مغلق لعدم المتابعة كيف اتخلص من ملفات الفدية rivd ؟

[apt]

السلام عليكم،

في قرص صلب خارجي وجدت ان معظم الملفات تم تشفيرها بملف الفدية ذو الامتداد rivd.

حاولت حل الامر باداة Emisoft STOP Djvu decryptor

ولكنه اعطاني هذه الملاحظة :

فهل من حل رجاء ؟

بارك الله فيكم.

 

[tasaka]

.

1- الرساله بتقول لك ان التشفير نوعه اونلاين .. و ان فك التشفير مستحيل

.. و اضاف لك رقم تشفير الهاكر ID



2- راجع هذه الروابط ستفيدك

https://forum.zyzoom.net/threads/395248/#post-4759913

https://forum.zyzoom.net/threads/395248/#post-4759982



.

 

[apt]

شكرا اخي الكريم.

لا حل في المتناول حاليا.

 

[tasaka]

شكرا اخي الكريم.

لا حل في المتناول حاليا.

.

1- الحل المتاح حاليا .. هو محاوله استرداد الداتا الان قبل ان تقوم بالكتابه على الهارد ( مثلا تثبيت ويندوز جديد )

.. الاسترداد يتم باستعمال مجموعه الطرق الموضحه فى الروابط ( بالترتيب )

.. و اولها Shadow Explorer ( لو كانت نقاط الاسترداد مفعله عندك و ما زالت موجوده .. و لم يقوم الفيروس بحذفها )



2- فك تشفير .. غير متاح حاليا ( و اعتقد شبه مستحيل مستقبلا ايضا )


.

 

[apt]

القرص المصاب خارجي ومربوط حاليا مع الحاسوب.

هل عدم فصل القرص المصاب وتركه هكذا يعرض الحاسوب للاصابة كذلك ؟

 

[tasaka]

.

1- لم انتبه سابقا ان الهارد خارجى ( الذى عليه الاصابه )

2- اذا كانت اصابه الفديه حدثت معك على جهازك فى وجود الهارد الخارجى .. يجب اتباع خطوات التنظيف للفيروس طبقا للروابط ( لجهازك و الهارد الخارجى )

3- اذا كانت اصابه الفديه لم تحدث معك على جهازك .. و اصابه الهارد الخارجى حدثت مع شخص اخر على جهاز اخر .. يجب فحص جهازك و الهارد الخارجى للتأكد من عدم وجود فيروس فديه


الملفات المصابه ( المشفره )

- بصفه عامه الملفات المصابه ( بمعنى الملفات المشفره التى تغير امتدادها ) .. هى ليست فيروسا .. هى فقط ملفات تم تشفيرها .. و يمكن الاحتفاظ بها منفصله .. و لا يلزم تنظيف لها لانها ملفات مشفره

- الذى يلزم تنظيفه و التأكد من عدم وجوده .. هو فيروس الفديه نفسه الذى تسبب بتشفير هذه الملفات .. يجب عمل فحص كامل لجهازك و الهارد الخارجى ببرامج تنظيف فيروس الفديه

- و ايضا الذى يلزم تنظيفه و التأكد من عدم وجوده .. هو ملحقات فيروس الفديه من برامج خبيثه تأتى مرفقه مع فيروس الفديه

- فيروس الفديه يمكنه الانتقال عبر الشبكه الى اجهزه اخرى ..و يمكنه تشفير الهاردات الخارجيه ( و قد يكون النتقال اليها ايضا )



.

 

[apt]

انتهيت منذ قليل من فحص الجهاز باكمله مع القرص الخارجي المصاب بواسطة EIS.

 

[apt]

كما أعتقد أن الاصابة حدثت بالجهاز الحالي وأن القرص الصلب المصاب كان - ولا يزال - متصلًا بالجهاز.

هل تعتقد ان الجهاز ككل تم اصابته وتقرير الانتي فايروس لم يشر الى وجوده في الفحص الاخير المشار اليه ؟

 

[tasaka]

كما أعتقد أن الاصابة حدثت بالجهاز الحالي وأن القرص الصلب المصاب كان - ولا يزال - متصلًا بالجهاز.

هل تعتقد ان الجهاز ككل تم اصابته وتقرير الانتي فايروس لم يشر الى وجوده في الفحص الاخير المشار اليه ؟

.

1- لا اعلم هل قمت بتنظيف الفيروس قبل هذه المره ؟؟؟ .. ام ان هذا الفحص يحدث لاول مره


2- ادوات ( برامج ) تنظيف الفيروس .. وضعتها فى الروابط منها مالويربايت و يستخدم من السيف مود .. و برامج اخرى ايضا ( ليس من ضمنها ESET )


3- ان كنت تريد التنظيف الصحيح .. و الاحتياطات الصحيحه .. اقرأ الروابط .. و الروابط الفرعيه داخل هذه الروابط .. اى سؤال فى ذهنك ستجد اجابته هناك


4- من كلامك يبدو انك لا تعرف كيف حدثت الاصابه ؟؟ .. الاصابه تكون اولا لجهازك .. ثم للاجهزه الاخرى المتصله على نفس الشبكه Network لان الفيروس ينتقل اليها خلال الشبكه .. و ايضا الى الهاردات الخارجيه


5- فاذا كانت الاصابه حدثت على جهازك .. فهو اول شيئ يصاب ( جهازك ) .. و المفروض تجد ملفات مشفره على جهازك نفسه .. هل هذا حدث عندك على جهازك ؟؟؟ اوضح ذلك

اما اذا كان جهازك غير مصاب .. فممكن ان الفيروس اتى عن طريق الشبكه مثلا او فلاشه مثلا .. او انك اوصلت الهارد الخارجى على جهاز او شبكه مصابه

لا اعلم .. انت المفروض من يعلم ذلك


6- يأتى مرفقا مع الفيروس بعض البرامج الخبيثه .. يجب ازالتها ايضا .. كل شيئ موضح فى الروابط الداخليه التى وضعتها لك


7- اقرأ الروابط جيدا .. ستغنيك عن اسئله اجابتها موجوده فى الروابط


.

 

[apt]

1 - لا اعلم هل قمت بتنظيف الفيروس قبل هذه المره ؟؟؟ .. ام ان هذا الفحص يحدث لاول مره

قمت قبل يومين من فحص القرص الخارجي بواسطة EIS ومسح لي بعض الملفات (حوالي 4) والتي وجدها مصابة.

2 - ادوات ( برامج ) تنظيف الفيروس .. وضعتها فى الروابط منها مالويربايت و يستخدم من السيف مود

لم يات ذكر نوع الفيروس الموجود عندي الا وهو rivd.

3- ان كنت تريد التنظيف الصحيح .. و الاحتياطات الصحيحه .. اقرأ الروابط .. و الروابط الفرعيه داخل هذه الروابط .. اى سؤال فى ذهنك ستجد اجابته هناك

حدث لي فيها بعض التشتت.

4- من كلامك يبدو انك لا تعرف كيف حدثت الاصابه ؟؟ .. الاصابه تكون اولا لجهازك .. ثم للاجهزه الاخرى المتصله على نفس الشبكه Network لان الفيروس ينتقل اليها خلال الشبكه .. و ايضا الى الهاردات الخارجيه

لا يوجد ملفات مشفرة على جهازي...

لا اعلم .. انت المفروض من يعلم ذلك

كنت استعمل هذا القرص دائما لحفظ بياناتي ومنذ اكثر من سنتين كان موصولا بجهاز اخر.

ولكن الاصابة اكتشفتها منذ ايام فقط !

- اقرأ الروابط جيدا .. ستغنيك عن اسئله اجابتها موجوده فى الروابط

وهل تنفع تلك الروابط في حالة فيروس rivd ؟

 

[tasaka]

قمت قبل يومين من فحص القرص الخارجي بواسطة EIS ومسح لي بعض الملفات (حوالي 4) والتي وجدها مصابة.
لم يات ذكر نوع الفيروس الموجود عندي الا وهو rivd.
وهل تنفع تلك الروابط في حالة فيروس rivd ؟

.

1- نعم تنفع مع rivd. .. كلها من نفس العائله stop djvu

.. يعنى كلهم متشابهين ( اقصد اسماء الامتدادات المختلفه ) بشرط ان يكونوا تابعين لنفس العائله stop djvu



2- الفرق الوحيد لفيروسات فديه هذه العائله stop djvu

.. انه كان يوجد نوع قديم قبل اغسطس 2019 ( تشفير قديم ) .. يسمى مجازا الاصدار القديم

.. و نوع اخر حديث بعد ذلك التاريخ ( يسمى مجازا الاصدار الحديث ) .. بيستعمل تشفير احدث ( لمنع ادوات فك التشفير من استرداد الملفات المصابه ) .. و ايضا النوع الحديث تلافى ( بمعنى اوقف ) بعض طرق استرداد الملفات كمثلا انه يقوم بحذف نقاط الاسترداد من الكمبيوتر المصاب

طبعا عندك النوع الحديث من التشفير ( فيروس حديث )



3- اسم الامتداد يتغير باستمرار ( كمثال الاسم الذى عندك ) .. لكن هو نفس الفيروس و هو من نفس العائله stop djvu


4- يقوم الهاكرز بتغيير اسم الامتداد مره او اكثر كل اسبوع ( لنفس الفيروس )

.. قد يكون هذا لكى لا يعرف الفيروس من الضحايا

.. او لعدم اكتشاف الفيروس ببرامج الانتى فيرس .. ان كان الامتداد القديم السابق قد تم اضافته الى تحديثات برامج الانتى فيرس ..... الخ

حدث لي فيها بعض التشتت.

.

5- الخلاصه هو نفس الفيروس الموجود فى الروابط التى وضعتها لك .. كل ما ذكر فى الروابط ينطبق على اصابه فيروس الفديه لديك بالامتداد المذكور عندك



.

 

[apt]

على الرغم من أن الروابط كثيرة ومتشعبة، ومن الصعب التنقل بينها، سأحاول تنزيل التطبيقات الضرورية لاستخدامها في الوضع الآمن.

 

[tasaka]

على الرغم من أن الروابط كثيرة ومتشعبة، ومن الصعب التنقل بينها، سأحاول تنزيل التطبيقات الضرورية لاستخدامها في الوضع الآمن.

.

كل تشعب ستجده خاص بجزئيه محدده

.. مثلا وصف الفيروس و ملحقاته من البرامج الخبيثه .. جزئيه الاحتياطات .. جزئيه التنظيف .. جزئيه فك التشفير لو متاح .. جزئيه برامج محاوله الاسترداد ..... الخ

و كلها منظمه بدقه داخل كل جزئيه و بترتيب خطوات الحل .. اقرأ الجزئيات .. و نفذ كل جزئيه على حده

الجزئيات منظمه بترتيب مايجب عليك عمله اولا بالترتيب


.

 

[tasaka]

كنت استعمل هذا القرص دائما لحفظ بياناتي ومنذ اكثر من سنتين كان موصولا بجهاز اخر.

ولكن الاصابة اكتشفتها منذ ايام فقط !

.

يعنى اقصى شيئ الاصابه من 2021 او قبلها


لو حظك كويس .. ممكن يكون الزميل الاخر الذى اصيب .. قد اصيب قبل اغسطس 2019 ( ممكن جدا ) .. بالتالى سيكون عنده الفيروس الاصدار القديم

الفيروس الاصدار القديم يمكن فك تشفيره بالكامل فى الاغلب الاعم ( قمت بفك تشفير هارد كامل زمان 500 جيجا بالكامل من اصدار الفيروس القديم


الخلاصه

1- يجب ان تستخدم طريقه معرفه الفيروس اونلاين او اوفلاين ( اكثر من طريقه موضحه بالتفصيل فى الروابط )

.. يكون حظك كويس لو كان اصدار قديم اوفلاين .. سيتم استعمال اداه فك التشفير مباشره


2- ان كانت الاصابه اونلاين .. فهذا يعنى الاتى :

- اما ان زميلك اصيب بعد 2019 باصدار حديث

- او انك اصبت بالفيروس من مكان اخر قريبا ( احتمال كبير جدا جدا ) .. انا ارجح هذا الاحتمال


ساحاول معرفه متى ظهر هذا الفيروس ان وجدت وقت .. عموما ما حدث قد حدث .. و معرفه كيف و متى حدث لن يفيدك فى شيئ الان

المهم تحديد نوع الاصابه فيروس قديم او حديث .. و اوفلاين ام اونلاين




.

 

[apt]

الاصابة اونلاين حسب Emsisoft Decryptor for STOP Djvu (والبرنامج لا يعمل مع الفيروسات الجديدة بعد 2019) :

وحسب تاريخ الملفات المصابة كان الامر في 29 اكتوبر 2021 :

للعلم لم اجد هذا المجلد على هذا المسار :

C: \ SystemID

 

[tasaka]

.
- او انك اصبت بالفيروس من مكان اخر قريبا ( احتمال كبير جدا جدا ) .. انا ارجح هذا الاحتمال


ساحاول معرفه متى ظهر هذا الفيروس ان وجدت وقت .. عموما ما حدث قد حدث .. و معرفه كيف و متى حدث لن يفيدك فى شيئ الان

المهم تحديد نوع الاصابه فيروس قديم او حديث .. و اوفلاين ام اونلاين

.

.

يوجد مقالين خاصين بالفيروس .. فبراير 2022 و مقال اخر 2023

لذلك الاحتمال الذى رجحته لك هو الاحتمال الاكبر .. انك اصبت بالفيروس قريبا من مكان اخر ( غير زميلك القديم من سنتين )



.

 

[tasaka]

الاصابة اونلاين حسب Emsisoft Decryptor for STOP Djvu (والبرنامج لا يعمل مع الفيروسات الجديدة بعد 2019) :

مشاهدة المرفق 243452

وحسب تاريخ الملفات المصابة كان الامر في 29 اكتوبر 2021 :

مشاهدة المرفق 243453

.

تاريخ قريب من تاريخ المقال الاول فبراير 2022

عموما فى الروابط التى وضعتها .. ستجد رابط داخلى سيكون فى جزئيه برامج فك التشفير

.. ستجد رابط لموقع تقوم بمتابعته لمعرفه هل ظهر اسم امتدادك هناك ام لا ( سيكون اساسا لفك التشفير الاوفلاين لبعض الامتدادات تم كسر تشفيرها ) .. لو ظهر امتدادك هناك لن تخسر شيئا من تجربه فك التشفير ؟؟؟

و طبعا الاحتمال الاساسى الواضح .. لا يوجد فك تشفير فيروس حديث اونلاين ( حتى الان ) غير معلوم ما سيظهر او يحدث مستقبلا


.

 

[apt]

ساحاول تطبيق الاجراءات التالية :

- اداة MalwareBytes
- Emisoft Kit
- Hitman
- Karspersky Removal Tool

وهذه صورة مؤقتة لاداة المالوير بايت لفحص القرص الخارجي المصاب في الوضع العادي :

 

[tasaka]

ساحاول تطبيق الاجراءات التالية :

- اداة MalwareBytes
- Emisoft Kit
- Hitman
- Karspersky Removal Tool

وهذه صورة مؤقتة لاداة المالوير بايت لفحص القرص الخارجي المصاب في الوضع العادي :

مشاهدة المرفق 243454

.

الصوره توضح 44 اصابه


2- استعمال برنامج MalwareBytes لازاله فيروس الفديه تكون من داخل السيف مود .. و ليس من داخل الويندوز العادى

كل الخطوات مذكوره بالتفصيل و بدقه لكل ما يجب عمله .. اتبع الخطوات

 

[بنت الأمارات]

حسبي الله ونعم الوكيل على صاحب هذا الفايرس قبل سنة اصيت ملفاتي بفيروس فديه نوع hjad وعملت كل شي ولم افلح بفك التشفير