مثبت ( شرح ) الرانسيوم وير Ransomware وكيفيه التخلص منه

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة black007, بتاريخ ‏فبراير 13, 2016.

  1. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,104
    الإعجابات المتلقاة:
    21,904
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7


    [​IMG]
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمه الله وبركاته


    [​IMG]

    درس خفيف وسريع سنتعرف فى رانسوم وير (Ransomware)

    [​IMG]

    تعريف الرنسيوموير

    هو نوع من الملفات الخبيثه التي تقوم بغلق جهازك مع إضهار رسالة (عليك إرسال مبلغ من الملف لمبرمج الملف ) كما انها قد تقوم بتشفير وإخفاء ملفاتك على جهازك ومنعك من إظهارها مرة اخرى وإجبارك على شراء برنامج او اي شيء يفرضه عليك الهاكر من اجل إعادة إضهار ملفاتك

    [​IMG]


    انواع الرانسيوم وير


    [​IMG]

    النوع الاول

    هو عبارة عن برنامج يشبه برنامج مكافحة الفيروسات لكنه فى الاصل برنامج مزيف يدعي بأنه اكتشف عدداً من الفيروسات على جهازك أو على هاتفكم الجوال وعليكم دفع مبلغ من المال لشراء النسخة الكاملة من البرنامج لإزالتها ولكن كل ما يقوم به هذا البرنامج هو إبطاء جهازكم لدرجة عدم القدرة على استعماله مجبراً على الدفع لشراء النسخة الكاملة

    [​IMG]

    [​IMG]

    النوع الثانى


    برنامج يقوم بقفل الشاشة الرئيسية على جهازكم ويطلب منكم مبلغ من المال لفك القفل عنها وعادة ما ينتشر هذا البرنامج مع رسالة تدعي على سبيل المثال أنه برنامج من الـ"إف بي آي" (FBI) أو أي جهة حكومية أخرى كما يدعي أنكم قمتم بنشاطات غير قانونية مثل تحميل المواد المقرصنة و عليكم دفع غرامة مالية لفك القفل عن جهازكم

    [​IMG]

    [​IMG]

    النوع الثالث

    يقوم بتشفير بياناتكم بأكملها ويطلب منكم دفع مبلغ مالي لفك التشفير عنها وهذا النوع الاكثر انتشارا

    [​IMG]

    [​IMG]

    كيف تتم الاصابه

    عن طريق البرامج التى تحمل نفسها بشكل خفى مع برامج اخرى وهنا وجب علينا امعان النظر جيدا فى البرامج التى تقوم بتسطيب برامج اخرى معها وليس next - next عند تسطيب اى برنامج

    [​IMG]

    علاج الاصابه فى الحالات الثلاثه

    [​IMG]


    علاج اصابه النوع الاول

    1- ازالته البرنامج المزيف باحدى البرامج المخصصه لازاله البرامج من جزورها وانصح بشده استخدام برنامج Revo Uninstaller Pro الافضل فى مجاله

    2- قم بعمل فحص شامل للجهاز الخاص بك باحدى اسطوانات الانقاز ( كاسبر او اى برنامج حمايه تفضله )

    [​IMG]

    علاج النوع الثانى

    1- اعاده تشغيل الجهاز فى الوضع الامنى Safe Mode

    Start > Run >msconfig

    [​IMG]


    فحص برامج بدء التشغيل عن طريق

    Start > Run >msconfig

    وحزف الاصابه

    [​IMG]

    2- نظام ويندوز دائما ما يقوم باخذ نسخه احطياطيه منه بشكل تلقائى لذلك يمكن التخلص من النوع الثانى عن طريق استعاده النظام

    Start > search > System Restore

    [​IMG]

    [​IMG]

    [​IMG]

    علاج النوع الثالث وهو اصعب انواع التخلص منها

    1- اول شى هو محاوله استخدام خاصيه استعاده النظام ولا تقم ابدا بعمل فورمات كما يفعل البعض ( راجع الخطوه السابقه )

    2- عمل فحص سريع باى اسطوانه انقاذ للتخلص منه


    3- استعاده الملفات المشفره

    ا- قف على اى ملف تم تشفيره بفعل الملف الخبيث

    Right Click ثم اختار Properties ثم Previous versions

    [​IMG]

    ب- باستخدام برنامج Shadow Explorer

    لتحميل البرنامج من موقعه الرسمى

    http://www.shadowexplorer.com/downloads.html

    تسطيب البرنامج سهل وبسيط او يمكن استخدام النسخه المحموله Portable من البرنامج

    مبدا عمل البرنامج يقوم على الطرق التى استعرضناها سابقا ولكن بشكل منظم اكثر

    [​IMG]

    [​IMG]

    ج- استخدام الطريقه البرمجيه فى استخراج مفتاح فك التشفيره ( للمحترفين )

    الطريقه صعبه نوع ما على البعض حيث انها تخص من لديهم خبره فى البرمجه والتنقيح لاستخراج المفتاح حيث يتم تحليل الملف المسؤل عن تشفير الملفات وغالبنا تجده فى مسار بدا التشغيل Startup

    واستخراج مفتاح فك التشفير من الملف

    [​IMG]

    فى النهايه

    اتمنى اكون وفقت فى الشرح ويكون سهل وبسيط

    اتمنى الافاده للجميع

    تحياتى وتقديرى

    اخوكم ومحبكم دوما

    مصطفى & Black007

     
    آخر تعديل بواسطة المشرف: ‏فبراير 29, 2016
  2. الاعصار الابيض

    الاعصار الابيض مراقب عام ومسئول منتدى العروض المجانية طاقم الإدارة فريق الدعم لقسم الحماية نجم الشهر فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏يوليو 16, 2012
    المشاركات:
    5,992
    الإعجابات المتلقاة:
    8,950
    نقاط الجائزة:
    1,545
    الإقامة:
    مكة المكرمة
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    وعليكم السلام ورحمة الله وبركاته
    سلمت يداك على ماطرحته علينا
    اخي مصطفـــــــــــــــى
    فجزاك الله خيرآآآ
    ودام قلمك معطاء لما فيه رقي المنتدى
     
    black007 ،nasa3 ،swissi و 2آخرون معجبون بهذا.
  3. SkY MaRvEL

    SkY MaRvEL زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 25, 2013
    المشاركات:
    5,014
    الإعجابات المتلقاة:
    16,024
    نقاط الجائزة:
    1,220
    الإقامة:
    بغداد
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    بارك الله فيك اخي مصطفى
    لي عودة لقراءة كل حرف في الموضوع بتمعن
     
  4. m_uons2002

    m_uons2002 الإداري العام وإدارة صفحة الفيسبوك طاقم الإدارة فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية

    إنضم إلينا في:
    ‏مايو 8, 2010
    المشاركات:
    11,491
    الإعجابات المتلقاة:
    24,152
    نقاط الجائزة:
    1,300
    الإقامة:
    مصر
    برامج الحماية:
    Emsisoft
    نظام التشغيل:
    Windows 7
    عليكم السلام ورحمة الله وبركاته
    احسنت طرحا وافاده اخونا ومراقبنا المميز النشيط
    شكرا علي الدرس المفيد ( متابع للاستفادة )
    تقبل مروري
     
    black007 و SkY MaRvEL معجبون بهذا.
  5. ضياء نورالدين

    ضياء نورالدين زيزوومي VIP نجم المنتدى نجم الشهر

    إنضم إلينا في:
    ‏فبراير 10, 2012
    المشاركات:
    4,456
    الإعجابات المتلقاة:
    6,547
    نقاط الجائزة:
    1,525
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    جزاكم الله خيراً
    معلومات قيمة​
     
    black007 و m_uons2002 معجبون بهذا.
  6. hasan

    hasan زيزوومي فعال

    إنضم إلينا في:
    ‏يوليو 22, 2008
    المشاركات:
    211
    الإعجابات المتلقاة:
    130
    نقاط الجائزة:
    310
    الإقامة:
    saudia
    برامج الحماية:
    Dr.Web
    نظام التشغيل:
    Windows8.1
    جزاك الله خيرآ
    درس مفيد وبارك الله فيك
     
    أعجب بهذه المشاركة black007
  7. اليوناني

    اليوناني مصمم زيزوومي مميز فريق الدعم لقسم الحماية عضو المكتبة الإلكترونية نجم المنتدى نجم الشهر المركز الثاني بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏نوفمبر 13, 2014
    المشاركات:
    13,761
    الإعجابات المتلقاة:
    20,442
    نقاط الجائزة:
    2,590
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ما شاء الله معلومات من ذهب

    سلمت يداك و بارك الله فيك
     
    أعجب بهذه المشاركة black007
  8. hitman samir12

    hitman samir12 زيزوومي VIP

    إنضم إلينا في:
    ‏فبراير 25, 2014
    المشاركات:
    4,626
    الإعجابات المتلقاة:
    8,807
    نقاط الجائزة:
    1,220
    الإقامة:
    بلد المليون ونصف مليون شهيد
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    ابدااااااااااااااااااااااااااااااااااااعه
    ماذا اقول
    جزاك الله خيرا
     
    أعجب بهذه المشاركة black007
  9. mohamed gouch

    mohamed gouch زيزوومي محترف

    إنضم إلينا في:
    ‏ديسمبر 26, 2014
    المشاركات:
    841
    الإعجابات المتلقاة:
    3,106
    نقاط الجائزة:
    780
    الإقامة:
    Las Vegas, Nevada
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    ممتاز أخي الكريم مصطفى شرح مفيد جدا وغاية في الاهمية
    تسلم أيديك يا غالي
     
    أعجب بهذه المشاركة black007
  10. Abdallah Pro

    Abdallah Pro عضو شرف

    إنضم إلينا في:
    ‏نوفمبر 4, 2013
    المشاركات:
    9,000
    الإعجابات المتلقاة:
    16,543
    نقاط الجائزة:
    1,220
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    و عليكم السلام ورحمة الله و بركاته
    بارك الله فيك أخى مصطفى على الطرح المميز
    يثبت الموضوع لمدة أسبوع ليأخد حقه من المشاهدة
    خالص ودى و تقديرى لك
    ====
     
    أعجب بهذه المشاركة black007
  11. AL-EMBRATOR

    AL-EMBRATOR مصمم زيزوومي متميّز

    إنضم إلينا في:
    ‏سبتمبر 12, 2011
    المشاركات:
    1,840
    الإعجابات المتلقاة:
    3,887
    نقاط الجائزة:
    1,170
    الإقامة:
    السعودية
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 10
    كالعادة تتحفنا بمعلومات رائعة ومفيدة الله يبارك فيك اخي مصطفى على طرحك الرائع ​
     
    أعجب بهذه المشاركة black007
  12. نموور1

    نموور1 زيزوومي VIP نجم المنتدى نجم الشهر

    إنضم إلينا في:
    ‏ابريل 9, 2013
    المشاركات:
    13,481
    الإعجابات المتلقاة:
    12,533
    نقاط الجائزة:
    1,750
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    احسنت طرحا وشرحا

    بارك الله فيك
     
  13. mha1m

    mha1m زيزوومي VIP

    إنضم إلينا في:
    ‏يوليو 21, 2012
    المشاركات:
    3,239
    الإعجابات المتلقاة:
    7,985
    نقاط الجائزة:
    1,275
    برامج الحماية:
    BullGuard
    نظام التشغيل:
    Windows 7
    جزاك الله كل خير
    مواضيع قيمة ومساعدة لرفع مستوى الوعي الامني
    سلمت يمناك
    :rose:
     
    أعجب بهذه المشاركة black007
  14. nasa3

    nasa3 زيزوومي ذهبي

    إنضم إلينا في:
    ‏مارس 19, 2014
    المشاركات:
    2,540
    الإعجابات المتلقاة:
    8,390
    نقاط الجائزة:
    1,030
    الإقامة:
    مصر
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows8.1
    كالعادة ابداع بعد ابداع ;222);222)
    أذا كنا نقول بأن المستخدم هو البرنامج الحماية الحقيقى لجهازه
    فأن التحديثات الخاصة بالمستخدم هى الموضوعات القيمة التى تنشرها
     
    MagicianMiDo32 ،Zuck و black007 معجبون بهذا.
  15. MagicianMiDo32

    MagicianMiDo32 زيزوومي VIP

    إنضم إلينا في:
    ‏ابريل 29, 2012
    المشاركات:
    8,492
    الإعجابات المتلقاة:
    25,442
    نقاط الجائزة:
    1,220
    الإقامة:
    عندي كهف ساكن فيه
    برامج الحماية:
    TrustPort
    نظام التشغيل:
    Linux
    بسم الله ماشاء الله شرح رائع اخي مصطفى لأنواع الأصابة وكيفية التخلص منها ايضا

    لك كل أحترامي وفائق تقديري
     
    nasa3 و black007 معجبون بهذا.
  16. أسيرالشوق

    أسيرالشوق عضو شرف الأعضاء النشطين لهذا الشهر

    إنضم إلينا في:
    ‏يونيو 2, 2008
    المشاركات:
    18,196
    الإعجابات المتلقاة:
    8,477
    نقاط الجائزة:
    1,595
    الإقامة:
    السعودية
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 7
    بارك الله فيك اخي الحبيب

    شكراً لك على الطرح الرائع
     
    أعجب بهذه المشاركة black007
  17. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,104
    الإعجابات المتلقاة:
    21,904
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    شرفنى مروركم اخوانى الاعزاء

    واتمنى ان يفيد الموضوع الجميع ان شاء الله
     
    أعجب بهذه المشاركة MagicianMiDo32
  18. Ahmed_Albosife

    Ahmed_Albosife زيزوومي محترف

    إنضم إلينا في:
    ‏سبتمبر 19, 2014
    المشاركات:
    490
    الإعجابات المتلقاة:
    2,201
    نقاط الجائزة:
    770
    الإقامة:
    طرابلس
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    السلام عليكم ورحمة الله
    أولا الف شكر اخي مصطفي علي الشرح الوافي لهذا النوع من الإصابات
    ولكن يااخي تطورت هذه الإصابة كثيرا ولم تعد كما شرحتها انت هنا الان لايمكن استرجاع الملفات
    عن طريق الشادو لان الإصابة اول ماتقوم به بعد تشفير الملفات هو حذف الشادوفوليوم عن طريق العملية VssAdmin
    وكلامي عن ثقة ياطيب بعد تحليلي لعينة للإصابة CryptoWall
    تقبل مروري
     
    أعجب بهذه المشاركة Ameer_a7med
  19. nasa3

    nasa3 زيزوومي ذهبي

    إنضم إلينا في:
    ‏مارس 19, 2014
    المشاركات:
    2,540
    الإعجابات المتلقاة:
    8,390
    نقاط الجائزة:
    1,030
    الإقامة:
    مصر
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows8.1
    اخى مصطفى ما رأيك فى البرنامج الجديد Malwarebytes Anti-Ransomware البرنامج من انتاج الشركة
    Malwarebytes هل تظن ان هذا البرنامج قد يساعد فى اكتشاف الرانسيوم وير قبل حدوث الاصابة ؟
     
  20. black007

    black007 مراقب عام (خبير فحص ملفات) طاقم الإدارة فريق فحص زيزووم للحماية نجم الشهر المراقب العام المميز

    إنضم إلينا في:
    ‏يونيو 17, 2013
    المشاركات:
    4,104
    الإعجابات المتلقاة:
    21,904
    نقاط الجائزة:
    1,345
    الإقامة:
    Egypt
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows 7
    وعليكم السلام

    اهلا بيك اخى الغالى

    بالنسبه لما تفضلت له حله فى النسخه الاحطياطيه من النظام التى ينشائها المستخدم

    لذلك وجب اخذ نسخه احطياطيه وهنا اتكلم عن System Restore الخاصه بالنظام وليس backup عادى للنسخه

    لانها تحوى مشكله الملف المشفر

    +

    لاحظ انى ذكرت هناك طريقه ثالثه وهى خاصه بالمحترفين للفك

    ايضا هذه الطرق التى ذكرتها تقضى على 95 % من الاصابات الخاصه الرانسيوم المنتشر وهناك بعض الطرق الاخرى اليدويه للتخلص من بعض انواع الاصابه

    حيث انها يتم التخلص منها على حسب نوعها

    ولا يسعنى ان اذكر كل الطرق للتخلص من الانواع المختلفه لانها ستحتاج الى كتاب كامل للشرح وليس موضوع صغير

    تحياتى وتقديرى

    اهلا بالغالى احمد

    البرنامج مازل فى نسخته الجديد البيتا التجريبيه

    لذلك مازل هناك متسع من الوقت لدراسه البرنامج خصوصا انه كما ذكرت لك مازل فى طور التجربه
     
    Zuck, swissi, أبو عائشه و 1 شخص آخر معجبون بهذا.

مشاركة هذه الصفحة

جاري تحميل الصفحة...