الفريق العربي للهندسة العكسية
Ransomware Help - نسخة قابلة للطباعة

+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : مختبر الفايروسات - Virus & Malware Labs (https://www.at4re.net/f/forum-30.html)
+--- الموضوع : Ransomware Help (/thread-700.html)

الصفحات: 1 2

Ransomware Help - sarmedov - 29-04-2019

السلام عليكم
اصيب الكومبيوتر بفيروس الفدية من امتداد .verasto
هل يوجد هنا قسم مختص بهذه الفايروسات
مع الشكر

RE: Ransomware Help - Gu-sung18 - 29-04-2019

انت في قسم  مختبر الفايروسات  وهو  القسم المختص
محلل الفيروسات Michael Gillespie حالياً يعمل على برنامج لفك تشفير هذه العائلة من برامج الفدية، اصدر مؤخراً برنامج
يقوم بفك التشفير الملفات المصابة بهذا النوع واخر اصدار له يمكنك تحميله من هنا
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

البرنامج يمكنه فك تشفير الملفات في حال فشل اتصال برنامج الفدية بالسيرفر وبالتالي سيعطيك OFFLINE KEY مما يعني انه يمكن
للبرنامج فك التشفير.
جرب البرنامج ورد لي خبر

RE: Ransomware Help - sarmedov - 30-04-2019

شكرا لك اخي الكريم
انا متصل معهم في موقع bleepingcomputer.com 
وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
شكرا لك عزيز مرة اخرى

RE: Ransomware Help - Gu-sung18 - 30-04-2019

إقتباس :انا متصل معهم في موقع bleepingcomputer.com 
لا تنسى اذا ان ترسل لهم المعلومات التي كتبها البرنامج  " STOPDecrypter-log.txt" في حال وجد المحلل طريقة لفك تشفير ملفاتك،
حاليا من يفشل البرنامج في فك تشفير ملفاته يفعل ذلك
إقتباس :وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
حسب كلام المحلل في bleepingcomputer  فيجب ان لا يكون الحاسوب المصاب متصل بالانترنت او فشل الاتصال بالسيرفر
الخاص بالهكر بعد ان تم تشفير الملفات، فاذا فشل الاتصال يمكنك فك التشفير واذا نجح الاتصال بالسيرفر فهنا المشكلة
ساشرح الامر في التعلق التالي لماذا الامر صعب سواء علينا او حتى على المحللين المحترفين.
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
بعد اطلاعي على هذا النوع من الفيروسات وبعض انواع التشفير فالمشكلة معقدة، ساشرح لما هذا النوع يمكن لبرنامج
STOPDecrypter ان يفك التشفير في في بعض الحالات ولا يمكنه في حالات اخرى.
المشكلة مع هذه الفيروسات انها تستخدم تشفير asymmetric encryption وهي طريقة معتمد عليها
وتستخدم على نطاق واسع وامنه، بحيث يقوم فيروس الفدية بصنع مفتاحي RSA key  ويقوم بتشفير ملفاتك بالـ public key
ويقوم بارسال الـ private key الى السيرفر لكي يخزن وبعدها يحذفة من الجهاز، وفي هذه الطريقة يوجد خطأ قاتل مما يعني
في حال فشل فيروس الفدية بالاتصال بالانترنت او في حال كان السيرفر متوقف عن العمل فـ فيروس الفدية اما يقوم يقوم بحذف الـ private key بدون ارسالة الى السيرفر
وهذا يعني انه من المستحيل فك تشفير الملفات بعدها او يقوم بحفظ الـ private key الى الهارد، وفي حالة حفظ الـ private key الى القرص الصلب يمكن لمحلل الفيرسات
ان يفك تشفير الملفات لانه يمكنه الحصل على الـ private key لذلك شرط نجاح برنامج STOPDecrypter هو فشل اتصال فيروس الفدية بالنت او بالسيرفر لكي لا يرسل
الـ private key الى السيرفر وبالتالي يفشل STOPDecrypter في فك التشفير.

تشفير RSA encryption : تقنية تشفير تستخدم على نطاق واسع وتعتمد على الخوارزمية الرياضية وتستخدم كلا من المفاتيح العامة والخاصة للتشفير/فك التشفير
(تم تسميتها على اسم مخترعيها الثلاثة).
لذلك لكي يمكن فك التشفير يوجد طريقتين:
1- في حالة قام الهكر ببرمجة RSA encryption ولم ييملك الخبرة الكافية بحيث لا يمكن تلافي الاخطاء البرمجية بحيث يجد المحلل خطأ برمجي بخوارزمية التشفير وبعدها يمكن له فك التشفير.
2- او فشل ارسال الـ private key ولم يكن هذا الـ private key مشفر ( لانهة حاليا تعتمد هذه الفيروسات تقنية هجينة hybrid encryption بحيث يتم تشفير الـ private key في حالة فشل الاتصال) او محذوف (يعني لا يمكن فك التشفير حتى من قبل الهكر نفسة).

اما اذا قام ببرمجة RSA encryption بدون اخطاء و نجح في ارسال private key  الى السيرفر ودمرة من الجهاز او شفره فاقول لك لا يمكن لنا كمهندسيين عكسيين او حتى الخبراء من ايجاد حل لك، لان خوارزية RSA encryption معتمد عليها عالمياً وامنه وقام بالاطلاع عليها علماء التشفير والرياضيات.

RE: Ransomware Help - mrbox007 - 03-05-2019

.STOP extension
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat

Unique ID
(1) 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0
(2) D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB
(3) TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1
(4) cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1
(5) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1
(6) upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1
(7) neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1
(8) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1
(9) rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1
(10) AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1
(11) abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1
(12) dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
(13) sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1

STOP Decryptor Tool

https://download.bleepingcomputer.com/dem…/STOPDecrypter.zip


RE: Ransomware Help - Zuhair666 - 31-05-2019

السلام عليكم .
اصدقائي الأعزاء . اصيل الكمبيوتر بفيروس الفدية ويعمل على تشفير الملفات بامتداد skymap. هل توجد طريقة لفك التشفير ؟

RE: Ransomware Help - Gu-sung18 - 31-05-2019

(31-05-2019, 08:21 AM)Zuhair666 كتب : بامتداد skymap.

وعليكم السلام
هذا نفس فيروس الفديه الذي اصاب الاخ صاحب الموضوع واسمة الاصلي STOP Ransomware وكل فترة يظهر بامتداد جديد.
الحل هو نفسة الحل في الرد الاول
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
البرنامج يمكنه فك تشفير الملفات في حال فشل اتصال برنامج الفدية بالسيرفر وبالتالي سيعطيك OFFLINE KEY مما يعني انه يمكن
للبرنامج فك التشفير.
اهم شيء حاسوبك لم يتصل بالانترنت بعد اكتشافك للاصابه، جرب البرنامج STOPDecrypter.zip اذا لم يفك التشفير هذا يعني لا يوجد حل.


RE: Ransomware Help - solamar - 06-06-2019

السلام عليكم 
عيدكم مبارك اخواني ..تقبل الله منا ومنكم صالح الاعمال 
اصيب جهازي بفيروس الفدية امتداده rectot
لقد حملت اداة فك التشفير  STOPDecrypter.exe 
 ساعدوني في كيفية استعمالها
شكرا

RE: Ransomware Help - Gu-sung18 - 06-06-2019

إقتباس :     ساعدوني في كيفية استعمالها

وعليكم السلام
شغل البرنامج كـ Administrator
[صورة مرفقة: lsTKGVa.png]
اضغط على Select Directory واختار المسار الذي تريد فك تشفيرة
[صورة مرفقة: IJZAS4F.png]
واضغط Decrypt لفك التشفير
[صورة مرفقة: TulUx08.png]
وانتظر حتى يفك تشفير الملفات.

 اذا البرنامج اعطاك "No key for ID" او "No keys were found for ID" او "Unidentified ID" هذا يعني ان حاسوبك متصل بالنت وبالتالي اتصل بسيرفر التحكم لفيروس الفدية وبالتالي اعطاك مفتاح مخزن على السيرفر وليس على حاسوبك مما يعني لا يوجد حل.

RE: Ransomware Help - batoulfawaz - 07-07-2019

يعطيكم العافية
عندي الفيروس بلاحقة skypmap
 عطاني البرنامج عند الانتهاء هي الرسالة  ممكن يرجعو الملفات؟؟
Decrypted 12 files!
Skipped 6828 files.

[!] No keys were found for the following IDs:
[*] ID: mPTYkn4xot5J1OzH9CX5hEaoTk9jHVUaO7kDzrIJ (.skymap )
[*] ID: mPTYkn4xot5J1OzH9CX5hEaoTk9jHVUaO7kDzrIJ (.jpg )
Please archive these IDs and the following MAC addresses in case of future decryption:
[*] MACs: 00:1E:37:B0:CB:42, 00:1F:E2:9A:87:34, 00:21:70:A4:39:B7
This info has also been logged to STOPDecrypter-log.txt