تقریبا در سال 2018 باج افزارPhobos گریبان گیر اکثر سیستم ها شد.سیستم بنده هم در سال 2020 و گمانم به خاطر دانلود فایل تورنت به این بد افزار گرفتار شد و تمام عکس ها فیلم ها و هر گونه فایل با هر پسوندی فرمت ان به.adame تغییر پیدا کردند و رمزنگاری شدند. به نام هر فایل یک متن به مانند رو به رو اضافه شدid[48EEEFFA-2275.[checkcheck07@qq.com].
من همان سال در فروم ها و سایت های زیادی جستجو کردم و نتوانستم رمز گشای ان رو پیدا کنم.استفاده از سی پی یو به 100 درصد رسیده بود و ویندوز رو عوض کردم و نرم افزارهای ریکاوری زیادی استفاده کنم و فقط توانستم میزان کمی از فایل ها رو برگردانم.
همچنین مشکلم رو در انجمن سافت 98 مطرح کردم اما خوب ان موقع دکریپتوری برای ان نیامده بود
https://forum.soft98.ir/showthread.php?t=106517
همچنین در فروم bleepingcomputer:
که در این فروم با توجه به زمان ایجاد تاپیک مربوط به باج افزار adame، متوجه میشویم تاریخ ایجاد تاپیک 2018 بوده و از ان زمان سیستم ها آلوده شده اند.
در ادامه به ایمیل checkcheck07@qq.com پیام دادم و جوابی اماده دریافت کردم که درخواست بیت کوین جهت ارسال رمزگشا رو کردند وکلا قضیه رها شد و تا سال ها منتظر رمز گشا ماندم تا اینکه 5 سال گذشت و متوجه شدم رمزگشای ان ساخته شده به همین دلیل تصمیم گرفتم اینجا تجربه ام رو اینجا بزارم ، به راحتی تمام عکس ها وفایل ها به حالت اولیه برگشتند.نمونه عکس هایی که رمزنگاری شده اند:
همچنین نرم افزار های محتلفی در همان سال برای پاک کردن این باج افزار تست کردم اما تنها نرم افزاری که این باج افزار رو شناسایی و حذف کرد نرم افزار spyhunter بود تصویر زیر از شناسایی باج افزار:
لینک دانلود از سافت 98:
https://soft98.ir/security/anti-hack/2427-SpyHunter.html
در نهایت سایت زیر رو پیدا کردم و با دانلود نرم افزار مخصوص فایل ها دیکریپت شد. اکثر باج افزارهایی که سیستم ها دچار ان شده اند برای ان ها نرم افزار رمز گشا در همین سایت ساخته شده است.
https://www.nomoreransom.org/en/decryption-tools.html
The “No More Ransom” website is an initiative by the National High Tech Crime Unit of the Netherlands’ police, Europol’s European Cybercrime Centre, Kaspersky and McAfee with the goal to help victims of ransomware retrieve their encrypted data without having to pay the criminals.
طبق توضیحات در بخش درباره ما در این سایت،این سایت با همکاری پلیس جرایم سایبری اروپا،پلیس جرایم پیشرفته هلند،شرکت کسپر اسکای و مک آفی ساخته شده است.
کافی است عبارت phobos را بخش سرچ جستجو کنید،گزینه دانلود نمایش داده میشود.
ممکن است مروگر از دانلود ان جلوگیری کند وانتی ویروس هم باید غیر فعال شود.
اسم نرم افزار دیکرپتور phdec_gui_v1.0.0 هست.
شما باید فولدر فایل های رمزنگاری شده و فولدر خروجی را مشخص کنید و روی decrypt کلیک کنید.(سرعت عملکرد ان بالاست)
برای نمونه فایل فوق دیکرپت شد که فایل پی دی اف بوده،فایل سمت راست رمز نگاری شده و فیلم سمت چپ خروجی سالم با نرم افزار دیکرپتور.
اگر باج افزار دیگری سیستم شما رو الوده کرده باید به بخش سرچ بروید یا در لیستی که سایت نمایش میدهد دنبال دیکرپتور باج افزار خود باشید:
