خبر خوش Bitdefender برای قربانیان باج‌افزار GandCrab

شرکت ضدویروس Bitdefender ابزار رایگانی را عرضه کرده که قربانیان باج‌افزار GandCrab را قادر به رمزگشایی فایل‌ها بدون نیاز به پرداخت مبلغ اخاذی شده توسط نویسندگان این باج‌افزار می‌کند.

به نظر می‌رسد که پس از ضبط و مصادره دستگاه(های) متعلق به گردانندگان GandCrab، کلیدهای رمزگشایی آن از طریق نهادهای قانونی در اختیار شرکت Bitdefender قرار داده شده است.

به گزارش شرکت مهندسی شبکه گستر، کشف نخستین نسخه از این باج‌افزار به حدود دو ماه پیش باز می‌گردد. ضمن اینکه گردانندگان GandCrab، فروش آن را در قالب خدمات موسوم به “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service) در یکی از تالارهای گفتگوی اینترنتی هکرهای روسی زبان تبلیغ می‌کردند.

با توجه به انتشار گسترده آن از طریق بهره‌جوها (Exploit) و هرزنامه‌ها (Spam) در همین مدت کوتاه، GandCrab تبدیل به یکی از بازیگران اصلی صحنه باج‌افزارها شد. به نحوی که شرکت مایکروسافت آن را یکی از سه باج‌افزار پرانتشار سال میلادی جاری معرفی کرده است. نکته جالب این که این باج‌افزار هیچ قربانی در کشورهای عضو سابق اتحاد جماهیر شوروی نمی‌گرفته؛ احتمالاً با این هدف که گرفتار قوانین مشترک بین این کشورها نشود.

بر طبق آمار مایکروسافت عمده قربانیان GandCrab در برزیل، آمریکا، هند، اندونزی و پاکستان بوده‌اند.

این باج‌افزار به فایل‌های رمز شده پسوند GDCB را الصاق می‌کند.

فایل‌های رمزگذاری شده توسط تمامی نسخه‌های GandCrab با استفاده از ابزار Bitdefender قابل بازگردانی هستند.

ابزار مذکور در پروژه NoMoreRansom که Bitdefender نیز یکی از اعضای آن است در دسترس قرار گرفته است.

برای دریافت ابزار اینجا کلیک کنید.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

64 پاسخ

  1. با سلام
    اخیرا باج افزار دیگری بر اساس تحقیقات من از هندوستان همین کار را دقیقا انجام می دهند با این تفاوت که بعد از الوده شدن پسوند فایل را با pumas الصاق می کند و فایل را رمزگذاری می کند .
    البته من در کامنتی نمونه متن حاوی اخاذی را در همین سایت گذاشتم .
    لطفا پیگیر باشید برای رفع این مشکل .
    بسیار تشکر .

    پاسخ

      1. سلام. این ابزار برای باج افزار با پسوند xfqsdifmo هم قابل حل هست؟

        پاسخ

  2. با سلام
    باج افزار جدیدی با نام adobee کلیه اطلاعات شخصیمو تغییرر داده…لطفا منو راهنمایی کنین..ممنونم

    پاسخ

  3. سلام الان یک سالی هست که یه باج افزاری به نام هلپ تمام فایلهام رو کد گذاری کرده۰۰چاره ای براش نیومده هنوز ..تمام عکسهای پسرم از نوزادی تا الان که چهار سالش شده داخله هاردم هستش

    پاسخ

  4. سلام باج افزار tjoak همه اطلاعات سیستم منو رمز گذاری کرده میشه کمک کتید

    پاسخ

  5. سلام این باج افزار بنام GANDCRAB V5.0.4 بیشتر از هفتاد درصد اطلاعات سیستم منو با پسوند hrujx رمز گذاری کرده میشه کمک کنید؟؟ خیلی ممنونم…

    پاسخ

  6. سلام این باج افزار ETh رو باید چکار کنم و راهی هست که بتونم فایلها رو برگردونم و مشکلشون حل بشه ؟

    پاسخ

  7. با سلام باج افزاری به پسوند etols فایلا منو گرفته خواهشا کمکی کنید نمیدونم زیرمجموعه کدوم باج افزار هست .. خواهشا کمک کنید

    پاسخ

  8. سلام از دیشب بیشتر فایل های من با پسوند norvas کد گزاری شده چیکار کنم لطفا راهنمایی کنید

    پاسخ

  9. سلام از دیشب بیشتر فایل های من با پسوند norvas کد گزاری شده چیکار کنم لطفا راهنمایی کنید

    پاسخ

  10. باسلام من گرفتار phobos شدم پسوند تمام فایلها را کرده phobos و قابل استفاده نیست آنرا حذف کردم ولی نمیدانم فایلها را چگونه بازیابی کنم

    پاسخ

  11. سلام منم دچار مشکل شدم لطفا بهم کمک کنید منم تمام اطلاعاتم رمزگذاری شده باپسونده .sambo
    اینم از فایله تکستی که همه جای کامپیوترم هست:All your files have been encrypted contact us via the e-mail listed below.
    e-mail: petrus34@p-security.li or e-mail: petrus34@p-security.li
    Paradise Ransomware team.

    پاسخ

    1. با سلام؛
      Paradise باج افزاری است که در قالب RaaS ارائه می شود.
      لطفا برای اطمینان از آلودگی دستگاه به این باج افزار، نمونه ای از فایل های رمزگذاری شده را نیز به سامانه https://my.shabakeh.net یا به ایمیل info@shabakeh.net ارسال نمایید.

      پاسخ

  12. باعرض سلام و وقت بخیر.متاسفانه منم سیستمم دچار یک باج افزاری شده به اسم GANDCRAB V5.2
    و پسوند همه فایلهام رو به bgvqwmo تغییر داده.
    لطفا اگه ممکنه راهنماییم کنید.متشکرم.

    پاسخ

  13. باسلام من گرفتار phobos شدم پسوند تمام فایلها را کرده phobos و قابل استفاده نیست آنرا حذف کردم ولی نمیدانم فایلها را چگونه بازیابی کنم نمونه فایلهای و پیام ارسالی را هم ایمیل کردم

    پاسخ

    1. با سلام؛

      ایمیلی در این خصوص به دست ما نرسیده است. لطفا مجدد ارسال کنید.

      پاسخ

  14. سلام ی ماهی میشه فایل های من با پسوند codnatقفل شده لطفا نرم افزاری میشناسید باز کنم قفل هارو ممنون میشم

    پاسخ

      1. سلام ممنون از زحمات …شما این برنامهSTOPDecrypter رو که پیشنهاد داده بودین رودانلود کردم ولی وقتی تمام میشه این پیام نمایش داده میشه داخل اون برنامه منظورش از پیام چی هست
        [!] No keys were found for the following IDs:
        [*] ID: xctjxndy6eSAjIm7k6gzOkw8EH0fQeCBbn0VfXBW (.codnat )
        Please archive these IDs and the following MAC addresses in case of future decryption:
        [*] MACs:
        This info has also been logged to STOPDecrypter-log.txt

        پاسخ

        1. با سلام؛

          در برخی نمونه ها از این باج افزار، کلید رمزگذاری آفلاین (و نه آنلاین) مورد استفاده قرار می گیرد. تنها در صورتی که دستگاه به نمونه آفلاین آلوده شده باشد STOPDecrypter کارساز خواهد بود.

          برای دریافت اطلاعات بیشتر لطفا با گروه پشتیبانی شرکت مهندسی شبکه گستر تماس حاصل نمایید.

          پاسخ

  15. با سلام سیستم من به یک باج افزار ی آلوده شده که به پسوند .jack میشه کمک کنید

    پاسخ

  16. سلام
    دستتون درد نکنه خیلی مچکرم فایلامو نجات دادین
    یه دنیا ممنووووووووون

    پاسخ

  17. با سلام.من خرداد ماه سیستمم به باج افزار آلوده شد. با پسوند heroset. همه رو رمزگذاری کرده.ممنون میشم کمک کنید

    پاسخ

  18. سلام
    لطفا کمکم کنید منم به یه ویروس آلوده شدم تمام فایلهام رمزنگاری شدن باپسوند sambo

    پاسخ

  19. سلام
    لطفا کمکم کنید منم به یه ویروس آلوده شدم تمام فایلهام رمزنگاری شدن باپسوند .ygsggqsxp
    فکر کنم این GANDCRAB V5.2 باشه

    پاسخ

  20. سلام دستگاه من به باج افزار با پسوند hese آلوده شده است با ویروس کش زمانا پیداش کردم و پاکش کردم. ولی فایل هام رمزگشایی نمیشه و برنمیگرده…چیکار کنم؟! یک فایل مالی اکسل دارم که خیلی برام مهمه…

    پاسخ

  21. سلام بیشتر فایل های من با پسوند norvas کد گزاری شده چیکار کنم لطفا راهنمایی کنید

    پاسخ

      1. با سلام مجدد.متاسفانه ابزار معرفی شده هم نتوستن کمکی بهم بکنن.ممنون میشم راهنماییم کنید

        پاسخ

        1. با سلام؛

          در برخی نمونه‌ها از باج‌افزارهای STOP، کلید رمزگذاری آفلاین (و نه آنلاین) مورد استفاده قرار می‌گیرد. در صورتی که این دستگاه نیز به نمونه آفلاین آلوده شده باشد ابزار اشاره شده در لینک زیر کارساز خواهد بود:
          https://newsroom.shabakeh.net/20321/stop-ransomware-decrypter-released.html

          یادآوری می شود لازم است یک فایل رمزگذاری شده به همراه نسخه غیررمزگذاری شده آن به ابزار معرفی شود. (می‌توانید یکی از فایل‌های پیش‌فرض Windows را از روی دستگاهی غیرآلوده (به عنوان فایل سالم) یافته و در کنار نسخه رمزگذاری شده آن بر روی دستگاه آلوده به ابزار معرفی کنید.)

          ضمنا حجم فایل‌های معرفی شده باید بیشتر از 150 کلیو بایت باشد.

          پاسخ

  22. سلام
    فایلهای سیستم من توسط باج افزار آلوده شده
    میتونید کمکم کنید
    EjectUSB.exe.id-A6595474.[admin@sectex.net].bot
    همه فایلها آخرشون به bot. تغییر پیدا کرده
    ممنون میشم راهنمایی کنید

    پاسخ

  23. سلام
    فایل های کامپیوتر من توسط باج افزار [admin@sectex.net].bot کد شده ممنون میشم راهنمایی کنید

    پاسخ

  24. سیستم من هم قربانی این ویروس باجگیر شده admin@sectex.net.bot شده ایمیل زدم درخواست 500 دلار پول کرده تا رمز فایلها رو بده

    پاسخ

  25. سلام فایل های تمام کامپیوترم به باج افزار GANDCRAB V5.2 الوده شده وتمام فایل ها با پسوند PAREBTVU لطفا راهنماییم کنید

    پاسخ

  26. سلام فایل های تمام کامپیوترم به باج افزار الوده شده وتمام فایل ها با پسوند etols. نشون داده می شن. لطفا راهنماییم کنید

    پاسخ

  27. سلام اطلاعات من بوسیله باج افزار stop نسخه .rote رمز گذاری شدن راح حلی داره اطلاعاتم بازیابی بشن ممنون

    پاسخ

  28. سلام
    سیستم من حدود یک سال و نیم میشه که به باج افزار GANDCRAB V5.2 آلوده شده و تمام فایلهامو با پسوند .xfqsdifmo کد کرده. لطفا کمکم کنید. همه عکسای پسرم و تمام فایلهای لبتاپم کد شده و بهشون دسترسی ندارم.

    پاسخ

  29. سلام کامپیوتر من با باج افزار gandcrab پر شده و پسوندش ervyaz هس….. چیکار کنم؟؟؟ ایمیلم نمیتونم براتون ارسال کنم…. تو رو خدت کمکم کنید

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *