العودة   منتديات داماس > قسم البرامج العام > برامج حماية الكمبيوتر وبرامج مكافحة الفايروسات

إضافة رد
10-08-2017, 02:59 AM
Ghost rider
VIP
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: USA
المشاركات: 2,849
تلقى دعوات الى: 628 موضوع
إعجاب: 2,325
تلقى 2,621 إعجاب على 898 مشاركة
 

تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware

تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware






The-return-of-mamba-ransomware







مواضيع ذات صله بالمقاله



مثبــت:
مكافح فايروسات الفدية Ransomware Defender 3.5.7

مثبــت:
4 برامج من الشركات الكبرى Bitdefender-Kaspersky-Malwarebytes-Cybereason لمكافحة فيرس الفدية WannaCry









يفضل فتح التحديثات دائما لمتابعة الجديد بقاعدة البيانات للشركة تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware




هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه


Attack Geography



We are currently observing attacks against corporations that are located in:
  • Brazil
  • Saudi Arabia

Attack Vector

As usual, this group gains access to an organization’s network and uses the psexec utility to execute the ransomware. Also, it is important to mention that for each machine in the victim’s network, the threat executor generates a password for the DiskCryptor utility. This password is passed via command line arguments to the ransomware dropper


.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware







Example of malware
execution

Technical Analysis



In a nutshell, the malicious activity can be separated into two stages:
Stage 1 (Preparation):
  • Create folder “C:\xampp\http
  • Drop DiskCryptor components into the folder
  • Install DiskCryptor driver
  • Register system service called DefragmentService
  • Reboot victim machine

Stage 2 (Encryption):
  • Setup bootloader to MBR and encrypt disk partitions using DiskCryptor software
  • Clean up
  • Reboot victim machine

Stage 1 (Preparation)

As the trojan uses the DiskCryptor utility, the first stage deals with installing this tool on a victim machine. The malicious dropper stores DiskCryptor’s modules in their own resources




.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware





DiskCryptor modules


Depending on OS information, the malware is able to choose between 32- or 64-bit DiskCryptor modules. The necessary modules will be dropped into the “C:\xampp\http” folder




.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware





The malware drops


the necessary modules

After that, it launches the dropped DiskCryptor installer


.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware







The call of the DiskCryptor installer

When DiskCryptor is installed, the malware creates a service that has SERVICE_ALL_ACCESS and SERVICE_AUTO_START parameters




.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware







The creation of the malicious service’s function

The last step of Stage 1 is to reboot the system.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية RansomwareForce reboot function

Stage 2 (Encryption)

Using the DiskCryptor software, the malware sets up a new bootloader to MBR




.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware





The call for




setting up a bootloader to MBR

The bootloader contains the ransom message for the victim.

تحذر شركة كاسبرسكاي من عودة فايروسات الفدية RansomwareRansomware note

After the bootloader is set, disk partitions would be encrypted using a password, previously specified as a command line argument for the dropper




.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware







The call tree of encryption processes

When the encryption ends, the system will be rebooted, and a victim will see a ransom note on the screen


.
تحذر شركة كاسبرسكاي من عودة فايروسات الفدية RansomwareRansom notes

Kaspersky Lab products detect this threat with the help of the System Watcher component with the following verdict: PDM:Trojan.Win32.Generic.
Decryption



Unfortunately, there is no way to decrypt data that has been encrypted using the DiskCryptor utility because this legitimate utility uses strong encryption algorithms.
IOCs:



79ED93DF3BEC7CD95CE60E6EE35F46A1











10-08-2017, 04:32 AM
كمال بدر
الوسـام الماسـي
رقم العضوية: 435810
تاريخ التسجيل: Nov 2013
الإقامة: جمهورية مصـر العربية
المشاركات: 26,320
تلقى دعوات الى: 1132 موضوع
إعجاب: 6,756
تلقى 8,451 إعجاب على 4,686 مشاركة
 

جزاكَ الله خيراً أخي الكريم على هذا التنبيه والتحذير الهام ... تقبل تحياتي.



10-08-2017, 05:13 AM
stetofski
مشرف قسم الحماية
رقم العضوية: 403254
تاريخ التسجيل: Jun 2012
المشاركات: 5,494
تلقى دعوات الى: 3392 موضوع
إعجاب: 3,066
تلقى 2,678 إعجاب على 1,358 مشاركة
 
شكرا جزيلا على هذا الخبر المهم بارك الله فيك


10-08-2017, 07:39 AM
Ahmed Abd Elmoati
عضو مميز
رقم العضوية: 969922
تاريخ التسجيل: Jun 2017
المشاركات: 227
تلقى دعوات الى: 3 موضوع
إعجاب: 50
تلقى 93 إعجاب على 47 مشاركة
 
هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه

10-08-2017, 08:24 AM
شَريف
عضو ذهبي
رقم العضوية: 973493
تاريخ التسجيل: Jul 2017
الإقامة: فلسطين
المشاركات: 809
تلقى دعوات الى: 2 موضوع
إعجاب: 26
تلقى 158 إعجاب على 139 مشاركة
 
الله يجيرنا من القادم ... القادم اعظم والله اعلم ...

10-08-2017, 03:49 PM
torrenty
الوسـام الماسـي
رقم العضوية: 722652
تاريخ التسجيل: Jan 2016
المشاركات: 9,269
تلقى دعوات الى: 250 موضوع
إعجاب: 7
تلقى 1,346 إعجاب على 1,243 مشاركة
 
شكرا لك عالخبر وجزاك الله خيرا

10-08-2017, 06:58 PM
Ghost rider
VIP
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: USA
المشاركات: 2,849
تلقى دعوات الى: 628 موضوع
إعجاب: 2,325
تلقى 2,621 إعجاب على 898 مشاركة
 
المشاركة الأصلية كتبت بواسطة كمال بدر 

جزاكَ الله خيراً أخي الكريم على هذا التنبيه والتحذير الهام ... تقبل تحياتي.


المشاركة الأصلية كتبت بواسطة stetofski 
شكرا جزيلا على هذا الخبر المهم بارك الله فيك

المشاركة الأصلية كتبت بواسطة Ahmed Abd Elmoati 
هذا درجة اعلى من الفيروس Ransomware
ويسمى petya على مااذكر ويشفر mbr الخاص بالاقلاع بدلا من الملفات ولا يمكن الدخول للنظام
معلومات قد تدولات موخرا لا اعلم صحيحة ام لا
الخبر الأول :
مجموع ما تحصل عليه صانعو فيروس Wannacry من المال اللذي تم تحويله يوم أمس من عملة البتكوين إلى الدولار هو 140,000 ï؟½ï؟½
الخبر الثاني : إلقاء القبض على المشهور باسم MalwareTeck البريطاني الجنسية وذو الـ 22 عاما و اللذي قام بتطوير أداة kill switch اللتي تحد من إنتشار و تاثير فيروس Wannacry ، لضلوعه في تطوير الفيروس نفسه
المشاركة الأصلية كتبت بواسطة شَريف 
الله يجيرنا من القادم ... القادم اعظم والله اعلم ...
المشاركة الأصلية كتبت بواسطة torrenty 
شكرا لك عالخبر وجزاك الله خيرا




بارك االله فيكم اخوتي الكرام

تحياتي

10-08-2017, 11:37 PM
H.I.C.H.A.M
الوسـام الذهبي
رقم العضوية: 86968
تاريخ التسجيل: Jun 2007
المشاركات: 1,780
تلقى دعوات الى: 156 موضوع
إعجاب: 46
تلقى 280 إعجاب على 235 مشاركة
 

10-08-2017, 11:52 PM
ironfighter
عضو محترف
رقم العضوية: 755362
تاريخ التسجيل: Mar 2016
المشاركات: 483
تلقى دعوات الى: 5 موضوع
إعجاب: 236
تلقى 97 إعجاب على 79 مشاركة
 

11-08-2017, 05:54 AM
ramay
عضو ماسـي
رقم العضوية: 133287
تاريخ التسجيل: Jun 2008
المشاركات: 1,152
تلقى دعوات الى: 1 موضوع
إعجاب: 55
تلقى 44 إعجاب على 22 مشاركة
 
مشكور هل يوجد برامج الان لفك تشفير ملفات مشفره


تعمل جيدا

12-08-2017, 04:20 PM
Ghost rider
VIP
رقم العضوية: 339145
تاريخ التسجيل: Jun 2010
الإقامة: USA
المشاركات: 2,849
تلقى دعوات الى: 628 موضوع
إعجاب: 2,325
تلقى 2,621 إعجاب على 898 مشاركة
 
المشاركة الأصلية كتبت بواسطة bafadem 
المشاركة الأصلية كتبت بواسطة ironfighter 
المشاركة الأصلية كتبت بواسطة ramay 
مشكور هل يوجد برامج الان لفك تشفير ملفات مشفره


تعمل جيدا


بارك الله فيكم اخوتي الكرام

في الوقت الحاضر ينصح باستخدام
برامج مضادات المذكوره اعلاه


13-08-2017, 09:16 PM
ramay
عضو ماسـي
رقم العضوية: 133287
تاريخ التسجيل: Jun 2008
المشاركات: 1,152
تلقى دعوات الى: 1 موضوع
إعجاب: 55
تلقى 44 إعجاب على 22 مشاركة
 
المشاركة الأصلية كتبت بواسطة Ghost rider 
بارك الله فيكم اخوتي الكرام

في الوقت الحاضر ينصح باستخدام
برامج مضادات المذكوره اعلاه

قصدي ملفات مصابه
ومشفره
كيف ممكن فك تشفير
واستعادة ملفات

02-12-2017, 12:42 AM
mohamed ebrahem
الوسـام الماسـي
رقم العضوية: 531434
تاريخ التسجيل: Dec 2014
المشاركات: 11,393
تلقى دعوات الى: 352 موضوع
إعجاب: 1,446
تلقى 3,066 إعجاب على 2,279 مشاركة
 
المتألق فى سماء الصرح السيد / Ghost rider ايها العملاق الرائع الذى لايدخر وسعا فى الطواف على الشبكة لجلب كل ماهو نافع ومفيد ليثرى به صرحنا وعقولنا كعادة سيادتك دائما اكثر من متفوق على نفسك وعلى الاخرين ودائما تتحفنا بكل مفيد ..بارك الله فيك وزادك سعة فى العلم والرزق وربنا مايحرمناش من ابداعاتك المميزة والف شكر على الابداع الجديد..كل التقدير والاحترام


تحذر شركة كاسبرسكاي من عودة فايروسات الفدية Ransomware



Powered by vBulletin® Version
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.