همفکری برای پیدا کردن راه حل در مورد ویروس encrypt locker

**Mask** · 2016-09-04, 10:31 AM

نوشته اصلی توسط kavehashoori

سلام دوست عزیز
مطمئنا هر چیزی امکان پذیره . هرچند من با چن تا متخصص بازیابی اطلاعات و شرکتهایی که کار دیکد کردن انجام میدان صحبت کردم و براشون فایلهارو فرستادم هیچکدوم نتونستن
اما اگر شما میتونید من سرور رو فرمت کردم اما فایلهای کد شده رو جایی ذخیره کردم برای روزی که شاید بشه .
اگر شما میتونید من امکان دادن چند فایل به شما برای تست رو دارم . حتی یکی از فایلهارو تو همین پست گذاشتم . میتونید اونو یه بررسی بکنید
در ضمن با تمام برنامه هایی که دیکد میکرد هم تست کردم اما اتفاقی مثبتی صورت نگرفت

- - - ادامه - - -

و دقیقا با صحبتهای شما موافقم

اگه خوده سیستم الوده نباشه نمیشه.
باید ویروس رو ریورس کنیم نه فایل کد شده رو.
ای کاش یکمی صبر میکردید.
علت اینکه باید سیستم الوده باشه اینه که فقط میشه از کدهای خود ویروس به کد برعکسش رسید و آنتیشو نوشت.
من قبلا برای تست این کارو کردم و جواب گرفتم. بد نبود اگه اطلاعات شما براتون اهمیت داشت، وقت میزاشتیم و دیکدش رو در می اوردیم.

**EVERAL** · 2016-09-04, 04:16 PM

سلام
در حال حاضر تنها فناوري و راهكار انحصاري و اختصاصي جلوگيري از باج‌افزارها در اختيار كمپاني Kaspersky و محصول
Kaspersky Security 10 for Windows Server است. نسبت به تغيير و بروزرساني نسخه آنتي ويروس به ورژن 10.0.0.486 اقدام كنيد.
(شما با نصب اين نسخه قابليت Anti-Cryptor و Untrusted Host Blocking خواهيد داشت)
در غير اينصورت Server هاي مجموعه شما در معرض خطر مبتلا شدن فايل ها به وضعيت Encrypt هستند.
حتماً روي File Server ها و سرورهاي حياتي نسخه نهايي Kasper را نصب كنيد.
روند منظم Backup انجام شود،بيش از 99% سيستم‌ها توسط ارسال هرزنامه به Ransomware آلوده مي‌شوند،
از يك Engine قوي جهت پايش ترافيك‌هاي مربوط به Mail Server داخلي استفاده كنيد. (Anti-Spam)
(آخرين نسخه حملات ايميل هايي از طرف aol.com و dhl.com بوده در WAF و Mail سازماني اعمال محدوديت كنيد)
اطلاع رساني به كليه كاركنان جهت دقت مضاعف مبني بر باز نكردن Attachment Fileهاي ايميل انجام شود.
به طور كلي جهت Protect نمودن سيستم روش هاي زير Recommend مي‌شود:

استفاده از ورژن های جديد ضد ویروس( KES10 )
اطمينان از به روز بودن پایگاه داده ضد ویروس
عدم غيرفعال سازی Protection
عدم غيرفعال سازی System Watcher
اطمينان از نصب بودن ضد ویروس برروي سرورهاي تحت مديريت
زمان بندی مشخص و معین برای گرفتن Backup آفلاین از پوشه ها به صورت هفتگی

سئوال دیگری که در این زمینه مطرح است ان است که وقتی فایل هایتان توسط باج افزار کد شد و دسترسی به آنها غیر ممکن شد باید چه کار کرد؟
روزانه نسخه های جدید باج افزارها منتشر می شود و به دلیل پیچیدگی الگوریتم رمزگذاری و تعدد کلید های آن باز گشایی رمز فایل ها عملا غیر ممکن است. ولی کسپرسکی دارنده بیشترین الگوریتم Decrypt کردن باج افزارهاست ولی هیچ برند امنیتی نمی تواند برگشت تمامی فایل ها را ضمانت کند. پس سعی کنید بر روی پیشگیری تمرکز کنید.

**arsalan681** · 2016-09-06, 09:15 PM

تلاشها برای

Decrypt بی فایده هست. با صحبتهای دوستمون everal کاملا موافقم

**kavehashoori** · 2016-09-10, 06:25 AM

نوشته اصلی توسط Mask

اگه خوده سیستم الوده نباشه نمیشه.
باید ویروس رو ریورس کنیم نه فایل کد شده رو.
ای کاش یکمی صبر میکردید.
علت اینکه باید سیستم الوده باشه اینه که فقط میشه از کدهای خود ویروس به کد برعکسش رسید و آنتیشو نوشت.
من قبلا برای تست این کارو کردم و جواب گرفتم. بد نبود اگه اطلاعات شما براتون اهمیت داشت، وقت میزاشتیم و دیکدش رو در می اوردیم.

ممنون از شما
ولی مشکل اساسی تو شرکتهایی که بالادستی ها چیزی از کامپیوتر و ویروس نمیدونم ( البته خودشون فکر میکنن اوستان ) اینه که اولین چیزی که میخوان راه افتادن مجدد سرور در سریعترین زمان هست . من یک هفته تقریبا تونستم سرور رو تو همون حالت نگه دارم اما کلی توبیخم کردند . و مجبور شدم سرور رو فرمت و مجدد راه اندازی کنم

- - - ادامه - - -

نوشته اصلی توسط EVERAL

سلام
در حال حاضر تنها فناوري و راهكار انحصاري و اختصاصي جلوگيري از باج‌افزارها در اختيار كمپاني Kaspersky و محصول
Kaspersky Security 10 for Windows Server است. نسبت به تغيير و بروزرساني نسخه آنتي ويروس به ورژن 10.0.0.486 اقدام كنيد.
(شما با نصب اين نسخه قابليت Anti-Cryptor و Untrusted Host Blocking خواهيد داشت)
در غير اينصورت Server هاي مجموعه شما در معرض خطر مبتلا شدن فايل ها به وضعيت Encrypt هستند.
حتماً روي File Server ها و سرورهاي حياتي نسخه نهايي Kasper را نصب كنيد.
روند منظم Backup انجام شود،بيش از 99% سيستم‌ها توسط ارسال هرزنامه به Ransomware آلوده مي‌شوند،
از يك Engine قوي جهت پايش ترافيك‌هاي مربوط به Mail Server داخلي استفاده كنيد. (Anti-Spam)
(آخرين نسخه حملات ايميل هايي از طرف aol.com و dhl.com بوده در WAF و Mail سازماني اعمال محدوديت كنيد)
اطلاع رساني به كليه كاركنان جهت دقت مضاعف مبني بر باز نكردن Attachment Fileهاي ايميل انجام شود.
به طور كلي جهت Protect نمودن سيستم روش هاي زير Recommend مي‌شود:

استفاده از ورژن های جديد ضد ویروس( KES10 )
اطمينان از به روز بودن پایگاه داده ضد ویروس
عدم غيرفعال سازی Protection
عدم غيرفعال سازی System Watcher
اطمينان از نصب بودن ضد ویروس برروي سرورهاي تحت مديريت
زمان بندی مشخص و معین برای گرفتن Backup آفلاین از پوشه ها به صورت هفتگی

سئوال دیگری که در این زمینه مطرح است ان است که وقتی فایل هایتان توسط باج افزار کد شد و دسترسی به آنها غیر ممکن شد باید چه کار کرد؟
روزانه نسخه های جدید باج افزارها منتشر می شود و به دلیل پیچیدگی الگوریتم رمزگذاری و تعدد کلید های آن باز گشایی رمز فایل ها عملا غیر ممکن است. ولی کسپرسکی دارنده بیشترین الگوریتم Decrypt کردن باج افزارهاست ولی هیچ برند امنیتی نمی تواند برگشت تمامی فایل ها را ضمانت کند. پس سعی کنید بر روی پیشگیری تمرکز کنید.

ممنون از شما برای توضیحات کاملتون
فقط چند تا مطلب رو باید خدمتتون بگم
بله نسخه آخر کسپر از کد شدن فایلها جلوگیری میکنه
اما مشکلات خیلی زیادی هم بوجود میاره
اولا اینکه اکثر برنامه ها و برنامه نویسان در برنامه نویسیشون از کد گذاری استفاده میکنن که با این آنتی ویروس دچار مشکل شدن
دوما اینکه خود ویندوز سرویس کد گذاری داره که با این آنتی ویروس به مشکل میخوره
سوما اینکه دائم یک نفر باید آلارم هایی که از طرف آنتی ویروس داده میشه رو رصد و جوابگویی کنه
اما دقیقا درست فرمودید بزرگترین مشکل آموزش به کارمندان برای جلوگیری از باز کردن فایلهای ضمیمه ایمیل هستش و اجرای آن توسط کارمندانی که خود را تافته جدا بافته قلمداد میکنن
اگر زحمت بکشید فق بفرمایید عدم غیر فعال سازی PROTECTION در این مورد خاص چگونه کمک میکند ممنون میشم .
و همینطور system watcher
این بد افزار خودش system shadow رو غیر فعال میکنه و تمامی previous version ها رو پاک میکنه

ممنون از همه دوستان
امیدوارم برای هیچ کس از این دست مشکلات بوجود نیاد

- - - ادامه - - -

نوشته اصلی توسط arsalan681

تلاشها برای

Decrypt بی فایده هست. با صحبتهای دوستمون everal کاملا موافقم

با شما موافقم . با چند تا شرکت بازیابی اطلاعات صحبت کردم و همشون عجز بودن از این کار .
اما همیشه یه راهی هست و امیدوارم این دوستمون بتونن راه حلی براش پیدا کنن .
من که امیدوارم

**halvaei** · 2016-09-11, 02:24 PM

سلام . قبلا بحث شده تو این تاپیک :
اطلاعات و تجربه ها در مورد ویروس گروگان گیر

**kavehashoori** · 2016-09-14, 06:17 AM

نوشته اصلی توسط halvaei

سلام . قبلا بحث شده تو این تاپیک :
اطلاعات و تجربه ها در مورد ویروس گروگان گیر

بله اونجا هم بحث شده اما نتیجه ای گرفته نشده و درسته
الان گفته شد که آنتی ویروسها به نوعی کارایی خاصی در این زمینه ندارن
باید چیکار کرد برای اینکه این ویروس نتونه وارد شبکتون بشه ؟
1 آنتی ویروس برند
2 بستن usb
3 قطع اینترنت کابران
4 آموزش کاربران
5 back up گیری مداوم
6 .......

دوستان راه حل های خودتونو بگید و اینجا معایب و مزایای اونو بررسی کنید

**kavehashoori** · 2016-09-17, 08:06 AM

کسی راه حلی به نظرش نمیرسه تا در این مورد بیشتر بحث و گفتگو بشه
چون هر کاری یه اما و اگر داره که شاید با همفکری بشه راهکار بهتری براش در نظر گرفت

**kavehashoori** · 2016-09-21, 03:20 PM

وقتی کسی نظری نداره بهتره بحث رو ببندیم
ممنون

**onlymhb** · 2016-09-26, 03:55 PM

سلام
با این روش من فایل رمز شده outlook خودمو اصلاح کردم
ویروس برداشته بود دیتا فایل اوت لوک ترکونده بود که من پسوند فایل ویروسی و باج گرفته به pst پیشفرض اوتلوک تغییر دادم و با SCANPST.EXE موجود در پوشه آفیس فایلم برگشت شاید روش برای دیگر فایل ها جواب بده.

نسخه ویروس من Ceber3 بود

موضوع: همفکری برای پیدا کردن راه حل در مورد ویروس encrypt locker

پیوند

ابزارهای موضوع

نمایش

کلمات کلیدی در جستجوها:

ویرووس encrypt

برچسب برای این موضوع

مجوز های ارسال و ویرایش