عـيـنة RedEye Ransomware يبدو ان هناك فايروس جديد خاص للفدية

المصدر: RedEye Ransomware يبدو ان هناك فايروس جديد خاص للفدية
في منتدى : منتدى نقاشات واختبارات برامج الحماية

يبدو ان هناك فايروس جديد خاص للفدية

RedEye Ransomware



ما رائيكم يبدو خطير

 

كل يوم اخي ملايين الملفات الخبيثة تنتج و ليس فقط الرانسوم

و الموجه ضد الحكومات فيما بينها اعقد من الموجه من الهاكر لمستخدمي المنزل

المشكل يكمن في مدى سرعة اكتشاف الملف الخبيث و سرعة اصدار حماية منه

 

السلام عليكم

أغلب هذه الفيروسات من إنتاج شركات الحماية
تم تصدر لها تحديث وتوهم المستخدم أنها تحميه تجارة مربحة وتلاعب بعقول النااس قرأت مرة مقال حول الأمر من خبير في أمن المعلومات يتهم شركات الحماية بنشر هذه الفيروسات .. مثلها مثل الدواء ينشرون المرض والفايروس ثم يصدرون دواء مضاد للمرض .. لولا وجود الفيروسات لا يقتني أحد المنتج فيه فيروسات من إنتاج أشخاص أو مجموعات لكن الأغلب هو من إنتاج الشركات الحماية .. أليست تجارة مربحة .؟! والدليل هو أنه فيه بعض الفيروسات لا يكشفها إلا برنامج معين وموجهة له خصيصا لإعلاء شأنه بين أقرانه .. صراع كبير بين منتجاتهم في السوق .. وهناك حتى برامج حماية تتجسس على المستخدم وتجمع معلوماته و تبعثها عبر سيرفرات مخفية لجهات معينة .. وتتبع كل نشاطاته على الأنترنت لان صلاحيات وصول برنامج الحمايةفي الويندوز مخيفة يسيطر على كل شيء تقريبا الإتصالات النشاطات كل شيء تقوم به .. شركات الحماية مهمتها الأولى إنتاج الفيروسات في المقام الأول ثانيا التجسس على المستخدم ثالثا إيهام المستخدم بأنها تحميه بإنتاجها تحديثات لفيروساتها اللتي صنعت أغلبها .. هنا المستخدم يعتقد بأنه في مأمن ويشتري منتجاتها ممكن أحد يقول كيف برنامج الحماية يكشف فيروس من صنع أشخاص أو مجموعات نعم فعلا صحيح هو يحميك بنسبة معينة وليست مطلقة نسبة الكشف تعتمد على ذكاء المبرمج للفيروس ممكن ما يكشفه إطلاقا برنامج الحماية .. ساعات نسمع خبر بأنه إنتشر فايرووس مدمر أصاب معظم الأجهزة في العالم و البرنامج الفولاني هو اللذي صده وتغلب عليه ليش .؟! ألم تسأل نفسك ليش البرامج الأخرى ما صدته في لحظتها .. لأنه من صنع الشركة اللتي صدته ليذيع صيتها و الناس تثق فيها وتقتني منتجاتها .. أنا شخصيا لما أسمع برنامج معين صد فيروس معين منتشر أثق فيه و أشتريه فيها بعض الهندسة ..؟! ناهيك عن التلاعب والإتفاق مع بعض مواقع التقييم للمنتجات بحيث تجد البرنامج الفولاني في المركز الأول الترويج الممنهج والتسويقي البحت .. خلاصة الكلام لا تثق في برامج الحماية كثير أو مواقع التقييم .. أغلبها مزيف و هدفها الأول هو الربح والتسويق و السمعة في السوق وليس حماية المستخدم ...

 

انا معك فيما قلته بان اغلب هذه الفايروسات قد تكون شركات الحماية لها اصبع مخفي بها

و لكن فايروسات الفدية لا اعتقد ان شركات الحماية لها يد لانها بفلوس و مثلما لاحظنا بالفترة الماضية

ان فايروسات الفدية ضربت ضربتها بشكل كبير و لا اعتقد ان الشركات بحاجة لهذا الامر و مثلما هو معروف ان

الحل هو عن طريق المال و اعتقد ان الشركات لها سمعتها و لن تضعها على المحك

 

من وجهة نظري المتواضعة اخواني انو شركات الحماية لا تنتج فيروسات . لماذا ؟ لانو الصراع في سوق الحماية شديد و يمكن كشف اي شركة تفعل ذلك بسهولة و ايضا الشركات ليست بغبية فمثلا ابسط مثال تم منع منتجات الصين مثل 360 توتال من دخول تجارب مختبرات الحماية ال3 المعروفة لانو وجدو انو السحابة و المحرك لا تكتشف الملف على كومبيوتو الناس و لكن على فيرس توتال تكتشفه بسرعة فهذا احتيال تجاري حسبهم و تم سحب الثقة ان امكن القول منهم

الشركات تتعامل مع الهاكرز و تدفع لهم اموال طائلة من اجل بيع - بشكل حصري و سري- اخر طرق كيفية صنع الفيروسات او الرانسوم او الباك دورس او الباي لودس اواواو لكي يستخدموها في الاعلانات و لكي يبنو الشهرة و على انهم اي كل شركة على انها هي السباقة في الاكتشافات و على انها لديها القدرة لحماية المستخدمين و كذا ..... و مهما قلنا اخواني فلا يدلك على شعاب مكة الا اهلها

تحياتي

 

ما مدى استجابة برامج الحماية ؟

 

هنا الفحص على الفايروس توتال و البرامج التي قامت باكتشافه


https://www.virustotal.com/en/file/...228c10dc8f99562ce2b06e25893161776bb/analysis/

 

كلام جميل جدا من الجميع

لكن الامر بسيط جدا

اولا شكرا لصديقنا ماهر على القاء الضوء والتركيز على تلك النوعيه من التهديدات

التى اصبحت تنتشر اكثر من اى شى اخرى

والسبب واضح وراء ذلك المال من قبل مبرمج الملف

ومن ناحيتى على الرغم من اننى كنت احضر لاختبارت جديده لبرامج الحمايه فقد اترك ذلك المشروع الان واركز على ملفات الفديه

تحياتى مره اخرى لصديقنا ماهر لتلك اللفته

نرجع الى ملفات الرانسيوم من خلال البحوثات المختلفه

فكلام صديقنا على @ALI 145 ليس بصحيح حاليا فى السابق كان من الممكن ان يكون كلامه صحيح

لكن الان الوضع اختلف تماما

لماذا لان اى ملف خبيث الان عندما يتم البدا بتحليله يمكن كتابه او التعديل عليه وفى النهايه تحصل على السورس كود الخاص به

اى اصبح بامكان اى احد الان الاطلاع على سورس كود الملف الخبيث والتعديل عليه

ناتى ونطبق المثال على الرانسيوم وير حاليا

هناك كثير من النسخ المفتوحه المصدر للرانسيوم وير تحديدا

على سبيل المثال

راجع تلك الروابط

https://github.com/mauri870/ransomware

https://github.com/goliate/hidden-tear

https://github.com/EgeBalci/Ransomware-1

https://github.com/tarcisio-marinho/GonnaCry

هذه الروابط تمثل كنز حقيقى لمن يتقن البرمجه ولمن لديه افكار شريره يريد الربح منها

فبامكانه تحميل السورس كود للملف والبدا بالاطلاع عليه وابتكار طريقه جديده

وعلى قول ذلك حاليا ستجد ان اغلب ملفات الرانسيوم وير تتعلم من بعضها ( اى السورس كود واحد ومعدل من بعضه )

بل وكل ملف يتفادى اخطاء ما سبقه

نرجع الى الفديو الذى نشره صديقنا العزيز ماهر @اليوناني

الرانسيوم وير جديد فعلا ولكن مبرمج الملف معروف وقد كان له نسخه سابقه من الرانسيوم تدعى JIGSAW RANSOMWARE

التى تم نشر السورس كود لديه ( للعلم امتلكه حاليا واحاول التعديل عليه ربما للاختبار ) الرانسيوم مبرمج بلغه #C

وحتى المبرمج نفسه ذكر ان من يريد هذا الرانسيوم يراسله ويمكن الحصول على نسخه منه

تعليقى المتواضع على الفديو وتحديدا فى شبه نهايه الفديو تقريبا الرساله التى اخبر بها انها قام بتدمير الحاسب بالكامل

هذه قام بالتعديل على MBR الخاصه بالهارد وهذا السلوك متطور جدا كانت تتبعه انواع من RootKit الخاصه

لكن بما اننا نعيش بان كل شى اصبح مفتوح المصدر وليس حكر على احد فبالامكان الحصول على ذلك ايضا

تحياتى للجميع

 

شكرا لك اخي مصطفى على التوضيح الرائع
اذا معنى وجود عداد وقت تنازلي على الرسالة بانه سيتم تدمير الهارد اذا لم يتم دفع الفدية