رانسيوم وير جديد .. وسلوكيات مرعبه .. مكتشف من 10 حمايات

[alaa8iniesta]

السلام عليكم ورحمه الله وبركأأته ... هذا الملف نشر من حوالي 4 ساعات تقريبا ..

الملف عباره عن رانسيوم وير خطير جدا .. شغلت الملف علي الكومودو .. الملف يقوم بسلوكيات مريبه وخطيره جدا . .

الملف مكتشف من حوالي 10 حمايات منهم الافاست والدفندر والكيهو360 وسحابه الكاسبر سكاي ..

رابط الملف ..
​

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

باسورد فك الضغط ..
infected

ارجو من الاعضاء اغلاق الانتي فيرس وتجربه تشغيل الملف ورصد تحركاته ( طبعا مع تجميد النظام .. او النظام الوهمي )

INIESTA​

 

[pro george]

اجدع رانسومير الساعة 2 الفجر

جاري التجربة

 

[qysr]

تم تحرير الرابط
الملف المضغوط نفسه مصاب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[qysr]

بانتظار التعديل اخي علاء , او اسمح لنا بنقل الموضوع للارشيف حتى تتضح المشكله عندك

 

[alaa8iniesta]

تم تحرير الرابط
الملف المضغوط نفسه مصاب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

تم اعاده الرفع والتعديل مشرفنا الغالي .. مش عارف ايه اللي حصل .. بس تم التعديل

 

[pro george]

الكاسبر
طبعا مكشوف بالسحاب

تم اغلاق السحاب والحماية في الوفت الحقيقي وتشغيلة
لم ترحمة طبقة sw
سلوك من نوع PDM:Trojan.W32.Genric

وعمل رووول باك

التقارير

الحجز
الملف وتوابعة

 

[qysr]

تم اعاده الرفع والتعديل مشرفنا الغالي .. مش عارف ايه اللي حصل .. بس تم التعديل

كان الملف المضغوط مصاب بدوده ... ربما رفعته من جهاز مصاب

 

[qysr]

الآن تأكدت من صحة تلك الفرضيه بالفعل ... فبعد فك الضغط يتم اكتشاف الملف بنفس التوقيع

 

[pro george]

تم اغلاق الSW
واكتشفت سلوك خطير
التحكم بالديسك توب

 

[hopeful 7]

مكتشف من سحاب النود

 

[MagicianMiDo32]

بانتظار التعديل اخي علاء , او اسمح لنا بنقل الموضوع للارشيف حتى تتضح المشكله عندك

ممكن اخي توضحلي كيف يصاب الملف المضغوط نفسه
عند ضغط ملف يتحول نوع البيان الخاص Data Type به الى بيان نصي (Character Data Type (String يعني كأنه ملف بالنوت باد -( لايصاب بفيروس)-
وعند فكه يتم اعادة ترتيب أجزاؤه ليتحول الى بيان ديناميكي (بشتى أنواعه ) Dynamic Data Type

الكاسبر
طبعا مكشوف بالسحاب
مشاهدة المرفق 51084
تم اغلاق السحاب والحماية في الوفت الحقيقي وتشغيلة
لم ترحمة طبقة sw
سلوك من نوع PDM:Trojan.W32.Genric
مشاهدة المرفق 51085
مشاهدة المرفق 51086
مشاهدة المرفق 51087
مشاهدة المرفق 51090
وعمل رووول باك
مشاهدة المرفق 51091
التقارير
مشاهدة المرفق 51089
الحجز
الملف وتوابعة
مشاهدة المرفق 51088

هو ياعم خبير الكاسبر
بيسحجب الملف ولا بيعمل رول باك
عمل رول باك يعني أن ال Inject تم والفيروس تم تنفيذه كاملا
بعد ذلك يقتله الكاسبر ويعيد القيم كما كانت
ونفس التقنية بيعتمد عليها محلل سلوك الجي داتا أعتمادا كاملا
ودي ثغرة خطيرة
لأن بعض التغيرات التي يقوم بها الفيروس لايمكن أرجاعها
زي حذف ملف كمثال
- منتظرك

 

[MagicianMiDo32]

ياحج أنيستا أختار أعداادت الضغط كدا

لان التشفير العادي تشفير سطحي وبرامج الحماية بتكشفة
نعتذر لأخونا QYSR عن سوء الفهم

 

[qysr]

ممكن اخي توضحلي كيف يصاب الملف المضغوط نفسه
عند ضغط ملف يتحول نوع البيان الخاص Data Type به الى بيان نصي (Character Data Type (String يعني كأنه ملف بالنوت باد -( لايصاب بفيروس)-
وعند فكه يتم اعادة ترتيب أجزاؤه ليتحول الى بيان ديناميكي (بشتى أنواعه ) Dynamic Data Type

تفضل اخي هذا هو الملف قبل التعديل حلله بنفسك
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
pass : infected

 

[qysr]

ياحج أنيستا أختار أعداادت الضغط كدا
مشاهدة المرفق 51096
لان التشفير العادي تشفير سطحي وبرامج الحماية بتكشفة
نعتذر لأخونا QYSR عن سوء الفهم

^
راجع الملف اعلاه
ربما هناك سوء تفاهم من عندك

 

[MagicianMiDo32]

بسم الله الرحمن الرحيم
الترجربة على تراست بوت
أو زي ما احب أسميه : عتريس أخويا
صحيح أحنا متخاصمين من زمان بس أعمل أيه بقى أظروف أضطرتني
أولا الملف يحاول التعيل على النظام

أيه بالظبت الباشا مقالشي
نع نع نع أعضاضات النظام هو دا الي فالح فيه

ريس تريك
بعد كدا عتريس اكتشف محاولة حقن ف DWN.exe ودا الملف الخاص بالديسك توب ف الفيستا والسيفين والأيت & البلو
الي هوه بتاع الانميشن وكدا ودونه لايظهر الديسك توب

بعد كدا الملف أتكبل بالريستريكت
ودلوقتي حلال عليه التيرمينال
لكن عند أنهائه بدأت الشاشة تتحرك وتختفي كدا
معنى ذلك أن الحقن تم جزئيا فقط

تم الحقن ولم يتم الغلق (منع آلية الغلق من أداء عملها)

تفضل اخي هذا هو الملف قبل التعديل حلله بنفسك
[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]
pass : infected

نعم أخي عندك حق أنت أكثر خبية مني المششكلة هلي في نوع الضغط

 

[qysr]

المششكلة هلي في نوع الضغط

المشكله ليست في نوع الضغط
الملف موجود مرتين .. مره مضغوط بكلمة السر المطلوبه و مره اخرى بدون كلمة السر ... هذه هي المشكله فقط

 

[tarkanbounce]

بانتظار التعديل اخي علاء , او اسمح لنا بنقل الموضوع للارشيف حتى تتضح المشكله عندك

ما تجربلنا يا اخ قيصر الملف كده بالتشغيل وايقاف طبقة الحماية فى النود

 

[tarkanbounce]

بسم الله الرحمن الرحيم
الترجربة على تراست بوت
أو زي ما احب أسميه : عتريس أخويا
صحيح أحنا متخاصمين من زمان بس أعمل أيه بقى أظروف أضطرتني
أولا الملف يحاول التعيل على النظام

أيه بالظبت الباشا مقالشي
نع نع نع أعضاضات النظام هو دا الي فالح فيه
مشاهدة المرفق 51100
ريس تريك
بعد كدا عتريس اكتشف محاولة حقن ف DWN.exe ودا الملف الخاص بالديسك توب ف الفيستا والسيفين والأيت & البلو
الي هوه بتاع الانميشن وكدا ودونه لايظهر الديسك توب

مشاهدة المرفق 51098
مشاهدة المرفق 51099

بعد كدا الملف أتكبل بالريستريكت
ودلوقتي حلال عليه التيرمينال
لكن عند أنهائه بدأت الشاشة تتحرك وتختفي كدا
معنى ذلك أن الحقن تم جزئيا فقط

تم الحقن ولم يتم الغلق (منع آلية الغلق من أداء عملها)

نعم أخي عندك حق أنت أكثر خبية مني المششكلة هلي في نوع الضغط

ياه ازيك يا اخ ميدو تصدق فاكرك شخص تانى اتأكدت ان انت ميدو بتاع زمان من برنامجك المفضل الترست بورت منور والله

 

[qysr]

ما تجربلنا يا اخ قيصر الملف كده بالتشغيل وايقاف طبقة الحماية فى النود

اوكي

 

[tarkanbounce]

اوكي

مشاهدة المرفق 51109 مشاهدة المرفق 51110

يا سلام ربنا يخليك لينا والله كان نفسى اشوف رسالة فيروس فى الميمورى بس بارك الله فيك على التجربة جارى تنزيل نسخة النود وتثبيتها