1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

استفسار أجهزة الشركة أصيب بفيروس Locky

الموضوع في 'طلبات ومشاكل واستفسارات برامج الحمايه' بواسطة mohamed gamel, بتاريخ ‏مارس 25, 2016.

حالة الموضوع:
مغلق
  1. mohamed gamel

    mohamed gamel زيزوومي جديد

    إنضم إلينا في:
    ‏أكتوبر 29, 2014
    المشاركات:
    34
    الإعجابات :
    12
    نقاط الجائزة:
    50
    الجنس:
    ذكر
    الإقامة:
    Cairo, Egypt
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows8.1


    يا جماعة انا حصلى مصيبة .حد فى الشركة جالة اميل فية ملف مضغوط فتحة الشبكة كلها اتفيرست من فيرس اسمة Locky كل كلفات الاكسيل الى فيها شغل الشركة ضرب غير البى دى اف والبرامج .. مش عارف اعمل اية اكتر من 40 جهاز غير اتنين سرفر

    [​IMG]

    دى المفروض ملفات اكسيل
     
    أعجب بهذه المشاركة blue.eye
  2. منصور89

    منصور89 زيزوومي نشيط

    إنضم إلينا في:
    ‏مارس 6, 2012
    المشاركات:
    97
    الإعجابات :
    24
    نقاط الجائزة:
    120
    الجنس:
    ذكر
    برامج الحماية:
    Avira
    نظام التشغيل:
    Windows 10
    نفس المشكلة نأمل الافادة وهل هناك حل لإعادة هذه الملفات ؟
     
  3. التميمي14

    التميمي14 .: خبراء نقاشات الحماية :.

    إنضم إلينا في:
    ‏أغسطس 23, 2012
    المشاركات:
    4,060
    الإعجابات :
    11,300
    نقاط الجائزة:
    1,900
    الجنس:
    ذكر
    الإقامة:
    السعوديه
    برامج الحماية:
    اخرى
    نظام التشغيل:
    windows 11
    اصابة بمقتل لكن مانوع برنامج الحماية الذي تستخدمه ؟
    وهل لديك نسخه ريكفري احتياطيه ؟

    استدعاء لعراب الحماية اخي سامر



    @samerira
     
    MagicianMiDo32 و samerira معجبون بهذا.
  4. samerira

    samerira زيزوومي ماسى

    إنضم إلينا في:
    ‏مارس 4, 2011
    المشاركات:
    1,134
    الإعجابات :
    5,055
    نقاط الجائزة:
    1,095
    الجنس:
    ذكر
    الإقامة:
    Sun Den
    برامج الحماية:
    Dr.Web
    نظام التشغيل:
    Windows 7
    وعليكم السلام ورحمة الله وبركاته اخي محمد
    اذا تذكر محاولاتي العديدة في تأسيس ارضية تعنى
    بالحماية والوقاية والعلاج من فيروسات الابتزاز
    ومنها كما يبدو لكم في مشكلة احد الاخوة بعنوان
    فيروسات الفدية CryptoWall
    [​IMG]

    انت تامر اخي الغالي محمد احياك الله وبياك
    اما عن رانسوم لوكي يمكنني ان اقدم الحلول التالية
    لكن يبقى هو مجرد رأي اتمم من خلاله ما فاتني في الجزء الاول عن فيروسات التشفير
    [​IMG]
    Locky Virus Ransomware
    [​IMG]
    يستخدم رانسوم لوكي طرق مختلفة وعبقرية للتشفير AES-128
    فقواعد التشفير لا يمكن ان تفهم حتى تكسر
    مما يجعل ملفات المستخدم الخاصة غير قابلة للاسترداد
    ويلاحظ ان الملفات التالية هي الاكثر عرضة للتشفير وتغيير امتدادها
    doc, .pdf, .xls, .ods, .xlsx
    لكن يوجد احتمال بسيط العودة الى تاريخ سابق قبل اصابة الرانسوم للجهاز
    [​IMG]
    يعتمد تشفير الملفات على حجم القرص الصلب وكم البيانات وقد تستغرق هذه العملية ساعات او حتى ايام المشكلة اذا لم يلاحظ المستخدم ذلك من خلال ضعف اداء الكمبيوتر اكثر من المعتاد والاستخدام الكبير لوحدة المعالجة المركزية وذاكرة الوصول العشوائية والمفروض فتح مدير ادارة المهام والبحث عن من يأكل الموارد حتى لو كان اثنين يحملان نفس الاسم ينظر الى اي منهما يستهلك طاقة وحدة المعالجة المركزية ومن ثم يغلق على الفور وتحذف جميع العمليات المرتبطة به
    اما اذا تم تشفير الملفات بالفعل ورأينا بالفعل نتائج عمل الرانسوم سيكون هناك نوع من الموقت للضغط على المستخدم للمطالبة بدفع الفدية عن طريق البتكون
    اما اذا كنت متأكد انك مصاب بفيروس القفل Locky وهو حصان طروادة والذي يعرف بالقطارة ويعد الطريقة المفضلة لنشر الرانسوم فالملف خفيف جدا وفي غالب الاحيان لا يمكن لبرنامج الحماية كشفه ويمكن ان يبقى في الجهاز لمدة طويلة فيجب عليك التأكد من تنظيف الجهاز من القطارات لانها سوف تحمل دائما رانسوم جديد وان البحث عن القطارات يدويا مستحيل تقريبا لذلك يجب عليك ان تثبت برنامج حماية يملك درجة عالية من الموثوقية
    كما يعد من العسير جدا تعقب الرانسوم
    ويعد برنامج سباي هنتر المتخصص في الكشف عن رانسوم والملفات المتعلقة به
    وسبب كفائته في هذه الحالة الى مسح الجهاز بشكل عشوائي
    مما يفوت الفرصة على الرانسوم في الاختباء والتخفي

    SpyHunter
    [​IMG]


    [​IMG]

    خطوات العمل اليدوية على وفق التسلسل
    إعادة تشغيل الكمبيوتر في الوضع الأمن
    استخدام هذه الطريقة إذا كنت لا تعرف كيفية القيام بذلك
    [​IMG]
    كود
    msconfig
    [​IMG]
    وينبغي رفع علامة الصح من مربع اعادة التشغيل الى الوضع الآمن
    بعد اتمام الخطوات حتى يتسنى الدخول الى الوضع العادي
    [​IMG]
    [​IMG]
    أول شيء يجب عليك القيام به بعد الدخول الى الوضع الآمن هو الكشف عن كافة الملفات والمجلدات المخفية
    ويجب عدم تخطي هذا الاجراء فقد يخفي فيروس لوكي بعض ملفاته
    [​IMG]
    او من خلال لوحة التحكم ومن ثم النقر على خيارات الملف
    [​IMG]
    [​IMG]
    [​IMG]
    فتح ملف الهوست
    [​IMG]
    يتم فتح ملف المضيف بواسطة المفكرة
    [​IMG]
    الضغط على حرف R + شعار الويندوز
    [​IMG]
    ومن ثم لصق الكود في المربع ثم انتر
    notepad %windir%/system32/Drivers/etc/hosts
    [​IMG]
    سيتم فتح ملف جديد إذا وجد اختراق سيكون هناك مجموعة من الاي بي المتصلة في الجزء السفلي
    [​IMG]
    مجموعة الاي بي الشائعة للرانسوم لوكي وبعض الانواع الجديدة تستخدم برتوكولات مختلفة
    [​IMG]
    [​IMG]

    التحقق من التطبيقات التي تعمل مع بدء تشغيل النظام
    في حقل البحث في الويندوز اكتب
    msconfig
    ثم دخول
    [​IMG]
    [​IMG]
    الغي الادخالات المجهولة على وفق الشركة المصنعة
    لفتح مدير مهام ويندوز
    windows task manager
    اضغط على المفاتيح الثلاثة في الوقت نفسه
    CTRL + SHIFT + ESC
    [​IMG]
    ثم اذهب الى تبويب العمليات
    لتحديد العمليات الضارة
    يمكن التحقق من الشركة المصنعة فضلا عن خواص العملية
    [​IMG]
    يرجى التأكد تماما قبل اجراء عملية الحذف
    يتم النقر كليك يمين ثم تحديد موقع الملف ومن ثم انهاء العملية بعد فتح المجلد ومن ثم حذف الدلائل
    [​IMG]
    [​IMG]

    فتح محرر الرجيستري
    من حقل البحث في الويندوز اكتب
    Regedit
    ثم ادخال وبعد فتح المحرر اضغط معا على
    CTRL + F
    [​IMG]
    ثم اضغط اسم الفيروس
    استخدام البحث للعثور على أي شيء مع كلمة locky
    وازالتها واحدة تلو الاخرى
    [​IMG]
    البحث عن الرانسوم في السجلات وحذف ادخالاته
    كن حذرا اذ في حالة الخطأ قد يؤدي الى تلف نظام العمل
    ومن ثم ابحث في محرر الرجيستري عن الملفات التالية
    HKCU\Software\Locky
    HKCU\Software\Locky\id
    HKCU\Software\Locky\pubkey
    HKCU\Software\Locky\paytext
    HKCU\Software\Locky\completed
    HKCU\Control Panel\Desktop\Wallpaper
    [​IMG]
    اكتب الاجراءات التالية في حقل بحث الويندوز ثم اضغط دخول
    %AppData%
    %LocalAppData%
    %ProgramData%
    %WinDir%
    %Temp%
    ومن ثم حذف كل شيء في الملفات المؤقتة
    كما ابحث عن الملفات التالية في حقل بحث الويندوز
    [​IMG]
    [​IMG]

    ربما الحل الانجع في اصابات رانسوم التشفير
    استخدام نسخة احتياطية للنظام
    اذ يمكن ببساطة استعادة النسخة قبل الاصابة
    [​IMG]
    [​IMG]

    اذا لم يك لديك نسخة احتياطية يمكن المحاولة مع برنامج استرجاع الملفات المحذوفة
    من خلال الموقع الرسمي حمل الاصدار المجاني
    Recuva
    وعند بدء تشغيل البرنامج قم بتحديد انواع الملفات التي تريد استرجاعها
    او اذا كنت تريد كافة الملفات ومن ثم حدد موقع المسح او مسح جميع المواقع
    [​IMG]
    [​IMG]
    انقر فوق مربع تمكين الفحص العميق والبرنامج يستغرق وقت طويل للمسح ومن ثم الاستعادة
    [​IMG]
    [​IMG]

    ويمكن القول ببساطة حاليا لا تتوافر اي طريقة معروفة لفك تشفير الملفات المشفرة بواسطة لوكي
    مع ذلك توجد محاولات تكتب لها النجاح وان كانت بنسب ضئيلة
    ومن خلال التجربة والمتابعة وجدت ان برنامج سباي هنتر ربما الوحيد القادر على الكشف عن رانسوم لوكي
    وفي بعض الحالات يتم فك التشفير عن الملفات بواسطة برنامج استعادة الملفات ريكوفا
    وما يبدو لكم في الخطوات السبقة افضل ما يمكن عمله
    مع الشكر والتقدير
    ودمتم سالمين وغانمين
     
    آخر تعديل: ‏ابريل 1, 2016
    ABU_Somaia, MagicianMiDo32, blue.eye و 1 شخص آخر معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...