إستفسار فك تشفير

H

hally

زيزوومي جديد
إنضم
21 نوفمبر 2025
المشاركات
6
مستوى التفاعل
4
النقاط
0
غير متصل

السلام عليكم ورحمة الله و بركاته​

لدى مشكلة أعانى منها منذ عام 2023 وحتى الآن فى هارد ديسك عليه كل عملى ثم أصيب جهازى بفيروس الفدية و تم تشفير كل ملفاتى بأمتداد lkhy .​

حاولت كتيرآ و استعنت ببرامج معروفة و غير معروفة لفك هذا التشفير دون جدوى .​

فهل أجد حل لديكم ؟​

أعرف ان هذا المنشور ليس فى مكانه و لكن حاولت نشره فى منتدى الحماية وجدت انه ليست لدى صلاحية لنشره هناك فمعذرة .​

تحياتى لحضراتكم​

 

ترتيب حسب التاريخ ترتيب حسب الأصوات
وعليكم السلام ورحمة الله وبركاته
أولًا: أسأل الله لكم أن يخلفكم خيرا ويجيركم على ما أصابكم ويهون عليكم. أعلم أن الأمر صعب لأنه حدث من قبل أمامي.

امتداد lkhy تابع لعائلة فيرس التشفير STOP (Djvu) Ransomware .. وهذا الامتداد صدر بعد تاريخ أغسطس 2019.. وأي امتداد صدر بعد ذاك التاريخ فلا يمكن فك تشفيره.
لا يمكن فك التشفير إلا بدفع الفدية 999$ .. حتى أنه غير مضمون أنهم بعد دفع الفدية سيقوموا بإعطائك المفتاح الذي يفك الملفات.

--الحل البديل--
استخدام برامج استعادة البيانات (Recovery Data Software).

--الفكرة وراء هذا الحل--
عندما يدخل فيرس الفدية، يقوم بتشفير جزء من الملف الذي يهاجمه، وبالتالي الملف يتيغر ويصبح غير قابل للاستخدام. لكن باستخدام برامج استعادة البيانات، فنحن نحاول استعادة حالة الملف قبل أن يتم تشفيره. وكأننا نتعامل على أن الملف تم حذفه ونريد استعادته بالبرامج.
فنحن نحاول استعادة الملف، وهذا ليس فك تشفير، لأن الفك كما قلنا لازم يكون من المفتاح الذي يعطيك إياه الهاكرز بعد دفع الفدية.

--ما البرنامج الذي أرشحه--
TestDisk & PhotoRec
هو برنامجين في الحقيقة، من نفس المطور، لكن PhotoRec سيكون استخدامه أفضل في حالتنا هذه.
التحميل من هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنا كنت تكلمت هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
عن استعادة الملفات في العموم، وتكلمت أن PhotoRec ووضعت لينك فيديو فيه شرح.
لكن ممكن أضع رد (بعد هذا الرد) لأوضح الخطوات أكثر بخصوص استخدام البرنامج بحيث ربما هناك المزيد من الأمور أو الإعدادت التي ينبغي علينا استخدامها في البرنامج قبل البدء باستعادة الملفات.

في ظني PhotoRec سيكون الأفضل في استعادة الملفات، مع التأكيد على أمرين:
1. البرنامج لن يستعيد كافة الملفات وإنما جزء منها.
2. البرنامج عند استعادته للملفات، فإنه يستعيدها سائبة وغير مرتبة (يعني بدون فولدراتها الأصلية التي كانت فيها) .. وكذلك بدون أسمائها الأصلية، وإنما الملفات تكون متسمية بأسماء أو أرقام عشوائية.

من أراد الاستزادة ومعرفة معلومات حول STOP (Djvu) Ransomware
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : abdo_mohamed
  • Like
التفاعلات: hally
تأييد 0
عذرا على التأخير

استعادة البيانات باستخدام Photorec
قبل البدء أريد التأكيد على:
- البرنامج لن يستعيد كافة الملفات وإنما بعضا منها.
- البرنامج يقوم باستعادة الملفات ولكن ليست بمسماها الأصلي ولا يستعيد الفولدرات التي كانت محفوظة فيها الملفات... بمعنى لو في مثلا صورة كانت محفوظة في هذا الفولدر على الهارد:
كود: 
"F:\صور\test.png"
فسيقوم باستعادتها بدون الفولدر الذي كانت فيه وسيتغير اسمها إلى أرقام عشوائية.
ففمكن يكون اسمها مثلا:
f12345.png
أو
t12345.png
أو
b0001.png
الحروف التي في بداية الاسم لها معنى، حيث:
ال f تعني أن الملف كامل Full/normal file
ال t تعني أن هذه نسخة مصغرة من الصورة الأصلية Thumbnail
ال b تعني أن الملف معطوب وليس كاملا وربما لا يُفتح بشكل جيد Broken/fragmented file

والآن طريقة استعادة الملفات، والتي ستأخذ وقتا طويلا، عدة ساعات، ويرجى قراءة الطريقة كاملة قبل البدء فيها حتى تأخذوا فكرة عنها وعن الملطوب.
--تحميل البرنامج--
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

(حملوا آخر إصدار والذي هو 7.3 وقت كتابتي لهذا الرد TestDisk & PhotoRec 7.3-WIP, Data Recovery)
ثم فكوا الضغط عنه.
قوموا بتوصيل الهارد إلى الكمبيوتر باستخدام الوصلة المناسبة ثم نبدأ بفتح البرنامج photorec_win.exe

ملاحظة: إذا ظهرت رسالة زرقاء مثل التي في الصورة عند تشغيل البرنامج، فنضغط على More Info ثم نضغط على زر Run Anyway
0.webp


--نقطة هامة--
إذا كانت مثلا مساحة الهارد المصاب 500 جيجا، فنحتاج مساحة مثلها قريبة من 500 جيجا في درايف (مثل F, D, E ..etc) في الهارد الحالي الموجود في الكمبيوتر حتى يكون في مكان للملفات المستعادة.
إذا لم توجد مساحة فستحتاجوا هارد آخر فيه مساحة 500 جيجا خالية يتم توصيله بالكمبيوتر بوصلة. بحيث يتم استعادة الملفات من الهارد المصاب إلى الهارد الآخر.
بعد الاستقرار على المكان/الدرايف الذي سنستعيد إليه البيانات، قوموا بإنشاء فولدر فيه وسموه بالإنلجيزي، وليكن مثلا Recovered files. أنا في مثالي هذا في الشرح قمت بإنشاء الفولدر في درايف ال F

والآن بعد ما وصلنا الهارد المصاب بالكمبيوتر وأنشأنا فولدر Recovered files .. نفتح البرنامج photorec_win.exe
1. تأكدوا من أن لغة الكيبورد الحالية التي تكتبون بها هي اللغة الإنجليزية ... ثم بعد فتح البرنامج، ستجدوا قائمة بالهاردات الموجودة لديكم وأي أجهزة تخزين متوصلة بالكمبيوتر، ستختاروا الهارد الذي تريدوا استعادة الملفات منه بأسهم الكيبورد فوق وتحت ثم Enter.
أنا عندي كما في الصورة سأختار هذه الفلاشة كمثال:
1.webp



ملاحظة: إذا كنتم لا تستطيعوا معرفة اسم الهارد المراد استعادة الملفات منه، فأغلقوا البرنامج ثم أزيلوا الهارد من الكمبيوتر (الهارد اللي متوصل بالكمبيوتر عن طريق الوصلة)...
ثم افتحوا البرنامج مرة أخرى ولاحظوا أسماء الهاردات الموجودة جيدا أو خذوا Screenshot لها .. ثم أقفلوا البرنامج وأعيدوا توصيل الهارد بالكمبيوتر وافتحوا البرنامج مجددا.. الاسم الذي ظهر الآن ولم يكن ظاهرا عندما أزلتم الهارد من الكمبيوتر هو اسم الهارد المراد.


2. بعد اختيار الهارد الصحيح (المصاب بالتشفير) نتحرك إلى اليمين بالكيبورد لتحديد كلمة options ثم Enter
2.webp


3. نطلع فوق بالكيبورد ونغير قيم الحقول التالية كما يلي (تغيير القيم يكون باليمين والشمال من الكيبورد):
Paranoid: Yes (Brute force enabled)
Keep corrupted files: Yes
ونترك قيم آخر حقلين كما هما. ثم ننزل تحت لنختار Quit (الاختيار يكون بالضغط على Enter)
3.webp


4. نتحرك إلى اليمين بالكيبورد لتحديد كلمة File Opt ثم Enter
4.webp



5. سنضغط على زر s من الكيبورد لإلغاء تحديد كافة أنواع الملفات المراد استعادتها، ثم ننزل بالكيبورد لنختار نحن الملفات التي نريدها.. وهذا أفضل لأنه سيسرع من عملية الاستعادة بالإضافة إلى أنه لا فائدة من استرجاع أنواع ملفات لا نستخدمها كأنواع ملفات خاصة بنظام الويندوز مثلا.
ننزل ونطلع بالكيبورد للتنقل بين أنواع الملفات.
يمين وشمال بالكيبور يقوم بوضع أو إزالة علامة التحديد أمام نوع الملف.
weyyvcin.png


نحن سنخار هذه العائلات من الملفات والتي تندرج تحتها عدة أنواع/امتدادات:
7z
asf
bmp
doc
flv
gif
jpg
mkv
mov
mp3
ogg
pdf
png
psb
psd
rar
riff
rm
tif
ts
tx?
txt
zip

ثم نضغط على زر b حتى نحفظ هذه الاختيارات في البرنامج إذا فتحناه مرة أخرى مستقبلا .. وستظهر رسالة تفيد لنا بأن الاختيارات تم حفظها، عندها نضغط على ok من خلال زر Enter ثم نضغط على Quit من خلال زر Enter
نقطة مهمة
هذه الخيارات التي اخترناها بالأعلى هي تشمل أنواع ملفات كثيرة ومناسبة لأغلب المستخدمين، لكن مثلا في أنواع ملفات مرتبطة بعمل الشخص، مثلا لو شخص يعمل على برنامج AutoCAD ، فذلك البرنامج يحفظ ملفات العمل بصيغة dwg .. عندها إذا أراد الشخص استعادة هذه الملفات فعليه أن يختار هذه الضيغة مع الصيغ السابقة.
عموما هذه قائمة بالصيغ التي يستعيدها البرنامج:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


6. بعد الانتهاء من تحديد الأنواع والصيغ، وعودتنا إلى تلك الواجهة كما في الصورة بالأسفل، نتحرك للأعلى لنختار [Whole Disk] .... ثم نتحرك إلى اليسار لنختار search
z44qe7wg.png


7. ثم نختار other ونضغط على enter
h3wj23zr.png


8. الآن سنكون في الواجهة التي نختار من خلالها الفولدر الذي سنقوم باستعادة البيانات إليه (كما ذكرنا سابقا، أنا سميته هنا Recovered files ووضعته في درايف F)
كما في الصورة، فهو يظهر لي المسار الذي فيه برنامج Photorec حاليا، سأقوم بالضغط على زر الشمال من الكيبورد عدة مرات (وأنا على أول خيار كما في الصورة) حتى أرجع للوراء بالمسار وأصل إلى قائمة الدرايفيرات التي عندي.
wvvbro3h.png


9. وهذا بعدما وصلت إلى قائمة الدرايفيرات، وسأتحرك بزر بالأسفل من الكيبورد حتى أصل إلى ال F وأضغط على Enter (مرة أخرى، ال F هنا هو كمثال لأنه فيه مساحة عندي أستطيع استعادة الملفات إليه)
cc7tbzvj.png


10. سأنزل تحت حتى أجد اسم الفولدر الذي سأستعيد الملفات إليه (Recovered files) ثم أضغط Enter للدخول عليه ثم أضغط على c لتأكيد الاختيار وبدء عملية الاسترجاع
l9x2rluc.png


11. وبمجرد الضغط على c كما أشرنا في الخطوة 10 ، فإن عملية الاسترجاع ستبدأ كما بالصورة بالأسفل وستأخذ وقتها. دعوا الكمبيوتر ولا تستخدموه في هذا الوقت. الأفضل أن تعملوا هذه العملية قبل النوم وتتركوا الكمبيوتر.. عملية الاستراجاع ممكن تأخذ 12 ساعة أو أكثر أو أقل، هذا يرجع إلى عوامل عديدة منها حجم الهارد الذي نريد استرجاع البيانات منه.
nz4fwt45.png


12. بعد الانتهاء، ستظهر صورة شبه التي بالأسفل مفادها أن العملية انتهت ويمكنكم التوجه إلى الفولدر ورؤية الملفات المستعادة
f358a2pe.png



عملية الاستعادة تحتاج إلى الجهد والوقت والصبر، وكما تعلمون النتيجة هي استعادة بعض الملفات وليس كلها، فالخيار لكم.

والرد التالي سيكون كيفية البحث في الملفات ببرنامج Void Everything
 
التعديل الأخير:
توقيع : abdo_mohamed
تأييد 0
(تنبيه: الملفات الظاهرة في الصور التالية هي من أجل الشرح فقط ولم أقم باستعادة هذه الملفات من الفلاشة التي كنت أقوم بشرح برنامج Photorec عليها ... لأني لا أحتاج إلى استعادة ملفات حاليا، إنما أردت الشرح فقط.. لكني استخدمت من قبل برنامج Photorec واستعدت جزء من الملفات بالفعل)

ستكون الملفات كثيرة، فمن الأفضل استخدام برنامج يسهل علينا البحث في الملفات وبالأخص الصور. برنامج Everything تحميله من هنا (إختر Download Installer 64-bit أو Download Portable Zip 64-bit)
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

البرنامج هو فهرسة وبحث لمحتويات الهارد أو أي جهاز تخزيني متصل بالكمبيوتر. وبعد تثبيته وفتحه أول مرة، سيطلب البرنامج منكم في رسالة تشغيله كمسؤول، وافقوا عليها بالضغط على ok .. ثم اتركوه مدة دقيقة مثلا حتى يقوم بفهرسة الملفات (عندما تظهر الملفات أمامكم في واجهة البرنامج، فحينها الفهرسة قد انتهت).

الآن سنختار القائمة View ثم على Filters وستجدوا bar صغير ظهر على اليمين بجانب حقل البحث.
everything_6fe56Le9rx.webp





الآن ممكن نذهب إلى الفولدر الذي فيه الملفات المستعادة F:\Recovered files في ال file explorer ثم نضغط كليك يمين على أي مكان فارغ ثم نختار Search Everything حتى يتم فتح هذا المسار في برنامج everything
أو إذا لم يكن هذا الخيار متاح، فممكن نستخدم طريقة أخرى وهي التوجه داخل البرنامج نفسه للوصول إلى الفولدر، وذلك بكتابة مسار الفولدر في حقل البحث بين علامتين تنصيص ثم مسافة كما يلي:
كود: 
"F:\Recovered files\"
everything_mYDNRccJul.webp


ويمكننا فلترة محتوى أنواع الملفات من ال bar الذي على اليمين الذي كنا أظهرناه سابقا، ممكن نختار ظهور الصور فقط أو الفيديوهات فقط أو ملفات الوثائق فقط .. وهكذا.
ويمكننا تغيير طريقة عرض الملفات فنجعلها مثلا Large Thumbnail لرؤية الصور بشكل أوضح.
أنا هنا مثلا في الصورة قمت بإظهار الصور فقط من الفلتر الذي على اليمين ثم اخترت Large Thumbnail من قائمة view لإظهار الصور أمامي:
everything_ud5tBkhJLe.webp


ويمكنني مثلا فلترة الصور الكاملة التي يسبقها حرف f (كما ذكرنا في الرد السابق.. f معناه أن ملف الصورة كامل وسليم ويمكن استخدامه) من خلال أني أكتب في حقل البحث f ثم علامة النجمة * كما بالصورة:
(هذا البحث --ال f والنجمة-- معناه أني أبحث في أسماء الملفات التي تبدأ بحرف ال f ثم يليه أي حروف أخرى)
everything_shimvRE0zT.webp



طبعا أنا هنا الفلتر مضبوط على pictures ولهذا تظهر الصور فقط، لكن إذا كان الفلتر على Everything وأردت مثلا رؤية صور jpg و png وفيديوهات mp4 التي تبدأ بحرف ال f، فسيكون البحث هكذا:
كود: 
"F:\Recovered files\" f*.jpg|f*.png|f*.mp4
فعلامة ال | معناها "أو" .. أي ابحثلي في الملفات التي تبدأ بحرف ال f وتنتهي بامتداد jpg أو الملفات التي تبدأ بحرف ال f وتنتهي بامتداد png أو الملفات التي تبدأ بحرف ال f وتنتهي بامتداد mp4

everything_oVL98AwCMT.webp


ويوجد هنا قائمة بال Syntax المستخدم في البحث في البرنامج:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
التعديل الأخير:
توقيع : abdo_mohamed
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى