قوانين المنتدى | إعلانات هامة | صفحة المبتدئين | كتاب الفريق الأول | كتاب الفريق الثاني | مجلة الفريق | أسطوانتين للمبتدئين | إصدارات الفريق | من نحن ؟ | تبرع للموقع

الفريق العربي للهندسة العكسية منتديات الهندسة العكسية - Reverse Engineering Forums مختبر الفايروسات - Virus & Malware Labs v
Ransomware Help

تقييم الموضوع :
  • 11 أصوات - بمعدل 3
  • 1
  • 2
  • 3
  • 4
  • 5
ادوات الموضوع
Ransomware Help
sarmedov غير متصل
.: عضو نشيط :.
*
المشاركات : 2
المواضيع : 1
الإنتساب : Apr 2019
السمعة : 0
الإعجاب المعطى : 0
الإعجاب المحصل : 2
#1
29-04-2019, 01:07 PM
السلام عليكم
اصيب الكومبيوتر بفيروس الفدية من امتداد .verasto
هل يوجد هنا قسم مختص بهذه الفايروسات
مع الشكر
البحث
أعضاء أعجبوا بهذه المشاركة : mribraqdbra
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#2
29-04-2019, 10:35 PM
انت في قسم  مختبر الفايروسات  وهو  القسم المختص
محلل الفيروسات Michael Gillespie حالياً يعمل على برنامج لفك تشفير هذه العائلة من برامج الفدية، اصدر مؤخراً برنامج
يقوم بفك التشفير الملفات المصابة بهذا النوع واخر اصدار له يمكنك تحميله من هنا
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

البرنامج يمكنه فك تشفير الملفات في حال فشل اتصال برنامج الفدية بالسيرفر وبالتالي سيعطيك OFFLINE KEY مما يعني انه يمكن
للبرنامج فك التشفير.
جرب البرنامج ورد لي خبر
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : mribraqdbra
sarmedov غير متصل
.: عضو نشيط :.
*
المشاركات : 2
المواضيع : 1
الإنتساب : Apr 2019
السمعة : 0
الإعجاب المعطى : 0
الإعجاب المحصل : 2
#3
30-04-2019, 01:02 PM
شكرا لك اخي الكريم
انا متصل معهم في موقع bleepingcomputer.com 
وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
شكرا لك عزيز مرة اخرى
البحث
أعضاء أعجبوا بهذه المشاركة : mribraqdbra
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#4
30-04-2019, 08:14 PM (آخر تعديل لهذه المشاركة : 30-04-2019, 08:15 PM بواسطة Gu-sung18.)
إقتباس :انا متصل معهم في موقع bleepingcomputer.com 
لا تنسى اذا ان ترسل لهم المعلومات التي كتبها البرنامج  " STOPDecrypter-log.txt" في حال وجد المحلل طريقة لفك تشفير ملفاتك،
حاليا من يفشل البرنامج في فك تشفير ملفاته يفعل ذلك
إقتباس :وقد رجعت ملفات مشفرة بقايروس pumax لكن ملفات verasto لم يتمكن البرنامج من اعادتها
حسب كلام المحلل في bleepingcomputer  فيجب ان لا يكون الحاسوب المصاب متصل بالانترنت او فشل الاتصال بالسيرفر
الخاص بالهكر بعد ان تم تشفير الملفات، فاذا فشل الاتصال يمكنك فك التشفير واذا نجح الاتصال بالسيرفر فهنا المشكلة
ساشرح الامر في التعلق التالي لماذا الامر صعب سواء علينا او حتى على المحللين المحترفين.
لكنني قلت ربما لدينا هنا ايضا مجموعة تعمل على ذلك
بعد اطلاعي على هذا النوع من الفيروسات وبعض انواع التشفير فالمشكلة معقدة، ساشرح لما هذا النوع يمكن لبرنامج
STOPDecrypter ان يفك التشفير في في بعض الحالات ولا يمكنه في حالات اخرى.
المشكلة مع هذه الفيروسات انها تستخدم تشفير asymmetric encryption وهي طريقة معتمد عليها
وتستخدم على نطاق واسع وامنه، بحيث يقوم فيروس الفدية بصنع مفتاحي RSA key  ويقوم بتشفير ملفاتك بالـ public key
ويقوم بارسال الـ private key الى السيرفر لكي يخزن وبعدها يحذفة من الجهاز، وفي هذه الطريقة يوجد خطأ قاتل مما يعني
في حال فشل فيروس الفدية بالاتصال بالانترنت او في حال كان السيرفر متوقف عن العمل فـ فيروس الفدية اما يقوم يقوم بحذف الـ private key بدون ارسالة الى السيرفر
وهذا يعني انه من المستحيل فك تشفير الملفات بعدها او يقوم بحفظ الـ private key الى الهارد، وفي حالة حفظ الـ private key الى القرص الصلب يمكن لمحلل الفيرسات
ان يفك تشفير الملفات لانه يمكنه الحصل على الـ private key لذلك شرط نجاح برنامج STOPDecrypter هو فشل اتصال فيروس الفدية بالنت او بالسيرفر لكي لا يرسل
الـ private key الى السيرفر وبالتالي يفشل STOPDecrypter في فك التشفير.

تشفير RSA encryption : تقنية تشفير تستخدم على نطاق واسع وتعتمد على الخوارزمية الرياضية وتستخدم كلا من المفاتيح العامة والخاصة للتشفير/فك التشفير
(تم تسميتها على اسم مخترعيها الثلاثة).
لذلك لكي يمكن فك التشفير يوجد طريقتين:
1- في حالة قام الهكر ببرمجة RSA encryption ولم ييملك الخبرة الكافية بحيث لا يمكن تلافي الاخطاء البرمجية بحيث يجد المحلل خطأ برمجي بخوارزمية التشفير وبعدها يمكن له فك التشفير.
2- او فشل ارسال الـ private key ولم يكن هذا الـ private key مشفر ( لانهة حاليا تعتمد هذه الفيروسات تقنية هجينة hybrid encryption بحيث يتم تشفير الـ private key في حالة فشل الاتصال) او محذوف (يعني لا يمكن فك التشفير حتى من قبل الهكر نفسة).

اما اذا قام ببرمجة RSA encryption بدون اخطاء و نجح في ارسال private key  الى السيرفر ودمرة من الجهاز او شفره فاقول لك لا يمكن لنا كمهندسيين عكسيين او حتى الخبراء من ايجاد حل لك، لان خوارزية RSA encryption معتمد عليها عالمياً وامنه وقام بالاطلاع عليها علماء التشفير والرياضيات.
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة : mribraqdbra , Polia
mrbox007 غير متصل
.: عضو نشيط :.
*
المشاركات : 10
المواضيع : 4
الإنتساب : Nov 2018
السمعة : 0
الإعجاب المعطى : 65
الإعجاب المحصل : 41
#5
03-05-2019, 04:52 PM (آخر تعديل لهذه المشاركة : 03-05-2019, 05:12 PM بواسطة M!X0R.)
.STOP extension
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat

Unique ID
(1) 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0
(2) D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB
(3) TLuCxxAdd5BLXYWIvnjsWaCNR5lWoznhlRTSott1
(4) cZs3TaUYZzXCH1vdE44HNr1gnD2LtTIiSFFYv5t1
(5) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDosJ24DmXt1
(6) upOacGl1yOz9XbrhjX9UR2M0j8i03YwVB0pXr1t1
(7) neFMH56G5TY6gLqHS6TpWwfIPJF1mKg4FvpeNPt1
(8) 0h7mFQcjRC3pDgsRcrWZ7K7bdAgvgDos224DmXt1
(9) rdSXuFaXQZ5zsBX7nzxYC2hgkTkducsD7tuV95t1
(10) AlMcLobh5J6wVB2Iy10guKr1kpSuFBWfXIsI6Et1
(11) abIsuTknpjAqoGRR7OZL5HDDmc843XjBxrQOIot1
(12) dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
(13) sC0oYeg1wSkjbjkEwQcxTXzA0EOp8Tnc35seYQt1

STOP Decryptor Tool

https://download.bleepingcomputer.com/dem…/STOPDecrypter.zip
البحث
أعضاء أعجبوا بهذه المشاركة :
Zuhair666 غير متصل
.: عضو نشيط :.
*
المشاركات : 1
المواضيع : 0
الإنتساب : May 2019
السمعة : 0
الإعجاب المعطى : 0
الإعجاب المحصل : 1
#6
31-05-2019, 08:21 AM
السلام عليكم .
اصدقائي الأعزاء . اصيل الكمبيوتر بفيروس الفدية ويعمل على تشفير الملفات بامتداد skymap. هل توجد طريقة لفك التشفير ؟
البحث
أعضاء أعجبوا بهذه المشاركة :
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#7
31-05-2019, 08:41 PM (آخر تعديل لهذه المشاركة : 31-05-2019, 08:43 PM بواسطة Gu-sung18.)
(31-05-2019, 08:21 AM)Zuhair666 كتب : بامتداد skymap.

وعليكم السلام
هذا نفس فيروس الفديه الذي اصاب الاخ صاحب الموضوع واسمة الاصلي STOP Ransomware وكل فترة يظهر بامتداد جديد.
الحل هو نفسة الحل في الرد الاول
https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
البرنامج يمكنه فك تشفير الملفات في حال فشل اتصال برنامج الفدية بالسيرفر وبالتالي سيعطيك OFFLINE KEY مما يعني انه يمكن
للبرنامج فك التشفير.
اهم شيء حاسوبك لم يتصل بالانترنت بعد اكتشافك للاصابه، جرب البرنامج STOPDecrypter.zip اذا لم يفك التشفير هذا يعني لا يوجد حل.
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة :
solamar غير متصل
.: عضو نشيط :.
*
المشاركات : 1
المواضيع : 0
الإنتساب : Jun 2019
السمعة : 0
الإعجاب المعطى : 0
الإعجاب المحصل : 1
#8
06-06-2019, 03:47 PM
السلام عليكم 
عيدكم مبارك اخواني ..تقبل الله منا ومنكم صالح الاعمال 
اصيب جهازي بفيروس الفدية امتداده rectot
لقد حملت اداة فك التشفير  STOPDecrypter.exe 
 ساعدوني في كيفية استعمالها
شكرا
البحث
أعضاء أعجبوا بهذه المشاركة :
Gu-sung18 غير متصل
.: مشرف عام بـ AT4RE :.
******
Super Moderator
المشاركات : 454
المواضيع : 33
الإنتساب : Oct 2018
السمعة : 41
الإعجاب المعطى : 752
الإعجاب المحصل : 1058
#9
06-06-2019, 09:35 PM
إقتباس :     ساعدوني في كيفية استعمالها

وعليكم السلام
شغل البرنامج كـ Administrator
[صورة مرفقة: lsTKGVa.png]
اضغط على Select Directory واختار المسار الذي تريد فك تشفيرة
[صورة مرفقة: IJZAS4F.png]
واضغط Decrypt لفك التشفير
[صورة مرفقة: TulUx08.png]
وانتظر حتى يفك تشفير الملفات.

 اذا البرنامج اعطاك "No key for ID" او "No keys were found for ID" او "Unidentified ID" هذا يعني ان حاسوبك متصل بالنت وبالتالي اتصل بسيرفر التحكم لفيروس الفدية وبالتالي اعطاك مفتاح مخزن على السيرفر وليس على حاسوبك مما يعني لا يوجد حل.
سبحان الله وبحمده، سبحان الله العظيم
الموقع البحث
أعضاء أعجبوا بهذه المشاركة :
batoulfawaz غير متصل
.: عضو نشيط :.
*
المشاركات : 1
المواضيع : 0
الإنتساب : Jul 2019
السمعة : 0
الإعجاب المعطى : 0
الإعجاب المحصل : 1
#10
07-07-2019, 12:44 PM
يعطيكم العافية
عندي الفيروس بلاحقة skypmap
 عطاني البرنامج عند الانتهاء هي الرسالة  ممكن يرجعو الملفات؟؟
Decrypted 12 files!
Skipped 6828 files.

[!] No keys were found for the following IDs:
[*] ID: mPTYkn4xot5J1OzH9CX5hEaoTk9jHVUaO7kDzrIJ (.skymap )
[*] ID: mPTYkn4xot5J1OzH9CX5hEaoTk9jHVUaO7kDzrIJ (.jpg )
Please archive these IDs and the following MAC addresses in case of future decryption:
[*] MACs: 00:1E:37:B0:CB:42, 00:1F:E2:9A:87:34, 00:21:70:A4:39:B7
This info has also been logged to STOPDecrypter-log.txt
البحث
أعضاء أعجبوا بهذه المشاركة :


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم