نویسنده: علی عارفی
نوشته شده در: ۶ مهر ۱۳۹۵ | به روزرسانی در: ۲۸ دی ۱۳۹۶
توجه مهم: درباره حمله سایبری ویروس باجگیر جدید که به تازگی شیوع پیدا کردهاست به مطلب تهاجم گسترده ویروس باجگیر « واناکرای WannaCry » در بخش مقالات همین سایت مراجعه نمایید و به توصیههای داده شده عمل نمایید.
( *** بعد از مطالعه این مطلب حتماً مقاله بعدی را با عنوان ویروس باج گیر « سربر ۴ Cerber » بخوانید ***)
ویروس « سربر » نظیر ویروس « لاکی » در دستهبندی نرمافزارهای «باج گیر» قرار میگیرد. این ویروس فایلهای شخصی موجود در کامپیوتر قربانی را با الگوریتم RSA-2048 رمزنگاری و غیرقابل استفاده مینماید. به فایلهای رمزنگاری شده پسوند .cerber3 اضافه شده و اسم فایل به حروف تصادفی (ده حرفی) تغییر میکند. مثلاً فایل عکسی به نام arefi.jpg به « G0S-4kha_j.cerber3 » تغییر میکند. این ویروس با نشان دادن اطلاعاتی روی صفحه اصلی ویندوز تقاضای پرداخت باج به مبلغ ۰.۷۱۵۴ بیتکوین (معادل ۵۰۰ دلار یا ۱.۵ میلیون تومان) مینماید همچنین به قربانی تذکر میدهد که اگر طی ۹۶ ساعت مبلغ باج پرداخت نشود، مبلغ باج به دوبرابر مبلغ فعلی افزایش خواهد یافت.
نحوه نفوذ سربر ۳
سربر ۳ با سه روش زیر به کامپیوتر قربانی نفوذ میکند:
الف- آگهیهای تبلیغاتی که بصورت جذاب طراحی شده و با یک کلیک بر روی آنها ویروس را به دستگاه قربانی میفرستند.
ب- دانلود برنامههای کرک شده که همراه برنامه اصلی ویروس هم به دستگاه قربانی وارد میشود.
ج- ایمیلهای ناشناس، تبلیغاتی و هرزنامهها که در مورد سربر ۳ معمولاً ضمیمه آنها شامل فایل «ورد word» و یا «pdf» است که با دانلود و اجرای آنها، ماکروی آنها باعث دانلود ویروس اصلی و آلوده شدن کامپیوتر قربانی میشود.
د- فایلهای به اشتراک گذاشته در شبکه که با آلوده شدن آنها، دیگر کامپیوتر ها هم آلوده میشوند.
سربر ۳ فایلهای مهم حاوی اطلاعات را هدف قرار میدهد تا قربانی مجبور به پرداخت باج درخواستی شود. البته این ویروس ابتدا کشور قربانی را از تنظیمات کامپیوتر قربانی تشخیص میدهد و اگر کشور ارمنستان، آذربایجان، بلاروس، گرجستان، قرقیزستان، قزاقستان، مولداوی، روسیه، ترکمنستان، تاجیکستان، اوکراین یا ازبکستان باشد، خود را پاک میکند و فایلهای این محدوده از کشورها را رمزنگاری نمیکند.
نحوه خرابکاری ویروس سربر ۳
این ویروس به محض آلوده شدن کامپیوتری در محدود خارج از کشورهای یادشده بالا، خودش را در پوشه %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ کپی کرده و نام خود را بصورت تصادفی با نام یکی از برنامههای اجرایی ویندوز مثلاً autochk.exe تغییر میدهد. سپس با دستکاری تنظیمات ویندور باعث بوت شدن اتوماتیک ویندوز به حالت «سیف مد (Safe Mode)» میشود. در حالت «سیف مد» خود را بعنوان «محافظ صفحه» به سیستم تحمیل میکند. بعد با خاموش و روشن کردن سیستم شروع به دستکاری اطلاعات فایلهای شخصی قربانی میکند. ویروس سربر «سه فایل نوشتاری» روی صفحه اصلی ویندوز (دسکتاپ) و داخل پوشههای آلوده، با نامهای زیر قرارمیدهد و در آن آلوده شدن و رمزشدن فایلهای قربانی و دستورالعمل پرداخت باج را برای بازگرداندن اطلاعات توضیح میدهد.
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs
در آخرین خط هر یک از سه فایل بالا جملهای به لاتین نوشته شده است که عبارت است از: Quod me non necat me fortiorem facit که ترجمه آن میشود «چیزی که مرا نمیکشد، من را قویتر میکند» البته این ترجمه من نویسنده است ولی به نظرم حرصدرآور است. ویروس سربر ۳ با شما صحبت هم میکند، اگر فایل # DECRYPT MY FILES #.vbs را اجرا نمایید متن باج گیری را برای شما به انگلیسی خوانده میشود!
هدف اصلی این ویروس رمزکردن محتوای فایلهای مهم و شخصی قربانی است، بطوری که فایلها او غیرقابل استفاده گردند و مجبور به پرداخت باج شود. برخی از فایلهای متنی، تصویری و صوتی که توسط ویروس سربر ۳ مورد حمله قرار میگیرند عبارتند از:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
متاسفانه در حال حاضر هیچ راهی جز پرداخت مبلغ باج برای بازگردان اطلاعات فایلهای دستکاری و رمز شده به حالت اولیه وجود ندارد، و بدتر اینکه بابت هر دستگاه جداگانه باید مبلغ باج پرداخت شود. البته توسط دوستان چندین برنامه مدعی «رمزگشایی کننده فایلهای آلوده به سربر ۳» ارسال شده است که متاسفانه هنوز نتوانستم هیچ فایل رمز شدهایی را توسط آنها به حالت اولیه برگردانم، در صورت نیاز به این فایلهای رمزگشا به آدرس ali.arefi@antivirus.ir ایمیلی با عنوان «help for «cerber 3 بفرستید تا آنها را برایتان ارسال نمایم، شاید برای شما کارساز باشد. توجه کنید حتماً بخش spam یا junk حساب ایمیل خود را چک کنید، چون ممکن است جواب ارسالی بنده در آنها قرار گیرد.
درصورت پیدا شدن راه معتبر و امتحان شده، حتما در همین جا آنرا به اطلاع شما خواهم رساند.
نکته اینکه بسیاری از کسانی که آلوده شدهاند توانستهاند فایلهای بزرگ فیلم، موسیقی و در برخی موارد عکس را با عوض کردن پسوند cerber3 به پسوند اصلی (مثلاً mp4) به حالت اولیه برگردانند، به عبارتی ویروس فقط پسوند فایلهای بزرگ را عوض میکند! بنابراین بهتر است این راه را امتحان کنید.
خربکاری فایلهای شبکه توسط ویروس سربر ۳
ویروس سربر ۳ توانایی دستکاری و رمزکردن فایلهای قابل دسترسی در شبکه خانگی و شرکتی را دارد. اگر سطح دسترسی به پوشهها و فایلهای به اشتراک گذاشته شده درشبکه «نوشتن» هم باشد حتماً آنها را دستکاری و رمزنگاری میکند.
نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروسها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتیویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. از بازکردن ایمیلهای تبلیغاتی یا ایمیلهای با آدرس ناآشنا بپرهیزید. درضمن باید خطرهای ناشی از فعال بودن ماکروها را در مجموعه برنامههای آفیس، نظیر ورد و اکسل خوب بشناسید، چرا که تنها با باز کردن یک فایل word ممکن است علاوه بر از بین رفتن تمام اطلاعات خود، اطلاعات دیگر کامپیوترهای متصل به شبکه را نیز از بین ببرید. متأسفانه در حال حاضر به غیر از داشتن نسخه پشتیبان از اطلاعات، هیچ راهی برای بازگرداندن اطلاعات وجود ندارد. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه میکنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به ویروس سربر اولاً بتوانید فایلهای خود را بازیابی نمایید و دوماً تیم مرجع آنتی ویروس ایران امکان مقایسه حداقل یک فایل سالم و فایل آلوده معادل آنرا داشته باشد تا بر اساس مقایسه آنها امکان شکستن رمز RSA-2048 داشته باشد.
از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.
علی عارفی
انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.
مدوشنبه, ۱۲ مهر ۱۳۹۵
سلام من چند تا عکس که مورد حمله قرار گرفته اند رو موبایلم دارم ولی با تغییر نام معلوم نیست فایل خراب شده کدوم هست وگرنه بهتون می دادم تا مقایسه بفرمایید
مسه شنبه, ۱۳ مهر ۱۳۹۵
با سلام دوستان. ی راه حل توووووووووپ ( روی عکسا زیاد جواب نمیده ولی روی فیلم و اهنگ تقریبا خوبه ). روی فایل خراب شده ( مثلا ی اهنگ ) کلیک راست کنید و Rename را بزنید یا میتونید دوبار با فاصله زمانی کلیک کنید که بتونید اسم رو تغییر دهید. سپس بدون اینکه اسم را عوض کنید، اخر فایل ( که اینجا اهنگ مثال زده شد ) .mp4 (دات ام پی فور ) بزارید و بر روی یس کلیک کنید. برای فیلم ها هم بستگی به پسوند اولیه برای مثال .mp4 بزارید.
مسه شنبه, ۱۳ مهر ۱۳۹۵
با تشکر از لطف شما دوست عزیز و گرامی
مپنجشنبه, ۱۵ مهر ۱۳۹۵
با سلام و منون بابت اطلاعات مفیدتون یه سوال اگر بتونیم آپی خودمونو به یکی از این کشورها تغییر بدیم این ویروس پاک نمیشه؟
نجمعه, ۱۶ مهر ۱۳۹۵
متاسفانه خیر، اگر قبل از آلوده شدن به یکی از کشورهای اعلام شده «تغییر ناحیه» داده باشید ویروس شما را آلوده نمیکند. اما بعد از آلوده شدن «تغییر ناحیه» هیچ اثری ندارد.
نجمعه, ۱۶ مهر ۱۳۹۵
خواهش میکنم این وظیفه ما است. اگر شما هم به دیگران توصیه کنید فایلهایشان را روی DVD یا CD کپی کنند، به آنها لطف بزرگی کردهاید.
نجمعه, ۱۶ مهر ۱۳۹۵
سلام، مشکلی نیست، فعلاً آنها را نگهداری نمایید، بزودی رمزگشای آن عرضه خواهد شد.
مشنبه, ۲۴ مهر ۱۳۹۵
اگر ویندوز رو restore کنیم باز هم نمیشه فایل هارو برگردوند؟
نیکشنبه, ۲۵ مهر ۱۳۹۵
متاسفانه این ویروس system restore را خاموش و پشتیبانهای آنرا هم پاک میکند. حتی پشتیبان Shadow را نیز پاک میکند. سعی کنید پسوند فایلها به حالت اولیه برگردانید این ویروس خیلی وقتها فایلهای بزرگ را رمز نمیکند به عبارتی فقط اسم فایلهای را عوض میکند. سعی کنید برخی از فایلها را با برنامه های ریکاوری مثل GetDataBack یا R-Studio بازگردانی نمایید.
میکشنبه, ۲ آبان ۱۳۹۵
سلام دوستان راه حلی پیدا نشد؟
مسه شنبه, ۱۱ آبان ۱۳۹۵
سلام ، دوستان من پول رو پرداخت كردم واسه سربر ، ورژن ٤ نرمافزار رو هم دادن، ولي تو اجراش مشكل دارم ، Tor browser رو هم نصب كردم اما متاسفانه اجراش كامل نميشه، چيكا ركنم
نسه شنبه, ۱۱ آبان ۱۳۹۵
متاسفانه خیر.
نسه شنبه, ۱۱ آبان ۱۳۹۵
این برنامه نیاز به اتصال به سرورهای باجگیرندگان دارند که در کشور ما فیلتر هستند. شما باید راهی برای گذر پیدا کنید. در ایمیل برایتان توضیح دادهام.
مچهارشنبه, ۱۲ آبان ۱۳۹۵
با سلام و خسته نباشید به تمام دوستان و اساتید محترم جدیدا با یه مشکلی برخوردکردم که عکس های عروسیمو ریختم تو هارد کامپیوتر ولی نمیدونم ویروسی شده یا چی که نام عکس ها تغییر یافته خودبخود و فرمتشون به cerber3. تغییر پیدا کرده هرکاری هم کردم عکسی نشون داده نمیشه فرمتشو تغییر دادم و حتی با نرم افزار خود ویندوز که عکسو باز میکنه هم امتحان کردم ولی باز هم جوایی نگرفتم خیلی ممنون میشم اساتید و بزرگان راهنماییم کنن. کل عکسای عروسیم به باد فنا رفتن
مپنجشنبه, ۱۳ آبان ۱۳۹۵
در گوشه بالا راست صفحه بخش Support براش پیغام بزار بعدر از حدود 4 ساعت بهت میگه که باید یک فایل زیر 500 کیلو بایت براش بفرستی و بخش چت گزینه آپلود اضافه میشه بعد از ارسال فایل حدود 4 ساعت بعد برات یک فایل کلید میفرسته فایل کلید رو بنداز کنار Decryptoy و عملیات رمز گشایی شروع میشه. وقتی سیستم آلوده میشه حتما از تمامی داده ها یک پشتیبان بگیرید و مطمئن شوید که "تمامی فایل های آلوده یک پسوند مشترک دارند" در هفته گذشته سیستمی داشتیم که 1200 باج پرداخت شد و پس از رمز کشایی متوجه شدیم که برخی فایل ها با اسامی صحیح ولیکن داده ناصحیح وجود دارند ؛ پس از بررسی بیشتر متوجه شدیم که برخی فایل ها احتمالا در یک بازه زمانی دیگر و با یک کلید متفاوت رمز شده بودند و به علت باگ در Decryptor با کلید اشتباه رمز گشایی شده بودند ؛ یعنی 2 باره رمز شدند به سبکی که خود سربر هم نمیتونست باز کنه !!!
مپنجشنبه, ۱۳ آبان ۱۳۹۵
با سلام و خسته نباشید.. من چن روز پیش موبایلم ک داشتم باهاش کار میکردم خود ب خود رفت واسه ریکاوری فون و تمام اطلاعات دیوایس و مموری رو پاک کرد.همه چیز خود ب خود صورت گرف و من اصلا نفهمیدم چی شد/ ب هر حال اطلاعات مموری رو برگردوندم ./ اما اطلاعات دیوایس رو فعلا ن/اگه نرم افزاری رو میشناسید برای ریکاوری اطلاعات دیوایس معرفی کنید ممنون و اینکه ب نظر شما چرا این اطفاق افتاد؟؟ هیچ فایلی رو باز نکردم فقط رفتم داخل کلش با تشکر ممنون
نپنجشنبه, ۱۳ آبان ۱۳۹۵
سلام کامپیوتر شما آلوده به ویروس سربر 3 شده است و فایلهای عکس شما رمزنگاری و غیر قابل استفاده شده اند. متاسفانه در حال حاضر امکان برگشت آنها به حالت اولیه بدون پرداخت باج به باجگیر امکان پذیر نیست. البته بخشی از عکسهای شما (حدود 5 تا 15 درصد) با برنامههای ریکاوری فایل به حالت اولیه باز خواهند گشت. پیشنهاد بنده اینست که هارددیسک جدیدی خریداری نمایید تا در آینده در صورتی که رمزگشای این ویروس ساخته شد، اطلاعات هارد قبلی را رمزگشایی و قابل استفاده نمایید.
مپنجشنبه, ۲۷ آبان ۱۳۹۵
سلام يك چيز جالب كه در مورد اين ويروس براي من اتفاق افتاد اينه كه فايلهايي كه پسوند دوحرفي دارند آلوده نشدند. مثلا فايلهاي ويديويي .ts
مپنجشنبه, ۱۱ آذر ۱۳۹۵
سلام دقیقا 2 ماهه که خواب و خوراک ندارم به خاطر این ویروس لعنتی،میخاستم بدونم تضمینی هست که اگه پول رو پرداخت کردیم فایل هامون همه برگردن ؟
نپنجشنبه, ۱۸ آذر ۱۳۹۵
سلام، تا کنون 15 مورد پرداخت باج برای ویروس سربر 4 انجام داده ایم که با درخواست مشتریان صورت گرفته است، به غیر از یک مورد در 14 مورد بقیه اطلاعات به حالت اولیه برگشته است. بنابراین جواب بله است.
مسه شنبه, ۲۳ آذر ۱۳۹۵
Cerber 3 چطور؟
نچهارشنبه, ۲۴ آذر ۱۳۹۵
سلام اولین پرداخت ما برای cerber3 بود، اگر الان قصد پرداخت وجه را دارید، از قسمت « support متن باجگیری» میتوانید با باجگیر ارتباط برقرار کنید، از او درباره نسخه سربر 3 بپرسید، به شما اجازه میدهد یک فایل را برای تست ارسال و رمزگشایی شده آنرا تحویل بگیرید. اگر فایل را گرفتید و درست بود میتوانید وجه باج را پرداخت کنید.
مشنبه, ۲۷ آذر ۱۳۹۵
سلام، لپ تاپ من مورد حمله این ویروس قرار گرفت و مچبور شدم ویندوزمو عوض کنم. اما قبل از این کار یه سری از اطلاعاتمو مثل متن پایان نامه (فایل ورد) برای خودم ایمیل کرده بودم. میخوام بدونم این اطلاعات آیا حاوی این ویروس هستند و اگر دانلودشون کنم ممکنه سیستمم دوباره آلوده بشه؟
نشنبه, ۲۷ آذر ۱۳۹۵
سلام، معمولاً خیر، فایلهای رمز شده شما قابلیت آلوده سازی ندارند ولی کلیک بر روی فایل «متن باجگیری» که کنار فایلهای شما هست، شما را به وب سایت باجگیر هدایت میکند و ممکن است شما را آلوده نماید. از آنجایی که این ویروس با ایمیل منتقل میشود، شما باید نگران ایمیلی باشید که کامپیوتر شما را آلوده کرده و ممکن است هنوز در صندوق پستی شما باشد.
میکشنبه, ۲۸ آذر ۱۳۹۵
ممنون از پاسختون درباره ویروس cerber4 هم همینطور هست؟
نیکشنبه, ۵ دی ۱۳۹۵
بله
میکشنبه, ۵ دی ۱۳۹۵
ایران که ارتباط بانکی نداره شما چطور پول پرداخت کردی ؟
نیکشنبه, ۵ دی ۱۳۹۵
سلام، بیت کوین از ایران قابل خریداری است فقط بعضی وقتها موجودی آن کم میشود و باید صبر نمود. تا کنون برای 21 نفر به اندازه مبلغ درخواستی باجگیر، بیت کوین خریداری و پرداخت کرده ام و در تمام موارد عملیات رمزگشایی موفقیت آمیز بوده است.
مچهارشنبه, ۸ دی ۱۳۹۵
سلام آیا اعتباری برای پرداخت هست،منظورم اینه که تا چه مدتی پس از آلوده شدن میتونیم با پرداخت باج فایل هارو برگردونیمبرگردونیم؟
نچهارشنبه, ۸ دی ۱۳۹۵
بستگی به نوع ویروس دارد. درباره سربر (Cerber 3, 4) تا 96 ساعت اول مبلغ باج عادی محاسبه میشود ولی بعد از آن 2 برابر محاسبه میگردد. بارها با طرف باجگیر سربر چونه زده ام! مبلغ را به حالت عادی برگردانده است یعنی شما تا چند ماه بعد میتوانید باج را بصورت عادی پرداخت نمایید. مبلغ ویروس سربر حدود 500 هزار تومان تا 1.5 میلیون تومان متغیر است. متاسفانه درباره ویروس شید (Shade) که با پسوند xtbl و wallet و dharma فایلها را رمزنگاری میکند اصلاً نمیشه چونه زد یا معطل کرد، و وقتی بفهمد اهل پول دادن نیستید دیگر جواب ایمیل شما را نمی دهد. بدبختانه مببلغ باج این ویروس در روز اول 3 بیت کوین (حدوداً معادل 9 میلیون تومان) و در روزهای بعد 5 بیت کوین (حدوداً معادل 15 میلیون تومان) می باشد.
مشنبه, ۱۱ دی ۱۳۹۵
با سلام خدمت اساتید محترم جدیدا سیستم من هم دچار بد افزار شده و تمامی پسوند فایلهام پسوند a73a شده ممنون میشم اگه من رو راهنمایی کنین البته این رو هم بگم که بعضی از فیلمها رو تونستم فقط اجرا کنم با نرم افزار kmp player ولی تو سیستمای دیگه نشون نمیده
مشنبه, ۱۱ دی ۱۳۹۵
متاسفانه کامپیوتر شما به ویروس سربر ۴ آلوده شده است و فایلهای شما رمزنگاری شده اند. در مورد فیلم ها بخاطر حجم بالا فقط قسمت کوچکی رمزنگاری میشود و برنام پخش کننده آنرا بصورت نویز در نظر می گیرد و از روی آن رد میشود ولی در مورد بقیه فایلها اینطوری نیست. در حال حاضر بجز پرداخت باج، راهی برای بازگشت اطلاعات شما نیست.
مچهارشنبه, ۲۲ دی ۱۳۹۵
سلام . سیستمم به cerber ransomware آلوده شده تموم درایورهام که اطلاعات مهم کاری توش بود قفل شده ولی فایل های روی دسکتاپ سالم هستند تموم نرم افزارهام کار میکنن ولی بک آپ های هلوم پاک شده و هلو هم اجرا نمیشه مشکل در ارتباط sql server میزنه و نوع فایل ها به B179 تغییر کرده و اسم فایل ها به صورت انگلیسی و اعداد شده حتی سیستم رو دادم شرکتی کلی روش کار کرد ولی نتونست مشکل رو برطرف کنه من واقعا تموم اطلاعاتم نابود شده چه راه حلی دارین ترو خدا کمکم کنین حاضرم هر کاری بکنم اگه مبلغ رو پرداخت کنم رمزگشا رو بهم میده؟ تا الان ده روزی میشه که سیستمم به این صورت شده
نپنجشنبه, ۲۳ دی ۱۳۹۵
سلام بله درصورت پرداخت باج، اطلاعات به روز اول برخواهد گشت، 23 نفر در مورد این ویروس به ما مراجعه کرده اند و همگی بعد از پرداخت باج، اطلاعاتشان به روز اول برگشته است. برنامه هلو بک آپ اتوماتیک دارد که معمولاً بعد از مدتی خودش آنها را پاک میکند، ابتدا سعی کنید با یک برنامه ریکاوری اگر ممکن باشد آن فایل ها را بازیابی کنید.
مپنجشنبه, ۲۳ دی ۱۳۹۵
ممنون از پاسخ شما ، بنده شهرستان هستم و تصمیم دارم که مبلغ رو پرداخت کنم شما چطور میتونین این کار رو برام انجام بدین؟
نیکشنبه, ۲۶ دی ۱۳۹۵
سلام خود شما نیز می توانید این کار را انجام دهید، باید انگلیسی بلد باشید و پول را به بیت کوین تبدیل نمایید، در صورتیکه بخواهید ما اینکار را برای شما انجام می دهیم. در صورت تمایل دستگاه خود را با تیپاکس یا پست به آدرس ما بفرستید. توجه داشته باشید فرد باجگیر دیر به دیر جواب می دهد و کل کار حدود 3 روز طول می کشد، و تا یک فایل را برای ما رمزگشایی ننماید، هیچ هزینه ای پرداخت نمی شود بعبارتی ما مطمئن میشویم که باجگیر کلید رمزگشایی دستگاه شما را دارد.
مدوشنبه, ۲۷ دی ۱۳۹۵
سلام. خسته نباشيد سيستم سرور كارخانه تمام فايل هاش .wallet شده و كل سيستم حسابداري از كار افتاده چه راه حلي ارايه ميديد هرچه سريعتر خيلي گرفتار شديم .... فوري فوري ... لطفا راه پيشنهاد بدين بم
نسه شنبه, ۲۸ دی ۱۳۹۵
سلام در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. تا کنون برای چند نفر کار پرداخت و رمزگشایی را انجام داده ایم. در صورت تمایل بعد از ظهرها تماس بگیرید.
مسه شنبه, ۲۸ دی ۱۳۹۵
سلام چند وقته یه ویروس تمام فابلهای منو تغییر داده و پسوندشون b955. هست روشی برای بازیابی هست؟ لطفا پاسخ میل شود
نچهارشنبه, ۲۹ دی ۱۳۹۵
سلام ویروس باجگیر سربر 4 است و برای آن هنوز رمزگشا ساخته نشده است، برای اطمینان می توانید متن باجگیری را بخوانید تا بنده مطمئن شوم. مبلغ باجش بین 500 هزار تومان تا 1.5 میلیون تومان می باشد.
مشنبه, ۹ بهمن ۱۳۹۵
salam , man in viruso gereftam , har kariam kardam axam nayumad , faghat axam vasam mohemme , chon karam akkasiye.chikar konam ? negaheshun daram? omidi hast??
نسه شنبه, ۱۲ بهمن ۱۳۹۵
سلام هنوز رمزگشایی برای ویروس باجگیر لاکی ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. با توجه به ساخت رمزگشا برای ویروس باجگیر globe میتوانید امیدوار باشید برای این ویروس هم رمزگشا ساخته شود ولی نه به این زودیها.
مدوشنبه, ۱۸ بهمن ۱۳۹۵
سلام تمام اطلاعات هارد یکی از دوستام به فورمت .a372 تغییر کرده. گرفته ویندوزم عوض کرده. میتونید راهنمایی کنید؟
مدوشنبه, ۱۸ بهمن ۱۳۹۵
سلام من فایلهای فیلمم رو به عکس با پسوند. jpg تبدیل کرده. چرا فایلهای من مث شما پسوند. Cerber3 نداره؟ هیچ پیشنهادی ندارید که من انجام بدم شاید درست شه؟ ?
مدوشنبه, ۱۸ بهمن ۱۳۹۵
سلام کسی در مورد ویروس باجگیر Cryptowall که همه فایل هارو با پسوند zepto قفل کرده اطلاعاتی داره؟؟؟
نسه شنبه, ۱۹ بهمن ۱۳۹۵
سلام متاسفانه ویروس باجگیر سربر 4 است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. قبلاً برای نسخه سربر 1 و نسخه 2 رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.
نسه شنبه, ۱۹ بهمن ۱۳۹۵
سلام پسوند فایلهای شما چیست اگر ترکیبی 4 حرفی می باشد که اعداد بین 1 تا 9 و حروف a تا f (یعنی اعدا هگزادسیمال) را دارد، ویروس باجگیر سربر نسخه ۴ است که هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج نیست. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.
نسه شنبه, ۱۹ بهمن ۱۳۹۵
سلام zepto پسوند یک نوع مشتق شده از ویروس لاکی است، برای اطلاعات بیشتر دنبال موارد زیر در اینترنت باشید: .locky .bart .zepto .perl .odin thor.
مجمعه, ۲۹ بهمن ۱۳۹۵
سلام میشه کمک من هم بکنین تا عکس هام باز بشه پ
نیکشنبه, ۱ اسفند ۱۳۹۵
سلام متاسفانه هنوز رمزگشایی برای آن ساخت نشده است بنابراین در حال حاضر راهی جز پرداخت باج برای برگشت فایلهای شما نیست. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.
مدوشنبه, ۹ اسفند ۱۳۹۵
سلام. وقت بخیر.سیستم من چندماه پیش به ویروس باجگیر سربر3 آلوده شد... طبق مطالبی ک قبلا خوندم همه میگفتن فقط صبر کنید و زمان لازم است. من کلی عکسو فایل های کاری دارم ک متاسفانه از دست دادمشون...میخواستم ببینم هنوز راه حلی پیدا شده یا نه؟؟ اصلا با وجود اینکه سربر4 هم امده دیگه کسی در پی حل این مشکل میره یا نه؟؟؟
نسه شنبه, ۱۰ اسفند ۱۳۹۵
سلام هنوز راهی کشف نشده است. معمولاً اول نسخه قدیمی تر باز می شود و سپس نسخه جدیدتر بنابراین امیدوار باشید.
مپنجشنبه, ۱۲ اسفند ۱۳۹۵
سلام منم یه همچین مشکلی داشتم فقط شانسم گفت بعضی عکس و فایل هام و رو کار گرفت فیلم های خیلی بالامو رمز گذاری نکرد ولی یه اشتباهی که کردم ویندوز عوض کردم بلافاصله تا دیدم این شکلی شدن و فایل های رمز نگاری رو فرمت کردم حالا به نظرتون راهی هست تا فایل هامو برگدونم؟!
مپنجشنبه, ۱۲ اسفند ۱۳۹۵
سلام بابت مطالب مفید سایت خیلی متشکرم در قسمت مرکز دانلود یک نرم افزار جهت رمزگشایی فایلهای سربر 3 گذاشتین لطفا طرز استفاده شو هم توضیح بدین خیلی ممنون
میکشنبه, ۱۵ اسفند ۱۳۹۵
سلام تمام فایلهای من قفل شد و پسوندش .wallet هستش و نوع ویروس که شناخت واز بین برد win32.filelocker.crysis. L trojan بود میخواستم ببینم راه حلی برای رمزگشایی فایلها پیدا شده یا خیر؟ مرسی
مسه شنبه, ۱۷ اسفند ۱۳۹۵
سلام از مطالب مفید سایت خوبتون متشکرم من از مرکز دانلود سایت رمزگشای ویروس سربر 3 رو دانلود کردم بعد از اجرا این پیغام رو میده The attempt to connect to the Tor anonymous network. Please wait....Failed بعد چندین بار retrying میاد و همون پیام Failed رو میاره سیستم به اینترنت وصله در ضمن Tor Browser رو هم رو سیستم نصب و فعال کردم میشه لطفا منو راهنمایی بفرمایین ممنون
نپنجشنبه, ۱۹ اسفند ۱۳۹۵
بله، شما میتوانید با استفاده از برنامه های ریکاوری اطلاعات سالم و رمز شده درایو فرمت شده خود برگردانید.
نپنجشنبه, ۱۹ اسفند ۱۳۹۵
سلام برنامه را دانلود نمایید قبل از استفاده از برنامه باید برنامه tor را اجرا کرده باشید تا اجازه دسترسی به سایت باجگیران را داشته باشید. دکمه start را بزنید شروع بکار میکند و اگر شانس داشته باشید، فایلهای رمز شده شما را بازگشایی می کند. البته یک کلید هم در جواب یکی از نظرات دوستان داده ام که اگر آنرا کنار برنامه اجرایی بگذارید از این کلید local استفاده می کند.
نپنجشنبه, ۱۹ اسفند ۱۳۹۵
در حال حاضر خیر، مگر اینکه مبلغ باج را بپردازید یا اینکه صبر کنید تا رمزگشای آن ساخته شود. قبلاً برای نسخه سربر ۱ و نسخه ۲ رمزگشا ساخته شده است و میتوان امیدوار باشید برای این نسخه سربر هم رمزگشا ساخته شود ولی نه به این زودیها.
نپنجشنبه, ۱۹ اسفند ۱۳۹۵
سلام به احتمال زیاد رمز فایلهای شما در سیستم باجگیر قابل دسترسی نیست یعنی شما باج را پرداخت نکرده اید بنابراین اجازه دسترسی به بخش بانک رمزهای آنها را ندارید. یک کلید در همین بخش نظرات گذاشته ام آنرا دنلود و کنار برنامه decrypt بگذارید شاید با فایلهای شما کار کند که در این حالت نیازی هم به tor نیست.
مشنبه, ۱۲ فروردین ۱۳۹۶
باسلام و وقت بخیر تقریبا 80 درصد اطلاعات سیستم من دچار این ویروس شده ... چکار باید کرد؟؟
نپنجشنبه, ۱۷ فروردین ۱۳۹۶
سلام در حال حاضر هیچ رمزگشایی برای آن ساخته نشده است و جز پرداخت باج راهی نیست. به تازگی شرکت Kaspersky اعلام کرده به موفقیتهای در مورد نسخه قدیمی تر آن رسیده است بنابراین میشود امیدوار بود که رمزگشای آن ساخته شود.
مجمعه, ۲۵ فروردین ۱۳۹۶
سلام و خسته نباشید متاسفانه تمام عکس و فیلم و سایر اطلاعات مهم من رمزگذاری شده و با پسوند no_more_ransom رمزگذاری شدند به نظر شما این کدوم نسخه از ویروس با این پسوند رمزگذاری می کند در ضمن در سایت یوتیوب چند مورد آموزش تصویری برای حذف و بازیابی اطلاعات گذاشته شده آیا کسی تا حالا از این روش های استفاده کرده؟
مدوشنبه, ۲۸ فروردین ۱۳۹۶
سلام. حدودا از تابستون پارسال من دچار این مشکل شدم و پسوند تمام فایلها cerber3 شده و حتی معلوم نیست عکس بودن یا فیلم و آهنگ! در کمتر از 24 ساعت ویندوز رو عوض کردیم و آنتی ویروس نود32 ارجینال نصب کردیم اما تغییری نکرد و تازه فهمیدم توی چه مصیبتی افتادم اما نکته ی عجیب در مورد من اینه که اون پیغام روی دسکتاپم نیومد اما همونطور که گفتین در هر پوشه 3 تا فایل read me هست که البته هیچکدوم رو باز نکردم... واقعا ناراحتم چون به فایلهام احتیاج دارم اما همیشه فکر میکنم بلاخره یه راه حلی براش پیدا میشه! امروز بعد از مدتها این رو سرچ کردم تا ببینم راه حلی هست یا نه و مطلب شما رو دیدم. لطفا اگه راهی هست راهنمایی کنید و جواب رو به ایمیلم بفرستید چون ممکنه دوباره پیداتون نکنم. ممنونم
نسه شنبه, ۲۹ فروردین ۱۳۹۶
سلام کامپیوتر شما آلوده به نوعی باجگیر از خانواده ترولدش (نظیر wallet یا dharma) شده اید.
نسه شنبه, ۲۹ فروردین ۱۳۹۶
سلام، برای نسخه سربر ۱ و سربر ۲ رمزگشا ساخته شده است ولی برای سربر ۳ به خاطر استفاده از رمزنگاری پیشرفته تر هنوز نتیجه ایی حاصل نشده است. در صورت آماده شدن هرگونه رمزگشا برای سربر ۳ حتماً در این سایت به اطلاع شما خواهیم رساند.
مچهارشنبه, ۶ اردیبهشت ۱۳۹۶
سلام. من از کجا میتونم بفهمم ویروس باجگیرم چ ورژنیه . دوما من یه بار ویندوز بعدش عوض کردم یعنی قابل بازگشت هست یا نه؟ سوما هزینش به تومن چقد میشه واسه پرداخت باج؟ ممنون میشم جوابمو بدید ?
مچهارشنبه, ۶ اردیبهشت ۱۳۹۶
سلام من هم فکر کنم همین ویروس رو گرفتم ولی فایل هایی که قفل شدن با پسوند stn ذخیره شدن همه و اسم فایل ها کاملا تغییر کرده انگار کسی روی کیبورد الکی زده باشه فقط حروف کنار هم هستند مثل daufpaseecimsoysaz حروف کاملا نا منظم و بی معنی ولی از روی حجم و اسم فولدر میدونم فایل های موزیک و فیلم اکثرا مورد حمله قرار گرفتن. خواهشا اگر میدونید چه ویروسی هست کمکم کنید چون آنتی ویروس نصب نمیشه و نگران فایل های باقیمانده هستم که هنوز سالم هستند.
نیکشنبه, ۱۰ اردیبهشت ۱۳۹۶
یک یا دو فایل از فایلهای آلوده و یا متن باجگیری را در یکی از دو صفحه زیر وارد نمایید: Crypto Sheriff from No More Ransom ID Ransomware from MalwareHunter Team اگر ویروس باجگیر شما سربر باشد، آدرسی دارید که آخرش به onion ختم شده است، باید آنرا در برنامه tor بزنید تا مبلغ تعیین شده بعنوان باج برای شما نمایش داده شود.
نیکشنبه, ۱۰ اردیبهشت ۱۳۹۶
سلام، شما به ویروس Satan گرفتار شده اید که پسوند فایلهایش stn میباشد. با کمی تحقیق در اینترنت میتوانید اطلاعات بیشتری درباره آن کسب نمایید.
مدوشنبه, ۲۵ اردیبهشت ۱۳۹۶
سلام من دنبال این ویروس هستم از شرکتم اومدم بیرون و دیگه دسترسی ندارم که بتونم سرورهای آلوده رو بردارم و ویروسو آنالیز کنم. نمونه ی ویروس رو دارید که دانلود کنم؟
نسه شنبه, ۲۶ اردیبهشت ۱۳۹۶
سلام، متاسفانه خیر ولی فایل رمز شده داریم که اگر بخواهید برایتان ارسال میگردد.
مپنجشنبه, ۴ خرداد ۱۳۹۶
با سلام فکر میکنم سیستم من هم آلوده شده مثلا فایلی به نام mylist.pdf به mylist.pdf-id3744112 تغییر کرده و با درست کردن اکستنشن فایل هم، نمیشه فایل ها رو باز کرد. توی متنش نوشته Cerber 5 واقعا راهی هست؟
نشنبه, ۶ خرداد ۱۳۹۶
سلام خیر، هنوز در مورد سربر نگارشهای 3 ، 4 و 5 امکان رمزگشایی رایگان وجود ندارد.
مسه شنبه, ۱۳ تیر ۱۳۹۶
سلام تمام فایل ها و عکس ها و ... بوسط بد افزار تغییر نام پیدا کردن و قابل شناسایی نیستند. مثلا به شکل obj2uhgs61.84bf به نظر شما کدوم بد افزار است و چکار باید کرد؟
نچهارشنبه, ۱۴ تیر ۱۳۹۶
سلام نسخه 4 (یا بالاتر) باجگیر سربر است که متاسفانه در حال حاضر هیچ راهی برای بازگشایی فایلهای رمز شده بغیر از پرداخت باج وجود ندارد. مبلغ باج هم خیلی بالا هست.
سه شنبه, ۲۲ خرداد ۱۳۹۷
با عرض سلام و خسته نباشید خدمت شما وسایت خوبتون میخواستم بدونم الان که در سال 97 هستیم هنوز راه حلی برای ویروس سربر3 منتشر نشده ممنون از سایتتون