نـقـاش نقاش مفتوح حول اصابة WannaCry احدث اصابات الـ Ransomware

اخواني ...
هل قام احد بتعطيل ثغرة SMB في ويندوز 10 وواجه مشكلة في التحديث بعد ذلك ؟


بعد تعطيل الثغرة بيومين واجهت هذه المشكلة الويندوز لا يجري اي تحديث وعندما ذهبت لأعيد تشغيل SMB لا يستجيب التشغيل
اضع علامة عليها واضغط OK ولا يحدث شيء ولا يطلب الويندوز اعادة التشغيل حتى وعندما افتح القائمة مرة اخرى أجد SMB مازال غير مفعلاً !!



لا اعلم ان كان هذا السبب ام لا

 

لاعلاقه للتحديث بتلك الوظيفه فانا دوما اعطلها من ايام ويندوز 7 حتى 10 والنظام يقوم بالتحديث

حاول ان تقوم باعاده تشغيل خيار التحديث من services

 

لا اعلم سبب المشكلة بالتحديد وقمت بتعطيل خاصية التحديث واعادة تشغيلها مرة اخرى من services ولم تحل المشكلة للأسف

 

هل تستخدم جدار نارى ربما يكون هو السبب فى منع التحديث

 

استخدم الكاسبر انترنت سيكيوريتي 2017
بعد البحث على مدار يوم كامل وجدت بعض الحلول على موقع ميكروسوفت جربت احدهم ونفع الحمد لله لكنه ازال سجل التحديثات القديمة

 

يا اخي والله شكيت في نفسي نفس المشكله لسه مفرمط لجهاز و نزلت ويندوز جديد ومازالت المشكله قائمه تقريبا خطا في سيرفير ميكروسوفت

 

ايه الحل ارجوك والله تعبت

 

احد المطورين صمم برنامجا لفك التشفير الناتج من الفيروس الاخير
https://github.com/gentilkiwi/wanakiwi/releases

https://www.virustotal.com/en/file/...bdd0dd9069eb451b79f578f4/analysis/1495231491/

 

الحل اللي نفع معي كالتالي :

تذهب الى بارتيشن C ثم فولدر Windows ثم فولدر SoftwareDistribution بعدها تحذف مجلد Download و مجلد DataStore
ثم تذهب الى Task MAnager وفي تبويب Startup تذهب الى كل برنامج وتضغط Disable بالأسفل حتى يصبحوا كلهم معطلين

ثم تعيد تشغيل الجهاز وعند فتح الجهاز تجرب تعمل تحديث ثم بعدها ترجع خانة Startup كما كانت وتعيد تشغيل الجهاز
هذا الحل اللي نفع معي

 

​

كل ما تود معرفته عن فيروس WannaCry الذي اجتاح العالم





WannaCry أو كما يُغرف بـ WanaCrypt0r 2.0 هو فيروس برمجي خطير استطاع تخريب أكثر من 75 الف جهاز كمبيوتر في 99 دولة حتي تاريخ نشر هذه المقالة, وذلك خلال ساعات قليلة ظهر يوم أمس الجمعة.

[ WannaCry ransomware ]​

ماهو فيروس WannaCry وكيف يعمل وكيف استطاع الانتشار بهذه السرعه خلال ساعات قليلة أن يُصيب أكثر من 75 الف جهاز حاسوب وشبكة اتصالات !!!


كيف تحمي حاسوبك وبياناتك من الاختراق وتشفير البيانات ؟ واسئلة أخري كثيرة سنتعرف علي إجابتها سويآ من خلال هذه التدوينة وسيعقبها أيضآ فيديو توضيحي وشرح عملي لعمل هذا الفيروس وذلك من خلال قناة ماتريكس219 علي اليوتيوب. ولكن دعونا أولآ نتعرف علس هذا التصنيف من أنواع الفيروسات.


ماهو فايروس رانسوم وير :


هو ليس إسم فيروس مُحدد كما يظُن البعض ولكنه نوعية من البرمجيات الخبيثة التي لها نشاط فيروسي. وهو من نوع التروجان “Trojan” وعادة ما يستهدف نظام التشغيل ويندوز وفيما ندر ما يستهدف نظام لينوكس.


وهذه النوعية من الفيروسات “رانسوم وير” لها عدة خصائص منها على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز، و القدرة علي استغلال الجهاز لعمل دوس أتاك DDOS attack وذلك بتحويل الكمبيوتر الي botnet، فهو يقوم بحجب الخدمة عن المستخدم والتحكم في جهازه بشكل كامل من خلا السيطرة علي بروتوكلات الاتصال بشبكة الانترنت.

فيروس رانسوم وير وعملية الابتزاز :


يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.


تختلف قوة هذا الفيروس بحسب نوعية وعدد الملفات المستهدفة ودرجة صعوبة فك التشفير. واليكم في الصورة التاليه مثال علي رسالة طلب فدية للحصول علي برنامج فك التشفير.



كيف يعمل فيروس الرانسوم وير ؟

فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عنبرنامج Locky المشهور نوضح فيه آلية عمل هذا الفيروس وذلك قبل الخوض في تفاصيل موضوعنا اليوم عن فيروس WannaCry.


لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على هذا الشكل.



و من ثم تظهر لك رسالة مضمونها المترجم كالتالي..



وبعد أن تتخز الاجراء المناسب ودفع الفدية يقوم مبرمج الفيروس بارسال برنامج فك التشفير اليك لاستعادة السيطرة علي ملفاتك مرة أخري.

[ WannaCry Ransomware ]​

بداية انتشار فيروس WannaCry :


بدأ إنتشار هذا الرانسوم وير خلال الساعات الأولي من يوم الجمعة 2017-05-12 ليصيب ماهو أكثر من 75 الف جهاز حاسوب في نطاق 75 دولة و 20 لغة مختلفة.

أول تداعيات هذا الفيروس بدأت من دولة أسبانيا وذلك بإصابة شبكة Telefónica للاتصالات وهي شركة اتصالات أسبانية متعددة الجنسيات تغطي اوروبا وآسيا واماكن متفرقة من الولايات المتحدة الأمريكية. كما أصاب الفيروس أنظمة العديد من الشركات الشهيرة مثل National Health Service (NHS), FedEx and Deutsche Bahn


تلي هذه العملية بلاغات متعددة من دولة روسيا وذلك بتأكيد إصابة أنظمة رقمية متعددة تابعة لمؤسسات وهيئات حكومية منها :RussianInterior Ministry – Russian Emergency Ministry – MegaFon

وفي الساعات الماضية بدا انتشار الفيروس في العديد من الدول العربية ولكن في نطاق ضيق وكان أشهرها المملكة العربية السعودية وشركة الاتصالات STC,الذي كانت حديث السوشيال ميديا لمدة ايام الي أن قامت الشركة بتكذيب الخبر, ولا ندري هل كان هذا للحفاظ علي عملاءها, أم أنها كانت مجرد إشاعه صدرت من السوشيال ميديا


وهذا لم يمنع هيئات الاتصالات من تحذير المواطنين واصدار نشرات توعيه من خطورة الفيروس وكيفية التعامل معه, وكانت أول هذه الهيئات هي تنظيم الاتصالات بدولة الإمارات الشقيقة. ” تصريح هيئة تنظيم الاتصالات بالامارات حول فيروس Wanna Cry“ "الملف في المرفقات"

الثغرة التي تم استغلالها لنشر فيروس Wannacry :


الغريب في الأمر أن فيروس WannaCry استغل ثغرة EnternalBlue والتي تم الاعلان عنها في مارس الماضي وتم طرحها من قبل إحدي مجموعات الهاكرز تسمي The Shadow Brokers في 14 ابريل 2017, وذلك بعد أن تم تسريبها من Equation Group, والتي لم يتم تحديد ماهيتها هل هي مجموعة من الهاكرز تابعين لوكالة الأمن القومي الأمريكي أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز.


ولكن أيآ كان فمن المؤكد أن وكالة الأمن القومي الأمريكية NSA لها دور كبير في ذلك. وسبق وأن ذكرنا في تدوينة سابقة علاقتها الوطيدة بالعديد من عمليات الاختراق والتجسس التي تتم في الانترنت المظلم.

ثغرة EnternalBlue :

إحدي ثغرات نظام التشغيل ويندوز والتي تستغل بروتوكول SMB “Server Message Block” المسئول عن مشاركة الملفات والمجلدات في شبكة الانترنت.

وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد. مما ساهم في انتشار رانسوم وير WannaCry بهذا الشكل البشع.

Zero-Day Vulnerability :

ملحوظة: لا يمكن اعتبار هذا الهجوم zero-day vulnerability حيث أن شركة ميكروسوفت قد سبق وطرحت تحديث SMB 3.0 منذ شهر مضي وتحديدآ في 14 مارس من العام الحالي. اي قبل حدوث الهجوم بحوالي شهرين.

آلية عمل Wannacry رانسوم وير :

1- يصل الفيروس الي جهاز الكمبيوتر عن طريق متصفح الانترنت في عدة صور, أشهرها كانت رسالة بريد الكتروني تخبرك بأنك فزت بجائزة من المال ـو أنك ستحصل علي تحويل بنكي كما هو موضح بالصورة.

2- بمجرد تحميل ملف المرفقات وتشغيله يتم تشفير ملفات الجهاز بالكامل.




3- يستخدم الفيروس ثغرة بروتوكول الـ SMB للانتقال الي جميع الأجهزة المتصلة بالشبكة والمصابة بهذه الثغرة.

4- تظهر لك رسالة التشفير التالية.




تخبرك الرسالة أنه تم تشفير البيانات الموجوده علي جهازك, ولن تستطيع فك التشفير بدون برنامج الـ Decryption , وسيقوم الهاكرز بإثبات قدرتهم علي ذلك بفك تشفير بعض البيانات مجانآ بدون مقابل ولكن إن كنت ترغب في فك تشفير جميع الملفات فعليك أن تقوم بعمل تحويل بقيمة 300$ بعملة البتكوين خلال 33 ايام علي الأكثر. وإذا تجاوزت هذه المدة سوف يتم مضاعفة المبلغ. وإذا مرت 77 ايام بدون أن تقوم بدفع المبلغ ففي هذه الحالة لن تتمكن من استعادة ملفاتك الي الأبد.

ويظهر عداد تنازلي Counter لفترة السداد التي مدتها 72 ساعة وكذلك عداد تنازلي لـ 7 أيام هي المدة المتاح فيها محاولة استعادة الملفات, وبعدها سوف تفقد ملفاتك للأبد.

4- يتصل الفيروس بهذا الموقع الالكتروني “غير مُسجل” ويقوم باستخدامه كـ Kill Switch.

حيث يحدد اختيار من اثنين:

أولهما تنفيذ التشفير في حالة عدم امكانية الوصول الي الموقع, والثاني هو ايقاف الهجوم وفك التشفير في حالة التمكن من الوصول الي الموقع.

كيف تقوم بحماية جهازك من WannaCry :
1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث MS17-010 من شركة ميكروسوفت.

2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة هذا الرابط واختيار التحديث المناسب لنظام تشغيل جهازك.

3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.

4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.

5- قم بتفعيل الـ Firmware ومنع الوصول الي بورتات بروتوكل الـ SMB بإصداراتها المختلفة.

6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.



لماذا هذه الإجراءات بعد تحديث الويندوز ؟

ما توصلت اليه الجهات البحثيه لمكافحة الفيروسات الوبرمجيات الخبية حتي وقتنا هذا هو في نطاق الاصدار الأول فقط من فيروس الـ WannaCry , ورغم محاولتهم لتعطيل الـ Kill Switch الا أن الفيروس مازال قادرآ علي تطوير عمله حتي وقت كتابة هذه المقالة. وبالتالي فنحن حتي الآن نتعامل فقط مع واجهة الفيروس, وما يحدث في الـ BackEnd ماهو الا اجتهادات ولذك وجب أخذ كافة الاحتياطات خاصة في شبكات المؤسسات الحكومية والتجارية والبنكية والتي تعتمد في نشاطها علي قواعد البيانات بشكل اساسي.


وفي النهاية اليكم ملفات تشفير رانسوم وير WannaCry بصيغة PEM من خلال هذا الرابط : pastebin.com/SNBdGbJh


واليكم توصيات السلامة من شركة ميكروسوفت "الملف في المرفقات" وكيف يمكنك أخد احتياطاتك لتجنب إصابة بيانات حاسوبك بهذا الفايروس.

دمتم في حفظ الله..

 

يعطيك الف عافيه
بالنسبه لهذه الخطوات

- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

كيف نقوم بذلك

هذه صوره من اصابة لجهاز احد أصدقائي


وهذه صوره من جهازي عندما قمت بفحصه باداة مايكروسوفت وذهلت للنتيجه
مع العلم بوجود الكاسبر انترنت سكيورتي 2017 لدي ولم يكتشف اي شيء مسبقا
​

 

ممكن صديقي تعيد التعديل وتقوم بإعادة رفع الصور حتى تظهر

 

لم أفهم قصدك صديقي
لم تظهر الصور عندك ؟؟
حسنا ها هيي على موقع رفع آخر
تفضل





سؤالي لكم كان كيف اقوم بعمل هذه الخطوات التي تفضلت وذكرتها انت


6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.​