم نرم افزارهام کار میکنن ولی بک آپ های هلوم پاک شده و هلو هم اجرا نمیشه مشکل در ارتباط sql server میزنه و نوع فایل ها به B179 تغییر کرده و اسم فایل ها به صورت انگلیسی و اعداد شده حتی سیستم رو دادم شرکتی کلی روش کار کرد ولی نتونست مشکل رو برطرف کنه من واقعا تموم اطلاعاتم نابود شده چه راه حلی دارین ترو خدا کمکم کنین حاضرم هر کاری بکنم اگه مبلغ رو پرداخت کنم رمزگشا رو بهم میده؟ تا الان ده روزی میشه که سیستمم به این صورت شده

    ۲۲ دی, ۱۳۹۵ at ۴:۵۷ ب٫ظ
    • ramin Reply

      سلام
      بله درصورت پرداخت باج، اطلاعات به روز اول برخواهد گشت، ۲۳ نفر در مورد این ویروس به ما مراجعه کرده اند و همگی بعد از پرداخت باج، اطلاعاتشان به روز اول برگشته است.
      برنامه هلو بک آپ اتوماتیک دارد که معمولاً بعد از مدتی خودش آنها را پاک میکند، ابتدا سعی کنید با یک برنامه ریکاوری اگر ممکن باشد آن فایل ها را بازیابی کنید.

      ۲۳ دی, ۱۳۹۵ at ۴:۱۱ ق٫ظ
  • zohre Reply

    ممنون از پاسخ شما ، بنده شهرستان هستم و تصمیم دارم که مبلغ رو پرداخت کنم شما چطور میتونین این کار رو برام انجام بدین؟

    ۲۳ دی, ۱۳۹۵ at ۱۱:۰۷ ق٫ظ
    • ramin Reply

      سلام
      خود شما نیز می توانید این کار را انجام دهید، باید انگلیسی بلد باشید و پول را به بیت کوین تبدیل نمایید، در صورتیکه بخواهید ما اینکار را برای شما انجام می دهیم. در صورت تمایل دستگاه خود را با تیپاکس یا پست به آدرس ما بفرستید.
      توجه داشته باشید فرد باجگیر دیر به دیر جواب می دهد و کل کار حدود ۳ روز طول می کشد، و تا یک فایل را برای ما رمزگشایی ننماید، هیچ هزینه ای پرداخت نمی شود بعبارتی ما مطمئن میشویم که باجگیر کلید رمزگشایی دستگاه شما را دارد.

      ۲۶ دی, ۱۳۹۵ at ۰:۱۰ ق٫ظ
  • ارمين Reply

    سلام. خسته نباشید سیستم سرور کارخانه تمام فایل هاش .wallet شده و کل سیستم حسابداری از کار افتاده چه راه حلی ارایه میدید هرچه سریعتر خیلی گرفتار شدیم …. فوری فوری … لطفا راه پیشنهاد بدین بم

    ۲۶ دی, ۱۳۹۵ at ۹:۵۳ ب٫ظ
    • ramin Reply

      سلام
      در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. تا کنون برای چند نفر کار پرداخت و رمزگشایی را انجام داده ایم. در صورت تمایل بعد از ظهرها تماس بگیرید.

      ۲۷ دی, ۱۳۹۵ at ۱۰:۵۸ ب٫ظ
  • سعید Reply

    سلام
    چند وقته یه ویروس تمام فابلهای منو تغییر داده و پسوندشون b955. هست روشی برای بازیابی هست؟
    لطفا پاسخ میل شود

    ۲۸ دی, ۱۳۹۵ at ۵:۴۱ ب٫ظ
    • ramin Reply

      سلام
      ویروس باجگیر سربر ۴ است و برای آن هنوز رمزگشا ساخته نشده است، برای اطمینان می توانید متن باجگیری را بخوانید تا بنده مطمئن شوم.
      مبلغ باجش بین ۵۰۰ هزار تومان تا ۱.۵ میلیون تومان می باشد.

      ۲۹ دی, ۱۳۹۵ at ۶:۰۶ ب٫ظ
  • shabnam Reply

    salam , man in viruso gereftam , har kariam kardam axam nayumad , faghat axam vasam mohemme , chon karam akkasiye.chikar konam ? negaheshun daram? omidi hast??

    ۹ بهمن, ۱۳۹۵ at ۴:۰۷ ب٫ظ
    • ramin Reply

      سلام
      هنوز رمزگشایی برای ویروس باجگیر لاکی ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست.
      با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.

      ۱۲ بهمن, ۱۳۹۵ at ۳:۴۸ ق٫ظ
  • علی Reply

    سلام
    تمام اطلاعات هارد یکی از دوستام به فورمت .a372 تغییر کرده. گرفته ویندوزم عوض کرده. میتونید راهنمایی کنید؟

    ۱۸ بهمن, ۱۳۹۵ at ۹:۴۷ ق٫ظ
    • ramin Reply

      سلام
      متاسفانه ویروس باجگیر سربر ۴ است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست.
      قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

      ۱۹ بهمن, ۱۳۹۵ at ۰:۱۸ ق٫ظ
  • سحر Reply

    سلام من فایلهای فیلمم رو به عکس با پسوند. jpg تبدیل کرده. چرا فایلهای من مث شما پسوند. Cerber3 نداره؟ هیچ پیشنهادی ندارید که من انجام بدم شاید درست شه؟ 😞

    ۱۸ بهمن, ۱۳۹۵ at ۴:۴۹ ب٫ظ
    • ramin Reply

      سلام
      پسوند فایلهای شما چیست اگر ترکیبی ۴ حرفی می باشد که اعداد بین ۱ تا ۹ و حروف a تا f (یعنی اعدا هگزادسیمال) را دارد، ویروس باجگیر سربر نسخه ۴ است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست.
      قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

      ۱۹ بهمن, ۱۳۹۵ at ۰:۲۱ ق٫ظ
  • مهدی تقی پور Reply

    سلام کسی در مورد ویروس باجگیر Cryptowall که همه فایل هارو با پسوند zepto قفل کرده اطلاعاتی داره؟؟؟

    ۱۸ بهمن, ۱۳۹۵ at ۸:۱۴ ب٫ظ
    • ramin Reply

      سلام
      zepto پسوند یک نوع مشتق شده از ویروس لاکی است، برای اطلاعات بیشتر دنبال موارد زیر در اینترنت باشید:
      .locky
      .bart
      .zepto
      .perl
      .odin
      thor.

      ۱۹ بهمن, ۱۳۹۵ at ۰:۲۸ ق٫ظ
  • رها Reply

    سلام. وقت بخیر.سیستم من چندماه پیش به ویروس باجگیر سربر۳ آلوده شد…
    طبق مطالبی ک قبلا خوندم همه میگفتن فقط صبر کنید و زمان لازم است.
    من کلی عکسو فایل های کاری دارم ک متاسفانه از دست دادمشون…میخواستم ببینم هنوز راه حلی پیدا شده یا نه؟؟
    اصلا با وجود اینکه سربر۴ هم امده دیگه کسی در پی حل این مشکل میره یا نه؟؟؟

    ۹ اسفند, ۱۳۹۵ at ۳:۳۳ ب٫ظ
    • ramin Reply

      سلام
      هنوز راهی کشف نشده است.
      معمولاً اول نسخه قدیمی تر باز می شود و سپس نسخه جدیدتر بنابراین امیدوار باشید.

      ۱۰ اسفند, ۱۳۹۵ at ۱:۳۸ ق٫ظ
  • Arvin Reply

    سلام منم یه همچین مشکلی داشتم فقط شانسم گفت بعضی عکس و فایل هام و رو کار گرفت فیلم های خیلی بالامو رمز گذاری نکرد
    ولی یه اشتباهی که کردم ویندوز عوض کردم بلافاصله تا دیدم این شکلی شدن و فایل های رمز نگاری رو فرمت کردم حالا به نظرتون راهی هست تا فایل هامو برگدونم؟!

    ۱۲ اسفند, ۱۳۹۵ at ۵:۵۲ ب٫ظ
    • ramin Reply

      بله، شما میتوانید با استفاده از برنامه های ریکاوری اطلاعات سالم و رمز شده درایو فرمت شده خود برگردانید.

      ۱۹ اسفند, ۱۳۹۵ at ۱:۴۰ ق٫ظ
  • adlin Reply

    سلام بابت مطالب مفید سایت خیلی متشکرم در قسمت مرکز دانلود یک نرم افزار جهت رمزگشایی فایلهای سربر ۳ گذاشتین
    لطفا طرز استفاده شو هم توضیح بدین خیلی ممنون

    ۱۲ اسفند, ۱۳۹۵ at ۶:۳۷ ب٫ظ
    • ramin Reply

      سلام
      برنامه را دانلود نمایید
      قبل از استفاده از برنامه باید برنامه tor را اجرا کرده باشید تا اجازه دسترسی به سایت باجگیران را داشته باشید.
      دکمه start را بزنید
      شروع بکار میکند و اگر شانس داشته باشید، فایلهای رمز شده شما را بازگشایی می کند.
      البته یک کلید هم در جواب یکی از نظرات دوستان داده ام که اگر آنرا کنار برنامه اجرایی بگذارید از این کلید local استفاده می کند.

      ۱۹ اسفند, ۱۳۹۵ at ۱:۴۵ ق٫ظ
  • حامد Reply

    سلام
    تمام فایلهای من قفل شد و پسوندش .wallet هستش و نوع ویروس که شناخت واز بین برد win32.filelocker.crysis. L trojan بود میخواستم ببینم راه حلی برای رمزگشایی فایلها پیدا شده یا خیر؟
    مرسی

    ۱۵ اسفند, ۱۳۹۵ at ۶:۳۰ ب٫ظ
    • ramin Reply

      در حال حاضر خیر، مگر اینکه مبلغ باج را بپردازید یا اینکه صبر کنید تا رمزگشای آن ساخته شود.
      قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

      ۱۹ اسفند, ۱۳۹۵ at ۱:۴۸ ق٫ظ
  • حسن Reply

    سلام از مطالب مفید سایت خوبتون متشکرم من از مرکز دانلود سایت رمزگشای ویروس سربر ۳ رو دانلود کردم بعد از اجرا این پیغام رو میده
    The attempt to connect to the Tor anonymous network. Please wait….Failed
    بعد چندین بار retrying میاد و همون پیام Failed رو میاره سیستم به اینترنت وصله در ضمن Tor Browser رو هم رو سیستم نصب و فعال کردم میشه لطفا منو راهنمایی بفرمایین ممنون

    ۱۷ اسفند, ۱۳۹۵ at ۳:۴۰ ب٫ظ
    • ramin Reply

      سلام
      به احتمال زیاد رمز فایلهای شما در سیستم باجگیر قابل دسترسی نیست یعنی شما باج را پرداخت نکرده اید بنابراین اجازه دسترسی به بخش بانک رمزهای آنها را ندارید.
      یک کلید در همین بخش نظرات گذاشته ام آنرا دنلود و کنار برنامه decrypt بگذارید شاید با فایلهای شما کار کند که در این حالت نیازی هم به tor نیست.

      ۱۹ اسفند, ۱۳۹۵ at ۲:۰۶ ق٫ظ
  • ارمین Reply

    باسلام و وقت بخیر
    تقریبا ۸۰ درصد اطلاعات سیستم من دچار این ویروس شده …
    چکار باید کرد؟؟

    ۱۲ فروردین, ۱۳۹۶ at ۱۲:۰۳ ب٫ظ
    • ramin Reply

      سلام
      در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست.
      به تازگی شرکت Kaspersky اعلام کرده به موفقیتهای در مورد نسخه قدیمی تر آن رسیده است بنابراین میشود امیدوار بود که رمزگشای آن ساخته شود.

      ۱۷ فروردین, ۱۳۹۶ at ۱:۱۰ ب٫ظ
  • ابراهیم Reply

    سلام و خسته نباشید
    متاسفانه تمام عکس و فیلم و سایر اطلاعات مهم من رمزگذاری شده و با پسوند no_more_ransom رمزگذاری شدند به نظر شما این کدوم نسخه از ویروس با این پسوند رمزگذاری می کند
    در ضمن در سایت یوتیوب چند مورد آموزش تصویری برای حذف و بازیابی اطلاعات گذاشته شده آیا کسی تا حالا از این روش های استفاده کرده؟

    ۲۵ فروردین, ۱۳۹۶ at ۱۱:۵۲ ق٫ظ
    • ramin Reply

      سلام
      کامپیوتر شما آلوده به نوعی باجگیر از خانواده ترولدش (نظیر wallet یا dharma) شده اید.

      ۲۹ فروردین, ۱۳۹۶ at ۱:۳۲ ق٫ظ
  • فرهاد Reply

    سلام. حدودا از تابستون پارسال من دچار این مشکل شدم و پسوند تمام فایلها cerber3 شده و حتی معلوم نیست عکس بودن یا فیلم و آهنگ! در کمتر از ۲۴ ساعت ویندوز رو عوض کردیم و آنتی ویروس نود۳۲ ارجینال نصب کردیم اما تغییری نکرد و تازه فهمیدم توی چه مصیبتی افتادم اما نکته ی عجیب در مورد من اینه که اون پیغام روی دسکتاپم نیومد اما همونطور که گفتین در هر پوشه ۳ تا فایل read me هست که البته هیچکدوم رو باز نکردم…
    واقعا ناراحتم چون به فایلهام احتیاج دارم اما همیشه فکر میکنم بلاخره یه راه حلی براش پیدا میشه!
    امروز بعد از مدتها این رو سرچ کردم تا ببینم راه حلی هست یا نه و مطلب شما رو دیدم. لطفا اگه راهی هست راهنمایی کنید و جواب رو به ایمیلم بفرستید چون ممکنه دوباره پیداتون نکنم. ممنونم

    ۲۸ فروردین, ۱۳۹۶ at ۶:۴۶ ب٫ظ
    • ramin Reply

      سلام،
      برای نسخه سربر ۱ و سربر ۲ رمزگشا ساخته شده است ولی برای سربر ۳ به خاطر استفاده از رمزنگاری پیشرفته تر هنوز نتیجه ایی حاصل نشده است.
      در صورت آماده شدن هرگونه رمزگشا برای سربر ۳ حتماً در این سایت به اطلاع شما خواهیم رساند.

      ۲۹ فروردین, ۱۳۹۶ at ۱:۴۳ ق٫ظ
      • محمد Reply

        سلام
        من هم فکر کنم همین ویروس رو گرفتم ولی فایل هایی که قفل شدن با پسوند stn ذخیره شدن همه و اسم فایل ها کاملا تغییر کرده انگار کسی روی کیبورد الکی زده باشه فقط حروف کنار هم هستند مثل daufpaseecimsoysaz حروف کاملا نا منظم و بی معنی ولی از روی حجم و اسم فولدر میدونم فایل های موزیک و فیلم اکثرا مورد حمله قرار گرفتن.
        خواهشا اگر میدونید چه ویروسی هست کمکم کنید چون آنتی ویروس نصب نمیشه و نگران فایل های باقیمانده هستم که هنوز سالم هستند.

        ۵ اردیبهشت, ۱۳۹۶ at ۹:۴۵ ب٫ظ
        • ramin Reply

          سلام،
          شما به ویروس Satan گرفتار شده اید که پسوند فایلهایش stn میباشد.
          با کمی تحقیق در اینترنت میتوانید اطلاعات بیشتری درباره آن کسب نمایید.

          ۱۰ اردیبهشت, ۱۳۹۶ at ۶:۴۵ ب٫ظ
  • Mehrdad Reply

    سلام. من از کجا میتونم بفهمم ویروس باجگیرم چ ورژنیه . دوما من یه بار ویندوز بعدش عوض کردم یعنی قابل بازگشت هست یا نه؟ سوما هزینش به تومن چقد میشه واسه پرداخت باج؟ ممنون میشم جوابمو بدید 😊

    ۵ اردیبهشت, ۱۳۹۶ at ۸:۲۱ ب٫ظ
    • ramin Reply

      یک یا دو فایل از فایل‌های آلوده و یا متن باجگیری را در یکی از دو صفحه زیر وارد نمایید:
      Crypto Sheriff from No More Ransom
      ID Ransomware from MalwareHunter Team

      اگر ویروس باجگیر شما سربر باشد، آدرسی دارید که آخرش به onion ختم شده است، باید آنرا در برنامه tor بزنید تا مبلغ تعیین شده بعنوان باج برای شما نمایش داده شود.

      ۱۰ اردیبهشت, ۱۳۹۶ at ۶:۳۱ ب٫ظ
  • پوریا Reply

    سلام من دنبال این ویروس هستم از شرکتم اومدم بیرون و دیگه دسترسی ندارم که بتونم سرورهای آلوده رو بردارم و ویروسو آنالیز کنم. نمونه ی ویروس رو دارید که دانلود کنم؟

    ۲۴ اردیبهشت, ۱۳۹۶ at ۱۰:۵۶ ب٫ظ
    • ramin Reply

      سلام،
      متاسفانه خیر ولی فایل رمز شده داریم که اگر بخواهید برایتان ارسال می‌گردد.

      ۲۶ اردیبهشت, ۱۳۹۶ at ۱۱:۰۵ ق٫ظ
  • معین Reply

    با سلام

    فکر میکنم سیستم من هم آلوده شده
    مثلا فایلی به نام mylist.pdf به mylist.pdf-id3744112 تغییر کرده و با درست کردن اکستنشن فایل هم، نمیشه فایل ها رو باز کرد.
    توی متنش نوشته Cerber 5
    واقعا راهی هست؟

    ۴ خرداد, ۱۳۹۶ at ۳:۱۵ ب٫ظ
    • ramin Reply

      سلام
      خیر، هنوز در مورد سربر نگارشهای ۳ ، ۴ و ۵ امکان رمزگشایی رایگان وجود ندارد.

      ۶ خرداد, ۱۳۹۶ at ۲:۴۸ ق٫ظ
  • کسری Reply

    سلام
    تمام فایل ها و عکس ها و … بوسط بد افزار تغییر نام پیدا کردن و قابل شناسایی نیستند. مثلا به شکل obj2uhgs61.84bf به نظر شما کدوم بد افزار است و چکار باید کرد؟

    ۱۳ تیر, ۱۳۹۶ at ۵:۲۸ ب٫ظ
    • ramin Reply

      سلام
      نسخه ۴ (یا بالاتر) باجگیر سربر است که متاسفانه در حال حاضر هیچ راهی برای بازگشایی فایلهای رمز شده بغیر از پرداخت باج وجود ندارد. مبلغ باج هم خیلی بالا هست.

      ۱۴ تیر, ۱۳۹۶ at ۱۲:۳۸ ب٫ظ

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Time limit is exhausted. Please reload CAPTCHA.