أسْتَغْفِرُ اللهَ العَظِيمَ .... اللَّهُمَّ صَلِّ عَلَى مُحَمَّدٍ



العودة   منتديات داماس > برامج الكمبيوتر والانترنت > برامج الحماية


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


10-08-2017, 02:59 AM
Ghost rider متصل
عضو مميز
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: sweden
المشاركات: 397
إعجاب: 54
تلقى 237 إعجاب على 103 مشاركة
تلقى دعوات الى: 2 موضوع
    #1  

تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware



تحذر شركة كاسبرسكاي عودة فايروسات

تحذر شركة كاسبرسكاي عودة فايروسات






The-return-of-mamba-ransomware







مواضيع ذات صله بالمقاله



مثبــت: مكافح فايروسات الفدية Ransomware Defender 3.5.7

مثبــت: 4 برامج من الشركات الكبرى Bitdefender-Kaspersky-Malwarebytes-Cybereason لمكافحة فيرس الفدية WannaCry









يفضل فتح التحديثات دائما لمتابعة الجديد بقاعدة البيانات للشركة تحذر شركة كاسبرسكاي عودة فايروسات




هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه


Attack Geography



We are currently observing attacks against corporations that are located in:
  • Brazil
  • Saudi Arabia

Attack Vector

As usual, this group gains access to an organization’s network and uses the psexec utility to execute the ransomware. Also, it is important to mention that for each machine in the victim’s network, the threat executor generates a password for the DiskCryptor utility. This password is passed via command line arguments to the ransomware dropper


.
تحذر شركة كاسبرسكاي عودة فايروسات







Example of malware
execution

Technical Analysis



In a nutshell, the malicious activity can be separated into two stages:
Stage 1 (Preparation):
  • Create folder “C:\xampp\http
  • Drop DiskCryptor components into the folder
  • Install DiskCryptor driver
  • Register system service called DefragmentService
  • Reboot victim machine

Stage 2 (Encryption):
  • Setup bootloader to MBR and encrypt disk partitions using DiskCryptor software
  • Clean up
  • Reboot victim machine

Stage 1 (Preparation)

As the trojan uses the DiskCryptor utility, the first stage deals with installing this tool on a victim machine. The malicious dropper stores DiskCryptor’s modules in their own resources




.
تحذر شركة كاسبرسكاي عودة فايروسات





DiskCryptor modules


Depending on OS information, the malware is able to choose between 32- or 64-bit DiskCryptor modules. The necessary modules will be dropped into the “C:\xampp\http” folder




.
تحذر شركة كاسبرسكاي عودة فايروسات





The malware drops


the necessary modules

After that, it launches the dropped DiskCryptor installer


.
تحذر شركة كاسبرسكاي عودة فايروسات







The call of the DiskCryptor installer

When DiskCryptor is installed, the malware creates a service that has SERVICE_ALL_ACCESS and SERVICE_AUTO_START parameters




.
تحذر شركة كاسبرسكاي عودة فايروسات







The creation of the malicious service’s function

The last step of Stage 1 is to reboot the system.
تحذر شركة كاسبرسكاي عودة فايروساتForce reboot function

Stage 2 (Encryption)

Using the DiskCryptor software, the malware sets up a new bootloader to MBR




.
تحذر شركة كاسبرسكاي عودة فايروسات





The call for




setting up a bootloader to MBR

The bootloader contains the ransom message for the victim.

تحذر شركة كاسبرسكاي عودة فايروساتRansomware note

After the bootloader is set, disk partitions would be encrypted using a password, previously specified as a command line argument for the dropper




.
تحذر شركة كاسبرسكاي عودة فايروسات







The call tree of encryption processes

When the encryption ends, the system will be rebooted, and a victim will see a ransom note on the screen


.
تحذر شركة كاسبرسكاي عودة فايروساتRansom notes

Kaspersky Lab products detect this threat with the help of the System Watcher component with the following verdict: PDM:Trojan.Win32.Generic.
Decryption



Unfortunately, there is no way to decrypt data that has been encrypted using the DiskCryptor utility because this legitimate utility uses strong encryption algorithms.
IOCs:



79ED93DF3BEC7CD95CE60E6EE35F46A1















المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
مكافح فيروس الفدية من شركة بيت ديفيندر Bitdefender Anti-Ransomware 1.0.12.151 ABU.AMR برامج الحماية 30 10-08-2017 01:08 PM
مكافح فايروسات الفدية Ransomware Defender 3.5.7 سعد الدين برامج الحماية 40 10-08-2017 08:26 AM
احظر من فيرس الفدية ( Ransomware ) خطير جدا يشفر ملفات ويطلب فدية ومالة حل الا الدفع ABU.AMR برامج الحماية 23 15-07-2017 11:16 PM
برنامج ابادة برمجيات طلب الفدية Malwarebytes Anti-Ransomware Build 0.9.9.314 ابو احمد الجنوبي برامج الحماية 33 23-05-2017 05:02 PM
باتش لمستخدمى ويندوز XP اكس بى لسد ثغرة فيرس الفدية المنتشر WannaCry Anti-Ransomware Patch KB4012598 ABU.AMR برامج 16 22-05-2017 10:23 AM
10-08-2017, 04:32 AM
كمال بدر غير متصل
الوسـام الماسـي
رقم العضوية: 435810
تاريخ التسجيل: Nov 2013
الإقامة: جمهورية مصـر العربية
المشاركات: 20,137
إعجاب: 4,696
تلقى 5,186 إعجاب على 2,575 مشاركة
تلقى دعوات الى: 813 موضوع
    #2  

جزاكَ الله خيراً أخي الكريم على هذا التنبيه والتحذير الهام ... تقبل تحياتي.





سُبْحَانَ اللَّهِ وَبِحَمْدِهِ ،-، سُبْحَانَ اللَّه الْعَظِيم

موضوعات العبد الفقير إلى الله الغنى بالله المتوكل على الله.




10-08-2017, 05:13 AM
stetofski متصل
مشرف قسم الحماية
رقم العضوية: 403254
تاريخ التسجيل: Jun 2012
المشاركات: 4,084
إعجاب: 1,882
تلقى 1,788 إعجاب على 822 مشاركة
تلقى دعوات الى: 2442 موضوع
    #3  
شكرا جزيلا على هذا الخبر المهم بارك الله فيك



بسْم الله الرحْمن الرحيم
قُلْ هُو اللهُ أحد (1) اللهُ الصمدُ (2) لمْ يلدْ ولمْ يُولدْ (3) ولمْ يكُنْ لهُ كُفُوا أحد (4).
صدق الله العظيم.

اخوكم في الله مـصطــفى
stetofski

10-08-2017, 07:39 AM
Ahmed Abd Elmoati غير متصل
عضو فعال
رقم العضوية: 969922
تاريخ التسجيل: Jun 2017
المشاركات: 169
إعجاب: 15
تلقى 48 إعجاب على 34 مشاركة
تلقى دعوات الى: 2 موضوع
    #4  
هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه


10-08-2017, 03:49 PM
torrenty غير متصل
الوسـام الماسـي
رقم العضوية: 722652
تاريخ التسجيل: Jan 2016
المشاركات: 2,882
إعجاب: 0
تلقى 352 إعجاب على 335 مشاركة
تلقى دعوات الى: 7 موضوع
    #6  
شكرا لك عالخبر وجزاك الله خيرا



10-08-2017, 06:58 PM
Ghost rider متصل
عضو مميز
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: sweden
المشاركات: 397
إعجاب: 54
تلقى 237 إعجاب على 103 مشاركة
تلقى دعوات الى: 2 موضوع
    #7  
المشاركة الأصلية كتبت بواسطة كمال بدر 

جزاكَ الله خيراً أخي الكريم على هذا التنبيه والتحذير الهام ... تقبل تحياتي.


المشاركة الأصلية كتبت بواسطة stetofski 
شكرا جزيلا على هذا الخبر المهم بارك الله فيك

المشاركة الأصلية كتبت بواسطة Ahmed Abd Elmoati 
هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه
المشاركة الأصلية كتبت بواسطة شَريف 
الله يجيرنا من القادم ... القادم اعظم والله اعلم ...
المشاركة الأصلية كتبت بواسطة torrenty 
شكرا لك عالخبر وجزاك الله خيرا




بارك االله فيكم اخوتي الكرام

تحياتي

10-08-2017, 11:37 PM
bafadem غير متصل
عضو ماسـي
رقم العضوية: 86968
تاريخ التسجيل: Jun 2007
المشاركات: 1,218
إعجاب: 37
تلقى 157 إعجاب على 126 مشاركة
تلقى دعوات الى: 106 موضوع
    #8  


11-08-2017, 05:54 AM
ramay غير متصل
عضو ماسـي
رقم العضوية: 133287
تاريخ التسجيل: Jun 2008
المشاركات: 1,015
إعجاب: 53
تلقى 30 إعجاب على 9 مشاركة
تلقى دعوات الى: 0 موضوع
    #10  
مشكور هل يوجد برامج الان لفك تشفير ملفات مشفره


تعمل جيدا


موقع القرأن الكريم وفيه أيضا تلاوات نادرة لأحمد العجمي


12-08-2017, 04:20 PM
Ghost rider متصل
عضو مميز
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: sweden
المشاركات: 397
إعجاب: 54
تلقى 237 إعجاب على 103 مشاركة
تلقى دعوات الى: 2 موضوع
    #11  
المشاركة الأصلية كتبت بواسطة bafadem 
المشاركة الأصلية كتبت بواسطة ironfighter 
المشاركة الأصلية كتبت بواسطة ramay 
مشكور هل يوجد برامج الان لفك تشفير ملفات مشفره


تعمل جيدا


بارك الله فيكم اخوتي الكرام

في الوقت الحاضر ينصح باستخدام
برامج مضادات المذكوره اعلاه


13-08-2017, 09:16 PM
ramay غير متصل
عضو ماسـي
رقم العضوية: 133287
تاريخ التسجيل: Jun 2008
المشاركات: 1,015
إعجاب: 53
تلقى 30 إعجاب على 9 مشاركة
تلقى دعوات الى: 0 موضوع
    #12  
المشاركة الأصلية كتبت بواسطة Ghost rider 
بارك الله فيكم اخوتي الكرام

في الوقت الحاضر ينصح باستخدام
برامج مضادات المذكوره اعلاه

قصدي ملفات مصابه
ومشفره
كيف ممكن فك تشفير
واستعادة ملفات

 


تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware

English

Powered by vBulletin® Version
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.