تقييم الموضوع :
  • 4 أصوات - بمعدل 3
  • 1
  • 2
  • 3
  • 4
  • 5
Ransomware Help
#1
السلام عليكم
اصيب الكومبيوتر بفيروس الفدية من امتداد .verasto
هل يوجد هنا قسم مختص بهذه الفايروسات
مع الشكر
الرد
تم الشكر بواسطة: mribraqdbra
#2
انت في قسم  مختبر الفايروسات  وهو  القسم المختص
محلل الفيروسات Michael Gillespie حالياً يعمل على برنامج لفك تشفير هذه العائلة من برامج الفدية، اصدر مؤخراً برنامج
يقوم بفك التشفير الملفات المصابة بهذا النوع واخر اصدار له يمكنك تحميله من هنا
كود :
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

البرنامج يمكنه فك تشفير الملفات في حال فشل اتصال برنامج الفدية بالسيرفر وبالتالي سيعطيك OFFLINE KEY مما يعني انه يمكن
للبرنامج فك التشفير.
جرب البرنامج ورد لي خبر
سبحان الله وبحمده، سبحان الله العظيم
الرد
تم الشكر بواسطة: mribraqdbra
#3
شكرا لك اخي الكريم
انا متصل معهم في موقع bleepingcomputer.com 
وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
شكرا لك عزيز مرة اخرى
الرد
تم الشكر بواسطة: mribraqdbra
#4
إقتباس :انا متصل معهم في موقع bleepingcomputer.com 
لا تنسى اذا ان ترسل لهم المعلومات التي كتبها البرنامج  " STOPDecrypter-log.txt" في حال وجد المحلل طريقة لفك تشفير ملفاتك،
حاليا من يفشل البرنامج في فك تشفير ملفاته يفعل ذلك
إقتباس :وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
حسب كلام المحلل في bleepingcomputer  فيجب ان لا يكون الحاسوب المصاب متصل بالانترنت او فشل الاتصال بالسيرفر
الخاص بالهكر بعد ان تم تشفير الملفات، فاذا فشل الاتصال يمكنك فك التشفير واذا نجح الاتصال بالسيرفر فهنا المشكلة
ساشرح الامر في التعلق التالي لماذا الامر صعب سواء علينا او حتى على المحللين المحترفين.
كود :
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
بعد اطلاعي على هذا النوع من الفيروسات وبعض انواع التشفير فالمشكلة معقدة، ساشرح لما هذا النوع يمكن لبرنامج
STOPDecrypter ان يفك التشفير في في بعض الحالات ولا يمكنه في حالات اخرى.
المشكلة مع هذه الفيروسات انها تستخدم تشفير asymmetric encryption وهي طريقة معتمد عليها
وتستخدم على نطاق واسع وامنه، بحيث يقوم فيروس الفدية بصنع مفتاحي RSA key  ويقوم بتشفير ملفاتك بالـ public key
ويقوم بارسال الـ private key الى السيرفر لكي يخزن وبعدها يحذفة من الجهاز، وفي هذه الطريقة يوجد خطأ قاتل مما يعني
في حال فشل فيروس الفدية بالاتصال بالانترنت او في حال كان السيرفر متوقف عن العمل فـ فيروس الفدية اما يقوم يقوم بحذف الـ private key بدون ارسالة الى السيرفر
وهذا يعني انه من المستحيل فك تشفير الملفات بعدها او يقوم بحفظ الـ private key الى الهارد، وفي حالة حفظ الـ private key الى القرص الصلب يمكن لمحلل الفيرسات
ان يفك تشفير الملفات لانه يمكنه الحصل على الـ private key لذلك شرط نجاح برنامج STOPDecrypter هو فشل اتصال فيروس الفدية بالنت او بالسيرفر لكي لا يرسل
الـ private key الى السيرفر وبالتالي يفشل STOPDecrypter في فك التشفير.

تشفير RSA encryption : تقنية تشفير تستخدم على نطاق واسع وتعتمد على الخوارزمية الرياضية وتستخدم كلا من المفاتيح العامة والخاصة للتشفير/فك التشفير
(تم تسميتها على اسم مخترعيها الثلاثة).
لذلك لكي يمكن فك التشفير يوجد طريقتين:
1- في حالة قام الهكر ببرمجة RSA encryption ولم ييملك الخبرة الكافية بحيث لا يمكن تلافي الاخطاء البرمجية بحيث يجد المحلل خطأ برمجي بخوارزمية التشفير وبعدها يمكن له فك التشفير.
2- او فشل ارسال الـ private key ولم يكن هذا الـ private key مشفر ( لانهة حاليا تعتمد هذه الفيروسات تقنية هجينة hybrid encryption بحيث يتم تشفير الـ private key في حالة فشل الاتصال) او محذوف (يعني لا يمكن فك التشفير حتى من قبل الهكر نفسة).

اما اذا قام ببرمجة RSA encryption بدون اخطاء و نجح في ارسال private key  الى السيرفر ودمرة من الجهاز او شفره فاقول لك لا يمكن لنا كمهندسيين عكسيين او حتى الخبراء من ايجاد حل لك، لان خوارزية RSA encryption معتمد عليها عالمياً وامنه وقام بالاطلاع عليها علماء التشفير والرياضيات.
سبحان الله وبحمده، سبحان الله العظيم
الرد
تم الشكر بواسطة: mribraqdbra
#5
.STOP extension
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat

Unique ID
(1) 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0
(2) D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB
(3) TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1
(4) cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1
(5) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1
(6) upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1
(7) neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1
(8) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1
(9) rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1
(10) AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1
(11) abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1
(12) dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
(13) sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1

STOP Decryptor Tool

كود :
https://download.bleepingcomputer.com/dem…/STOPDecrypter.zip 
الرد
تم الشكر بواسطة:


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم