نـقـاش اصبت بـGANDCRAB V5.0.4

MohamedYousri · ‏نوفمبر 3, 2018

المصدر: اصبت بـGANDCRAB V5.0.4
في منتدى : منتدى نقاشات واختبارات برامج الحماية

السﻻم عليكم جميعا

اصبت بـGANDCRAB V5.0.4 فجاه و دون اي مقدمات في اﻻغلب بعد استخدام باتش تفعيل مجموعه برامج adobe لانه فور انتهائي من تفعيل الـphotoshop ﻻحظت انتشار ملف txt بصيغه .VNNND و بدء تشفير بعض الملفات بهذا اﻻمتداد ف عرفت علي الفور انه ransomware و ايضا محاوله تغيير باسوورد حساب مايكروسوفت و تمت اصابه بعض الملفات علي الـone drive

قمت فورا بغلق الجهاز و الدخول الي فﻻشه ويندوز 10 bootable و باستخدام diskpart تم عمل clean لهارد نسخه الويندوز بالكامل

فضلت الهاردات اﻻخري و قمت بتركيب هارد احتياطي و قمت بتحميل نسخه الويندوز عليه ثم تنزيل نسخه ubuntu و تحويلها لفﻻشه bootable و من ثم فتح الهارد المصاب عن طريق الـubuntu و البحث عن جميع الملفات ذات اﻻمتداد .vnnnd و الحمد لله الملفات التي تم تشفيرها ليست بالمهمه بقدر كبير و يوجد منها نسخه اخري احتياطيه و قمت بمسح مجلدات الـ recycle و الـvolume system information ايضا

قمت بتحميل اسطوانه اﻻنقاذ الخاصه بالكاسبر سكاي و البت ديفندر و جاري عمل سكان بكل واحده تلو اﻻخر

كيف اتاكد انه تم ازاله الرانسوم وير تماما و ضمان عدم اصابتي بقه مره اخري ؟ بما تنصحون ؟؟

شكرا لكم و في انتظار مساعدتكم

MohamedYousri · ‏نوفمبر 3, 2018

What is GandCrab V5.0.5 Ransomware
Update from October 29, 2018: Version 5.0.5 of GandCrab Ransomware was released soon after BitDefender announced decryption tool for previous versions of GandCrab v5.0 Ransomware. It appends 8 randomly generated letters (in capital letters) as extension to encrypted files, and has slightly modified ransom note. No decryption tool available.

Update from October 14, 2018: Version 5.0.4 of GandCrab Ransomware released. It appends 8 randomly generated letters (in capital letters) as extension to encrypted files, and has slightly modified ransom note. Can be decrypted with BitDefender GandCrab Decryption Tool. Download it below.

Update from October 11, 2018: Version 5.0.3 of GandCrab Ransomware released. It adds 8 randomly generated letters (in lower case) as extension to encrypted files. Content of ransom note was changed. Can be decrypted with BitDefender GandCrab Decryption Tool. Download it below

Update from October 1, 2018: Version 5.0.2 of GandCrab Ransomware released. Affected files get extension on form of 9 randomly generated letters. Ransom note is little bit different from initial v5.0 variation. Can be decrypted with BitDefender GandCrab Decryption Tool. Download it below.

GandCrab V5.0.5 Ransomware is subversion of the fifth generation of high-risk GandCrab Ransomware. Probably, this virus was developed in Russia. This crypto-extortor encrypts user and server data using the Salsa20 algorithm, and RSA-2048 is used for auxiliary key encryption. 5-th version appends .[5-8-7-8-9-random-letters] extension to encrypted files and creates ransom note called [5-6-7-8-9-random-letters]-DECRYPT.txt. Examples of ransom notes: VSVDV-DECRYPT.html, FBKDDP-DECRYPT.html, IKJBAGX-DECRYPT.html, QPJBIKKA-DECRYPT.html. Here is the content of this html-file:

---= GANDCRAB V5.0.5 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .OBKBTXTN
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
---------------------

| 0. Download Tor browser - hxxps://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: hxxp://gandcrabmfe6mnef.onion/113737081e857d00
| 4. Follow the instructions on this page

-----------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---
أنقر للتوسيع...

MohamedYousri · ‏نوفمبر 4, 2018

هل من مساعده ايها الاخوه الافاضل

السنديان · ‏نوفمبر 4, 2018

الله المستعان

sakker · ‏نوفمبر 4, 2018

الله يعينك
حاول تستعمل برنامج كومودو فايروول فهو قوى ان شاء الله من ناحيه فيروسات الفديه بسبب محلل سلوكه
واستعمل برنامج http://forum.zyzoom.net/threads/312489/unread فهو قوى ايضا
وانتى فايرس استعمل النود لان محلل سلوكه قوى ايضا

MagicianMiDo32 · ‏نوفمبر 4, 2018

اهلا اخي , اعتقد ان ما قمت به هو كافي لإزالة الفيروس
بالنسبة للمجلدات الـ recycle و الـvolume system information فهي لا تشكل اي خطر بل هي جزء من نظام التشغيل

اخي للأسف لاتوجد طريقة فعالة للتنبأ بسلوك الرانسوموير لمنعه
لذلك في حالة تشفيرالرانسوموير عن المحرك فهو بامكانه تخطي جميع برامج الحماية

الا ان معظم فيروسات الرانسوموير تحتوي على اشياء اضافية بها , مثل اضافة ستارت اب او عملية مجدولة لتستطيع اكمال تشفير الملفات
وبرنامج الحماية يستطيع التصدي لهذا النوع من السلوكيات

كذلك ايضا محركات برامج الحماية اليوم تطورت جدا واصبحت معتمدة على السحاب بشكل شبه كلي , لذلك ف في حالة اصابة جهاز بفيروس ما , فان برنامج الحماية (حتى بعد الاصابة) يقوم برفع هذا الملف الى شركة الحماية لاستخراج توقيع له
وينزل التحديث الحامل لهذا التوقيع بسرعة كبيرة جدا ,
لذلك فيمكن لبرنامج الحماية حمايتك من نسبة 95% من الأصابات
وذلك لأن فترة فعالية الفيروس (قبل ان يكتشفه المكافح) صغيرة جدا , حيث ان الفيروس قد يصيب جهازين او ثلاثة فقط قبل ان يتم اعداد توقيع رقمي له ,,,
الا ان هذا لايمنع الأصابة 100% فلو تمت اصابتك بفيروس Zero day او كان جهازك لايحتوي على برنامج حماية او برنامج الحماية بع غير محدث فستحدث كارثة , وهذة هي اغلب حالات الاصابة , في المؤسسات او الاجهزة المرتبطة بها حيث الرقابة والصيانة ضعيفة

اخي هناك اداة تدعي ان بأمكانها فك هذا النوع من الرانسوموير

وهي تابعة لشركة البتديفندر
https://www.bleepingcomputer.com/ne...-for-the-latest-gandcrab-ransomware-versions/

لكن يظل تأمين الجهاز ببرنامج حماية قوي من المنتدى والأحتياط وعدم تحميل الملفات من المواقع المجهولة هو اهم شيئ للحماية من الرانسوموير والفيروسات بشكل عام

Akram Usama · ‏نوفمبر 15, 2018

أخي الكريم إن كنت تمتلك نسخ احتياطية من ملفاتك فأنصحك إنك تعمل فورمات و تنزل الويندوز من جديد و تريح راسك تقبل مروري

pokee · ‏نوفمبر 18, 2018

الطريقة الصحيحة لمنع هذه الحوادث هي كالتالي :
1- عدم الولوج وتنزيل من المواقع المجهولة ( العقل والحذر اهم من الف برنامج انتي فايرس) + التوب 3 برامج انتي فايرس لازم احد منها تكون بالجهاز مع خاصية منع الفدية

2- عند حدوث الاصابة بفيروس الفدية = فصل النت نهائيا + عمل اسكان بالبرامج المطلوبة لحذف هالفايرس وحذفه
السبب هو في فيروسات تنصاب بها الاجهزة تكون بنسخ قديمة وبعد فترة من اتصالها للنت تتحدث الى اخر نسخة وهنا يكمن صعوبة فك تشفيرها

3-بالنسبة للملفات المشفرة : حصر الملفات المهمة بفلاشة فاضية وتكون خصيصا لتلك الملفات فقط

4- عمل فرمته شاملة للجهاز وان كان معك باك اب يكون زين

5- بعدها خذ راحتك ووقتك : جهازك اصبح بمأمن ....وتقدر تتابع بالنت عن فك لتشفير هالنوع من الملفات ( ان حصل مستقبلا وهو اكيد = اعمل فك للتشفير ) تراها موجودة بالفلاشة

اهم شي
لا تدفع لحد
مهما كانت قيمة تلك الملفات

MohamedYousri · ‏ديسمبر 1, 2018

شكرا جزيلا لكم ايها الاخوه الافاضل علي نصائحكم

استعمل حاليا Bitdefender Ransom + Bitdefender Internet security و الامور ماشيه تمام الحمد لله

awake · ‏ديسمبر 1, 2018

بعد ماتتخلص من الفيروس انصحك بالبت ديفندر فهو قوي جدا فقد استخدمته من العام 2009 حتى شهر 9 من العام 2018 وتركته لقلة تفعيلاته والان انا استخدم الكومودو برنامج صاروخ s500 فتاك بكل معنى الكلمه والغريبه ومابه من طبقات فوذيه الا انه مجاني وانا أقول دائما ان الكومودو لايقل قوه عن البت ديفندر والكاسبر ولكن العيب الوحيد في الكومودو هو المحرك ضعيف لا يرتقي للمستوى الجيد حتى أما باقي الطبقات فهي ممتازه

imadeddine wissam · ‏ديسمبر 1, 2018

حدث لك مثلما حدث لي تماما قبل ثلاث أشهر تقريبا ..
حملت باتش لتفعيل برنامج المونتاج CyberLink PowerDerctor ، من أحد المواقع الغير معروفة كثيرا ..
كنت مخلصا جدا لبرنامج ESET وكنت أعقد عليه أملا كبيرا وواثقا فيه ثقة عمياء ...
حملت الباتش بشكل عادي ، قمت بفحصه على فايروس توتال نتيجة عادية كلين من الجميع الا الدكتور ويب
قلت ان الدكتور ويب يشتبه به خطأ .وضعته على سطح المكتب و اعدت الفحص بالايست و فحصت سمعته
ب Live Grid الخاصة بالايست .يقول ان الملف غير معروف .. سميت بسم الله و شغلت الباتش ويا ليتني لم افعل ..
ثواني فتح الباتش ولكن تجمد ولم يتحرك عمي الايست الذي كنت أعول عليه
وبعد مرور دقيقة كاملة بدأت الكوارث ملفات جديدة وتحولت الفولدرات واصبحت بامتداد اخر والايست نايم
في سبات عميق . أسرعت واغلقت النت ثم اخذت الهاتف وحملت اداة البيتدفندر التي لقيت اشهارا لا يوصف بدون فائدة
ركبت الكابل الخاص بالهاتف ثم صطبت الاداة املا في ان تصيح معلنة حربا ضروسا ضد الرانسومير لكن هيهات هيهات
عملت فحص كامل وشغلت النت لربما تحتاجها الاداة اكتمل الفحص وتم العثور على الرانسومير واتبعت مسار تثبيته .. فرحت كثيرا ..
طلبت الاداة اعادة التشغيل اعدت التشغيل .. واذا بالرانسومير يعود من جديد اعدت الفحص نفس النتيجة لم تستطع حذفه و فك اي شيء.
وفجاة تذكرت البرنامج الذي اتهمته بالاكتشاف الخاطيء على فايسروس توتال الدكتور ويب ..سارعت بتحميله من الهاتف واعادة نفس العملية
قمت بتثبيته وتفعيله بسرعة .. يا اخوان لم تمضي ثواني فقط حتى قام المعلم بحذف الرانسومر من جذوره طلب اعادة التشغيل مرتين للتنظيف
تمكن من سحقه في دقائق ليس غريبا على خبير التنظيف الاول عالميا بعض الملفات فسدت لكن ليس مهما طالما تعرفت على حبيب قلب جديد
هذا رابط فيديو Dr.Web VS Ransomware

pokee · ‏ديسمبر 1, 2018

اخي المشكلة ليست بالاسيت او بتديفندر او كاسبر او الخ
اذا الفايرس جديد اكيد محد بيعرفه ....الا اذا تم الابلاغ عنه ....والدليل تحصل مثلا الايسيت يقدر يحذفه لو صار لك مرة اخرى لانه تم الابلاغ عنه
كل مافي الموضوع ان دكتور ويب واحد بلغ عن الموضوع
ولا يوجد برنامج فتاك ضد الراسمنوير.....كل مافي الموضوع من يحدث بياناته اسرع من البرامج
مصيبة الرانسموير انه لا يوجد برنامج مخصص يفك لك كل انواع التشفير
لان الشفير عبارة عن كود عشوائي
ولذلك ترى برامج فك التشفير تكون مفصلة وخصيصا لذلك الفايرس فقط
انا اارى اهم حاجة هي الحذر ووضع مانع لتغيير اي شي بالسيتيم مع مكافح الفيروسات
هنا تضمن

imadeddine wissam · ‏ديسمبر 2, 2018

مقتبس من pokee: ↑

اخي المشكلة ليست بالاسيت او بتديفندر او كاسبر او الخ
اذا الفايرس جديد اكيد محد بيعرفه ....الا اذا تم الابلاغ عنه ....والدليل تحصل مثلا الايسيت يقدر يحذفه لو صار لك مرة اخرى لانه تم الابلاغ عنه
كل مافي الموضوع ان دكتور ويب واحد بلغ عن الموضوع
ولا يوجد برنامج فتاك ضد الراسمنوير.....كل مافي الموضوع من يحدث بياناته اسرع من البرامج
مصيبة الرانسموير انه لا يوجد برنامج مخصص يفك لك كل انواع التشفير
لان الشفير عبارة عن كود عشوائي
ولذلك ترى برامج فك التشفير تكون مفصلة وخصيصا لذلك الفايرس فقط
انا اارى اهم حاجة هي الحذر ووضع مانع لتغيير اي شي بالسيتيم مع مكافح الفيروسات
هنا تضمن
أنقر للتوسيع...

الرانسومر ليس جديد بل معروف منذ شهر تقريبا حينما حملته ولا احد قد ابلغ عنه
لا لمختبرات الدكتور ويب ولا لغيره ، قلت لك ان برنامج ايست محدث ولم يكتشف شي
واداة البيتدفندر اكتشفته لكن لم تستطع قتله وحذفه ..
سر تفوق الدكتور ويب ليس الابلاغ او سرعة تحديث البرنامج او الابلاغ عن الرانسومر
لكن هو وجود طبقتين للحماية
1- الحماية الوقائية
2- محلل السلوكيات الخرافي وقدرة التنظيف التي لا ينافسه فيها احد ..
قد تجد برامج انتفيروس تقدم حماية وقائية لحماية الملفات من الرانسومر لكنها تعجز عن صده وقت الاصابة
حتى ولو كانت محدثة باخر تحديث والملف مبلغ عنه ...
اذن كلنا نعلم انعدام محلل السلوك في الايست وكذا ضعف قدرة التنظيف لدى البيتدفندر ..
الدكتور ويب رغم اني ثبته بعد الاصابة وتمكن من سحقه بفضل طبقاته وتحليل سلوكيات الرانسومر

أبو عائشه · ‏يناير 10, 2019

موضوع رائع وردود أروع

لا شك أن اختيار عدم التعديل على ملفات النظام يعتبر رادع جيد

تسجيل الدخول

نـقـاش اصبت بـGANDCRAB V5.0.4

MohamedYousri زيزوومي جديد

MohamedYousri زيزوومي جديد

MohamedYousri زيزوومي جديد

السنديان زيزوومى محترف

sakker زيزوومي نشيط

MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

Akram Usama زيزوومي نشيط

pokee زيزوومي VIP ★ نجم المنتدى ★ نجم الشهر فريق الصيانة

MohamedYousri زيزوومي جديد

awake زيزوومي VIP

imadeddine wissam الفائز بمسابقة التصميم الموسم العاشر ★ نجم المنتدى ★

pokee زيزوومي VIP ★ نجم المنتدى ★ نجم الشهر فريق الصيانة

imadeddine wissam الفائز بمسابقة التصميم الموسم العاشر ★ نجم المنتدى ★

أبو عائشه عضو شرف وداعم ذهبي للمنتدى داعــــم للمنتـــــدى ★ نجم المنتدى ★ الأعضاء النشطين لهذا الشهر

مشاركة هذه الصفحة

تسجيل الدخول

نـقـاش اصبت بـGANDCRAB V5.0.4

MohamedYousri زيزوومي جديد

MohamedYousri زيزوومي جديد

MohamedYousri زيزوومي جديد

السنديان زيزوومى محترف

sakker زيزوومي نشيط

MagicianMiDo32 مراقب قسم الحماية طـــاقم الإدارة ★ نجم المنتدى ★ فريق فحص زيزووم للحماية عضوية موثوقة ✔️

Akram Usama زيزوومي نشيط

pokee زيزوومي VIP ★ نجم المنتدى ★ نجم الشهر فريق الصيانة

MohamedYousri زيزوومي جديد

awake زيزوومي VIP

imadeddine wissam الفائز بمسابقة التصميم الموسم العاشر ★ نجم المنتدى ★

pokee زيزوومي VIP ★ نجم المنتدى ★ نجم الشهر فريق الصيانة

imadeddine wissam الفائز بمسابقة التصميم الموسم العاشر ★ نجم المنتدى ★

أبو عائشه عضو شرف وداعم ذهبي للمنتدى داعــــم للمنتـــــدى ★ نجم المنتدى ★ الأعضاء النشطين لهذا الشهر

مشاركة هذه الصفحة

عمليات بحث مفيدة