كيفية إلغاء تثبيت PwndLocker ransomware

كيفية إزالة PwndLocker Ransomware - خطوات إزالة الفيروسات (محدث)



تعليمات إزالة PwndLocker ransomware

ما هو PwndLocker؟

تظهر الأبحاث أن مجرمي الإنترنت الذين يقفون وراء PwndLocker ransomware يستهدفون شبكات الأعمال والحكومات المحلية. يقوم PwndLocker بتشفير الملفات بامتداد RSA-2048 خوارزمية تشفير وإنشاء رسالة فدية داخل ملف نصي باسم ' H0w_T0_Rec0very_Files.txt ، والتي يمكن العثور عليها في المجلدات التي تحتوي على بيانات مشفرة. مثل معظم البرامج من هذا النوع ، يعيد PwndLocker تسمية الملفات المشفرة عن طريق إلحاق ملحق. في وقت البحث ، تم إلحاق ' .مفتاح ' و ' .pwnd ملحقات. لذلك ، يقوم PwndLocker بإلحاق ملحقات مختلفة في حالات مختلفة. على سبيل المثال ، في إحدى الحالات يعيد تسمية ملف مثل ' 1.jpg ' إلى ' 1.jpg.key '، وفي ملف آخر ، يعيد تسمية الملف إلى' 1.jpg.pwnd '، وهكذا. لاحظ أن برنامج الفدية هذا لا يقوم بتشفير جميع الملفات - فهو يترك الملفات ذات الامتدادات المعينة غير متأثرة. كما أنه يتخطى الملفات الموجودة في مجلدات معينة.

تظهر الأبحاث أن برنامج الفدية هذا يمكنه أداء جزء من التشفير من خلال محاولة تعطيل خدمات Windows المختلفة. على سبيل المثال ، Acronis ، Backup Exec ، Exchange ، Internet Information Server ، MySQL ، Microsoft SQL Server ، Oracle ، Veeam ، Zoolz. يحاول أيضًا حذف نسخ Shadow Volume وإنهاء عمليات وخدمات AV (مثل Kaspersky و McAfee و Malwarebytes و Sophos). تظهر الأبحاث أن PwndLocker يستهدف عمليات Microsoft Excel و Word و Mozilla Firefox أيضًا. ثم يقوم بتشفير الملفات وإنشاء رسائل فدية. تنص الرسالة الموجودة داخل الملف النصي 'H0w_T0_Rec0very_Files.txt' وموقع Tor على الويب (الذي يمكن الوصول إليه من خلال هذا الملف) على أن مجرمي الإنترنت الذين يقفون وراء PwndLocker هم فقط من يمكنهم توفير أدوات / مفاتيح فك التشفير. يذكر أن التكلفة تعتمد على حجم الشبكة وعدد الموظفين والإيرادات السنوية. يتم توفير تعليمات حول كيفية شراء الأدوات / المفاتيح في موقع Tor على الويب أو يمكن تلقيها عن طريق الاتصال بمجرمي الإنترنت عبر عنوان البريد الإلكتروني help0f0ry0u@protonmail.com. يذكر أن الضحايا الذين يتصلون بمطوري PwndLocker في غضون يومين يمكنهم شراء أداة / مفتاح فك التشفير مقابل مبلغ مخفض. يتم تخزين مفاتيح فك التشفير لمدة شهر واحد وتضاعف تكلفة هذه المفاتيح بعد أسبوعين من التشفير. يتم إبلاغ الضحايا أيضًا أنه سيتم مشاركة بعض معلوماتهم الحساسة على الشبكات الاجتماعية ووسائل الإعلام العامة ، ما لم يدفعوا الفدية في غضون أيام قليلة. يمكن للضحايا العثور على تكلفة مفتاح فك التشفير على موقع دفع Tor. في مثالنا ، تكلفة فك التشفير هي 60 بيتكوين. فقط مجرمو الإنترنت الذين يقفون وراء برامج الفدية يمتلكون أدوات يمكنها فك تشفير الملفات التي تم اختراقها بواسطة برامج الفدية الخاصة بهم ، ومع ذلك ، غالبًا ما يتم خداع الضحايا الذين يدفعون لهم - لا يتلقون أي أدوات / مفاتيح فك التشفير ، حتى بعد الدفع. تظل الملفات مشفرة حتى إذا قام الضحايا بإلغاء تثبيت برنامج الفدية من نظام التشغيل - تمنع الإزالة ببساطة من التسبب في مزيد من التشفير. قد يتمكن ضحايا هجمات برامج الفدية من استعادة الملفات مجانًا عن طريق استعادتها من نسخة احتياطية ، إذا تم ذلك قبل الإصابة.





لقطة شاشة لرسالة تشجع المستخدمين على دفع فدية لفك تشفير بياناتهم المخترقة:

تعليمات فك تشفير PwndLocker (H0w_T0_Rec0very_Files.txt)



محرك أقراص USB بتنسيق linux

Rezm و سورينا و قبلة هي بعض الأمثلة على عدوى برامج الفدية الأخرى. عادةً ما تمنع البرامج من هذا النوع الوصول إلى الملفات عن طريق التشفير وإنشاء / عرض رسائل الفدية. المتغيرات الرئيسية هي تكلفة أدوات / مفاتيح فك التشفير وخوارزمية التشفير ( متماثل أو غير متماثل ) التي يستخدمها برنامج الفدية لتشفير الملفات. بشكل عام ، من المستحيل فك تشفير الملفات بدون أدوات محددة يحتفظ بها مطورو برامج الفدية فقط ، إلا إذا كانت برامج الفدية تحتوي على أخطاء / عيوب. لذلك ، احتفظ بنسخ احتياطية على الخوادم البعيدة و / أو أجهزة التخزين غير الموصلة مثل Cloud.

كيف أصابت برامج الفدية جهاز الكمبيوتر الخاص بي؟

من غير المعروف بالضبط كيف ينتشر مجرمو الإنترنت PwndLocker ransomware ، ومع ذلك ، يتم توزيع البرامج الضارة بشكل شائع عبر أحصنة طروادة ، وحملات البريد العشوائي / رسائل البريد الإلكتروني ، وقنوات تنزيل البرامج والملفات غير الموثوق بها ، وأدوات 'اختراق' البرامج والمحدثين الوهميين. تقوم أحصنة طروادة بتثبيت برامج أخرى من هذا النوع (البرامج الضارة). بهذه الطريقة ، تسبب عدوى متسلسلة ، ومع ذلك ، فإن أحصنة طروادة تصيب أنظمة التشغيل فقط إذا كانت مثبتة بالفعل. غالبًا ما يحاول مجرمو الإنترنت نشر البرامج الضارة عن طريق إرسال رسائل بريد إلكتروني تحتوي على ملفات ضارة. على سبيل المثال ، Microsoft Office ومستندات PDF والملفات القابلة للتنفيذ (.exe) وملفات الأرشيف مثل ملفات RAR و ZIP و JavaScript. يرسلون رسائل البريد الإلكتروني لخداع المستلمين لفتح المرفق (أو الملف الذي تم تنزيله من خلال رابط موقع ويب مضمن). عند فتح الملفات ، تقوم بتثبيت برامج ضارة. غالبًا ما تُستخدم شبكات نظير إلى نظير مثل عملاء التورنت و eMule ومواقع استضافة الملفات المجانية وبرامج التنزيل التابعة لجهات خارجية وصفحات تنزيل البرامج المجانية والمواقع غير الرسمية وما إلى ذلك ، لاستضافة وتوزيع الملفات الضارة. وعادة ما تكون متخفية في صورة غير ضارة وشرعية. عند التنزيل والفتح / التنفيذ ، تقوم الملفات بتثبيت البرامج الضارة. يتم استخدام أدوات التنشيط غير الرسمية ('الاختراق') من قبل الأشخاص الذين يسعون إلى تنشيط البرامج المرخصة مجانًا ، ومع ذلك ، يمكنهم إصابة أجهزة الكمبيوتر ببرامج ضارة عالية الخطورة - بدلاً من تجاوز التنشيط ، يقومون بتثبيت البرامج الضارة. تتسبب أدوات التحديث غير الرسمية في حدوث ضرر من خلال تثبيت البرامج الضارة بدلاً من تحديث البرامج المثبتة ، أو عن طريق استغلال الأخطاء / العيوب في البرامج القديمة.

ملخص التهديد:
اسم فيروس PwndLocker
نوع التهديد برامج الفدية ، فيروس التشفير ، خزانة الملفات.
امتداد الملفات المشفرة .key و .pwnd
رسائل طلب الفدية H0w_T0_Rec0very_Files.txt وموقع Tor.
مبلغ الفدية يعتمد على حجم الشبكة وعدد الموظفين والإيرادات السنوية ومدى سرعة الاتصال بمجرمي الإنترنت.
عنوان محفظة Bitcoin 1CdKmGKqeYqQ2R36wbj5PMSpKxMtN7L5ty
الاتصال الجنائي السيبراني help0f0ry0u@protonmail.com
أسماء الكشف Avast (Win32: Evo-gen [Susp]) ، BitDefender (Trojan.Peed.Gen) ، Emsisoft (Trojan.Peed.Gen (B)) ، Microsoft (Trojan: Win32 / Wacatac.D! ml) ، القائمة الكاملة للاكتشافات ( فايروس توتال )
أعراض لا يمكن فتح الملفات المخزنة على جهاز الكمبيوتر الخاص بك ، فالملفات التي كانت تعمل سابقًا لها الآن امتداد مختلف (على سبيل المثال ، my.docx.locked). يتم عرض رسالة طلب فدية على سطح المكتب الخاص بك. يطالب مجرمو الإنترنت بدفع فدية (عادة بعملة البيتكوين) لفتح ملفاتك.
معلومة اضافية يحاول برنامج الفدية هذا إيقاف الخدمات والعمليات المختلفة قبل تشفير الملفات. يترك الملفات ذات الامتدادات المعينة غير مشفرة ويتخطى مجلدات / مواقع معينة.
طرق التوزيع مرفقات البريد الإلكتروني المصابة (وحدات الماكرو) ومواقع التورنت والإعلانات الضارة.
تلف جميع الملفات مشفرة ولا يمكن فتحها بدون دفع فدية. يمكن تثبيت أحصنة طروادة الإضافية والإصابات بالبرامج الضارة لسرقة كلمات المرور مع إصابة بفيروس الفدية.
إزالة البرامج الضارة (Windows)

للتخلص من الإصابات المحتملة بالبرامج الضارة ، قم بفحص الكمبيوتر باستخدام برنامج مكافحة فيروسات شرعي. يوصي باحثو الأمن لدينا باستخدام Malwarebytes.
▼ تنزيل Malwarebytes
لاستخدام منتج كامل الميزات ، يجب عليك شراء ترخيص لبرنامج Malwarebytes. تتوفر نسخة تجريبية مجانية لمدة 14 يومًا.

كيف تحمي نفسك من عدوى برامج الفدية الضارة

لا تفتح الملفات أو الروابط المضمنة في رسائل البريد الإلكتروني دون التأكد من أن القيام بذلك آمن. إذا تم استلام بريد إلكتروني من عنوان مشبوه وغير معروف ، وكان غير ذي صلة ويحتوي على مرفق أو ارتباط موقع ويب ، فلا تثق به. يجب تنزيل جميع البرامج من صفحات الويب الرسمية وعبر الروابط المباشرة. لا ينبغي الوثوق بالأدوات والقنوات الأخرى (مثل شبكات نظير إلى نظير وبرامج التنزيل التابعة لجهات خارجية والصفحات غير الرسمية وما إلى ذلك) - فهي تُستخدم لنشر الملفات والبرامج الضارة. تحديث البرامج المثبتة من خلال الوظائف أو الأدوات المنفذة التي صممها المطورون الرسميون. الأمر نفسه ينطبق على التنشيط. لاحظ أنه من غير القانوني تنشيط البرامج المرخصة باستخدام أدوات الطرف الثالث المختلفة. قم بفحص نظام التشغيل بانتظام بحثًا عن التهديدات باستخدام مجموعة برامج مكافحة الفيروسات أو مكافحة برامج التجسس ذات السمعة الطيبة. حافظ على تحديث هذا البرنامج وقم بإزالة التهديدات المكتشفة على الفور. إذا كان جهاز الكمبيوتر الخاص بك مصابًا بالفعل بـ PwndLocker ، فإننا نوصي بإجراء فحص باستخدام Malwarebytes لنظام التشغيل Windows للقضاء تلقائيًا على برنامج الفدية هذا.

النص المقدم في ملف نصي PwndLocker ransomware (' H0w_T0_Rec0very_Files.txt '):

تم اختراق شبكتك وتشفيرها بخوارزمية قوية
تم إزالة النسخ الاحتياطية أو تشفيرها
لا أحد يستطيع مساعدتك في استعادة الشبكة إلا نحن
لا تشارك هذا الرابط أو البريد الإلكتروني. خلاف ذلك ، سيتعين علينا حذف مفاتيح فك التشفير

لاستعادة ملفاتك ، عليك دفع رسوم فك التشفير بعملة BTC.
يعتمد السعر على حجم الشبكة وعدد الموظفين والإيرادات السنوية.

تنزيل متصفح TOR: hxxps: //www.torproject.org/download/
تسجيل الدخول ax3spapdymip4jpy.onion باستخدام المعرف الخاص بك -
أو
اتصل بدعمنا عبر البريد الإلكتروني help0f0ry0u@protonmail.com
ستتلقى تعليمات بالداخل.
يجب أن تتواصل معنا في غضون يومين بعد ملاحظة التشفير للحصول على خصم جيد.

سيتم تخزين مفتاح فك التشفير لمدة شهر واحد.
سيتم زيادة السعر بنسبة 100٪ في غضون أسبوعين
لقد جمعنا أيضًا بياناتك الحساسة.
سنشاركها في حالة رفضك للدفع

لا تقم بإعادة تسمية أو نقل الملفات المشفرة
فك التشفير باستخدام برنامج طرف ثالث أمر مستحيل.
ستؤدي محاولات فك تشفير الملفات إلى فقدان بياناتك.

ظهور موقع Tor (GIF):

ظهور pwndlocker ransomware لموقع Tor

نص في موقع Tor:

مرحبًا ، أنت ضحية لبرامج الفدية الضارة.

تم تشفير ملفاتك باستخدام خوارزمية RSA2048.

هذه الخوارزمية هي واحدة من أقوى الخوارزمية ، فمن المستحيل فك تشفير الملفات بدون مفتاح معروف.

كما تفهم ، فإن الوضع مهم جدًا. يمكنك استعادة جميع الملفات باتباع الإرشادات الموجودة في ملف h0w_t0_rec0very_files.txt.

يمكنك فك تشفير ملف أو ملفين مجانًا كدليل على العمل.

نحن نعلم أن هذا الكمبيوتر ذو قيمة كبيرة بالنسبة لك.

لذلك سنقدم لك السعر المناسب للتعافي.

لا تحاول تغيير الملفات بنفسك ، ولا تستخدم أي برنامج تابع لجهة خارجية لاستعادة بياناتك أو حلول مكافحة الفيروسات - قد تؤدي هذه الإجراءات إلى إتلاف المفتاح الخاص ، ونتيجة لذلك ، فقد جميع بياناتك.

تم تنزيل جميع بياناتك الحساسة على خوادم بعيدة. إذا لم تدفع في عدة أيام ، فسيتم نشر كل هذه الملفات الحساسة في الشبكات الاجتماعية ووسائل الإعلام العامة.

لفتح ملفاتك ، يرجى الدفع.

إذا كنت تريد إلغاء قفل الاختبار ، فيرجى الاتصال بالدعم.
معلومات الدفع
60 بيتكوين

غير مدفوعة

أرسل 60 BTC (دفعة واحدة) إلى:
لا تشمل رسوم المعاملات بهذا المبلغ
1CdKmGKqeYqQ2R36wbj5PMSpKxMtN7L5ty
متاح مرة كل 12 ساعة

لقطة شاشة لملفات مشفرة بواسطة PwndLocker (' .مفتاح ' تمديد):

الملفات المشفرة بواسطة PwndLocker ransomware (امتداد المفتاح)

لقطة شاشة لملفات مشفرة بواسطة PwndLocker (' .pwnd ' تمديد):

الملفات المشفرة بواسطة PwndLocker ransomware (ملحق .pwnd)

قائمة امتدادات الملفات التي لا يستهدفها PwndLocker:

.bac ، .bak ، .bat ، .bkf ، .chm ، .cmd ، .dll ، .dsk ، .exe ، .hlf ، .ico ، .inf ، .ini ، .lng ، .lnk ، .msi ، .set و. sys و. ttf و. vhd و. wbc و. win.

قائمة بالمواقع (المجلدات) التي يتخطاها PwndLocker أثناء تشفير الملفات:

Adobe ، All Users ، Common Files ، DVD Maker ، Internet Explorer ، Kaspersky Lab ، Kaspersky Lab ، Setup Files ، MSBuild ، Microsoft ، Microsoft.NET ، Microsoft_Corporation ، Mozilla Firefox ، Packages ، PerfLogs ، Recycle Bin ، System Volume Information ، Temp ، Uninstall المعلومات، Windows، Windows Defender، Windows Mail، Windows Media Player، Windows NT، Windows Photo Viewer، Windows Portable Devices، Windows Sidebar، WindowsApps، WindowsPowerShell

تحديث 6 مارس 2020 - اكتشف Emsisoft مؤخرًا عيبًا كبيرًا في PwndLocker ransomware ، والذي يسمح للأشخاص بفك تشفير البيانات دون مشاركة مطوري برامج الفدية. ومع ذلك ، فمن الضروري الحصول على الملف التنفيذي الضار الذي أصاب الجهاز وقام بتشفير البيانات. لسوء الحظ ، تم تصميم برنامج الفدية لحذف نفسه بمجرد اكتمال المهمة. على الرغم من هذه المشكلة ، قد يكون من الممكن استعادتها باستخدام نسخ حجم الظل. عادةً ما يتم تخزين الملف التنفيذي الضار في ' ٪درجة حرارة٪ '،' ٪معلومات التطبيق٪ ' أو ' ج: المستخدم ' مجلد. يجب على الضحايا الذين نجحوا في العثور على الملف القابل للتنفيذ اتصل بـ Emsisoft لمزيد من المساعدة. يمكن العثور على مزيد من التفاصيل حول هذا الخلل في مقالة لورنس أبرام المنشورة على موقع Bleeping Computer.

إزالة PwndLocker ransomware:

الإزالة التلقائية للبرامج الضارة: قد تكون إزالة التهديدات يدويًا عملية طويلة ومعقدة تتطلب مهارات كمبيوتر متقدمة. Malwarebytes هي أداة احترافية لإزالة البرامج الضارة ويوصى بها للتخلص من البرامج الضارة. قم بتنزيله بالنقر فوق الزر أدناه:
▼ تحميل البرامج الضارة عن طريق تنزيل أي برنامج مدرج في هذا الموقع ، فإنك توافق على سياسة خاصة و تعليمات الاستخدام . لاستخدام منتج كامل الميزات ، يجب عليك شراء ترخيص لبرنامج Malwarebytes. تتوفر نسخة تجريبية مجانية لمدة 14 يومًا.

القائمة السريعة:

الإبلاغ عن برامج الفدية إلى السلطات:

إذا كنت ضحية لهجوم برامج الفدية ، نوصي بإبلاغ السلطات عن هذا الحادث. من خلال توفير المعلومات لوكالات إنفاذ القانون ، ستساعد في تتبع الجرائم الإلكترونية وربما تساعد في مقاضاة المهاجمين. فيما يلي قائمة بالسلطات التي يجب عليك الإبلاغ فيها عن هجوم فدية. للحصول على قائمة كاملة بمراكز الأمن السيبراني المحلية ومعلومات حول سبب الإبلاغ عن هجمات برامج الفدية ، اقرأ هذه المقالة .

قائمة السلطات المحلية التي يجب الإبلاغ فيها عن هجمات برامج الفدية (اختر واحدًا بناءً على عنوان إقامتك):

عزل الجهاز المصاب:

تم تصميم بعض الإصابات من نوع برامج الفدية لتشفير الملفات داخل أجهزة التخزين الخارجية ، وإصابتها ، وحتى الانتشار عبر الشبكة المحلية بأكملها. لهذا السبب ، من المهم جدًا عزل الجهاز المصاب (الكمبيوتر) في أسرع وقت ممكن.

الخطوة 1: قطع الاتصال بالإنترنت.

أسهل طريقة لفصل الكمبيوتر عن الإنترنت هي فصل كابل Ethernet من اللوحة الأم ، ومع ذلك ، فإن بعض الأجهزة متصلة عبر شبكة لاسلكية وبالنسبة لبعض المستخدمين (خاصة أولئك الذين ليسوا على دراية بالتكنولوجيا بشكل خاص) ، قد يبدو فصل الكابلات مزعجة. لذلك ، يمكنك أيضًا فصل النظام يدويًا عبر لوحة التحكم:

انتقل إلى ' لوحة التحكم '، انقر فوق شريط البحث في الزاوية العلوية اليمنى من الشاشة ، ثم أدخل' مركز الشبكة والمشاركة 'وحدد نتيجة البحث: تحديد الإصابة من نوع برامج الفدية (الخطوة 1)

انقر على ' إعدادات محول التغيير 'الخيار في الزاوية العلوية اليسرى من النافذة: تحديد الإصابة من نوع برامج الفدية (الخطوة 2)

انقر بزر الماوس الأيمن فوق كل نقطة اتصال وحدد ' تعطيل '. بمجرد التعطيل ، لن يكون النظام متصلاً بالإنترنت. لإعادة تمكين نقاط الاتصال ، ما عليك سوى النقر بزر الماوس الأيمن مرة أخرى وتحديد ' يمكن '. تحديد الإصابة من نوع برامج الفدية (الخطوة 3)

أفضل ألعاب لينكس المجانية

الخطوة 2: افصل جميع أجهزة التخزين.

كما ذكر أعلاه ، قد تقوم برامج الفدية بتشفير البيانات والتسلل إلى جميع أجهزة التخزين المتصلة بالكمبيوتر. لهذا السبب ، يجب فصل جميع أجهزة التخزين الخارجية (محركات الأقراص المحمولة ومحركات الأقراص الثابتة المحمولة وما إلى ذلك) على الفور ، ومع ذلك ، ننصحك بشدة بإخراج كل جهاز قبل قطع الاتصال لمنع تلف البيانات:

انتقل إلى ' جهاز الكمبيوتر الخاص بي '، انقر بزر الماوس الأيمن فوق كل جهاز متصل ، وحدد' إخراج ': تحديد الإصابة من نوع برامج الفدية (الخطوة 4)

الخطوه 3: تسجيل الخروج من حسابات التخزين السحابي.

قد تتمكن بعض أنواع برامج الفدية من اختطاف البرامج التي تتعامل مع البيانات المخزنة داخل ' الغيمة '. لذلك ، قد تكون البيانات تالفة / مشفرة. لهذا السبب ، يجب عليك تسجيل الخروج من جميع حسابات التخزين السحابي داخل المتصفحات والبرامج الأخرى ذات الصلة. يجب عليك أيضًا التفكير في إلغاء تثبيت برنامج إدارة السحابة مؤقتًا حتى تتم إزالة العدوى تمامًا.

تحديد الإصابة بفيروس الفدية:

للتعامل مع العدوى بشكل صحيح ، يجب على المرء أولاً التعرف عليها. تستخدم بعض إصابات برامج الفدية رسائل طلب الفدية كمقدمة (انظر الملف النصي WALDO ransomware أدناه).

تحديد الإصابة من نوع برامج الفدية (الخطوة 5)

هذا ، مع ذلك ، نادر. في معظم الحالات ، ترسل عدوى برامج الفدية مزيدًا من الرسائل المباشرة التي تنص ببساطة على أن البيانات مشفرة وأن الضحايا يجب أن يدفعوا نوعًا من الفدية. لاحظ أن الإصابات من نوع برامج الفدية عادةً ما تنشئ رسائل بأسماء ملفات مختلفة (على سبيل المثال ، ' _readme.txt '،' اقرأ- ME.txt '،' DECRYPTION_INSTRUCTIONS.txt '،' DECRYPT_FILES.html '، إلخ.). لذلك ، قد يبدو استخدام اسم رسالة فدية طريقة جيدة للتعرف على العدوى. تكمن المشكلة في أن معظم هذه الأسماء عامة وأن بعض الإصابات تستخدم نفس الأسماء ، على الرغم من اختلاف الرسائل التي تم تسليمها وعدم وجود صلة بين الإصابات نفسها. لذلك ، قد يكون استخدام اسم ملف الرسالة وحده غير فعال بل يؤدي إلى فقدان دائم للبيانات (على سبيل المثال ، من خلال محاولة فك تشفير البيانات باستخدام أدوات مصممة للإصابات ببرامج الفدية المختلفة ، من المحتمل أن ينتهي الأمر بالمستخدمين إلى إتلاف الملفات بشكل دائم ولن يكون فك التشفير ممكنًا بعد الآن حتى مع الأداة الصحيحة).

هناك طريقة أخرى لتحديد الإصابة بفيروس الفدية وهي التحقق من امتداد الملف ، والذي يتم إلحاقه بكل ملف مشفر. غالبًا ما تتم تسمية إصابات برامج الفدية بالملحقات التي تُلحق بها (راجع الملفات المشفرة بواسطة Qewe ransomware أدناه).

البحث عن أدوات فك تشفير برامج الفدية في موقع الويب nomoreransom.org

هذه الطريقة فعالة فقط ، ومع ذلك ، عندما يكون الامتداد الملحق فريدًا - العديد من إصابات برامج الفدية تلحق ملحقًا عامًا (على سبيل المثال ، .encrypted '،' .enc '،' .مشفر '،' .مقفل '، إلخ.). في هذه الحالات ، يصبح التعرف على برامج الفدية من خلال امتداده الملحق مستحيلاً.

تتمثل إحدى أسهل الطرق وأسرعها في التعرف على الإصابة بفيروس الفدية في استخدام ملف موقع ويب ID Ransomware . تدعم هذه الخدمة معظم إصابات برامج الفدية الحالية. يقوم الضحايا ببساطة بتحميل رسالة فدية و / أو ملف مشفر واحد (ننصحك بتحميل كلاهما إن أمكن).

معالج Recuva لاستعادة البيانات

سيتم التعرف على برامج الفدية الضارة في غضون ثوانٍ وسيتم تزويدك بالعديد من التفاصيل ، مثل اسم عائلة البرامج الضارة التي تنتمي إليها العدوى ، وما إذا كانت قابلة للفك ، وما إلى ذلك.

المثال 1 (Qewe [Stop / Djvu] ransomware):

أداة استعادة البيانات Recuva تفحص وقت المسح

المثال 2 (.iso [Phobos] ransomware):

أداة استعادة البيانات Recuva لاستعادة البيانات

إذا تم تشفير بياناتك عن طريق برامج الفدية غير المدعومة بواسطة ID Ransomware ، فيمكنك دائمًا محاولة البحث في الإنترنت باستخدام كلمات رئيسية معينة (على سبيل المثال ، عنوان رسالة فدية ، وامتداد الملف ، ورسائل البريد الإلكتروني المقدمة لجهات الاتصال ، وعناوين محفظة التشفير ، إلخ. ).

البحث عن أدوات فك تشفير برامج الفدية:

تعد خوارزميات التشفير المستخدمة من قبل معظم الإصابات من نوع برامج الفدية معقدة للغاية ، وإذا تم إجراء التشفير بشكل صحيح ، فلن يتمكن سوى المطور من استعادة البيانات. وذلك لأن فك التشفير يتطلب مفتاحًا محددًا يتم إنشاؤه أثناء التشفير. استعادة البيانات بدون المفتاح أمر مستحيل. في معظم الحالات ، يقوم مجرمو الإنترنت بتخزين المفاتيح على خادم بعيد ، بدلاً من استخدام الجهاز المصاب كمضيف. تعد Dharma (CrySis) و Phobos وعائلات أخرى من إصابات برامج الفدية المتطورة خالية من العيوب تقريبًا ، وبالتالي فإن استعادة البيانات المشفرة دون مشاركة المطورين أمر مستحيل. على الرغم من ذلك ، هناك العشرات من الإصابات من نوع برامج الفدية التي تم تطويرها بشكل سيئ وتحتوي على عدد من العيوب (على سبيل المثال ، استخدام مفاتيح تشفير / فك تشفير متطابقة لكل ضحية ، ومفاتيح مخزنة محليًا ، وما إلى ذلك). لذلك ، تحقق دائمًا من أدوات فك التشفير المتاحة بحثًا عن أي برنامج فدية يتسلل إلى جهاز الكمبيوتر الخاص بك.

قد يكون العثور على أداة فك التشفير الصحيحة على الإنترنت أمرًا محبطًا للغاية. لهذا السبب ، نوصي باستخدام ملف مشروع لا فدية بعد اليوم وهذا هو المكان تحديد الإصابة بفيروس الفدية مفيد. يحتوي موقع مشروع No More Ransom Project على ' أدوات فك التشفير مع شريط البحث. أدخل اسم برنامج الفدية المحدد ، وسيتم إدراج جميع أدوات فك التشفير المتاحة (إن وجدت).

انقر فوق أيقونة OneDrive في شريط المهام

استعادة الملفات باستخدام أدوات استعادة البيانات:

اعتمادًا على الموقف (جودة الإصابة ببرامج الفدية ، ونوع خوارزمية التشفير المستخدمة ، وما إلى ذلك) ، قد يكون من الممكن استعادة البيانات باستخدام بعض أدوات الجهات الخارجية. لذلك ننصحك باستخدام أداة Recuva التي طورتها CCleaner . تدعم هذه الأداة أكثر من ألف نوع من البيانات (الرسومات والفيديو والصوت والمستندات وما إلى ذلك) وهي سهلة الاستخدام (القليل من المعرفة ضروري لاستعادة البيانات). بالإضافة إلى ذلك ، فإن ميزة الاسترداد مجانية تمامًا.

الخطوة 1: قم بإجراء فحص.

قم بتشغيل تطبيق Recuva واتبع المعالج. ستتم مطالبتك بالعديد من النوافذ التي تسمح لك باختيار أنواع الملفات التي تبحث عنها ، والمواقع التي يجب مسحها ضوئيًا ، وما إلى ذلك. كل ما عليك فعله هو تحديد الخيارات التي تبحث عنها وبدء الفحص. ننصحك بتمكين ' تفحص بعمق قبل البدء ، وإلا سيتم تقييد إمكانات الفحص للتطبيق.

حدد التعليمات والإعدادات وانقر فوق الإعدادات

انتظر حتى يكمل برنامج ريكوفا الفحص. تعتمد مدة المسح على حجم الملفات (من حيث الكمية والحجم) التي تقوم بمسحها ضوئيًا (على سبيل المثال ، قد تستغرق عدة مئات من الجيجابايت أكثر من ساعة لمسحها). لذلك ، تحلى بالصبر أثناء عملية المسح. ننصح أيضًا بعدم تعديل أو حذف الملفات الموجودة ، لأن ذلك قد يتداخل مع الفحص. إذا قمت بإضافة بيانات إضافية (على سبيل المثال ، تنزيل ملفات / محتوى) أثناء المسح ، فسيؤدي ذلك إلى إطالة العملية:

تعذر إنشاء اتصال آمن بالخادم

حدد علامة التبويب النسخ الاحتياطي وانقر فوق إدارة النسخ الاحتياطي

الخطوة 2: استعادة البيانات.

بمجرد اكتمال العملية ، حدد المجلدات / الملفات التي ترغب في استعادتها وانقر فوق 'استرداد'. لاحظ أن بعض المساحة الخالية على محرك التخزين لديك ضرورية لاستعادة البيانات:

حدد المجلدات التي تريد نسخها احتياطيًا وانقر فوق بدء النسخ الاحتياطي

إنشاء نسخ احتياطية للبيانات:

تعد الإدارة السليمة للملفات وإنشاء النسخ الاحتياطية أمرًا ضروريًا لأمن البيانات. لذلك ، كن حذرًا دائمًا وفكر في المستقبل.

إدارة التقسيم: نوصي بتخزين بياناتك في أقسام متعددة وتجنب تخزين الملفات المهمة داخل القسم الذي يحتوي على نظام التشغيل بأكمله. إذا وقعت في موقف لا يمكنك من خلاله تمهيد النظام واضطررت إلى تهيئة القرص المثبت عليه نظام التشغيل (في معظم الحالات ، هذا هو المكان الذي تختبئ فيه إصابات البرامج الضارة) ، فستفقد جميع البيانات المخزنة داخل محرك الأقراص هذا. هذه هي ميزة وجود أقسام متعددة: إذا كان لديك جهاز تخزين كامل مخصص لقسم واحد ، فستضطر إلى حذف كل شيء ، ومع ذلك ، فإن إنشاء أقسام متعددة وتخصيص البيانات بشكل صحيح يسمح لك بمنع مثل هذه المشاكل. يمكنك تهيئة قسم واحد بسهولة دون التأثير على الأقسام الأخرى - وبالتالي ، سيتم تنظيف أحد الأقسام وسيبقى الآخرون دون تغيير ، وسيتم حفظ بياناتك. إدارة الأقسام بسيطة للغاية ويمكنك العثور على جميع المعلومات الضرورية على صفحة ويب وثائق Microsoft .

النسخ الاحتياطية للبيانات: تتمثل إحدى طرق النسخ الاحتياطي الأكثر موثوقية في استخدام جهاز تخزين خارجي وإبقائه غير موصول. انسخ بياناتك إلى محرك أقراص ثابت خارجي أو محرك أقراص فلاش (إبهام) أو SSD أو HDD أو أي جهاز تخزين آخر ، وافصله واحفظه في مكان جاف بعيدًا عن أشعة الشمس ودرجات الحرارة القصوى. ومع ذلك ، فإن هذه الطريقة غير فعالة تمامًا ، حيث يجب إجراء نسخ احتياطية للبيانات والتحديثات بانتظام. يمكنك أيضًا استخدام خدمة سحابية أو خادم بعيد. هنا ، مطلوب اتصال بالإنترنت وهناك دائمًا فرصة لحدوث خرق أمني ، على الرغم من أنها مناسبة نادرة حقًا.

نوصي باستخدام مايكروسوفت ون درايف لنسخ ملفاتك احتياطيًا. يتيح لك OneDrive تخزين ملفاتك وبياناتك الشخصية في السحابة ، ومزامنة الملفات عبر أجهزة الكمبيوتر والأجهزة المحمولة ، مما يتيح لك الوصول إلى ملفاتك وتحريرها من جميع أجهزة Windows الخاصة بك. يتيح لك OneDrive حفظ الملفات ومشاركتها ومعاينتها والوصول إلى محفوظات التنزيل ونقل الملفات وحذفها وإعادة تسميتها ، فضلاً عن إنشاء مجلدات جديدة وغير ذلك الكثير.

يمكنك إجراء نسخ احتياطي للمجلدات والملفات الأكثر أهمية لديك على جهاز الكمبيوتر (مجلدات سطح المكتب والمستندات والصور). تتضمن بعض الميزات الأكثر شهرة في OneDrive إصدارات الملفات ، والتي تحتفظ بالإصدارات القديمة من الملفات لمدة تصل إلى 30 يومًا. يتميز OneDrive بسلة إعادة التدوير حيث يتم تخزين جميع ملفاتك المحذوفة لفترة محدودة. لا يتم احتساب الملفات المحذوفة كجزء من تخصيص المستخدم.

تم تصميم الخدمة باستخدام تقنيات HTML5 وتتيح لك تحميل ملفات تصل إلى 300 ميجا بايت عبر السحب والإفلات في متصفح الويب أو حتى 10 جيجا بايت عبر تطبيق سطح المكتب OneDrive . باستخدام OneDrive ، يمكنك تنزيل مجلدات كاملة كملف ZIP واحد يحتوي على ما يصل إلى 10000 ملف ، على الرغم من أنه لا يمكن أن يتجاوز 15 غيغابايت لكل تنزيل.

يأتي OneDrive مزودًا بسعة تخزينية مجانية تبلغ 5 غيغابايت ، مع توفر خيارات تخزين إضافية تبلغ 100 غيغابايت و 1 تيرابايت و 6 تيرابايت مقابل رسوم قائمة على الاشتراك. يمكنك الحصول على إحدى خطط التخزين هذه عن طريق شراء مساحة تخزين إضافية بشكل منفصل أو من خلال اشتراك Office 365.

إنشاء نسخة احتياطية للبيانات:

عملية النسخ الاحتياطي هي نفسها لجميع أنواع الملفات والمجلدات. إليك كيفية عمل نسخة احتياطية من ملفاتك باستخدام Microsoft OneDrive

الخطوة 1: اختر الملفات / المجلدات التي تريد نسخها احتياطيًا.

حدد ملفًا يدويًا وانسخه

انقر على أيقونة سحابة OneDrive لفتح ملف قائمة OneDrive . أثناء وجودك في هذه القائمة ، يمكنك تخصيص إعدادات النسخ الاحتياطي للملفات.

الصق الملف المنسوخ في مجلد OneDrive لإنشاء نسخة احتياطية

انقر المساعدة والإعدادات ثم حدد إعدادات من القائمة المنسدلة.

حالات الملفات في مجلد OneDrive

اذهب إلى علامة التبويب النسخ الاحتياطي وانقر إدارة النسخ الاحتياطي .

انقر فوق التعليمات والإعدادات وانقر فوق عرض عبر الإنترنت

في هذه القائمة ، يمكنك اختيار عمل نسخة احتياطية من ملف سطح المكتب وجميع الملفات الموجودة عليه ، و وثائق و الصور المجلدات ، مرة أخرى ، مع كل الملفات بداخلها. انقر بدء النسخ الاحتياطي .

net err_spdy_protocol_error

الآن ، عند إضافة ملف أو مجلد في مجلدي سطح المكتب والمستندات والصور ، سيتم نسخهما احتياطيًا تلقائيًا على OneDrive.

لإضافة مجلدات وملفات ، وليس في المواقع الموضحة أعلاه ، يجب عليك إضافتها يدويًا.

انقر فوق إعدادات الترس وانقر فوق خيارات

افتح مستكشف الملفات وانتقل إلى موقع المجلد / الملف الذي تريد نسخه احتياطيًا. حدد العنصر ، انقر بزر الماوس الأيمن فوقه ، وانقر ينسخ .

استعادة الخاص بك onedrive

ثم، انتقل إلى OneDrive ، انقر بزر الماوس الأيمن في أي مكان في النافذة وانقر معجون . بدلاً من ذلك ، يمكنك فقط سحب ملف وإفلاته في OneDrive. سيقوم OneDrive تلقائيًا بإنشاء نسخة احتياطية من المجلد / الملف.

يتم إجراء نسخ احتياطي لكافة الملفات المضافة إلى مجلد OneDrive في السحابة تلقائيًا. تشير الدائرة الخضراء التي بها علامة الاختيار إلى أن الملف متاح محليًا وعلى OneDrive وأن إصدار الملف هو نفسه في كليهما. تشير أيقونة السحابة الزرقاء إلى أن الملف لم تتم مزامنته ومتاح فقط على OneDrive. تشير أيقونة المزامنة إلى أن الملف قيد المزامنة حاليًا.

للوصول إلى الملفات الموجودة على OneDrive عبر الإنترنت فقط ، انتقل إلى ملف المساعدة والإعدادات القائمة المنسدلة وحدد مشاهدة حية .

الخطوة 2: استعادة الملفات التالفة.

يتأكد OneDrive من أن الملفات تظل متزامنة ، وبالتالي فإن إصدار الملف الموجود على الكمبيوتر هو نفس الإصدار الموجود على السحابة. ومع ذلك ، إذا قامت برامج الفدية بتشفير ملفاتك ، فيمكنك الاستفادة من محفوظات إصدارات OneDrive الميزة التي سوف تسمح لك استعادة إصدارات الملفات قبل التشفير .

يحتوي Microsoft 365 على ميزة الكشف عن برامج الفدية التي تُعلمك عندما تتعرض ملفات OneDrive للهجوم وتوجهك خلال عملية استعادة ملفاتك. ومع ذلك ، يجب ملاحظة أنه إذا لم يكن لديك اشتراك مدفوع في Microsoft 365 ، فستحصل على كشف واحد واستعادة الملفات مجانًا.

إذا تم حذف ملفات OneDrive الخاصة بك أو تلفها أو إصابتها ببرامج ضارة ، فيمكنك استعادة OneDrive بالكامل إلى حالته السابقة. إليك كيفية استعادة OneDrive بالكامل:

1. إذا قمت بتسجيل الدخول باستخدام حساب شخصي ، فانقر فوق إعدادات ترس في رأس الصفحة. ثم اضغط خيارات واختر قم باستعادة OneDrive الخاص بك .

إذا قمت بتسجيل الدخول باستخدام حساب العمل أو المدرسة ، فانقر فوق إعدادات ترس في رأس الصفحة. ثم اضغط قم باستعادة OneDrive الخاص بك .

2. في صفحة استعادة OneDrive الخاصة بك ، حدد تاريخًا من القائمة المنسدلة . لاحظ أنه إذا كنت تستعيد ملفاتك بعد اكتشاف برامج الفدية تلقائيًا ، فسيتم تحديد تاريخ الاستعادة لك.

3. بعد تكوين كافة خيارات استعادة الملف ، انقر فوق يعيد للتراجع عن جميع الأنشطة التي حددتها.

أفضل طريقة لتجنب الضرر الناجم عن عدوى برامج الفدية هي الاحتفاظ بنسخ احتياطية محدثة بشكل منتظم.

مقالات مثيرة للاهتمام

كيفية تجنب تثبيت Hackerz ransomware؟

كيفية تجنب تثبيت Hackerz ransomware؟

كيفية إزالة Hackerz Ransomware (Android) - خطوات إزالة الفيروسات

كيف تتجنب التعرض للخداع من خلال عملية احتيال البريد الإلكتروني RedCross

كيف تتجنب التعرض للخداع من خلال عملية احتيال البريد الإلكتروني RedCross

كيفية إزالة RedCross Email الاحتيال - دليل إزالة الفيروسات (محدث)

PepperZip Adware

PepperZip Adware

كيفية إلغاء تثبيت PepperZip Adware - تعليمات إزالة الفيروسات

تجنب التعرض للخداع من قبل المجرمين الذين يسيئون استخدام برنامج GoToAssist

تجنب التعرض للخداع من قبل المجرمين الذين يسيئون استخدام برنامج GoToAssist

كيفية التخلص من GoToAssist Tech Support الاحتيال (Mac) - دليل إزالة الفيروسات (محدث)

لا يصدق! Linux Mint يتخلى عن Ubuntu ، سوف يعتمد على Arch Linux الآن

لا يصدق! Linux Mint يتخلى عن Ubuntu ، سوف يعتمد على Arch Linux الآن

بمناسبة هذا اليوم. هذا هو اليوم الذي قررت فيه Linux Mint ترك Ubuntu من أجل Arch Linux. اقرأ هذا الإعلان الصادم لمعرفة المزيد عنه.

فينيكس رانسومواري

فينيكس رانسومواري

كيفية إزالة Phoenix Ransomware - خطوات إزالة الفيروسات (محدث)

فيروس البريد الإلكتروني الأولي

فيروس البريد الإلكتروني الأولي

كيفية إزالة Proforma Email Virus - تعليمات إزالة الفيروسات (محدث)

كن على علم بخداع البريد الإلكتروني لبرنامج تمويل التنمية العالمية التابع لمؤسسة التمويل الدولية

كن على علم بخداع البريد الإلكتروني لبرنامج تمويل التنمية العالمية التابع لمؤسسة التمويل الدولية

كيفية إزالة احتيال البريد الإلكتروني لبرنامج تمويل التنمية العالمية التابع لمؤسسة التمويل الدولية - دليل إزالة الفيروسات (محدث)

قامت Microsoft بحظر عملية احتيال الكمبيوتر

قامت Microsoft بحظر عملية احتيال الكمبيوتر

كيفية إلغاء تثبيت Microsoft قد حظرت عملية احتيال الكمبيوتر - تعليمات إزالة الفيروسات

كيفية إصلاح الخطأ 0xE8000015؟

كيفية إصلاح الخطأ 0xE8000015؟

كيفية إصلاح الخطأ 0xE8000015؟


التصنيفات