ویروس باج گیر « سربر ۳ Cerber »
ویروس باج گیر « سربر ۳ Cerber »

توجه مهم: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کرده‌است به مطلب  تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »  در بخش مقالات همین سایت مراجعه نمایید و به توصیه‌های داده شده عمل نمایید.

( *** بعد از مطالعه این مطلب حتماً مقاله بعدی را با عنوان ویروس باج گیر « سربر ۴ Cerber » بخوانید ***)
ویروس « سربر » نظیر ویروس « لاکی » در دسته‌بندی نرم‌افزارهای «باج گیر»  قرار می‌گیرد. این ویروس فایل‌های شخصی موجود در کامپیوتر قربانی را با الگوریتم RSA-2048 رمزنگاری و غیرقابل استفاده می‌نماید. به فایلهای رمزنگاری شده پسوند .cerber3 اضافه شده و اسم فایل به حروف تصادفی (ده حرفی) تغییر می‌کند. مثلاً فایل عکسی به نام arefi.jpg به  « G0S-4kha_j.cerber3 » تغییر می‌کند.  این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیت‌کوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) می‌نماید همچنین به قربانی تذکر می‌دهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.

 

نحوه نفوذ سربر ۳

سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ می‌کند:
الف- آگهی‌های تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی می‌فرستند.
ب- دانلود برنامه‌های کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد می‌شود.
ج- ایمیل‌های ناشناس، تبلیغاتی و هرزنامه‌ها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل «ورد word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی می‌شود.
د- فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده می‌شوند.

سربر ۳ فایل‌های مهم حاوی اطلاعات را هدف قرار می‌دهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص می‌دهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک می‌کند و فایلهای این محدوده از کشورها را رمزنگاری نمی‌کند.

 

نحوه خرابکاری ویروس سربر ۳

این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامه‌های اجرایی ویندوز مثلاً autochk.exe تغییر می‌دهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» می‌شود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل می‌کند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایل‌های شخصی  قربانی می‌کند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشه‌های آلوده، با نام‌های زیر قرارمی‌دهد و در آن آلوده شدن و رمزشدن فایل‌های قربانی و  دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح می‌دهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جمله‌ای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن می‌شود «چیزی که مرا نمی‌کشد، من را قوی‌تر می‌کند» البته این ترجمه من نویسنده است ولی به نظرم حرص‌درآور است. ویروس سربر ۳ با شما صحبت هم می‌کند، اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده می‌شود!

هدف اصلی این ویروس رمزکردن محتوای فایل‌های مهم و شخصی قربانی است، بطوری که فایل‌ها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایل‌های متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار می‌گیرند عبارتند از:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایل‌های دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه بابت هر دستگاه جداگانه باید مبلغ باج پرداخت شود. البته توسط دوستان چندین برنامه مدعی «رمزگشایی کننده فایل‌های آلوده به سربر ۳» ارسال شده است که متاسفانه هنوز نتوانستم هیچ فایل رمز شده‌ایی را توسط آنها به حالت اولیه برگردانم، در صورت نیاز به این فایل‌های رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.

درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.
نکته اینکه بسیاری از کسانی که آلوده شده‌اند توانسته‌اند فایلهای بزرگ فیلم، موسیقی و در برخی موارد عکس را با عوض کردن پسوند cerber3 به پسوند اصلی (مثلاً mp4) به حالت اولیه برگردانند، به عبارتی ویروس فقط پسوند فایلهای بزرگ را عوض می‌کند! بنابراین بهتر است این راه را امتحان کنید.

 

خربکاری فایلهای شبکه توسط ویروس سربر ۳
ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشه‌ها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری می‌کند.

 

نتیجه گیری

بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامه‌های آفیس، نظیر ورد و  اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز RSA-2048 داشته باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

نویسندهعلی عارفی
تاریخ انتشار۱۳۹۵/۰۷/۰۶

نظرات

برای ثبت نظر ابتدا باید وارد شوید یا ثبت نام کنید.

سلام من چند تا عکس که مورد حمله قرار گرفته اند رو موبایلم دارم ولی با تغییر نام معلوم نیست فایل خراب شده کدوم هست وگرنه بهتون می دادم تا مقایسه بفرمایید

دوشنبه, ۱۲ مهر ۱۳۹۵

م

با سلام دوستان. ی راه حل توووووووووپ ( روی عکسا زیاد جواب نمیده ولی روی فیلم و اهنگ تقریبا خوبه ). روی فایل خراب شده ( مثلا ی اهنگ ) کلیک راست کنید و Rename را بزنید یا میتونید دوبار با فاصله زمانی کلیک کنید که بتونید اسم رو تغییر دهید. سپس بدون اینکه اسم را عوض کنید، اخر فایل ( که اینجا اهنگ مثال زده شد ) .mp4 (دات ام پی فور ) بزارید و بر روی یس کلیک کنید. برای فیلم ها هم بستگی به پسوند اولیه برای مثال .mp4 بزارید.

سه شنبه, ۱۳ مهر ۱۳۹۵

م

با تشکر از لطف شما دوست عزیز و گرامی

سه شنبه, ۱۳ مهر ۱۳۹۵

م

با سلام و منون بابت اطلاعات مفیدتون یه سوال اگر بتونیم آپی خودمونو به یکی از این کشورها تغییر بدیم این ویروس پاک نمیشه؟

پنجشنبه, ۱۵ مهر ۱۳۹۵

م

متاسفانه خیر، اگر قبل از آلوده شدن به یکی از کشورهای اعلام شده «تغییر ناحیه» داده باشید ویروس شما را آلوده نمی‌کند. اما بعد از آلوده شدن «تغییر ناحیه» هیچ اثری ندارد.

جمعه, ۱۶ مهر ۱۳۹۵

ن

خواهش می‌کنم این وظیفه ما است. اگر شما هم به دیگران توصیه کنید فایلهایشان را روی DVD یا CD کپی کنند، به آنها لطف بزرگی کرده‌اید.

جمعه, ۱۶ مهر ۱۳۹۵

ن

سلام، مشکلی نیست، فعلاً آنها را نگهداری نمایید، بزودی رمزگشای آن عرضه خواهد شد.

جمعه, ۱۶ مهر ۱۳۹۵

ن

اگر ویندوز رو restore کنیم باز هم نمیشه فایل هارو برگردوند؟

شنبه, ۲۴ مهر ۱۳۹۵

م

متاسفانه این ویروس system restore را خاموش و پشتیبانهای آنرا هم پاک می‌کند. حتی پشتیبان Shadow را نیز پاک می‌کند. سعی کنید پسوند فایلها به حالت اولیه برگردانید این ویروس خیلی وقتها فایلهای بزرگ را رمز نمی‌کند به عبارتی فقط اسم فایلهای را عوض می‌کند. سعی کنید برخی از فایلها را با برنامه های ریکاوری مثل GetDataBack یا R-Studio بازگردانی نمایید.

یکشنبه, ۲۵ مهر ۱۳۹۵

ن

سلام دوستان راه حلی پیدا نشد؟

یکشنبه, ۲ آبان ۱۳۹۵

م

سلام ، دوستان من پول رو پرداخت كردم واسه سربر ، ورژن ٤ نرمافزار رو هم دادن، ولي تو اجراش مشكل دارم ، Tor browser رو هم نصب كردم اما متاسفانه اجراش كامل نميشه، چيكا ركنم

سه شنبه, ۱۱ آبان ۱۳۹۵

م

متاسفانه خیر.

سه شنبه, ۱۱ آبان ۱۳۹۵

ن

این برنامه نیاز به اتصال به سرورهای باجگیرندگان دارند که در کشور ما فیلتر هستند. شما باید راهی برای گذر پیدا کنید. در ایمیل برایتان توضیح داده‌ام.

سه شنبه, ۱۱ آبان ۱۳۹۵

ن

با سلام و خسته نباشید به تمام دوستان و اساتید محترم جدیدا با یه مشکلی برخوردکردم که عکس های عروسیمو ریختم تو هارد کامپیوتر ولی نمیدونم ویروسی شده یا چی که نام عکس ها تغییر یافته خودبخود و فرمتشون به cerber3. تغییر پیدا کرده هرکاری هم کردم عکسی نشون داده نمیشه فرمتشو تغییر دادم و حتی با نرم افزار خود ویندوز که عکسو باز میکنه هم امتحان کردم ولی باز هم جوایی نگرفتم خیلی ممنون میشم اساتید و بزرگان راهنماییم کنن. کل عکسای عروسیم به باد فنا رفتن

چهارشنبه, ۱۲ آبان ۱۳۹۵

م

در گوشه بالا راست صفحه بخش Support براش پیغام بزار بعدر از حدود 4 ساعت بهت میگه که باید یک فایل زیر 500 کیلو بایت براش بفرستی و بخش چت گزینه آپلود اضافه میشه بعد از ارسال فایل حدود 4 ساعت بعد برات یک فایل کلید میفرسته فایل کلید رو بنداز کنار Decryptoy و عملیات رمز گشایی شروع میشه. وقتی سیستم آلوده میشه حتما از تمامی داده ها یک پشتیبان بگیرید و مطمئن شوید که "تمامی فایل های آلوده یک پسوند مشترک دارند" در هفته گذشته سیستمی داشتیم که 1200 باج پرداخت شد و پس از رمز کشایی متوجه شدیم که برخی فایل ها با اسامی صحیح ولیکن داده ناصحیح وجود دارند ؛ پس از بررسی بیشتر متوجه شدیم که برخی فایل ها احتمالا در یک بازه زمانی دیگر و با یک کلید متفاوت رمز شده بودند و به علت باگ در Decryptor با کلید اشتباه رمز گشایی شده بودند ؛ یعنی 2 باره رمز شدند به سبکی که خود سربر هم نمیتونست باز کنه !!!

پنجشنبه, ۱۳ آبان ۱۳۹۵

م

با سلام و خسته نباشید.. من چن روز پیش موبایلم ک داشتم باهاش کار میکردم خود ب خود رفت واسه ریکاوری فون و تمام اطلاعات دیوایس و مموری رو پاک کرد.همه چیز خود ب خود صورت گرف و من اصلا نفهمیدم چی شد/ ب هر حال اطلاعات مموری رو برگردوندم ./ اما اطلاعات دیوایس رو فعلا ن/اگه نرم افزاری رو میشناسید برای ریکاوری اطلاعات دیوایس معرفی کنید ممنون و اینکه ب نظر شما چرا این اطفاق افتاد؟؟ هیچ فایلی رو باز نکردم فقط رفتم داخل کلش با تشکر ممنون

پنجشنبه, ۱۳ آبان ۱۳۹۵

م

سلام کامپیوتر شما آلوده به ویروس سربر 3 شده است و فایلهای عکس شما رمزنگاری و غیر قابل استفاده شده اند. متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست. البته بخشی از عکسهای شما (حدود 5 تا 15 درصد) با برنامه‌های ریکاوری فایل به حالت اولیه باز خواهند گشت. پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

پنجشنبه, ۱۳ آبان ۱۳۹۵

ن

سلام يك چيز جالب كه در مورد اين ويروس براي من اتفاق افتاد اينه كه فايلهايي كه پسوند دوحرفي دارند آلوده نشدند. مثلا فايلهاي ويديويي .ts

پنجشنبه, ۲۷ آبان ۱۳۹۵

م

سلام دقیقا 2 ماهه که خواب و خوراک ندارم به خاطر این ویروس لعنتی،میخاستم بدونم تضمینی هست که اگه پول رو پرداخت کردیم فایل هامون همه برگردن ؟

پنجشنبه, ۱۱ آذر ۱۳۹۵

م

سلام، تا کنون 15 مورد پرداخت باج برای ویروس سربر 4 انجام داده ایم که با درخواست مشتریان صورت گرفته است، به غیر از یک مورد در 14 مورد بقیه اطلاعات به حالت اولیه برگشته است. بنابراین جواب بله است.

پنجشنبه, ۱۸ آذر ۱۳۹۵

ن

Cerber 3 چطور؟

سه شنبه, ۲۳ آذر ۱۳۹۵

م

سلام اولین پرداخت ما برای cerber3 بود، اگر الان قصد پرداخت وجه را دارید، از قسمت « support متن باجگیری» میتوانید با باجگیر ارتباط برقرار کنید، از او درباره نسخه سربر 3 بپرسید، به شما اجازه میدهد یک فایل را برای تست ارسال و رمزگشایی شده آنرا تحویل بگیرید. اگر فایل را گرفتید و درست بود میتوانید وجه باج را پرداخت کنید.

چهارشنبه, ۲۴ آذر ۱۳۹۵

ن

سلام، لپ تاپ من مورد حمله این ویروس قرار گرفت و مچبور شدم ویندوزمو عوض کنم. اما قبل از این کار یه سری از اطلاعاتمو مثل متن پایان نامه (فایل ورد) برای خودم ایمیل کرده بودم. میخوام بدونم این اطلاعات آیا حاوی این ویروس هستند و اگر دانلودشون کنم ممکنه سیستمم دوباره آلوده بشه؟

شنبه, ۲۷ آذر ۱۳۹۵

م

سلام، معمولاً خیر، فایلهای رمز شده شما قابلیت آلوده سازی ندارند ولی کلیک بر روی فایل «متن باجگیری» که کنار فایلهای شما هست، شما را به وب سایت باجگیر هدایت میکند و ممکن است شما را آلوده نماید. از آنجایی که این ویروس با ایمیل منتقل میشود، شما باید نگران ایمیلی باشید که کامپیوتر شما را آلوده کرده و ممکن است هنوز در صندوق پستی شما باشد.

شنبه, ۲۷ آذر ۱۳۹۵

ن

ممنون از پاسختون درباره ویروس cerber4 هم همینطور هست؟

یکشنبه, ۲۸ آذر ۱۳۹۵

م

بله

یکشنبه, ۵ دی ۱۳۹۵

ن

ایران که ارتباط بانکی نداره شما چطور پول پرداخت کردی ؟

یکشنبه, ۵ دی ۱۳۹۵

م

سلام، بیت کوین از ایران قابل خریداری است فقط بعضی وقتها موجودی آن کم میشود و باید صبر نمود. تا کنون برای 21 نفر به اندازه مبلغ درخواستی باجگیر، بیت کوین خریداری و پرداخت کرده ام و در تمام موارد عملیات رمزگشایی موفقیت آمیز بوده است.

یکشنبه, ۵ دی ۱۳۹۵

ن

سلام آیا اعتباری برای پرداخت هست،منظورم اینه که تا چه مدتی پس از آلوده شدن میتونیم با پرداخت باج فایل هارو برگردونیمبرگردونیم؟

چهارشنبه, ۸ دی ۱۳۹۵

م

بستگی به نوع ویروس دارد. درباره سربر (Cerber 3, 4) تا 96 ساعت اول مبلغ باج عادی محاسبه میشود ولی بعد از آن 2 برابر محاسبه میگردد. بارها با طرف باجگیر سربر چونه زده ام! مبلغ را به حالت عادی برگردانده است یعنی شما تا چند ماه بعد میتوانید باج را بصورت عادی پرداخت نمایید. مبلغ ویروس سربر حدود 500 هزار تومان تا 1.5 میلیون تومان متغیر است. متاسفانه درباره ویروس شید (Shade) که با پسوند xtbl و wallet و dharma فایلها را رمزنگاری میکند اصلاً نمیشه چونه زد یا معطل کرد، و وقتی بفهمد اهل پول دادن نیستید دیگر جواب ایمیل شما را نمی دهد. بدبختانه مببلغ باج این ویروس در روز اول 3 بیت کوین (حدوداً معادل 9 میلیون تومان) و در روزهای بعد 5 بیت کوین (حدوداً معادل 15 میلیون تومان) می باشد.

چهارشنبه, ۸ دی ۱۳۹۵

ن

با سلام خدمت اساتید محترم جدیدا سیستم من هم دچار بد افزار شده و تمامی پسوند فایلهام پسوند a73a شده ممنون میشم اگه من رو راهنمایی کنین البته این رو هم بگم که بعضی از فیلمها رو تونستم فقط اجرا کنم با نرم افزار kmp player ولی تو سیستمای دیگه نشون نمیده

شنبه, ۱۱ دی ۱۳۹۵

م

متاسفانه کامپیوتر شما به ویروس سربر ۴ آلوده شده است و فایلهای شما رمزنگاری شده اند. در مورد فیلم ها بخاطر حجم بالا فقط قسمت کوچکی رمزنگاری میشود و برنام پخش کننده آنرا بصورت نویز در نظر می گیرد و از روی آن رد میشود ولی در مورد بقیه فایلها اینطوری نیست. در حال حاضر بجز پرداخت باج، راهی برای بازگشت اطلاعات شما نیست.

شنبه, ۱۱ دی ۱۳۹۵

م

سلام . سیستمم به cerber ransomware آلوده شده تموم درایورهام که اطلاعات مهم کاری توش بود قفل شده ولی فایل های روی دسکتاپ سالم هستند تموم نرم افزارهام کار میکنن ولی بک آپ های هلوم پاک شده و هلو هم اجرا نمیشه مشکل در ارتباط sql server میزنه و نوع فایل ها به B179 تغییر کرده و اسم فایل ها به صورت انگلیسی و اعداد شده حتی سیستم رو دادم شرکتی کلی روش کار کرد ولی نتونست مشکل رو برطرف کنه من واقعا تموم اطلاعاتم نابود شده چه راه حلی دارین ترو خدا کمکم کنین حاضرم هر کاری بکنم اگه مبلغ رو پرداخت کنم رمزگشا رو بهم میده؟ تا الان ده روزی میشه که سیستمم به این صورت شده

چهارشنبه, ۲۲ دی ۱۳۹۵

م

سلام بله درصورت پرداخت باج، اطلاعات به روز اول برخواهد گشت، 23 نفر در مورد این ویروس به ما مراجعه کرده اند و همگی بعد از پرداخت باج، اطلاعاتشان به روز اول برگشته است. برنامه هلو بک آپ اتوماتیک دارد که معمولاً بعد از مدتی خودش آنها را پاک میکند، ابتدا سعی کنید با یک برنامه ریکاوری اگر ممکن باشد آن فایل ها را بازیابی کنید.

پنجشنبه, ۲۳ دی ۱۳۹۵

ن

ممنون از پاسخ شما ، بنده شهرستان هستم و تصمیم دارم که مبلغ رو پرداخت کنم شما چطور میتونین این کار رو برام انجام بدین؟

پنجشنبه, ۲۳ دی ۱۳۹۵

م

سلام خود شما نیز می توانید این کار را انجام دهید، باید انگلیسی بلد باشید و پول را به بیت کوین تبدیل نمایید، در صورتیکه بخواهید ما اینکار را برای شما انجام می دهیم. در صورت تمایل دستگاه خود را با تیپاکس یا پست به آدرس ما بفرستید. توجه داشته باشید فرد باجگیر دیر به دیر جواب می دهد و کل کار حدود 3 روز طول می کشد، و تا یک فایل را برای ما رمزگشایی ننماید، هیچ هزینه ای پرداخت نمی شود بعبارتی ما مطمئن میشویم که باجگیر کلید رمزگشایی دستگاه شما را دارد.

یکشنبه, ۲۶ دی ۱۳۹۵

ن

سلام. خسته نباشيد سيستم سرور كارخانه تمام فايل هاش .wallet شده و كل سيستم حسابداري از كار افتاده چه راه حلي ارايه ميديد هرچه سريعتر خيلي گرفتار شديم .... فوري فوري ... لطفا راه پيشنهاد بدين بم

دوشنبه, ۲۷ دی ۱۳۹۵

م

سلام در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. تا کنون برای چند نفر کار پرداخت و رمزگشایی را انجام داده ایم. در صورت تمایل بعد از ظهرها تماس بگیرید.

سه شنبه, ۲۸ دی ۱۳۹۵

ن

سلام چند وقته یه ویروس تمام فابلهای منو تغییر داده و پسوندشون b955. هست روشی برای بازیابی هست؟ لطفا پاسخ میل شود

سه شنبه, ۲۸ دی ۱۳۹۵

م

سلام ویروس باجگیر سربر 4 است و برای آن هنوز رمزگشا ساخته نشده است، برای اطمینان می توانید متن باجگیری را بخوانید تا بنده مطمئن شوم. مبلغ باجش بین 500 هزار تومان تا 1.5 میلیون تومان می باشد.

چهارشنبه, ۲۹ دی ۱۳۹۵

ن

salam , man in viruso gereftam , har kariam kardam axam nayumad , faghat axam vasam mohemme , chon karam akkasiye.chikar konam ? negaheshun daram? omidi hast??

شنبه, ۹ بهمن ۱۳۹۵

م

سلام هنوز رمزگشایی برای ویروس باجگیر لاکی ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.

سه شنبه, ۱۲ بهمن ۱۳۹۵

ن

سلام تمام اطلاعات هارد یکی از دوستام به فورمت .a372 تغییر کرده. گرفته ویندوزم عوض کرده. میتونید راهنمایی کنید؟

دوشنبه, ۱۸ بهمن ۱۳۹۵

م

سلام من فایلهای فیلمم رو به عکس با پسوند. jpg تبدیل کرده. چرا فایلهای من مث شما پسوند. Cerber3 نداره؟ هیچ پیشنهادی ندارید که من انجام بدم شاید درست شه؟ ?

دوشنبه, ۱۸ بهمن ۱۳۹۵

م

سلام کسی در مورد ویروس باجگیر Cryptowall که همه فایل هارو با پسوند zepto قفل کرده اطلاعاتی داره؟؟؟

دوشنبه, ۱۸ بهمن ۱۳۹۵

م

سلام متاسفانه ویروس باجگیر سربر 4 است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. قبلاً برای نسخه سربر 1 و نسخه 2 رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

سه شنبه, ۱۹ بهمن ۱۳۹۵

ن

سلام پسوند فایلهای شما چیست اگر ترکیبی 4 حرفی می باشد که اعداد بین 1 تا 9 و حروف a تا f (یعنی اعدا هگزادسیمال) را دارد، ویروس باجگیر سربر نسخه ۴ است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

سه شنبه, ۱۹ بهمن ۱۳۹۵

ن

سلام zepto پسوند یک نوع مشتق شده از ویروس لاکی است، برای اطلاعات بیشتر دنبال موارد زیر در اینترنت باشید: .locky .bart .zepto .perl .odin thor.

سه شنبه, ۱۹ بهمن ۱۳۹۵

ن

سلام میشه کمک من هم بکنین تا عکس هام باز بشه پ

جمعه, ۲۹ بهمن ۱۳۹۵

م

سلام متاسفانه هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج برای برگشت فایلهای شما نیست. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

یکشنبه, ۱ اسفند ۱۳۹۵

ن

سلام. وقت بخیر.سیستم من چندماه پیش به ویروس باجگیر سربر3 آلوده شد... طبق مطالبی ک قبلا خوندم همه میگفتن فقط صبر کنید و زمان لازم است. من کلی عکسو فایل های کاری دارم ک متاسفانه از دست دادمشون...میخواستم ببینم هنوز راه حلی پیدا شده یا نه؟؟ اصلا با وجود اینکه سربر4 هم امده دیگه کسی در پی حل این مشکل میره یا نه؟؟؟

دوشنبه, ۹ اسفند ۱۳۹۵

م

سلام هنوز راهی کشف نشده است. معمولاً اول نسخه قدیمی تر باز می شود و سپس نسخه جدیدتر بنابراین امیدوار باشید.

سه شنبه, ۱۰ اسفند ۱۳۹۵

ن

سلام منم یه همچین مشکلی داشتم فقط شانسم گفت بعضی عکس و فایل هام و رو کار گرفت فیلم های خیلی بالامو رمز گذاری نکرد ولی یه اشتباهی که کردم ویندوز عوض کردم بلافاصله تا دیدم این شکلی شدن و فایل های رمز نگاری رو فرمت کردم حالا به نظرتون راهی هست تا فایل هامو برگدونم؟!

پنجشنبه, ۱۲ اسفند ۱۳۹۵

م

سلام بابت مطالب مفید سایت خیلی متشکرم در قسمت مرکز دانلود یک نرم افزار جهت رمزگشایی فایلهای سربر 3 گذاشتین لطفا طرز استفاده شو هم توضیح بدین خیلی ممنون

پنجشنبه, ۱۲ اسفند ۱۳۹۵

م

سلام تمام فایلهای من قفل شد و پسوندش .wallet هستش و نوع ویروس که شناخت واز بین برد win32.filelocker.crysis. L trojan بود میخواستم ببینم راه حلی برای رمزگشایی فایلها پیدا شده یا خیر؟ مرسی

یکشنبه, ۱۵ اسفند ۱۳۹۵

م

سلام از مطالب مفید سایت خوبتون متشکرم من از مرکز دانلود سایت رمزگشای ویروس سربر 3 رو دانلود کردم بعد از اجرا این پیغام رو میده The attempt to connect to the Tor anonymous network. Please wait....Failed بعد چندین بار retrying میاد و همون پیام Failed رو میاره سیستم به اینترنت وصله در ضمن Tor Browser رو هم رو سیستم نصب و فعال کردم میشه لطفا منو راهنمایی بفرمایین ممنون

سه شنبه, ۱۷ اسفند ۱۳۹۵

م

بله، شما میتوانید با استفاده از برنامه های ریکاوری اطلاعات سالم و رمز شده درایو فرمت شده خود برگردانید.

پنجشنبه, ۱۹ اسفند ۱۳۹۵

ن

سلام برنامه را دانلود نمایید قبل از استفاده از برنامه باید برنامه tor را اجرا کرده باشید تا اجازه دسترسی به سایت باجگیران را داشته باشید. دکمه start را بزنید شروع بکار میکند و اگر شانس داشته باشید، فایلهای رمز شده شما را بازگشایی می کند. البته یک کلید هم در جواب یکی از نظرات دوستان داده ام که اگر آنرا کنار برنامه اجرایی بگذارید از این کلید local استفاده می کند.

پنجشنبه, ۱۹ اسفند ۱۳۹۵

ن

در حال حاضر خیر، مگر اینکه مبلغ باج را بپردازید یا اینکه صبر کنید تا رمزگشای آن ساخته شود. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

پنجشنبه, ۱۹ اسفند ۱۳۹۵

ن

سلام به احتمال زیاد رمز فایلهای شما در سیستم باجگیر قابل دسترسی نیست یعنی شما باج را پرداخت نکرده اید بنابراین اجازه دسترسی به بخش بانک رمزهای آنها را ندارید. یک کلید در همین بخش نظرات گذاشته ام آنرا دنلود و کنار برنامه decrypt بگذارید شاید با فایلهای شما کار کند که در این حالت نیازی هم به tor نیست.

پنجشنبه, ۱۹ اسفند ۱۳۹۵

ن

باسلام و وقت بخیر تقریبا 80 درصد اطلاعات سیستم من دچار این ویروس شده ... چکار باید کرد؟؟

شنبه, ۱۲ فروردین ۱۳۹۶

م

سلام در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. به تازگی شرکت Kaspersky اعلام کرده به موفقیتهای در مورد نسخه قدیمی تر آن رسیده است بنابراین میشود امیدوار بود که رمزگشای آن ساخته شود.

پنجشنبه, ۱۷ فروردین ۱۳۹۶

ن

سلام و خسته نباشید متاسفانه تمام عکس و فیلم و سایر اطلاعات مهم من رمزگذاری شده و با پسوند no_more_ransom رمزگذاری شدند به نظر شما این کدوم نسخه از ویروس با این پسوند رمزگذاری می کند در ضمن در سایت یوتیوب چند مورد آموزش تصویری برای حذف و بازیابی اطلاعات گذاشته شده آیا کسی تا حالا از این روش های استفاده کرده؟

جمعه, ۲۵ فروردین ۱۳۹۶

م

سلام. حدودا از تابستون پارسال من دچار این مشکل شدم و پسوند تمام فایلها cerber3 شده و حتی معلوم نیست عکس بودن یا فیلم و آهنگ! در کمتر از 24 ساعت ویندوز رو عوض کردیم و آنتی ویروس نود32 ارجینال نصب کردیم اما تغییری نکرد و تازه فهمیدم توی چه مصیبتی افتادم اما نکته ی عجیب در مورد من اینه که اون پیغام روی دسکتاپم نیومد اما همونطور که گفتین در هر پوشه 3 تا فایل read me هست که البته هیچکدوم رو باز نکردم... واقعا ناراحتم چون به فایلهام احتیاج دارم اما همیشه فکر میکنم بلاخره یه راه حلی براش پیدا میشه! امروز بعد از مدتها این رو سرچ کردم تا ببینم راه حلی هست یا نه و مطلب شما رو دیدم. لطفا اگه راهی هست راهنمایی کنید و جواب رو به ایمیلم بفرستید چون ممکنه دوباره پیداتون نکنم. ممنونم

دوشنبه, ۲۸ فروردین ۱۳۹۶

م

سلام کامپیوتر شما آلوده به نوعی باجگیر از خانواده ترولدش (نظیر wallet یا dharma) شده اید.

سه شنبه, ۲۹ فروردین ۱۳۹۶

ن

سلام، برای نسخه سربر ۱ و سربر ۲ رمزگشا ساخته شده است ولی برای سربر ۳ به خاطر استفاده از رمزنگاری پیشرفته تر هنوز نتیجه ایی حاصل نشده است. در صورت آماده شدن هرگونه رمزگشا برای سربر ۳ حتماً در این سایت به اطلاع شما خواهیم رساند.

سه شنبه, ۲۹ فروردین ۱۳۹۶

ن

سلام. من از کجا میتونم بفهمم ویروس باجگیرم چ ورژنیه . دوما من یه بار ویندوز بعدش عوض کردم یعنی قابل بازگشت هست یا نه؟ سوما هزینش به تومن چقد میشه واسه پرداخت باج؟ ممنون میشم جوابمو بدید ?

چهارشنبه, ۶ اردیبهشت ۱۳۹۶

م

سلام من هم فکر کنم همین ویروس رو گرفتم ولی فایل هایی که قفل شدن با پسوند stn ذخیره شدن همه و اسم فایل ها کاملا تغییر کرده انگار کسی روی کیبورد الکی زده باشه فقط حروف کنار هم هستند مثل daufpaseecimsoysaz حروف کاملا نا منظم و بی معنی ولی از روی حجم و اسم فولدر میدونم فایل های موزیک و فیلم اکثرا مورد حمله قرار گرفتن. خواهشا اگر میدونید چه ویروسی هست کمکم کنید چون آنتی ویروس نصب نمیشه و نگران فایل های باقیمانده هستم که هنوز سالم هستند.

چهارشنبه, ۶ اردیبهشت ۱۳۹۶

م

یک یا دو فایل از فایل‌های آلوده و یا متن باجگیری را در یکی از دو صفحه زیر وارد نمایید: Crypto Sheriff from No More Ransom ID Ransomware from MalwareHunter Team اگر ویروس باجگیر شما سربر باشد، آدرسی دارید که آخرش به onion ختم شده است، باید آنرا در برنامه tor بزنید تا مبلغ تعیین شده بعنوان باج برای شما نمایش داده شود.

یکشنبه, ۱۰ اردیبهشت ۱۳۹۶

ن

سلام، شما به ویروس Satan گرفتار شده اید که پسوند فایلهایش stn میباشد. با کمی تحقیق در اینترنت میتوانید اطلاعات بیشتری درباره آن کسب نمایید.

یکشنبه, ۱۰ اردیبهشت ۱۳۹۶

ن

سلام من دنبال این ویروس هستم از شرکتم اومدم بیرون و دیگه دسترسی ندارم که بتونم سرورهای آلوده رو بردارم و ویروسو آنالیز کنم. نمونه ی ویروس رو دارید که دانلود کنم؟

دوشنبه, ۲۵ اردیبهشت ۱۳۹۶

م

سلام، متاسفانه خیر ولی فایل رمز شده داریم که اگر بخواهید برایتان ارسال می‌گردد.

سه شنبه, ۲۶ اردیبهشت ۱۳۹۶

ن

با سلام فکر میکنم سیستم من هم آلوده شده مثلا فایلی به نام mylist.pdf به mylist.pdf-id3744112 تغییر کرده و با درست کردن اکستنشن فایل هم، نمیشه فایل ها رو باز کرد. توی متنش نوشته Cerber 5 واقعا راهی هست؟

پنجشنبه, ۴ خرداد ۱۳۹۶

م

سلام خیر، هنوز در مورد سربر نگارشهای 3 ، 4 و 5 امکان رمزگشایی رایگان وجود ندارد.

شنبه, ۶ خرداد ۱۳۹۶

ن

سلام تمام فایل ها و عکس ها و ... بوسط بد افزار تغییر نام پیدا کردن و قابل شناسایی نیستند. مثلا به شکل obj2uhgs61.84bf به نظر شما کدوم بد افزار است و چکار باید کرد؟

سه شنبه, ۱۳ تیر ۱۳۹۶

م

سلام نسخه 4 (یا بالاتر) باجگیر سربر است که متاسفانه در حال حاضر هیچ راهی برای بازگشایی فایلهای رمز شده بغیر از پرداخت باج وجود ندارد. مبلغ باج هم خیلی بالا هست.

چهارشنبه, ۱۴ تیر ۱۳۹۶

ن