اصابة بمقتل لكن مانوع برنامج الحماية الذي تستخدمه ؟
وهل لديك نسخه ريكفري احتياطيه ؟
استدعاء لعراب الحماية اخي سامر
@samerira
وعليكم السلام ورحمة الله وبركاته اخي محمد
اذا تذكر محاولاتي العديدة في تأسيس ارضية تعنى
بالحماية والوقاية والعلاج من فيروسات الابتزاز
ومنها كما يبدو لكم في مشكلة احد الاخوة بعنوان
انت تامر اخي الغالي محمد احياك الله وبياك
اما عن رانسوم لوكي يمكنني ان اقدم الحلول التالية
لكن يبقى هو مجرد رأي اتمم من خلاله ما فاتني في الجزء الاول عن فيروسات التشفير
Locky Virus Ransomware
يستخدم رانسوم لوكي طرق مختلفة وعبقرية للتشفير AES-128
فقواعد التشفير لا يمكن ان تفهم حتى تكسر
مما يجعل ملفات المستخدم الخاصة غير قابلة للاسترداد
ويلاحظ ان الملفات التالية هي الاكثر عرضة للتشفير وتغيير امتدادها
doc, .pdf, .xls, .ods, .xlsx
لكن يوجد احتمال بسيط العودة الى تاريخ سابق قبل اصابة الرانسوم للجهاز
يعتمد تشفير الملفات على حجم القرص الصلب وكم البيانات وقد تستغرق هذه العملية ساعات او حتى ايام المشكلة اذا لم يلاحظ المستخدم ذلك من خلال ضعف اداء الكمبيوتر اكثر من المعتاد والاستخدام الكبير لوحدة المعالجة المركزية وذاكرة الوصول العشوائية والمفروض فتح مدير ادارة المهام والبحث عن من يأكل الموارد حتى لو كان اثنين يحملان نفس الاسم ينظر الى اي منهما يستهلك طاقة وحدة المعالجة المركزية ومن ثم يغلق على الفور وتحذف جميع العمليات المرتبطة به
اما اذا تم تشفير الملفات بالفعل ورأينا بالفعل نتائج عمل الرانسوم سيكون هناك نوع من الموقت للضغط على المستخدم للمطالبة بدفع الفدية عن طريق البتكون
اما اذا كنت متأكد انك مصاب بفيروس القفل Locky وهو حصان طروادة والذي يعرف بالقطارة ويعد الطريقة المفضلة لنشر الرانسوم فالملف خفيف جدا وفي غالب الاحيان لا يمكن لبرنامج الحماية كشفه ويمكن ان يبقى في الجهاز لمدة طويلة فيجب عليك التأكد من تنظيف الجهاز من القطارات لانها سوف تحمل دائما رانسوم جديد وان البحث عن القطارات يدويا مستحيل تقريبا لذلك يجب عليك ان تثبت برنامج حماية يملك درجة عالية من الموثوقية
كما يعد من العسير جدا تعقب الرانسوم
ويعد برنامج سباي هنتر المتخصص في الكشف عن رانسوم والملفات المتعلقة به
وسبب كفائته في هذه الحالة الى مسح الجهاز بشكل عشوائي
مما يفوت الفرصة على الرانسوم في الاختباء والتخفي
خطوات العمل اليدوية على وفق التسلسل
إعادة تشغيل الكمبيوتر في الوضع الأمن
استخدام هذه الطريقة إذا كنت لا تعرف كيفية القيام بذلك
كود
msconfig
وينبغي رفع علامة الصح من مربع اعادة التشغيل الى الوضع الآمن
بعد اتمام الخطوات حتى يتسنى الدخول الى الوضع العادي
أول شيء يجب عليك القيام به بعد الدخول الى الوضع الآمن هو الكشف عن كافة الملفات والمجلدات المخفية
ويجب عدم تخطي هذا الاجراء فقد يخفي فيروس لوكي بعض ملفاته
او من خلال لوحة التحكم ومن ثم النقر على خيارات الملف
فتح ملف الهوست
يتم فتح ملف المضيف بواسطة المفكرة
الضغط على حرف
R + شعار الويندوز
ومن ثم لصق الكود في المربع ثم انتر
notepad %windir%/system32/Drivers/etc/hosts
سيتم فتح ملف جديد إذا وجد اختراق سيكون هناك مجموعة من الاي بي المتصلة في الجزء السفلي
مجموعة الاي بي الشائعة للرانسوم لوكي وبعض الانواع الجديدة تستخدم برتوكولات مختلفة
التحقق من التطبيقات التي تعمل مع بدء تشغيل النظام
في حقل البحث في الويندوز اكتب
msconfig
ثم دخول
الغي الادخالات المجهولة على وفق الشركة المصنعة
لفتح مدير مهام ويندوز
windows task manager
اضغط على المفاتيح الثلاثة في الوقت نفسه
CTRL + SHIFT + ESC
ثم اذهب الى تبويب العمليات
لتحديد العمليات الضارة
يمكن التحقق من الشركة المصنعة فضلا عن خواص العملية
يرجى التأكد تماما قبل اجراء عملية الحذف
يتم النقر كليك يمين ثم تحديد موقع الملف ومن ثم انهاء العملية بعد فتح المجلد ومن ثم حذف الدلائل
فتح محرر الرجيستري
من حقل البحث في الويندوز اكتب
Regedit
ثم ادخال وبعد فتح المحرر اضغط معا على
CTRL + F
ثم اضغط اسم الفيروس
استخدام البحث للعثور على أي شيء مع كلمة locky
وازالتها واحدة تلو الاخرى
البحث عن الرانسوم في السجلات وحذف ادخالاته
كن حذرا اذ في حالة الخطأ قد يؤدي الى تلف نظام العمل
ومن ثم ابحث في محرر الرجيستري عن الملفات التالية
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed
HKCU\Control Panel\Desktop\Wallpaper
اكتب الاجراءات التالية في حقل بحث الويندوز ثم اضغط دخول
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
%Temp%
ومن ثم حذف كل شيء في الملفات المؤقتة
كما ابحث عن الملفات التالية في حقل بحث الويندوز
ربما الحل الانجع في اصابات رانسوم التشفير
استخدام نسخة احتياطية للنظام
اذ يمكن ببساطة استعادة النسخة قبل الاصابة
اذا لم يك لديك نسخة احتياطية يمكن المحاولة مع برنامج استرجاع الملفات المحذوفة
من خلال الموقع الرسمي حمل الاصدار المجاني
وعند بدء تشغيل البرنامج قم بتحديد انواع الملفات التي تريد استرجاعها
او اذا كنت تريد كافة الملفات ومن ثم حدد موقع المسح او مسح جميع المواقع
انقر فوق مربع تمكين الفحص العميق والبرنامج يستغرق وقت طويل للمسح ومن ثم الاستعادة
ويمكن القول ببساطة حاليا لا تتوافر اي طريقة معروفة لفك تشفير الملفات المشفرة بواسطة لوكي
مع ذلك توجد محاولات تكتب لها النجاح وان كانت بنسب ضئيلة
ومن خلال التجربة والمتابعة وجدت ان برنامج سباي هنتر ربما الوحيد القادر على الكشف عن رانسوم لوكي
وفي بعض الحالات يتم فك التشفير عن الملفات بواسطة برنامج استعادة الملفات ريكوفا
وما يبدو لكم في الخطوات السبقة افضل ما يمكن عمله
مع الشكر والتقدير
ودمتم سالمين وغانمين
