ویروس باج گیر « سربر ۴ Cerber »
ویروس باج گیر « سربر ۴ Cerber »

توجه: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کرده‌است به مطلب  تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »  در بخش مقالات همین سایت مراجعه نمایید و به توصیه‌های داده شده عمل نمایید.

متاسفانه باید به اطلاع شما برسانم، با اینکه هنوز مدت زیادی (حدود یکماه) از پخش ویروس باج گیر « سربر ۳ » نگذشته است، نسخه ۴ آن انتشار یافته و در حال آلوده کردن گسترده کامپیوترهای تمام دنیا است. از آنجایی که یکی از اهداف ویروس سربر ۴ از کار انداختن برنامه SQL Server و رمزنگاری کردن فایلهای mdf. و ldf. به قصد باجگیری است، اکیداً توصیه میکنم از فایلهای مهم حسابداری خود روی DVD پشتیبان بگیرید.
یکی از تغییراتی که صورت گرفته است تغییر فرمت « متن باجگیری » است. نسخه ۴ ویروس سربر « متن باجگیری » را از فرمت html. به فرمت hta. تغییر داده است.

بنابراین اگر در کامپیوتر خود با فایل « README.hta » برخورد کرده‌اید آلوده این ویروس شده‌اید. پسوند hta.  مخفف فایلهای Hypertext Application است که برنامه‌های مخصوص مرورگر مایکروسافت اینترنت اکسپلورر ۵ به بالا هستند. خاصیت آنها برای نویسندگان ویروس کاملاً مشخص است، اینگونه برنامه‌ها امکان گذشتن از بخش امنیتی مرورگرها را دارند و براحتی می‌توانند بخش registery ویندوز را دستکاری کنند.

در نسخه ۳ پسوند فایلهای آلوده شده فقط cerber3. بود اما در نوع جدید پسوند فایلهای آلوده به اعداد و حروف هگزا دسیمال متنوع و تصادفی مثل ۹۰۶۷ یا DA3D1. و … تغییر می‌کند.

 

تغییرات مهم ویروس باجگیر سربر ۴ نسبت به نسخه قدیمی:
– مجهز شدن به «سیستم ضد ردیابی» که مانع شناسایی آن توسط آنتی ویروسها می‌شود.
– دور زدن تمام برنامه های ضد باجافزار شناخته شده.
– مجهز شدن به «سیستم ضد عبور» که با شناسایی دستکاری شدن یا از کار افتادن بخشی از فعالیت خود، واکنش نشان می‌دهد.
– استفاده از دامنه‌های «پیازی onion» که امکان ردیابی دامنه اصلی را سخت می‌کند.
– از کار انداختن بانکهای اطلاعاتی جهت رمزنگاری کردن فایلهای اطلاعاتی آنها.
– بیشتر شدن نوع فایلهای مورد حمله که از همه مهمتر فایلهای SQL Server است. این ویروس فایلهای mdf. و ldf. را رمزگذاری می‌کند و بانکهای اطلاعاتی را از کار می‌اندازد.
– و غیره

 

شناسایی ویروس سربر ۴ قبل از خرابکار
اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
اگر حجم فضای هارد دیسک شما بطور غیر منتظره‌ایی پر نشان داده می‌شود یا در حال پر شدن است و شما مطمئن هستید که نباید اینطوری باشد، باز هم ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است، این ویروس ابتدا فایلهای کامپیوتر را کپی می‌کند و سپس آنها را رمز می‌کند سپس فایلهای قدیمی را پاک می‌کند، بنابراین پر شدن غیر منتظره هارددیسک نشانه آلوده شدن به این ویروس است.
در دو حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.

 

متاسفانه هنوز هیچ راه حلی برای بازگرداندن فایلهای رمز شده توسط این ویروس وجود ندارد. و بهترین روش در امان بودن از آن پیشگیری است. به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایل‌های خود را بازیابی نمایید و دوماً امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز فایلها باشد.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

نویسندهعلی عارفی
تاریخ انتشار۱۳۹۵/۰۷/۲۲

نظرات

برای ثبت نظر ابتدا باید وارد شوید و یا ثبت نام کنید.

با سلام، سیستم قربانی این ویروس شده است آیا اگر هارد را عوض کنم (تا اطلاعات قبلی برای زمانی که راه حلی پیدا شود در هارد قدیمی نگهداری شود) هارد جدید بعد از نصب امکان آلوده شدن را دارد؟

یکشنبه, ۲۵ مهر ۱۳۹۵

م

بهتر است هارد دیسک آلوده (هارد قبلی) را دستگاری نکنید و جدانگهداری کنید. اگر امکان خرید هارد دیسک جدید ندارید به شما توصیه می‌کنم با یک برنامه نظیر Norton Ghost یا Acronis تمام پارتیشن‌های دستگاه خود را بصورت سکتور به سکتور پشتیبان‌گیری نمایید تا در آینده اگر رمزشکن این ویروس آماده شد بتوانید این اطلاعات رمز شده را دوباره بازیابی نموده و سپس رمز آنها را بشکنید. توجه داشته باشید با پاک کردن ویندوز، کلید اختصاصی ویروس در کامپیوتر شما حذف می‌شود. امکان آلوده شدن ویندوز جدید شما توسط پارتیشن‌های دیگر وجود دارد. حتماً آنتی ویرس خود را به روز نمایید.

یکشنبه, ۲۵ مهر ۱۳۹۵

ن

سلام. تمام اسناد آفیس ما بر اساس این ویروس از کار افتاده. اسنادی که به شدت مورد نیاز هستند. هیچ راهی برای برگردوندن وجود نداره؟

شنبه, ۱۵ آبان ۱۳۹۵

م

متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست. پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.

سه شنبه, ۱۸ آبان ۱۳۹۵

ن

با سلام. فايلاي سيستم منم به cerber3 آلوده شده و اكثرش قابل استفاده نيست. پس شما نصب مجدد ويندوز رو صلاح نميدونين درسته؟ به نظرتون اگه ويندوز نصب بشه كليد اختصاصي هم پاك ميشه وقتي برنامه رمزگشا ساخته بشه، به كليد اختصاصي سيستمم نياز داره يا فقط هر فايلي به فرمت cerber3 داشته باشم رمزگشايي ميكنه؟ منم اكثر اطلاعاتم از بين رفته و همش نگران اين ويروسم. نميدونم چرا فايلام تو دو روز رمزگشايي شد! روز دوم ديدم ديگه هيچ فايل .mp3 سالم برام وجود نداره. خيلي نگران اين باجافزارها هستم كه روز به روزم دارن پيشرفته تر ميشن. تا كي بايد وقتي تو اينترنت هستيم همش استرس داشته باشيم و بگيم اي كاش اينترنت نداشتيم همه چيزمون در امن و امان بود؟ خواهش ميكنم كمكم كنين من از نابيناها هستم و خيلي از برنامه هاي ضد بدافزار كه سايتا معرفي كردن براي نابينايان دسترسپذير نيست!

پنجشنبه, ۲۰ آبان ۱۳۹۵

م

سلام اگر اطلاعات شما خیلی مهم است و قصد ندارید مبلغ باج را بپردازید بهتر است یک هارد جدید بخرید و این هارد قدیمی را نگهداری نمایید تا در آینده وقتی برنامه رمزگشای رایگان آن ساخته شد، بتوانید اطلاعات خود را رمزگشایی نمایید. اگر چنین قصدی دارید بهتر است ویندوز خود را پاک نکنید، با پاک کردن ویندوز کلید اصلی رمز و دسترسی به سرور سازنده ویروس و مشخصات ویروس پاک می‌شود.

پنجشنبه, ۲۰ آبان ۱۳۹۵

ن

با سلام خدمت جناب اقای عارفی عزیز بنده کامپیوترم دچار حمله ی ویروس باجگیر4 شد که جناب آقای عارفی توانستند این مشکل بنده را حل کنند . با تشکر از ایشان. ارادتنمند نعمتی.

شنبه, ۱۳ آذر ۱۳۹۵

م

سلام، خسته نباشید در مورد ویروس سربر کاری تونستن بکنند با فعلا.....

یکشنبه, ۱۴ آذر ۱۳۹۵

م

هرچی اطلاعات داشتم رفتم، کلا دستم به کار نمیره اگه بتونید راهنمایم کنید ممنون میشم

یکشنبه, ۱۴ آذر ۱۳۹۵

م

هنوز راهی وجود ندارد. حدود 17 عدد Private Key داریم که با توجه به پسوند و نگارش ویروس سربر ممکن است برای دیگران را هم بازگشایی نمود.

پنجشنبه, ۱۸ آذر ۱۳۹۵

ن

سلام اگر اطلاعات شما خیلی مهم است و میتوانید مبلغ باج حدود 1 میلیون تومان پرداخت نمایید، امکان بازگشت اطلاعات شما به روز اول هست. ولی اگر قصد ندارید مبلغ باج را بپردازید بهتر است یک هارد جدید بخرید و این هارد قدیمی را نگهداری نمایید تا در آینده وقتی برنامه رمزگشای رایگان آن ساخته شد، بتوانید اطلاعات خود را رمزگشایی نمایید.

پنجشنبه, ۱۸ آذر ۱۳۹۵

ن

سلام آقای نعمتی میشه آقای عارفی رو معرفی کنید ماهم بتونیم ازشون کمک بگیرم

شنبه, ۲۰ آذر ۱۳۹۵

م

سلام دوستان لپ تاپ من هم همین ویروس رو حدوده یک هفته پیش گرفت. سه روز اول به چند موسسه مراجعه کردم. حتی مهندسین مرکز کامپیوتر رازی هم نتونستند فایل ها رو برگردونن. تا اینکه این پستو دیدم و به اقای عارفی مراجعه کردم. فایل ها بازگردانی شد. از زحماتشون مچکرم. ریحانه نوروز

جمعه, ۳ دی ۱۳۹۵

م

سلام ميشه شماره آقاي عرفانيو برام بفرستيد لپ تاپ من اين مشكل داره پسوند عكسام تغيير كرده ممنون ميشم شمارشو بديد

دوشنبه, ۶ دی ۱۳۹۵

م

سلام ميشه شماره آقاي عرفانيو برام بفرستيد لپ تاپ من اين مشكل داره پسوند عكسام تغيير كرده ممنون ميشم شمارشو بديد

دوشنبه, ۶ دی ۱۳۹۵

م

سلام جناب آقای عارفی اگه امکان داره Private Key ها را برای بنده هم ارسال کنین ان شاء ا.. راهگشا باشه بتونم فایل هام را برگردونم.

دوشنبه, ۶ دی ۱۳۹۵

م

سلام بعد از ظهر ها فروشگاه هستم با این شماره تماس بگیرید: 88932447-9

چهارشنبه, ۸ دی ۱۳۹۵

ن

سلام بعد از ظهر ها فروشگاه هستم با این شماره تماس بگیرید: ۸۸۹۳۲۴۴۷-۹

چهارشنبه, ۸ دی ۱۳۹۵

ن

سلام، فایل زیر کلید اختصاصی سربر 4 می باشد، بعید می دانم روی دستگاه شما کارکند ولی چون درخواست دادید براتون ارسال کردم. انشالله کاربرد داشته باشد. نمونه کلید ویروس باجگیر سربر 4 باید آنرا کنار فایل decryptor.exe بگذارید.

چهارشنبه, ۸ دی ۱۳۹۵

ن

با سلام فایل decryptor.exe را چطور پیدا کنیم؟

شنبه, ۱۱ دی ۱۳۹۵

م

سلام ببخشید چند سوال دیگه هم دارم .سیستم من امروزآلوده شده و چون فرمت hta داره با توجه به مطلب شما سربر 4 باید باشه. مبلغ باج هم حدود 109 دلار تعیین کرده.البته درایو c که ویندوز در آن هست کاملا سالم مانده نمیدونم چرا ؟ ولی درایو های دیگه فایل ها رمز گذاری شده اند ولی باز هم بعضی فایل ها سالم مانده اند شما نوشتید نباید ویروس را پاک کرد آیا ممکنه این ویروس باز هم دست به کار بشه و فایل های بیشتری را رمز کنه یا فقط یکباراین کار رو انجام میده؟ تاکید کردید اطلاعات رو روی dvd کپی کنیم.مزیت دی وی دی نسبت به مثلا فلش چیه؟ممکنه خود دی وی دی هم آلوده بشه؟

شنبه, ۱۱ دی ۱۳۹۵

م

در صورت نیاز به فایل رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنرا برایتان ارسال نمایم. از آنجایی که ممکن است باعث آلودگی شود نخواستم بصورت عمومی در اختیار هم قرار گیرد (منظورم کامپیوترهای سالم است). توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.

یکشنبه, ۱۲ دی ۱۳۹۵

ن

سلام اگر درایو C شما سالم است شما یک کاربر ادمین دارید و یک کاربر معمولی، دسترسی کاربر معمولی به درایو C محدود شده است و وقتی ویروس را گرفته اید بعلت عدم دسترسی نتوانسته است آنرا دستکاری نماید و خرابکاری خود را در درایوهای دیگر انجام داده است. در مورد ویروس سربر فقط یکبار برای هر دستگاه اتفاق می افتد، ولی قابلیت آلوده سازی کامپیوترهای دیگر را دارد. بعد از ذخیره(رایت) اطلاعات در DVD امکان دستکاری فایلهای داخل آن وجود ندارد، بعبارتی حافظه فقط خواندنی می باشد، پس امکان ندارد اطلاعات آن توسط ویروس از بین برود یا رمزنگاری شود. برخلاف DVD حافظه های فلش و هارددیسکهای اکسترنال همیشه قابلیت نوشتن را دارند و نمی توان جلوی خرابکاری ویروس در آنها را گرفت. توجه داشته باشید اگر شما اطلاعات حاوی ویروس را به DVD کپی نمایید، آن DVD قابلیت آلوده سازی دیگر کامپیوتر ها را دارد.

یکشنبه, ۱۲ دی ۱۳۹۵

ن

آقای مهندس چطور مطمئن بشیم ویروس cerber از سیستم پاک شده؟

دوشنبه, ۱۳ دی ۱۳۹۵

م

همه آنتی ویروسها در پاک کردن ویروس موفق هستند، یکی از آنها را نصب کنید. آنتی ویروسها فقط نمی توانند اطلاعات رمز شده را به حالت اول برگردانند.

دوشنبه, ۱۳ دی ۱۳۹۵

ن

سلام ميشه شماره تماس يا ايميل آقاي عارفي رو لطف كنيد ممنون ميشم ازتون

چهارشنبه, ۱۵ دی ۱۳۹۵

م

سلام لطفا بعد از ظهرها از ساعت 1.5 تا 6 تماس بگیرید. 88932445-7 09122168723

چهارشنبه, ۱۵ دی ۱۳۹۵

ن

با سلام برای بنده یک ایمیل انگلیسی با موضوع درخواست قیمت ارسال شد که حاوی یک فایل با فرمت zip بود و من این فایل رو دانلود کردم. در این فایل یک فایل html موجود بود که با کلیک بر روی اون صفحه ایمیل sign in سایت یاهو باز شد. آیا این فایل احتمال داره که همین ویروس باشه؟ ممنون

پنجشنبه, ۱۶ دی ۱۳۹۵

م

سلام فایلهای عکس و فیلمها به پسوند .badnewsfile تبدیل شدن و اسمها رمز گذاری شدن پیغام باج هم فقط مبلغ خواسته زمان نداره لطفا راهنمایی کنید.

جمعه, ۱۷ دی ۱۳۹۵

م

سلام ممکن است نوع دیگری باشد، یا برای هک ایمیل شما اقدام کرده باشند. در هر صورت مراقب باشید.

شنبه, ۱۸ دی ۱۳۹۵

ن

سلام کامپیوتر شما به ویروس purge که تازگیها از پسوند globe استفاده می کند آلوده شده اید. ممکن است با فایلهای زیر بتوانید اطلاعات خود را بگردانید: Emsisoft Decrypter for Globe3 https://decrypter.emsisoft.com/download/globe3 Emsisoft Decrypter for Globe2 https://decrypter.emsisoft.com/download/globe2 Emsisoft Decrypter for Globe https://decrypter.emsisoft.com/download/globe

شنبه, ۱۸ دی ۱۳۹۵

ن

سلام . سیستمم به cerber ransomware آلوده شده تموم درایورهام که اطلاعات مهم کاری توش بود قفل شده ولی فایل های روی دسکتاپ سالم هستند تموم نرم افزارهام کار میکنن ولی بک آپ های هلوم پاک شده و هلو هم اجرا نمیشه مشکل در ارتباط sql server میزنه و نوع فایل ها به B179 تغییر کرده و اسم فایل ها به صورت انگلیسی و اعداد شده حتی سیستم رو دادم شرکتی کلی روش کار کرد ولی نتونست مشکل رو برطرف کنه من واقعا تموم اظلاعاتم نابود شده چه راه حلی دارین ترو خدا کمکم کنین حاضرم هر کاری بکنم اگه مبلغ رو پرداخت کنم رمزگشا رو بهم میده؟

چهارشنبه, ۲۲ دی ۱۳۹۵

م

سلام در مورد ویروس سربر، در حال حاضر به جز پرداخت باج راهی نیست. اگر امکان پرداخت باج را که در مورد این ویروس بین 500 هزار تومان تا 1.5 میلیون تومان است را ندارید باید صبر کنید و منتظر بمانید تا رمزگشای آن ساخت شود. در مورد ویروس globe رمز گشا ساخته شده است بنابراین باید امیدوار بود برای ویروس سربر نیز رمزگشا ساخته شود.

پنجشنبه, ۲۳ دی ۱۳۹۵

ن

با سلام سیستم بنده هم الوده ی این ویروس شده و فقط روی عکس ها تاثییر گذاشته,تمام فرمتشون عوض شده به README.EXE میشه کمکم کنید چطور پاک کنم ویروس رو و عکسام رو برگردونم ب فرمت اصلی؟

سه شنبه, ۲۸ دی ۱۳۹۵

م

سلام در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.

سه شنبه, ۲۸ دی ۱۳۹۵

ن

سلام بر همگی اینجانب کارشناس نرم افزار هستم سیستم خودم هم به این مشکل برخورد کرد خیلی با دوستان و اساتید خود تلاش کردیم برای رمز گشایی بالاخره تونستیم فقط فالهایی با پسوند docوtxtوpdfرو به حالت اول برگردونیم اگه کسی مایل باشه با هزینه خیلی پایین (فقط هزار تومن برای هر یک مگابایت) میتونم فایلهای متنی رو به حالت اول برگردونم

پنجشنبه, ۳۰ دی ۱۳۹۵

م

جهت اطمینان از صحت توانایی شما در رمزگشایی این گونه فایلها، لازم است تعدادی فایل رمز شده را برای شما بفرستم. در صورت موفقیت شما، آدرس ایمیل شما به دیگران اعلام میشود. در ضمن باج این نرم افزار حدود 500 هزار تومان تا 1.5 میلیون تومان هست و کلیه اطلاعات به حالت اولیه بر می گردد، و شما برای هر مگابایت 1000 تومان تقاضا می کنید که در خیلی موارد بیشتر از مبلغ باج میشود. خیلی خوب خواهد شد که برنامه خود را بصورت رایگان منتشر کنید تا مشکل مردم حل شود، مطمئن باشید با دعای مردم عاقبت به خیر می شوید.

جمعه, ۱ بهمن ۱۳۹۵

ن

سلام. متاسفانه سیستم من هم دچار مشکل شده و فایل هام بصورت عددهایی با فرمت .C85O در اومدن. این هم ویروس سربر هست یا چیز دیگه ایه؟ راهی برای برگردوندن فایل ها هست؟ با تشکر از راهنمایی های سازنده تون

دوشنبه, ۴ بهمن ۱۳۹۵

م

سلام سیستم منم ویروس گرفتع که یه سری فایلهای ورد و پی دی اف رو نیاز دارم چطور میتونم یه فایل واستون بفرستم که رمزگشایی کنید؟

دوشنبه, ۴ بهمن ۱۳۹۵

م

سلام بله سربر 4 است، که در حال حاضر رمزگشایی برای آن ساخته نشده است.

دوشنبه, ۴ بهمن ۱۳۹۵

ن

سلام هنوز رمزگشایی برای این ویروس باجگیر ساخت نشده است بنابراین در حال حاضر کمکی از دست بنده بر نمی آید و جز پرداخت باج راهی نیست. با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.

دوشنبه, ۴ بهمن ۱۳۹۵

ن

سلام . ببخشید سوال مجدد درایو c و کل برنامه هام سالمه فقط فایلهای هارددیسک دچار ویروس شده آیا نیازی به تعویض ویندوز هست؟من میتونم هارد دیگه ای بخرم و دوباره با همون سیستم شروع به کار کنم؟فایل های غیرویروسی رو اگه تو سیستم دیگه ای بریزم ویروسی میشه؟ممنون از شما

شنبه, ۹ بهمن ۱۳۹۵

م

از آنجایی که این ویروس از طریق ایمیل و باز کردن ضمیمه آن و یا کلیک کردن شما روی لینک داخل ایمیل وارد کامپیوتر شما شده است ممکن است هنوز فعال باشد، بهتر است ویندوز را تعویض نمایید و حتماً آنتی ویروس اصل نصب کنید. در صورت نصب بودن آنتی ویروس در دستگاه دیگر مشکلی برای کپی آنها ندارید.

سه شنبه, ۱۲ بهمن ۱۳۹۵

ن

لبتاب من هم دچار سربر 4 شده و ویندوزم رو متاسفانه عوض کردم اگر راه حلی برای این باج افزار ارائه شه امکان برگشت اطلاعاتم هست؟

چهارشنبه, ۱۳ بهمن ۱۳۹۵

م

سلام، بله، در صورت یافته شدن رمز اصلی امکان برگشت اطلاعات شما هست.

جمعه, ۱۵ بهمن ۱۳۹۵

ن

با عرض سلام خدمت همگی وحید هستم ۳۰دی یه پیام دادم راجع به اینکه میتونم فایلهای رمز نگاری شده توسط این ویروس رو به حالت اول برگردونم خودم جواب گرفتم واسه شما هم روش کار رو میگم امیدوارم که استفاده کنین برای شروع به دوتا نرم افزار ساده احتیاج دارین Deepfreeze Thinstall ابتدا روی یه سیستم سالم deepfreeze رو نصب کنین و با یه بار ریست کردن سیستم همه درایواتونو فریز کنین سپس نرم افزار Thinstall رو نصب کنین و اجازه بدین یه pre scan از کل سیستمتون بگیره حالا یه cd یا مموری یا یه فایل ویروس ( منظورم cerber)رو اجرا کنین با خیال راحت بزارین ویروس کارشو انجام بده مطمئن باشید هیچ اتفاقی واستون نمیفته چون همه درایواتون فریزه بعد از اتمام کار خرابکاری ویروس حالا Thinstallرو دوباره اجرا کنین تا یه post scan از سیستمتون بگیره سپس یه سر به پوشه Thinstallبزنین به همین راحتی میتونین بفهمین که ویروس دقیقا کجای سیستم و رجیستری رو دستکاری کرده خیلی راحت یکم حوصله میخاد فقط امیدوارم به دردتون خورده باشه

جمعه, ۱۵ بهمن ۱۳۹۵

م

سلام ممنون قبلاً این کار را انجام داده ام، مشکل ما در مورد ویندوزهای سرور است که معمولاً دارای برنامه حسابداری هستند و با برنامه seepfreeze اطلاعات آنها به قبل از freeze بر میگردد و تمام موارد حسابداری وارد شده در آنها از بین می روند. عملکرد این ویروس را کاملاً مشناسم ولی مشکل این است که عموم مردم وقتی متوجه میشوند که فایلهایشان رمزنگاری شده است، ما بیشتر به دنبال یک برنامه رمزگشا میگردیم، چون آنتی ویروس های اورجینال براحتی جلوی این ویروس را میگیرند.

جمعه, ۱۵ بهمن ۱۳۹۵

ن

با سلام بنده نیز به باجگیر سرور آلوده شدم و متاسفانه ویندوزم رو هم عوض کردم آیا فایلهای من دیگه قابل بازیابی احتمالی نیست؟

سه شنبه, ۱۹ بهمن ۱۳۹۵

م

سلام هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. اگر فایلهای رمز شده را نگداشته باشید و بخواهید باج را بپردازید آنوقت دو حالت دارد: اگر همراه فایلهای رمز شده شما متن باجگیری باشد براحتی بله. اگر متن باجگیری را پاک کرده باشید، آنوقت باید یک فایل رمز شده برای باجگیر بفرستید تا ID آنرا بازیابی کند به هر حال جواب شما بله است.

سه شنبه, ۱۹ بهمن ۱۳۹۵

ن

ممنون از راهنمایی ارزشمندتون

چهارشنبه, ۲۰ بهمن ۱۳۹۵

م

سلام دوستان و اساتید من همه فایل هام پسوند hta گرفته و رمز شده CERBER RANSOMWARE آیا فایل ها قابل برگشت هستن؟

پنجشنبه, ۲۱ بهمن ۱۳۹۵

م

سلام متاسفانه ویروس باجگیر سربر ۴ است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج برای برگشت فایلهای شما نیست. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

جمعه, ۲۲ بهمن ۱۳۹۵

ن

خیلی ممنون از اینکه پاسخ دادید... پس میشه امیدی داشت؟ آخه میخواستم کلا فرمت کنم.... معلوم نیست این زمانی که میگید؟

جمعه, ۲۲ بهمن ۱۳۹۵

م

بله میتوان امیداور بود، حداقل 6 ماه.

شنبه, ۲۳ بهمن ۱۳۹۵

ن

سلام . سیستمم سربر 4 گرفته همه فایلها رو روی یه سی دی کپی کردم و اونا رو از درایوها پاک کردم اگه رمزگشا ساخته بشه میشه فایلها رو از رو سی دی هم برگشت داد یا فقط باید هارد رو کنار میذاشتم؟ یه سوال دیگه که کل درایوها رو پاک کردم اسمشم از حالت unlabeled به حالت اول برگردوندم و یه آنتی ویروس نود اورجینال نصب کردم بدون تعویض ویندوز آیا مشکلی هست به این صورت؟ممکنه دوباره سیستم ویروسی بشه؟

چهارشنبه, ۲۷ بهمن ۱۳۹۵

م

سلام من فایلهام به xtbl تبدیل شده پول را پرداخت کردم رمز و نرم افزار را گرفتم متاسفانه نرم افزار دیکودر از سیستم من پاک شد ایا دارین در ختیار من بزارین؟

پنجشنبه, ۲۸ بهمن ۱۳۹۵

م

سلام بله، با ساخته شدن رمزگشا امکان بازگشت فایلهای شما به حالت اولیه وجود دارد. کامپیوتر شما از راه ایمیل آلوده شده است بنابراین تا موقعی که فایلهای آن ایمیل در کامپیوتر شما باشند امکان آلودگی هست. استفاده از آنتی ویروس اورجینال ضروری است.

پنجشنبه, ۲۸ بهمن ۱۳۹۵

ن

سلام بله، قبلاً یک پرداختی بابت این ویروس باجگیر داشته ام و فایل decrypt آنرا دارم. تماس بگیرید برایتان ارسال کنم.

پنجشنبه, ۲۸ بهمن ۱۳۹۵

ن

ممنون از پاسخ ، این ویروس از طریق ایمیل وارد نشد با ورد چیزی رو تایپ میکردم که اینطور شد حالا که تموم درایوها بجز c رو فرمت کردم آیا باز نیاز به تعویض ویندوز است؟

پنجشنبه, ۲۸ بهمن ۱۳۹۵

م

سلام. سلام هارد لب تاپپ من دوتا درایو داره که درایو D آلوده شده اما درایو C سالم هست. و من می خوام منتظر بمونم تا رمز گشا ساخته بشه. البته جرات نیمکنم فلش رو به لب تاپ بزنم. اگه خواستم فایل کپی کنم با فلش به جای دیگه آیا این باج افزار به کامپیوتر دیگه منتقل میشه یانه؟ و اگه هارد یا فلش یا فلش مموری رو فرمت کنیم, ویروس از بین میره یا نه؟ پیشنهاد شما چیه که کاری کنم که درایو C آلوده نشه؟

جمعه, ۲۹ بهمن ۱۳۹۵

م

از طریق ماکروی داخل فایل ورد یا اکسل ویروس اصلی را دانلود میکند. اما بهر خودتان یا یکی از دوستانتان این فایل را از طریق ایمیل دریافت کرده اید. بهتر است ویندوز را عوض و همزمان از آنتی ویروس و آنتی مال ور استفاده کنید.

یکشنبه, ۱ اسفند ۱۳۹۵

ن

سلام ابتدا فایلهای آلوده درایو D را روی CD یا DVD کپی کنید. همزمان از آنتی ویروس و آنتی مال ور استفاده کنید که ویروس نتواند درایو C شما را هم آلوده کند. این ویروس با فرمت هارد یا فلش از بین میرود ولی ممکن است فایل آلوده کننده هنوز در صندوق پستی ایمیل شما باشد، پس نباید آن ایمیل را دوباره بازکنید.

یکشنبه, ۱ اسفند ۱۳۹۵

ن

سلام. شما آنتی ویروسی سراغ دارین که بتونه این ویروس رو شناسایی و نابود کنه؟ من با Avg , Avira امتحان کردم نتوستن شناسایی کنن. با تشکر

یکشنبه, ۱ اسفند ۱۳۹۵

م

سلام از ضدبدافزار Malwarebytes یا Emsisoft استفاده کنید. توجه کنید بعد از پاکسازی گزینه antiransom روشن باشد. ولی بهتر است ویندور را دوباره نصب کنید.

یکشنبه, ۱ اسفند ۱۳۹۵

ن

یعنی هیچ راهی برای بازیابی فایلهای از بین رفته وجود ندارد کلیه عکسها وفایلهای ورد اکسل وپی دی اف که تاریخ آنها در 6 سال اخیر بوده از بین رفته فیلمها و فایلهای rar ,وفایلهای قدیمی ونرم افزارها ازبین نرفته است

پنجشنبه, ۵ اسفند ۱۳۹۵

م

در حال حاضر خیر، مگر اینکه مبلغ باج را بپردازید یا اینکه صبر کنید تا رمزگشای آن ساخته شود. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.

پنجشنبه, ۵ اسفند ۱۳۹۵

ن

سلام تو شرکت ما، یه فایل مشترک بین سه کامپیوتر داشتیم که به ویروس آلوده شده (ظاهراً از خانواده ی crysis چون پسوندی به این صورت ایجاد می کنه Diablo_diablo2@aol.com). دو سوال داشتم ممنون می شم راهنمایی کنید: 1. شرکت یه نرم افزار آنتی ویروس کسپراسکای اصل و به روز داره، آیا اصل این بدافزار حذف شده؟ (با توجه به این که فقط فایل های روی درایو مشترک آلوده شده ن و بقیه ی فایل ها دیگه آلوده نشده ن؟ فایل های رمز شده، الان بی خطرن؟ 2. من پیامی که پول بخواد بین فایل های رمز شده، ندیدم، دلیلش به نظرتون چی می تونه باشه؟ 3. اگه فایل های رمز شده رو نگه داریم، در آینده امیدی به بازیابی شون خواهد بود؟ ممنون از پاسختون

دوشنبه, ۱۶ اسفند ۱۳۹۵

م

سلام جواب سوال 1: اولاً الان در وضعیت اضطراری نوع 2 هستیم یعنی هر روز باید اطلاعات مهم تان را روی dvd پشتیبان بگیرید. دوماً در مورد این ویروس باید از آنتی بدافزار استفاده نمایید نه آنتی ویروس معمولی. سوماً شما با ایمیل آلوده شده اید و ویروس هنوز روی یکی از کلاینتهای شما قرار دارد. سرور شما در معرض خطر جدی قرار دارد، مراقب باشید. جواب سوال دوم: ویروس wallet متن باجگیری را بصورت فایل متن کوتاه دارد، برای دانستن مبلغ باج باید به ایمیلی که روی اسم تمام فایلهای شما نوشته شده است ایمیل بفرستید. ایشان (باجگیر) مبلغ باج را اعلام می کنند. جواب سوال سوم: بله، اما نه به این زودیهاو

پنجشنبه, ۱۹ اسفند ۱۳۹۵

ن

سلام فایل های من به این صورت در اومده QS5gn3RpPQG4T0cP.orgasm how to restore files.hta میشه کمک کنید؟ سورسش با globe2 امتحان کردم گفت با globe3 امتحان کنید با globe3 اخطار میده key not found ممنون

چهارشنبه, ۲ فروردین ۱۳۹۶

م

سلام این ویروس نوع جدیدی از خانواده globe می‌باشد که رمز آن قوی‌تر شده است. در حال حاضر رمزگشایی برای این نسخه جدید ساخته نشده است. با توجه به اینکه رمزگشای globe ساخته شده است، باید امیدوار باشیم که برای این نوع هم رمزگشا ساخته شود بنابراین بهتر است منتظر بمانید.

دوشنبه, ۷ فروردین ۱۳۹۶

ن

سلام تمام فایلای سیستم سرور2012 ما پسوندشون شده:.decrypr_helper@freemail_h و بعد هم فایلی در هر پوشه هست که همون پسوندhta را داره و وقتی بازش کردم متن زیر رو داره: Your documents, photos, databases, programs and other important data was encrypted. Data recovery is required decryptor. To get decryption contact to us via bitmsg.me Register an account with bitmsg.me Generate your address and contact us at: BM-2cSrAzKfzrKA3gxzXihes6aQ3hz8vSQPmK Send us your personal ID (at top). In the response message you receive the price of the decryptor. Transfer money to this account bitcoin: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj Send us the exact time of money transfer. In reply You will receive a unique decryptor. Download it. Run the decryptor program. All your files will be restored within 3 minutes. If you have no Bitcoin wallet Create a walletBitcoin: https://blockchain.info/wallet/ Get cryptocurrency Bitcoin: http://bestchange.com اقای عارفی میتونید راهنماییم کنید و بگید کدوم ویروسو گرفته؟ و ایا راهی براش هست یا نه؟ من چندتا فایل مهم داشتم اینجا ممنون

دوشنبه, ۱۴ فروردین ۱۳۹۶

م

سلام با شما بصورت تلفنی صحبت کردم. نوع جدید nemesis هستش که هنوز راحل حلی ندارد.

پنجشنبه, ۱۷ فروردین ۱۳۹۶

ن

سلام سیستم من آلوده به ویروس cerber4 شده خواهش میکنم اگه راهی وجود داره بگید تمام اطلاعاتم پریده.هم هاردم.هم 300 گیگ اطلاعات هارد اکسترنالم دارم دیوونه میشم نمیدونم چیکار کنم میشه کمک کنید

یکشنبه, ۲۷ فروردین ۱۳۹۶

م

سلام در مورد ویروس سربر، در حال حاضر به جز پرداخت باج راهی نیست. اگر امکان پرداخت باج را که در مورد این ویروس بین ۲.۵ میلیون تومان تا ۴.۵ میلیون تومان است را ندارید باید صبر کنید و منتظر بمانید تا رمزگشای رایگان آن ساخت شود. برای بیش 20 نفر پرداخت داشته ام که بعد از پرداخت تمام اطلاعات به روز اول برگشته است.

سه شنبه, ۲۹ فروردین ۱۳۹۶

ن

سلام سیستم الوده شده و پسوند فایل ها 8426است چ نوع ویروسی هست؟؟ ممنون ایا راهی هست واسه درست کردنش؟

شنبه, ۲ اردیبهشت ۱۳۹۶

م

سلام احتمالاً نوع جدید ویروس سربر هست ولی برای مشخص شدن دقیق نوع ویروس، یک یا دو فایل از فایل‌های آلوده و یا متن باجگیری را در یکی از دو صفحه زیر وارد نمایید: Crypto Sheriff from No More Ransom ID Ransomware from MalwareHunter Team

سه شنبه, ۵ اردیبهشت ۱۳۹۶

ن

سلام آیا این ویروس در حالت safe mode هم اگر بخواهیم فایلی را روی فلش کپی کنیم، منتقل میشه یا نه؟ اگه در حالت معمولی مثلا بخواهیم یک فایل word رو از طریق تلگرام دسکتاپ به شخص دیگه‌ای منتقل کنیم، باز هم این ویروس منتقل میشه یا خیر؟ با تشکر

یکشنبه, ۱۰ اردیبهشت ۱۳۹۶

م

سلام خیر از طریق وصل شدن فلش منتقل نمی شود، ولی اطلاعات داخل فلش را سریعاً رمز میکند. بله ممکن است با انتقال یک فایل word از طریق تلگرام دسکتاپ کامپیوتر دیگری هم آلوده شود، مخصوصاً فایل word اصلی که توسط ایمیل دریافت کرده اید و کامپیوتر شما را آلوده کرده است.

یکشنبه, ۱۰ اردیبهشت ۱۳۹۶

ن

سلام لب تاپ منم تقریبا از اذر ماه دچار باج گیر سربر شده میخواستم بدونم اکه لب تاپ رو فرمت کنم که تمامی اطلاعات پاک شه باز هم احتمالش هست که در صورت استفاده دچار باجگیر شه؟ اصلا با فرمت لب تاپ من باز قابلیت استفاده رو پیدا میکنه؟

دوشنبه, ۱۱ اردیبهشت ۱۳۹۶

م

سلام با فرمت کردن (پاک کردن اطلاعات) و نصب دوباره ویندوز، کامپیوتر شما پاک خواهد بود. شما باید مراقب ایمیل ها باشید و دوباره هر ایمیلی را باز نکنید.

جمعه, ۱۵ اردیبهشت ۱۳۹۶

ن

سلام تست کردم ولی مشخص نشد راه دیگه ای نیست؟

دوشنبه, ۱۸ اردیبهشت ۱۳۹۶

م

سلام یکی از فایلهای کوچک خود را به آدرس ali.arefi[at]antivirus.ir ایمیل کنید تا بررسی کنم.

شنبه, ۲۳ اردیبهشت ۱۳۹۶

ن

سلام لب تاپ من یه مدتی هست گاها فن هاش با صدای بلند شروع بکار میکنن و درایو C هم گاهی حافظه ش پر میشه و گاهی اون حافظه پر شده برمیگرده می خواستم بپرسم احتمالش هست به این ویروس آلوده شده باشه؟ و اگه اینطوره چطور میتونم فایل هامو نجات بدم؟

شنبه, ۲۳ اردیبهشت ۱۳۹۶

م

سلام ممکن ولی در این حالت خیلی کم اتفاق می‌افتد معمولاً همان دفعه اول کار تمام میشود و دیگر به اطلاعات خود دسترسی ندارید. در مورد شما پیشگیری بهتر است و مهمترین کار گرفتن پشتیبان از اطلاعات مهم روی DVD می‌باشد.

شنبه, ۲۳ اردیبهشت ۱۳۹۶

ن

سلام به تازگی کامپیوتر من خود به خود خاموش میشه آخرین بار هم موقع خاموش شدن یه صدایی داد(همون صدایی که موقع روشن کردن میدن همه کامپیوتر ها بیییپ) سیستم عامل کاملا آپدیت هستش و آنای ویروسم هم آپدیته.(نود ۳۲ ورژن ۴ نوشتهmaximum protectionکه یعنی کاملا درسته)کامپیوتر رو هم اسکن کردم ویروس پیدا نکرد.ولی خاموش میشه هی کامپیوتر و موقع روشن شدن هم یه کم تاخیر داره.مشکل چیه و باید چی کار کنم؟؟کمک کنید خواهشا

سه شنبه, ۲۶ اردیبهشت ۱۳۹۶

م

سلام ممکن است مشکل خاموش شدن کامپیوتر شما مربوط به سخت افزار مخصوصاً مربوط به «منبع تغذیه» باشد. لطفاً آنرا بررسی نمایید. گاهی اوقات هم بخاطر رفتن برق هارد دستگاه آسیب می‌بیند (بد سکتور) که باعث کند شدن یا خاموش شدن بی‌مورد می‌شود.

سه شنبه, ۲۶ اردیبهشت ۱۳۹۶

ن

با سلام به شما عزیزان گرامی . بنده حدود 2 سال پیش ویندوز لب تاب ام را به خاطر هنگ کردن اش عوض و به (windows 8) تغییر دادم . این موضوع به تدریج بدتر شد و به جایی رسید که لب تاب خیلی زیاد داغ و هنگ می کرد.با اینکه فن جانبی برای خنک کردن اش برایش خریدم ولی باز همین مشکل وجود داشت.شما در مقاله نوشته بودید که اگر دستگاه میزان زیادی از (CPU) را به کار بگیرد ممکن است الوده باشید برای همین عید ویندوز اش را عوض کردم فکر کنم (8.1windwos)باشه . مشکل برطرف شد اما حالا یه مشکل دلرم چند وقتیه که یک فایل یا پسوند(Global Errors) روی صحفه امده .تا حالا 2 تا رو دسکتاپ قرار داره آیا ویروسه؟

سه شنبه, ۲ خرداد ۱۳۹۶

م

سلام . در مورد آنتی باجگیر کاملا ایرانی که در برنامه تلویزیونی راجع به آن صحبت شد اگه امکانش هست توضیح بدید. ممنون میشم.

چهارشنبه, ۳ خرداد ۱۳۹۶

م

سلام خیر، این فایل(ها) مربوط به یکی از برنامه های نصب شده در کامپیوتر شما هست که در موقع اجرا دچار مشکل می‌شود و پیغام مربوط به مشکل خود را در چنین فایلی ذخیره میکند.

شنبه, ۶ خرداد ۱۳۹۶

ن

سلام آنتی ویروس ایرانی پاویش یک ابزار جدید بنام ضد بدافزار تولید کرده است که در بسیاری از موارد موفق عمل میکند. بزودی درباره آن مطلبی خواهیم نوشت

شنبه, ۶ خرداد ۱۳۹۶

ن

سلام خسته نباشید من لپ تاپ دو تا درایو داره یه فلش که قبلا به یه مغازه کامپیوتری برا گرفتن پرینت زده بودم به کامپیوترم زدم فلش قبل اینکه باز کنم فرمت کردم یه دونه عکس که از گوشی م بیرون آوردم ارسال کردم داخل فلش بعد فلش باز کردم یهو فلش پر شد و میزان نشان دهنده حجم قرمز بعد به حالت عادی برگشت و همون لحظه محتوا درایو دی dکامل پاک شد اما درایو سی cآسیب ندیده این چه مدلی از این ویروس؟ و اینکه گوشی م ویروس داره؟ چی کار باید کنم ؟ اگه ویروس از گوشی مه چی کار باید کنم ؟ گوشیم چند روز پیش داشتم پی دی اف دانلود میکردم پنج تا دانلود شد یهو هنگ کرد خاموش روشن کردم میرفت رو حالت لوگو هی میبره میرفت جلوتر نمیرفت بعد سیم کارت در اوردم باطری درآوردم دوباره باتری گذاشتم گوشی بالا اومد محتوا گوشیم تو لپ تاپ همون شب منتقل کردم اما پیام خطایی نداد لپ تاپ اون موقع نه چیزی پاک شد نه مشکلی پیدا کرد دو روز بعد فلش زدم به لپ تاپ و گوشی مو وصل کردم یهو اون طور شد

شنبه, ۶ خرداد ۱۳۹۶

م

سلام ویروسی نداریم که باعث چنین اتفاقی بشود. احتمالاً فلش شما موقع درآمدن از دستگاه کامپیوتر پرینت گیرنده بی موقع خارج شده است و وفتی آنرا به دستگاه خود وصل کرده اید تقاضای فرمت کردن آنرا داده و شما اشتباهاً درایو d خود را فرمت کرده اید. (پر بودن یا خالی شدن ناگهانی نشانه آن هست) در مورد گوشی ممکن است پر بودن ظرفیت حافظه آن یا حافظه RAM آن مسائلی این چنین را پیش بیاورند. گوشی شما وقتی به کامپیوتر وصل شود مثل یک حافظه فلش کار میکند، شاید فقط عامل انتقال باشد اگر نه نمی تواند کامپیوتر شما را آلوده کند.

سه شنبه, ۹ خرداد ۱۳۹۶

ن

سلام، دستگاه بنده به CERBER RANSOMWARE آلوده شده است. پسوند فایلها به be79 تبدیل شده، آیا راهی برای بازگرداندن فایلها وجود دارد؟؟

سه شنبه, ۲۳ خرداد ۱۳۹۶

م

سلام راهی برای برگرداندن فایلهای رمزگذاری شده هنوز بدست نیامده است

چهارشنبه, ۲۴ خرداد ۱۳۹۶

م

سلام متاسفانه هنوز برای سربر 4 رمزگشایی ساخته نشده است.

پنجشنبه, ۲۵ خرداد ۱۳۹۶

ن

سلام متاسفانه هنوز برای سربر ۴ رمزگشایی ساخته نشده است.

پنجشنبه, ۲۵ خرداد ۱۳۹۶

ن