• نقاش حول الفايروس الجديد الذي إكتسح العالم BitCrypt وهل هناك حل له؟ موضوع متجدد

المصدر: • نقاش حول الفايروس الجديد الذي إكتسح العالم BitCrypt وهل هناك حل له؟ موضوع متجدد
في منتدى : منتدى نقاشات واختبارات برامج الحماية

مساء الفل للناس الكل
اعضاء منتدى زيزوووم اسعد الله مساءكم بكل خير وبركة

انتشرت في الآونة الأخيرة إصابة خطيرة جدا تحت اسم :

read me to unlock
او
BitCrypt
عجزت كل برامج الحماية عن كشفها او التصدي لها وحذفها نظرا لان هذه المفات الخبيثة تكون مدمجة بنظام معقد داخل ملفات برامج سليمة ونظيفة .
هذه الاصابة الخبيثة تقوم بتشفير الملفات المصابة كلها دون استثناء
ولا يوجد حل لها حاليا فكل من اصيب بها بعد تاريخ : 01 افريل 2014 لا يمكنه فك تشفيرها او حذفها
اما من اصيب بها قبل ذلك فيمكن استعادة المفات المصابة بعد نسخها احتياطيا ولكن الاستعادة معقدة وتحتاج الى خبرة كبيرة
اذن ما نخلص اليه هو ان هذه الاصابة تحتاج الى فك تشفير والى خبرة وكذا تحليل عميق لكشف طريقة عملها
لذلك وجب من كل عضو هنا مساعدة اخوانه الذين يعانون من الاصابة وكل ما جد جديد حول الموضوع يعاد التطرق اليه
ومن لديه معلومات فلا يبخل بها وجزاكم الله خيرا

ملاحظة : الجهاز المصاب اعراضه :
​

كود:

    تحول امتداد جميع الملفات الى .locked

    تصبح أسماء الملفات هكذا:

    file.rar.locked

    و لكم تغيير الاسم الى :

    file.rar

    يعود الملف الى العمل بشكل عادي

    و أيضا تواجد هذا الملف في كل مكان تحت هذا الاسم: read me to unlock.txt

    به النص التالي:

    Your files are locked and encrypted with a unique RSA-1024 key!
    To regain access you have to obtain the private key (password).
    ++++++++++++++++++++
    To receive your private key (password):
    Go to ........ اخفيت الرابط and follow the instructions.
    You will receive your private key (password) within 24 hours.
    Your ID# is 48023940

    If you can't find the page, install the Tor browser ()
    and browse to اخفيت الرابط
    ++++++++++++++++++++
    BEWARE - this is NOT a virus.
    The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your files lost!
    Guaranteed recovery is provided within 10 days.
    ++++++++++++++++++++
    LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)

    PORNOGRAPHIC MATERIAL

​

 

ألف شكر لك أخي الكريم على هذه المعلومة الجديدة و المفيدة ....
و بانتظار عمالقة الحماية ....

 

شكرا لكم ..صحيح لا مستحيل مع العقل البشري ان شاء الله يكون هناك حل عاجل لمساعدة من يعانون من الاصابة

 

تحول امتداد جميع الملفات الى .locked

تصبح أسماء الملفات هكذا:

file.rar.locked

و لكم تغيير الاسم الى :

file.rar

يعود الملف الى العمل بشكل عادي

و أيضا تواجد هذا الملف في كل مكان تحت هذا الاسم: read me to unlock.txt

به النص التالي:

Your files are locked and encrypted with a unique RSA-1024 key!
To regain access you have to obtain the private key (password).
++++++++++++++++++++
To receive your private key (password):
Go to ........ اخفيت الرابط and follow the instructions.
You will receive your private key (password) within 24 hours.
Your ID# is 48023940

If you can't find the page, install the Tor browser ()
and browse to اخفيت الرابط
++++++++++++++++++++
BEWARE - this is NOT a virus.
The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your files lost!
Guaranteed recovery is provided within 10 days.
++++++++++++++++++++
LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)

PORNOGRAPHIC MATERIAL

 

نعم كل الاجهزة عرضة حتى مع وجود مكافح فيروسات

 

بحثت في اليوتيوب عن الفايروس

فوجدت فيديو يشرح كيفيه حذف هذا الفايروس

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

شكرا للخبر


ملاجظه الفيديو يظهر للأعضاء فقط . <<< (عنصريه )

 

نعم لكن بعد اعادة التشغيل ترجع الامور كما كانت ...

 

شكرا لك على المعلومة أخى و بانتظار عمالقة الحماية

 

شكرا لك اخي الغالي علي نورت ان شاء الله ننتظر الحلول والتحاليل

 

ليه مانشفر قرص النظام قبل أن يشفره فايرس ؟
يوجد برنامج أسمه: Full Disk Encryption
هذا البرنامج يستطيع تشفير جميع الأقراص بما فيها قرص النظام

ملاحظة:
بعد تشفير قرص النظام
1- بعد إعادة تشغيل الجهاز أو تشغيله إنكان مطفي سيطلب منك كتابة كلمة المرور التي اخترتها عند تشفيره
ولن يشتغل الجهاز بدونها
ولهذا لا تنسوها.

2- لن تستطيع إعادة النسخة الإحتياطية للجهاز إلا بواسطة قرص إقلاع من الدوس.

(تجربتي الخاصة)

 

مثل الزميل crypted loker

 

اولا هذا الرانسوم صار مكشوف من كثير من الحمايات خاصه المشهوره

https://www.virustotal.com/fr/file/...ca69cecf2496328b1c700ec1073ad52e99a/analysis/

ثانيا الحل لاسترجاع الملفات المشفره هو باستخدام مفتاح التشفير و الحصول عليه اما من خلال المشفر نفسه او من خلال التخمين

والسؤال ما مدي صعوبه التخمين هنا

يدعي صاحب الرانسوم ان التشفيره باستخدام خوارزميه RSA بطول 1024 وهي بذلك معقده وصعبه للغايه ولم ينجح احد في كسرها الا مجموعه صغيره باحد المعاهد التقنيه واستغرق الامر منهم ما يزيد عن 100 ساعه مع الوضع بالاعتبار مدي قوه وامكانيات الاجهزه التي تم كسر التشفيره عليها

الا ان بعض الباحثين نجحوا في كسر تشفير هذا الرانسوم ووجدوا ان التشفيره بطول 128 بايت وليس كما ادعي صاحب الرانسوم كما ان التشفيره عباره عن ارقام فحسب وليس بها اي حروف او رموز معقده

وقاموا بعمل اسكربت بايثون لاستخدامه لفك تشفير هذه الملفات (الامر قد يستغرق يوما كاملا باستخدام جهاز امكانياته عاليه)

هنا المقاله كامله للباحثين الذين نجحوا في كسر تشفير الرانسوم

http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken

 

بالنسبه للحذف لست متأكدا
لكن اعتقد هذه الاداه المجانيه من شركة الهيتمان HitmanPro.Alert تساعد في الحمايه من هذه الفصيله من المالوير بشكل استباقي
http://www.surfright.nl/en/alert

 

نتظر مين يقضي على هذا الفايروس
موفقين أحبتي

 

شكرا للجميع بانتظار المزيد منكم ...

 

السلام عليكم
انا من من اصابه هذا الفيرس اللعين وهو نوع من الابتزاز لجلب المال ( ادفع لتحصل على ملفاتك المهمه ) ويضع لك موقعه لتحميل برنامج فك التشفير بعد الحصول على ماله .
ومن السهل حذف الفايرس لكن تبقا ملفاتك مغلقه وللعلم برنامج افاست يحمى من هذه النوعيه فقد حذرنى وانا لم استمع للتحذير . والملفات الناجيه عندى هى الملفات المضغوطه فقط rar ويمكن فتحها وفك ضغطها باستخدام برنامج win zip . وانا الان محتفظ بالملفات وانتظر فك التشفير لاعاده ملفاتى

شكرا لكم جميعا

 

وعليكم السلام ورحمة الله وبركاته

مساء الياسمين والجوري

لم اصب بمثل هذه النوعية وتوصلت الى بعض الحلول لحذف الاصابة ولا اعلم ولا اجزم بانها فعالة كما ذكر الخبراء

اولا




2- Ctrl+Alt+Del لاستدعاء التاسك مانيجير وابحث عن اي ملف غريب وقم بقتلة End process tree

3- اذهب التيمب وقم بحذف الملفات التي تحمل الاسماء التالية

random.exe
random

4- استدعي محرر الريجستري وابحث عن هذه القيم واحذفها


HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes
” =
‘/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:’

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1′

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘yes

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = 0′


ملفات مرتبطة بالاصابه لحذفها

كود HTML:

%AllUsersProfile%\~
%AllUsersProfile%\~r
%AllUsersProfile%\.dll
%AllUsersProfile%\.exe
%AllUsersProfile%\
%AllUsersProfile%\.exe
%UserProfile%\Desktop\BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\
%UserProfile%\Start Menu\Programs\BitCrypt\Uninstall BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\BitCrypt.lnk

هذه الطريقه منقولة لحذف الاصابة يدويا

والله اعلم