سلام دوستان خسته نباشید
دیشب یه حمله ای شد و تمامی اطلاعات کد شد و به فرت example.exe.aes تبدیل شد ایا راهی برای دیکد کردن این اطلاعات هستش ؟؟

سلام دوستان خسته نباشید
دیشب یه حمله ای شد و تمامی اطلاعات کد شد و به فرت example.exe.aes تبدیل شد ایا راهی برای دیکد کردن این اطلاعات هستش ؟؟

اوخ اوخ !
باج گیری...
اندک امیدی برای Decrypt فایلهایی که با متد aes رمزگذاری شدند وجود نداره.
شما تحت حمله نا جوانمردانه ransomeware قرار گرفتید.
به احتمال 1 درصد شاید با پرداخت مبلغی که ازتون باج میخوان بتونید کلیدش رو بگیرید.
و به احتما یک ده هزارم درصد هم شاید بتونید با brute-force رمزگذاریشون رو بشکنید و فایلهاتون رو برگردونید که اگر تعداد فایلها خیلی زیاد هست که هیچ...
اگر بکاپ دارید، که جای نگرانی نداره.
قبل از برگردوندن بکاپ، همه موارد امنیتی رو چک مجدد کنید و حسابی پورتهای مورد دار رو هم ببندید.( اگر بگید سیستم عامل و وبسرور و ... غیره چی هست ، بهتر میشه راهنمایی کرد )
و بعدش بک آپ رو ری استور کنید.

ممنون از راهنمایی شما
تعداد فایل های خیلی زیاد هست و متاسفانه کل سیستم رو فرا گرفته
بک اپ روی فضای ابری هستش ولی من دنبال راهیی هستم که سیستم عامل عوض نکنم و واطلاعات رو برگردونم
پورت های مورد دار منطور شما کدوماست ؟
یعنی هیچ راهی برای برگرندوندن اطلاعات بدون ریکاوری نیست ؟؟
سرور ویندوز 2012 هستش و اطلاعات نرم افزاری حتی اس کیو ال ما هم کد شده

- - - Updated - - -

راه ارتباطی سریع تری در اختیارتون هست که باهاتون مشورت کنم ؟

ممنون از راهنمایی شما
تعداد فایل های خیلی زیاد هست و متاسفانه کل سیستم رو فرا گرفته
بک اپ روی فضای ابری هستش ولی من دنبال راهیی هستم که سیستم عامل عوض نکنم و واطلاعات رو برگردونم
پورت های مورد دار منطور شما کدوماست ؟
یعنی هیچ راهی برای برگرندوندن اطلاعات بدون ریکاوری نیست ؟؟
سرور ویندوز 2012 هستش و اطلاعات نرم افزاری حتی اس کیو ال ما هم کد شده

- - - Updated - - -

راه ارتباطی سریع تری در اختیارتون هست که باهاتون مشورت کنم ؟

خدا بیامرز

تموم شد

ممنون از راهنمایی شما
تعداد فایل های خیلی زیاد هست و متاسفانه کل سیستم رو فرا گرفته
بک اپ روی فضای ابری هستش ولی من دنبال راهیی هستم که سیستم عامل عوض نکنم و واطلاعات رو برگردونم
پورت های مورد دار منطور شما کدوماست ؟
یعنی هیچ راهی برای برگرندوندن اطلاعات بدون ریکاوری نیست ؟؟
سرور ویندوز 2012 هستش و اطلاعات نرم افزاری حتی اس کیو ال ما هم کد شده

خیر، رمزنگاری aes یکی از بالاترین سطوح رمزنگاری هست که فقط کسی که کلید مرتبط باهاش رو داره امکان مشاهده فایل و ... رو داره، میتونه دیکریپتش کنه.
متاسفانه اپن سرس هست و برای همین خیلی قابل توسعه و تغییر هست...
اگر بکاپ دارید که خدا رو شکر کنید، جای نگرانی نیست.چون هیچ راهی برای بازگردوندن فایلهای رمزگذاری شده با aes نیست ! 4 مرحله خیلی فشرده و سنگین فایلها رو کد میکنه ( SubBytes , ShiftRows , MixColumns, AddRoundKey )....
شیوه کد aes برای اطلاعات دولتی و نظامی به کار میره، حساب کنید تا انتهاش رو...
مگر اینکه بخواید کلا پول بدید به باج گیر که پیشنهاد نمیشه.

بله اول و آخر سیستم عامل باید کاملا ریست بشه، کاملا.
معمولا ransomeware ها روی ویندوز، متاسفانه از یک باگ iis و همچنین از طریق یکسری پورتها آزاد استفاده میکنه که این بلا رو سر اطلاعات میاره.
پورتهای 445 , 443 و ... که اگر بگردید هست اطلاعات راجع بهش، نقاط ضعفی هستند که باید مسدود شه. ( لینک 1 (http://web.archive.org/web/20141018204934/http://stoicjoker.com/ClosePort445.html)/ لینک 2 (https://support.microsoft.com/en-za/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server)/ لینک 3 (https://www.ubackup.com/anti-ransomware/how-to-block-port-445-in-windows-3889.html))
باید حسابی وقت بگذارید و کاملا بررسی کنید، پورتهای باز رو کامل مسدود کنید و صرفا پورتهای مورد نیاز خودتون رو فعال نگه دارید...........
آپدیت ویندوز سرور هم فراموش نشه.

- - - Updated - - -

در یک کلام خیلی خلاصه :
خداحافظ فایل و ویندوز فعلی.
سلام به نصب و کانفیگ جدید ( با احتساب موارد امنیتی )
سلام به بکاپ.

- - - Updated - - -

یک بررسی کردم دوباره، نوع دیکرپشن شما اگر آپدیت نشده باشه، شاید و شاید بشه با این دو ابزار دیکدش کرد ( کسپر (http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip) / اواست (https://files.avast.com/files/decryptor/avast_decryptor_aes_ni.exe) )
اگر با هیچکدوم اینها نشد، کلا زندگی از نو !

روی یکی از سرور های ما iis نصبه امکان نفوذ از طریق چیزی که شما فرمودید پس امکان پذیر بود
این همه نرم افزار برای دیکریپت کردن وجود داره هیچ کاری نمیشه باهاش کرد پس نه ؟

روی یکی از سرور های ما iis نصبه امکان نفوذ از طریق چیزی که شما فرمودید پس امکان پذیر بود
این همه نرم افزار برای دیکریپت کردن وجود داره هیچ کاری نمیشه باهاش کرد پس نه ؟

اگر با اون دو لینکی که گذاشتم براتون، شد که فبها ! اگر نشد، هیچ چیز دیگه ای نمیتونه، مگر اینکه به باج گیر پرداخت کنید ( که این هم تو 99% مواقع بیجاست و اغلب پول بیشتری میخوان هی... )

اگر با اون دو لینکی که گذاشتم براتون، شد که فبها ! اگر نشد، هیچ چیز دیگه ای نمیتونه، مگر اینکه به باج گیر پرداخت کنید ( که این هم تو 99% مواقع بیجاست و اغلب پول بیشتری میخوان هی... )
کدوم دو لینک ؟؟

کدوم دو لینک ؟؟

در این پستم ... :




- - - Updated - - -

یک بررسی کردم دوباره، نوع دیکرپشن شما اگر آپدیت نشده باشه، شاید و شاید بشه با این دو ابزار دیکدش کرد ( کسپر (http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip) / اواست (https://files.avast.com/files/decryptor/avast_decryptor_aes_ni.exe) )
اگر با هیچکدوم اینها نشد، کلا زندگی از نو !

نه با هیچکدوم اینا نشد

نه با هیچکدوم اینا نشد

زندگی از نو...
متاسفانه نمیشه کاریش کرد.
خدا رو شکر کنید بکاپ دارید، حالا تو کلود تو فلش، حتی تو cd !
همه چیز فرمت، نصب دوباره، بستن پورتها طبق لینکهایی که دادم و جستجوی بیشتر تو نت که مقالات زیادی هست.
و شروع مجدد کار با ری استور کردن فایلها...

من بک اپ رو ساعتی میگرفتم چون اطلاعات مالی مهمی داخل سیستم بود
مشکل اینجاست که ما از روتر استفاده نمیکنیم اگر یه روتر برای من که 4 بار درخواست داده بودم و تهیه میشد این مشکلات به وجود نمیاومد
حال هم چیزی جز فرمت کل اطلاعات نمیمونه که از سرور شروع کردم
باز پورت های بیشتری یادتون اومد که وجودش ضرورتی نداره بهم بگید که ببندم ممنون میشم

من بک اپ رو ساعتی میگرفتم چون اطلاعات مالی مهمی داخل سیستم بود
مشکل اینجاست که ما از روتر استفاده نمیکنیم اگر یه روتر برای من که 4 بار درخواست داده بودم و تهیه میشد این مشکلات به وجود نمیاومد
حال هم چیزی جز فرمت کل اطلاعات نمیمونه که از سرور شروع کردم
باز پورت های بیشتری یادتون اومد که وجودش ضرورتی نداره بهم بگید که ببندم ممنون میشم

مشکلی که وجود داره، باگی هست که تو اترنال بلو و سرور SMB ویندوز وجود داره.یکی از پچ‌های مهم امنیتی ویندوز رو حتما ( بعلاوه آپدیت ویندوز ) نصب کنید ( لینک (https://support.microsoft.com/en-gb/help/4013389/title))
پورت 443 که معمولا برای اتصال https هست ، متاسفانه تو باگ smb و iss دچار رخنه میشه ( خبر از آپدیت جدید ویندوز ندارم که این مورد برطرف شده یا نه ) ، که غیرفعال کردن دستیش بهتر هست.
کانفیگ امنیتی SMB ( لینک (https://www.petri.com/configure-smb-security-windows-server-2012) / لینک (https://www.alibabacloud.com/help/faq-detail/57499.htm) / لینک (https://support.microsoft.com/en-gb/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server) ) و همچنین این لینک (https://www.bleepingcomputer.com/news/security/windows-servers-vulnerable-to-iis-resource-exhaustion-dos-attacks/)
در کل این باج افزار متاسفانه از malwartising و ...... سایتهای .... رخنه میکنه ( میتونید پرتقال فروش رو پیدا کنید برای جبران خسارت...)

این هم لینکی برای شما و بقیه دوستان که میتونه انواع این باج افزارها، راهکارهای بستن و مقابله با اون و شیوه نفوذشون رو پیگیری کنند و قبل از رخداد پیشگیری کنند :

لیـنـک (https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml)

فقط در مواردی که باج افزار از رمز نگاری ها ضعیف استفاده کنه یا کلید ecnrypt / decrypt یکی باشه و بتونید از رم یا پراسس ها بکشید بیرون شانس دیکریپت و بازگشت اطلاعات دارید
در اکثر موارد هکر حتی با پرداخت هزینه هم کلید رو بهتون نمیده و احتمالا خودش هم نداره و اصلا براش مهم نیست که نگه داری کنه!
ولی اکثر باج افزارهای جدید از الگوریتم های رمز نگاری مناسب استفاده میکنن که شانس دیکریپت رو به صفر نزدیک میکنن
اگر بک آپ دارید خدا رو شکر کنید و به فکر ریستور باشید. بک آپ رو در سرورهای جداگانه یا سیستم هم دانلود کنید و مواظب باشید بک آپ آلوده نشه که دیگه اونو هیچ کاری نمیشه کرد!