1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

نـقـاش الحل الاستعجالي لفيروس بيتيا Petya الجديد / شاركنا رأيك ..

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة النوميدي, بتاريخ ‏يونيو 30, 2017.

حالة الموضوع:
مغلق
  1. النوميدي

    النوميدي زيزوومي VIP ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    7,492
    الإعجابات :
    14,742
    نقاط الجائزة:
    5,900
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10


    [​IMG]
    إن الحمد لله نحمده ونستعيده ونستغفره ونتوب إليه

    ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا، من يهده الله فلا مضل له ومن يضلل فلا هادي له،

    وأشهد أن لا إله إلا الله وحده لا شريك له وأشهد أن محمداً عبده ورسوله،

    {{
    يَا أَيُّهَا الَّذِينَ آمَنُوا اتَّقُوا اللَّهَ حَقَّ تُقَاتِهِ وَلاَ تَمُوتُنَّ إِلاَّ وَأَنْتُمْ مُسْلِمُونَ *}} [آل عمران] ,

    من يهد الله فهو المهتدي، ومن يضلل فلن تجد له ولياً مرشداً،أما بعد

    [​IMG]

    الحل الذي سيتم وضعه للأشخاص الذين لم يتسنى

    لهم تثبيت التحديثات الجديدة لميكروسفت

    فالحل هو حل أولي لتفادى التشفير بعد الاصابة

    لذى أنصح الاخوة الأكارم بتحديث الوينذوز الى أحدث اصدار


    [​IMG]
    قدم باحث من شركة
    Cybereason

    بنشر حل أولي و مستعجل بخصوص فيروس بيتيا
    Petya الجديد ..

    [​IMG]
    فاتضح له أن الفيروس يتبع نفس السلوك الدي كان يتبعه القيروس
    WannaCry

    بحيث يقوم بالبحث عن ملف في القرص C يسمى" perfc "

    فان تم العثور عليه فهو لا يقوم بتشفير الملفات ...

    طبعا الملف المذكور ، يجب أن يكون متواجد في القرص C


    فكل ما علينا هو انشاء ملف يسمى Perfc

    و نعطيه في الاعدادت قراة فقط "read-only attribute"

    داخل القرص "C:\Windows"

    طبعا يمكن لمبرمجي الفيروس تغير طريقة عمل الفيروس في أي وقت

    .:| شرح الطريقة |:.

    نقوم بانشاء مذكرة على سطح المكتب

    و نقوم بنسخ الكود و لصقه في المذكرة

    و حفظها باسم NotPetya بامتداد .bat أو .cmd

    كود:
    @echo off
    REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
    REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
    REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
     
    echo Administrative permissions required. Detecting permissions...
    echo.
            
    net session >nul 2>&1
     
    if %errorLevel% == 0 (
        if exist C:\Windows\perfc (
            echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
            echo.
        ) else (
            echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                    echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
     
            attrib +R C:\Windows\perfc
                    attrib +R C:\Windows\perfc.dll
                    attrib +R C:\Windows\perfc.dat
     
            echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
            echo.
        )
    ) else (
        echo Failure: You must run this batch file as Administrator.
    )
     
    pause
    [​IMG]
    .:| تحميل الكود |:.

    ربما البعض يجد صعوبة في نقل أو نسخ الكود

    موقع pastebin

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    موقع textuploader

    هذا المحتوى يظهر للاعضاء المسجلين فقط:
    هذا المحتوى يظهر للاعضاء المسجلين فقط:


    كل ما علينا بعدها هو النقر على الملف الذي أنشأناه مرتين

    فتنبثق نافذة الدوس

    و من تمـة اعدادات الملف ننقر على "​
    read-only attribute​
    " أو "Lecteur Seule"
    [​IMG]

    هذا كل ما كان في موضوع اليوم

    أي أسئلة ، أنا في الخدمــة


    [​IMG]
    [​IMG]
     
  2. أبو عبد الرحمن.

    أبو عبد الرحمن. عضو شرف

    إنضم إلينا في:
    ‏ديسمبر 28, 2011
    المشاركات:
    10,652
    الإعجابات :
    20,464
    نقاط الجائزة:
    2,196
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    موضوع مميز اخي سليم

    بارك الله فيك ونفع بك
     
    أبو رمش و النوميدي معجبون بهذا.
  3. النوميدي

    النوميدي زيزوومي VIP ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏فبراير 18, 2017
    المشاركات:
    7,492
    الإعجابات :
    14,742
    نقاط الجائزة:
    5,900
    الجنس:
    ذكر
    الإقامة:
    أرض الله
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    مشكووور اخي عبد الرحمن.... على مرورك الطيب وردك الاطيب
     
    أعجب بهذه المشاركة أبو عبد الرحمن.
  4. المحترف العربي

    المحترف العربي زيزوومي ماسى

    إنضم إلينا في:
    ‏مارس 9, 2016
    المشاركات:
    1,863
    الإعجابات :
    1,362
    نقاط الجائزة:
    1,195
    الجنس:
    ذكر
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 7
    السلام عليكم ورحمة الله وبركاته
    بارك الله فيك اخي علي هذا العمل
    جعله الله في ميزان حسناتك تحياتي
    الخالصة...
     
    النوميدي و أبو رمش معجبون بهذا.
  5. أبو رمش

    أبو رمش .: خبير نقاشات الحماية :. ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏مايو 31, 2008
    المشاركات:
    5,401
    الإعجابات :
    25,354
    نقاط الجائزة:
    1,245
    الجنس:
    ذكر
    برامج الحماية:
    Bitdefender
    نظام التشغيل:
    Windows XP
    عليكم السلام ورحمة الله وبركاته
    ألف شكر لك أخي الكريم على هذا الطرح المميز والمفيد ...
     
    أعجب بهذه المشاركة النوميدي
  6. غفاري عماد الدين

    غفاري عماد الدين زيزوومي VIP ★ نجم المنتدى ★

    إنضم إلينا في:
    ‏أكتوبر 24, 2016
    المشاركات:
    7,042
    الإعجابات :
    9,390
    نقاط الجائزة:
    2,705
    الجنس:
    ذكر
    الإقامة:
    الجزائر الحبيبة
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    جزاك الله اخي سليم مبدع كعادتك :222D:sneaky:(222y)
     
    أعجب بهذه المشاركة النوميدي
  7. رضا سات

    رضا سات مشرف قسم الاخبار مشرف ★ نجم المنتدى ★ نجم الشهر

    إنضم إلينا في:
    ‏نوفمبر 15, 2016
    المشاركات:
    11,170
    الإعجابات :
    9,367
    نقاط الجائزة:
    5,825
    الجنس:
    ذكر
    الإقامة:
    تونسي وافتخر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    windows 11
    شكرا لك اخي وبارك الله فيك
     
    أعجب بهذه المشاركة النوميدي
  8. ABU_Somaia

    ABU_Somaia زيزوومي VIP ★ نجم المنتدى ★ نجم الشهر عضوية موثوقة ✔️

    إنضم إلينا في:
    ‏ابريل 15, 2015
    المشاركات:
    9,263
    الإعجابات :
    16,886
    نقاط الجائزة:
    4,070
    الجنس:
    ذكر
    الإقامة:
    مصر
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows8.1
    جزاك الله خيرا اخى سليم

    :rose:
     
    أعجب بهذه المشاركة النوميدي
  9. prooonet

    prooonet زيزوومي VIP

    إنضم إلينا في:
    ‏ديسمبر 16, 2008
    المشاركات:
    2,074
    الإعجابات :
    2,926
    نقاط الجائزة:
    1,270
    الجنس:
    ذكر
    الإقامة:
    مملكة البحرين
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    أخرى
    اعتقد السبب الرئيسي في تطور فايروسات الفدية هي عملة bitcoin
    لانه صانع الفايروس يريد الاستفادة وتكسب من وراء الفايروس لم يصنعه
    لتخريب من غير مقابل وهذه العمله فتحت لهم مجال استلام الاموال بطريقة
    امنه ممكن تكون اغلب فايروسات الفدية لاتحتوي على اتصال مباشر لانه
    يعلم صانع الفايروس اي اتصال مباشر سيتم تتبعة وامساكة حتى لو حاول
    اخفائة لكن هذه العمله في هذا الوقت مسوائها اكثر من منافعها اعتقد
    لو يتم منعها واعادة صناعة عمله مماثلة يمكن تتبعها تحتوي على كود مثلا
    بنفس كود العمله الحقيقية اعتقد اذا تم تطبيق هذا الشيئ سينتهي
    فايروس الفدية لانه بعدها لاتوجد وسيلة دفع امنه من غير تتبع

    وجزاك الله خير على الموضوع الرائع
     
    أعجب بهذه المشاركة النوميدي
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...