+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : مختبر الفايروسات - Virus & Malware Labs (https://www.at4re.net/f/forum-30.html)
+--- الموضوع : RANSOMWARE (/thread-1028.html)
RANSOMWARE - STRELiTZIA - 26-07-2019
السلام عليكم و رحمة الله
معظمكم يعرف او سمع عن فيروس الفدية و قدرته في التدمير الشرس الذي يلحقه بملفات الضحية...
كتب هذا الموضوع لكي يكون مكان تبادل الطرق التي اعتمدتموها او تعرفونها...
برجى الاجابة على الأسئلة التالية:
مفاهيم و رفع اللبس:
1- كيف يعمل فيروس الفدية.
2- ماذا تعرف عن هيكل الملف الناتج بعد اصابته (الملف المشفر)
قبل الاصابة:
1 - طرق حماية اجهزتكم.
2 - السلوك الصحي في تعاملكم مع النت.
بعد الاصابة:
1 - طرق فك تشفير الملفات المستهدفة.
2 - طرق استرجاع الملفات الأصلية.
3 - ماذا تفعل في حالة فشل ما تم ذكره في 1 و 2 ؟
يرجى من الكل المساهمة...
RE: RANSOMWARE - MountLegacy - 29-07-2019
1- يقوم بتشفير الملفات وما لاحظته في انواع كثيره منها أنه تتفقد أقراص التخزين الخارجيه سواء كان هارد أو فلاشه ثم بعد ذلك يقوم بتشفير الملفات علي القرص الصلب الداخلي ثم بعد ذلك تطلب من المستخدم المال مقابل فك تشفير الملفات أغلبها تتطلب الاتصال بشبكه التور
2- اغلب الأنواع التي تعاملت معها لم يصدر لها ادوات فك تشفير وهناك أنواع تشفر الملفات كامله وهناك تشفر الهيدر وهناك تفشل في التعرف على امتدادات الملفات الجديده
--- السلوك الصحي الوقايه خير من العلاج
بعد الاصابه محاوله التعرف على نوع الرانسوم من خلال امتداد الملف المشفى ورساله النص التي تحتوي على معلومات فك التشفير وغيرها
3 - في حاله فشل الاسترجاع الافضل حفظ الملفات في مكان لحين وجود اداه فك تشفير لكني اقوم بعمل فورمات لانه لا توجد ملفات مهمه
RE: RANSOMWARE - mohamad - 12-11-2019
هل تحليلها يعتبر امن على وندوز افتراضي ؟ ام يمكن لبعضها تجاوزه
RE: RANSOMWARE - Gu-sung18 - 12-11-2019
(12-11-2019, 01:25 PM)mohmaed كتب : هل تحليلها يعتبر امن على وندوز افتراضي ؟ ام يمكن لبعضها تجاوزه
تحليلها امن على النظام الوهمي ولكن يجب ان تقوم بتغيير بعض الاعدادات لكي لا ينتقل الـRANSOMWARE الى جهازك كتغيير الاتصال بالنت الى Host-Only ومنع اي خاصية لمشاركة الملفات بين جهازك والنظام الوهمي مثل خاصية Shared Folders
البعض يفضل عدم تنصيب vmware tools او ما يشابهها من ادوات تسمح بالاتصال بين النظام الوهمي ونظامك الاساسي
ولكن اذا اردت تنصيب vmware tools تاكد انه لديك اخر اصدار من vmware و vmware tools (او virtual box ) وحدث نظامك ونظام مضاد الفيروسات في حال نقلت الفيروس بالخطا الى نظامك الاساسي عن طريق vmware tools لانها تسمح لك بنقل اي شيء تنسخة الى النظام الاساسي كما تسمح لك بالسحب والاسقاط بين النظامين واذا فعلتها بالخطا ستكون العواقب كارثية لك.
RE: RANSOMWARE - mohamad - 12-11-2019
بارك الله فيك على المعلومات الوافية ،