تجربتي مع فيروس الفدية واسترجاع ملفاتي

[Salamstar]

ربما لاحظ الزملاء القدامى قلة نشاطي في المنتدى في الفترة الأخيرة حيث أصاب جهازي فيروس الفدية اللعين الذي تسبب بتشفير كافة ملفاتي وتقييد عملي على الجهاز بعد أصبحت اللاحقة الخاصة بكافة الملفات على القرص هي (TXJCWPRDR) و بعد البحث والاستفسار استطعت بفضل الله استرجاع الملفات بشكل كلمل عن طريق تنزيل أداة لفك التشفير تم تطويرها من شركة كاسبر سكاي (kaspersky)  التي اتاحت  بتطويرعدة برمجيات مجانية لفك تشفير الملفات التي يقوم فيروس الفدية بتشفيرها


   
ولكن للأسف ظل الفيروس يلاحق جهازي ويقوم بالتشفير لذلك اضطررت إلى أخذ نسخة من ملفاتي الهامة على قرص خارجي وعمل فرمتة للابتوب وتنظيفه تماما من الفيروس
ولكن المهم انني استطعت استعادة ملفاتي الهامة التي تحتوي على كثير من النصوص الهامة وكلمات سر وصور لها ذكريات عندي . لذلك وجدت انه من الهام أن أشرح طريقة استرجاع الملفات لعلها تكون مفيدة  لمن يواجه مثل هذه المشكلة ويفقد ملفات في غاية الأهمية

ولتحميل الأداة المناسبة يجب الدخول إلى الموقع  التالي
https://noransom.kaspersky.com/?fbclid=IwAR3jtzyR78y8kDmICCU6J2qtu6Wjlbuga3Umbuztk7vL60eRBmZ8F_Ld530
ومن ثم تجريب البرامج الموجودة فيه واحد واحد حتى نجد البرنامج الذي يمكنه فك تشفير الملفات بحسب اللاحقة التي تمت إصابة الملفات بها ومن الممكن البحث حسب اللاحقة عن البرمجية المناسبة



بالنسبة لي نجح الأمر من المحاولة الثانية وتم فك التشفير بواسطة الأداة (Rakhni Decryptor) حيث بعد تشغيل البرنامج نختار القرص المراد فحصه و انتظار فترة لإجراء الفحص وفك التشفير حيث استغرقت عندي العملية ثلاث ساعات واستعدت الملفات بنجاح
ارجو أن اكون قد استطعت ان أقدم لكم الفائدة في الموضوع

[1714802571]

1714802571

[1714802571]

1714802571

[1714802571]

1714802571

[1714802571]

1714802571

[Ya3rob]

كثرت هذه الحوادث مؤخرا باصابة اجهزة العديد من المستخدمين للعملات الرقمية بهذا الفايروس
لا ادري كيف يتم تحديد المستخدم بانه من هواة العملات الرقمية او كيف يستطيع الهاكرز ادخال الفايروس لجهاز الضحية ، مع الاسف ليس لدي خبرة بهذا الامور
ولكن من الجيد سماع اخبار تخلصك من هذا الفايروس واهلا بك في المنتدى مرة اخرى

[khaled0111]

شكرا لمشاركة تجربتك و تنبيه بقية الأعضاء من هذا الفيروس الذي بدا ينتشر بشكل كبير و لشرح كيفية التخلص منه 

المشكلة ان هناك عديد الانواع منه و بعضها لا يوجد طريقة للتخلص منها و استرجاع الملفات. لحسن حظك النسخة التي اصابت جهازك نسخة ربما قديمة.

هل تتذكر كيف تم اصابة جهازك؟ هل قمت بتحميل برنامج معين؟

لا ادري كيف يتم تحديد المستخدم بانه من هواة العملات الرقمية او كيف يستطيع الهاكرز ادخال الفايروس لجهاز الضحية

على الاغلب يتم استعمال برامج مزورة او ملغمة تكون لها علاقة بالشريحة المستهدفة.
مثلا في هذه الحالة يتم نشر روابط لتحميل الفيروس على اساس انه محفظة او تطبيق لتتبع اسعار العملات... من الطبيعي ان من سيقوم بتحميلها سيكون مهتم بالعملات الرقمية و احتمال كبير ان يكون يملك بعض العملات.

[Salamstar]

لا ادري كيف يتم تحديد المستخدم بانه من هواة العملات الرقمية او كيف يستطيع الهاكرز ادخال الفايروس لجهاز الضحية ، مع الاسف ليس لدي خبرة بهذا الامور
ولكن من الجيد سماع اخبار تخلصك من هذا الفايروس واهلا بك في المنتدى مرة اخرى

شكرا لترحيبك .. الحقيقة ما زلت اعاني من تبعات الفيروس والفورمات حتى الآن فالكثير من التعريفات فقدتها وأحاول الاستقرار والبحث عن التعريفات
هناك عدة طرق لارسال روابط ملغومة في مجموعات الاشخاص المهتمين بالعملات الرقمية.

هل تتذكر كيف تم اصابة جهازك؟ هل قمت بتحميل برنامج معين؟

لا ادري كيف يتم تحديد المستخدم بانه من هواة العملات الرقمية او كيف يستطيع الهاكرز ادخال الفايروس لجهاز الضحية

على الاغلب يتم استعمال برامج مزورة او ملغمة تكون لها علاقة بالشريحة المستهدفة.
مثلا في هذه الحالة يتم نشر روابط لتحميل الفيروس على اساس انه محفظة او تطبيق لتتبع اسعار العملات... من الطبيعي ان من سيقوم بتحميلها سيكون مهتم بالعملات الرقمية و احتمال كبير ان يكون يملك بعض العملات.

نعم من الجيد انني استعدت على الأقل استعدت بعض الملفات الهامة مع انني احتفظ بالكثير من المعلومات الهامة على الورق لأنني اجدها طريقة أضمن

اما عن تساؤلاتكم كيف ومتى انصبت بالفيروس فأعتقد انه أصاب جهازي عند عمل أحد أفراد اسرتي على الجهاز وكنت قمت بإعطاءة فكرة بسيطة عن العملات الرقمية وهو ليس لديه الخبرة الكافية وأغراه الاعلان عن أيردروب سكام ويبدو انه ضغط على الرابط بدافع الفضول . . لم اكتشف التشفير إلا بعد يومين عندما احتجت معلومة من احد الملفات النصية وتفاجأت بأن كل الملفات مشفرة قبل يومين من اكتشافي للمشكلة .

[Ya3rob]

على الاغلب يتم استعمال برامج مزورة او ملغمة تكون لها علاقة بالشريحة المستهدفة.
مثلا في هذه الحالة يتم نشر روابط لتحميل الفيروس على اساس انه محفظة او تطبيق لتتبع اسعار العملات... من الطبيعي ان من سيقوم بتحميلها سيكون مهتم بالعملات الرقمية و احتمال كبير ان يكون يملك بعض العملات.

فهمت قصدك اخي خالد شكرا لك
مثلا يتم نشر محفظة والترويج لها وبالاساس هي تطبيق ملغوم لاصطياد ضحايا مستهدفين بهذا الخصوص

[bounty0z]

لا ادري كيف يتم تحديد المستخدم بانه من هواة العملات الرقمية او كيف يستطيع الهاكرز ادخال الفايروس لجهاز الضحية ، مع الاسف ليس لدي خبرة بهذا الامور

يمكنك الاطلاع على هذا الموضوع https://bitcointalk.org/index.php?topic=5209018
تتعدد الطرق و لنأخذ إحتمال النصب العشوائي ,مثلا يقوم بنشر أداة لربح البتكوين أو محفظة عملة جيدة. المبتدئون سيقومون بالتحميل و التثبيت مباشرة لربح و هنا يقعون في الفخ
الاحتمال الثاني و هو الاختراق المستهدف, بحيث يكون الهاكر بعلم بالاميل الخاص يك, سواء نشرته في حملة باونتي أو قمت بالمشاركة في موقع للعملات الرقمية وتم إختراقه وتسريب بياناته. هنا يعرف أن الاميلات للمهتمين بمجال العملات الرقمية, ثم بعدها يرسل لك رسالة غاااالبا تكون أنه يوجد شخص سحب البتكون الخاص بك, لتهرع و تضغط الرابط الملغم, أو إدخل و إربح 50 دولار .... على أي الامثلة كثيرة و الطرق النصب متعددة
دخول هذا المجال يحتاج منك التشكيك في كل نقرة تقوم بها


أما بالنسبة للموضوع فإن أفضل ما تم القيام به هو فرمتت الحاسوب, لأن البرمجيات الخبيثة يتم برمجتها أحيانا لصنع نسخ منها في أماكن متعددة
كما أشير إلى أهمية تثبيت برامج مكافحة الفيروسات إذا كان حاسوبك قد يستعمله شخص آخر

[Ulven]

يفضل تخزين الملفات و المعلومات الشخصية بالأجهزة الغير متصلة، كما يمكن أيضا تحميل برامج التشغيل من المواقع الرسمية و الموثوقة. ليكن في علم الجميع المحتالون دائما في بحث مستمر لتطوير الفيروسات و تشفيرها حتى لا تتمكن المضادات من قرائتها.
كما أشأطر رأي الأخ بونتيز بخصوص الإنضمام إلى الحملات الإحتيالية التي تسعى إلى إستهداف أكبر عدد ممكن من المستخدمين، كيف يعقل أن يقوم المستخدم الإنضمام  إلى حملة أو أيدروب مقابل أن يتم إستهدافه الأمر غريب و مربك في نفس الوقت.

[Coinoplex]

@Salamstar

نظام الويندوز هو اكثر الأنظمة المعرضين للرنسوم، احد اشهر الرنسومز تم تطويره من قبل آمن الدولة في الولايات المتحدة (امريكا) وثم تم تسريب الكود في الأنترنت المظلم. طبعاً مايكروسوفت تعمل تحديث لأنظمة الويندوز حتى تغلق هذه الثغرات. ان كنت تستخدم نظام ويندوز قديم لايتم تحديثه من قبل الشركة المصنعة اذا ستظهر ثغرات جديدة مع الوقت. الكثير من الجهات الحكومية كالمستشفيات على سبيل المثال مازالوا يعملون على ويندوز اكس بي، نظام قديم لايحصل على تحديث من قبل مايكروسوفت لفترات طويلة.

نصيحتي ربما يراها البعض مكلفة:
- شراء حاسوبين، حاسوب يتم تثبيت نظام ويندوز به وحاسوب اخر يتم تثبيت لينكس به تحديداً يفضل ان يكون يوبنتو لأن يوبنتو جيد للأستخدام اليومي
- جهاز اليوبنتو تضع به الملفات التي تود العمل عليها ولاتصله بلأنترنت، بينما جهاز الويندوز تستعمله فقط لأرسال الملفات واستخدام الأنترنت اي ذلك يعني ان اغلب الأوقات لاتكون هناك ملفات حساسة او شخصية موجودة في هذا الجهاز.
- تستعمل ٢ فلاش (يو اس بي) واحدة منهم تحتوي على ملفات حساسة تكون باك اب، تستخدم هذه الفلاش فقط لأسترجاع ملفاتك في حال تعطل حاسوبك الذي يحتوي على يوبنتو. بما ان ممكن تسترجع الملفات من الهارد دريڤ في حال كان غير مشفر. ولاكن للأحتياط تضعها في فلاش.
- الفلاش الثانية تستخدمها لتحويل الملفات من يوبنتو الى ويندوز فقط ان اردت ان ترسل ملفً ما.

التكلفة ليست بكثيرة ان كانت الحواسيب قديمة. وايضاً الفلاش رخيص جداً هذه الايام

الطريقة الآخرى عبر حاسوب واحد و٢ فلاش ميموري:
- فلاش ميموري تحتوي  على الملفات (باك اب) تستخدمها فقط للأسترجاع.
- الفلاش الثانية تكون بها الملفات التي تستخدمها بشكل يومي، تطفئ اتصالك بلأنترنت تصل الفلاش بلحاسوب وتعمل ماتريد ثم تسحب الفلاش وتتصل مجدداً بلأنترنت حتى في حال حصل معك رنسوم لاسمح الله لن تهتم بلأمر لأن الملفات في آمن. عند تعديل الملفات لاتنسخهم في الحاسوب فقط يتم تعديل واستخدام الملفات وهم في الفلاش.

[Salamstar]

الطريقة الآخرى عبر حاسوب واحد و٢ فلاش ميموري:
- فلاش ميموري تحتوي  على الملفات (باك اب) تستخدمها فقط للأسترجاع.
- الفلاش الثانية تكون بها الملفات التي تستخدمها بشكل يومي، تطفئ اتصالك بلأنترنت تصل الفلاش بلحاسوب وتعمل ماتريد ثم تسحب الفلاش وتتصل مجدداً بلأنترنت حتى في حال حصل معك رنسوم لاسمح الله لن تهتم بلأمر لأن الملفات في آمن. عند تعديل الملفات لاتنسخهم في الحاسوب فقط يتم تعديل واستخدام الملفات وهم في الفلاش.

فكرة جيدة.. شكرا للنصائح المفيدة..
على كل حال ساعدني كثيرا انني احتفظ بالكثير من المعلومات على الورق مكتوب بخط يدي وخصوصا الايميلات والحسابات وكلمات السر والاسترجاع وذلك جعلني نوعا ما لا اكترث كثيرا للاصابة.. وفي النهاية استطعت استرجاع ملفاتي وهذا انجاز جيد.