هشدار مهم!

هشدار ! انتشار ویروس wipe

 

همانطور که از اسم این ویروس مشخص است عمل پاک کردن را انجام میدهد.
با توجه به بروز مشکلات یکسان در مراکزی که اطلاعات مهمی داشتند و مشخص نبودن اینکه مشکل از کجا ناشی میشود با تلاش و بررسیهای بسیار متوجه شدیم که بر روی تمام این قطعات عمل Erase انجام شده و تمامی سکتورهای هارد دیسک یا Raid Array دوباره نویسی میشود و دیگر اطلاعاتی از قبل قابل بازیابی نمی باشد.

بعنوان مثال در یکی از این موارد یک سرور HP و تعداد 27 کامپیوتر در یک شبکه دامین در حال کار بودند.طبق معمول هر روزه بعد از اتمام کار روزانه سیستمها خاموش و سرور در حالت انجام کار بوده.در روز بعد سرور ریست شده و حالت بوت خود را از دست داده بود.کامپیوترها در ابتدا بوت شده ولی بعد از چند دقیقه ریست شده اند و دیگر بوت نشدند.
بعد از بررسی روی سرور مشخص شد تمام دیتا ها از بیین رفته و سه عدد هاردی که بصورت Raid 5 بودند Erase شده اند. روی کامپیوترها اطلاعات بدون ساختار قبل بازیابی شد که این نشان دهنده تخریب کامل فایل سیستم پارتیشنها میباشد.
در این مورد از یک ویروس گارد  با آخرین آپدیتها بر روی سرور استفاده شده بود.

با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده بود.این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است.

با توجه با اینکه هنوز این بد افزار توسط ویروس گاردها شناسایی نمیشود بهتر است یک نسخه پشتیبان از اطلاعات تهیه شود و بعد از اتمام  ذخیره اطلاعات آن را از دستگاه جدا کرد.

راهکارهای مقابله با بد افزار Wipe :
بهترین راه برداشتن و یا تغییر نام فایل diskpart.exe میباشد.چون این فایل از فایهای سیستمی می باشد لذا از خود سیستم عامل نمیتوان برای اینکار استفاده کرد.

 

1. برای انجام این عمل باید از برنامه های بوت مثل hiren bootable cd استفاده کرد.
مسیر فایلها :

Windows\System32\diskpart.exe
Windows\System32\en-US\diskpart.exe.mui

بعد از اتمام کار ویندوز را بوت کرده و با اجراء دستور diskpart در command prompt مطمئن شوید که اجرا نخواهد شد.اگر باز این دستور اجرا شد diskpart را در پارتیشنی که ویندوز نصب شده جستجو کرده و آنها را نیز تغییر دهید و یا پاک کنید.

 

2. اگر دسترسی به برنامه بوت ندارید، برای تغییر پسوند یا تغییر نام فایل ها با انجام این مراحل میتوان این کار را انجام داد
Start ویندوز را زده بعد گزینه Run را زده و در داخل آ ن بدین صورت تایپ کنید:
takeown /F c:\Windows\System32\diskpart.exe

و بعد OK کنید و دوباره Run رو باز کرده و فایل دوم را وارد کنید:
takeown /F c:\Windows\System32\en-US\diskpart.exe.mui

و بعد با My Computer به مسیر فایل ها رفته روی فایل ها راست کلیک کرده گزینه Properties و بعد در پنجره باز شده وارد تب Security شده Edit را زده و برای تمام یوزرها تیک Full control را بزنید بعد Ok بعد تایید دوباره Ok بزنید.
در این صورت به راحتی میتوان نام فایل ها رو عوض کرد ترجیحا پسوند فایل ها رو هم عوض کنید.

 

نکته: اگر کاربران شما با یوزری غیر از ادمین لاگین می کنن، قاعدتاً نباید این ویروس شبکه شما را  تهدید کند.

 

درصورت بروز مشکل با ما مکاتبه نمایید:

ایمیل : support@cactux.ir
وب سایت : support.cactux.ir

ورود کاربر

کلیه حقوق این سایت متعلق به شرکت کاکتوس می باشد

 

Design & Developed by Cactus Data Processing Co. Ltd.