حصريا فك تشفير الملفات المصابة من Wanna Cry والحماية منها والتفاصيل كاملة

[Black foxer]

السلام عليكم اخواني في عرب هاردوير تحية طيبة وبعد :



قد قمنا من فترة بالاعلان عن تفاصيل تسريب ثغرات الويندوز في هذا الخبر



وبعدها بحوالي 45 يوم انتشرت العديد من فايروسات Ransomware بشكل ملفت للانظار وقمنا بعمل موضوع يشرح كيفية الحماية منها



برجاء قراءة المقال كاملا حتى الوصول لاهم نقطة له في اخر سطر به

وبعدها بفترة وجيزة جدا ظهر فايروس Wanna Cry او Want To Cry الفايروس كان موجود بالفعل منذ اواخر 2011 ولكن ما سرعان تم ردعه من قبل كاسبر سكاي ولكن ظهوره الاخير كان مختلف كثيرا فتم تطويره ليكون الاصدار الثاني له وامتلك قوة غير عادية في اصابة ملفات الويندوز المختلفة وهي الاتي :
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

ومن اكثر الدول التي تمت اصابتها :


الفايروسات اصابت اكثر من 300.000 جهاز حتى الان منذ ظهوره بقوة من اسبوعين

اذا هل يوجد رادع له !!؟ الاجابة هي نعم وايضا يوجد عدة طرق لفك تشفير الملفات دون دفع الفدية التي تكون بعملة البتكوين ولا نتعجب من وصله سعرها الى 2100$ بعد الهجمات الاخيرة

اول شىء ملفات الاصابة تكون الاتية :

b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
u.wnry
tor.exe
!WannaDecryptor!.exe
!WannaDecryptor!.exe.lnk
!WannaCryptor!.bmp
!Please Read Me!.txt
@WanaDecryptor@.exe fi
300921484251324.bat
attrib +h .
icacls . /grant Everyone:F /T /C /Q

والدومينات التي تقوم خدمات tor الخفية بالدخول اليها :

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
Xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
sqjolphimrr7jqw6.onion

وبعض محافظ البيتكوين التي تم ارسال الفدية اليها :





والملفات تكون في الاغلب موجودة في :

%AppData%
%Temp%
%Roaming%
%Local%
%SystemDrive%
System Volume Information

وفي مدخلات الريجيستري اغلبها تكون هنا :

HKEY_CURRENT_USER\Control Panel\Desktop\HKEY_USERS\.DEFAULT\Control Panel\Desktop\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunHKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Soft ware\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce




الواجهة الخاصة به والتي تحتوي على العديد من اللغات :







هل من رادع لهذه الكارثة ؟؟!!

فالاجابة هي نعم !

اول شىء كاسبر سكاي هو اول من قام بردعه في السابق واليوم ها هو يقوم بها وقام بردعه ردعا تاما وفي القريب العاجل سيصدر له كاسر للتشفير

الملفات تحمل هذه المسميات :

4fef5e34143e646dbf9907c4374276f5
5bef35496fcbdbe841c82f4d1ab8b7c2
775a0631fb8229b2aa3d7621427085ad
7bf2b57f2a205768755c07f238fb32cc
7f7ccaa16fb15eb1c7399d422f8363e8
8495400f199ac77853c53b5a3f278f3e
84c82835a5d21bbcf75a61706d8ab549
86721e64ffbd69aa6944b9672bcabb6d
8dd63adb68ef053e044a5a2f46e0d2cd
b0ad5902366f860f85b892867e5b1e87
d6114ba5f10ad67a4131ab72531f02da
db349b97c37d22f5ea1d1841e3c89eb4
e372d07207b4da75b3434584cd9f3450
f529f4556a5126bba499c26d67892240

وتم تصنيفها كالاتي في برنامج كاسبر سكاي

Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic

كثر حديثي واعلم انه طال للوصول لحل تلك المشكلة !!

الخطوات كالاتي

1/فتح تحديث الويندوز التلقائي لتحميل التحديثات الامنية المهمة التي اصدرتها مايكروسوفت وخصوصا التحديث ms17-010 ومن لم يستطيع الحصول عليه من الويندوز ابديت يمكنه الحصول عليه من هنا كملف EXE او MSI ذاتي التصطيب

2/استخدام (كاسبر سكاي - بت ديفيندر - افاست) النسخ الانترنت سيكيورتي او التوتال سيكيورتي

3/استخدام برنامج MalwareBytes بجوار الانتي فايروس الاساسي مع احد الادوات الاتية (Spy Hunter - Hitman - Stopzilla)

4/استخدام برنامج Advanced System Care لانه قام بفك تشفير بعض الملفات تلقائيا !!



5/فتح CMD كمسئول وكتابة الامر الاتي

كود:

vssadmin.exe Delete shadows /All /Quiet

6/استخدام اداة Windows Worms Doors Cleaner من هنا وفتحها كمسئول والضغط على الاتي بالترتيب
Disable DCOM
Close 445
CLOSE 137:139

7/تعطيل SMB 1 & 2 من هنا او استخدام هذه الاداة من هنا

هل انتهينا هكذا !! الاجابة هي لأ طرق فك التشفير المتاحة الى هذه اللحظة :

1/استخدام ادوات استرجاع الملفات و الصور المفقودة برنامج (Phoenix كان من اكثرهم فاعلية)

2/استخدام ادوات فك تشفير فايروسات الRansomware عامة من KasperSky & Avast & Bitdefinder

3/استخدام بعض الادوات ك Emsisoft & ShadowExplorer & PhotoRec لديها القدرة على فك تشفير بعض الملفات

4/الاداة الرائعة WannaKIWI التي ظهرت من قبل وقامت بفك تشفيره ها هي الان تظهر وتقوم بك اكثر من 80% من الملفات المشفرة من هنا

والشرح الخاص بها





والسؤال الاهم هنا هل انتهت هذه الفايروسات وتم ردعها ؟؟ فالاجابة للاسف لا لم تنتهي ومن المتوقع حدوث هجوم اقوى من Wanna Cry لن يقوم فقط بتشفير الملفات وطلب فدية بالبتكوين لا بل سيكون ما هو اسوأ سيقوم باستخدام جهازك في التعدين لصالحه و جميع الاجهزة المتصلة به ان كان على شبكة بالاضافة للهدف الاساسي وهو تشفير الملفات

[Yasser]

موضوع متكامل ماشاء الله ....وهناك سؤال يعنى - من مبدأ الوقايه خير من العلاج - ازاى انتشر الفيروس هل هو موجهه بقصد للمنشآت العامه كما سمعنا فى العالم كله ام بشكل عشوائى وهل ممكن نتصاب بيه فى نشاطاتنا المعتاده اليوميه على الويب
؟

[Black foxer]

موضوع متكامل ماشاء الله ....وهناك سؤال يعنى - من مبدأ الوقايه خير من العلاج - ازاى انتشر الفيروس هل هو موجهه بقصد للمنشآت العامه كما سمعنا فى العالم كله ام بشكل عشوائى وهل ممكن نتصاب بيه فى نشاطاتنا المعتاده اليوميه على الويب
؟

شرفت الموضوع استاذي الفاضل

في بداية الامر اعتقدنا انه يستهدف فقط المنشات الحكومية في الدول المذكورة اعلاه ولكن تم تسريب سكريبت الفايروس وتم اعادة صياغته من بعض الهاكرز ونشره في مواقع عديدة وبالطبع على رأسهم مواقع الكراكات و الباتشات الغير امنة و معظم الصفحات التي تحتوي على ادوات فك للفايروس (لا يوجد اداة رسمية الا الموجودة في هذا الموضوع) وطبعا مواقع الديب ويب

ولم يثبت اي اصابة من مصدر خلاف المذكور

الجيد في الامر ان الاداة بالفعل قامت بمعالجة تلافيات هذا الفايروس اللعين و هي مفتوحة المصدر بلغة C++ وفي القريب العاجل اتوقع صدور ادوات من مكافحات الفايروسات اسرع منها و ادق