التجربه الصراحه محيره جدا
فكل منكم التجربه لديه صحيحه وغريبه
فتجربتك تذكر ان عند تفعيل behavior blocker لم يكتشف الملف
وتجربت الاخ اكرم ايضا صحيحه وعند تفعيلها اكتشف الملف
ما يجعل الامر محير وغير مفهوم
الفاصل بينكهم شيئين اولا نسخه الويندوز المختبر عليها + الساند بوكس
اذا قلنا ان النسخه المختبر عليها من الممكن انها تكون نقطه ضعف بسبب الملف نفسه لان الملف ربما يستغل ثغره ما فى الويندوز وليس فقط تشفير الملفات
فالسر هنا هو مع الساند بوكس بحجب او بمنع الملف ( بتقييد كامل للملف او لا )
لقد قمت باختبار العينه بنفسى بدون برنامج حمايه داخل نسخه الويندوز 7 بدون برنامج حمايه وكانت النتيجه كالتالى
ليس هناك رده فعل من الملف غير فقط زراعه ملف فقط باسم عشواء داخل المسار C:\Users\
You user\AppData\Roaming\Microsoft\
فاغلب ملفات الرانسيوم وير تقوم بزراعه ملفات شكل عشواء
فى ليست ملف مستقل بزاته اى ملف ليس ملف واحد فقط وانما الرانسيوم لديه عده ملفات يقوم بزراعته فى النظام بل ويعتمد على الاخرى لكى يعمل ( مكتبات اصلا موجوده فى الويندوز )
اى نستنج اى ملفات الرانسيوم كل منها لديه جزء محدد ليقوم بعمل مهمه ما
مجرد افتراض
طبيعه عمل محلل الزيمانا ربما تتبع نهج ايست الذى ذكرته سابقا فى المناقشه الذى جرت بينى وبين صديقى العزيز ميدو
http://forum.zyzoom.net/threads/302353/
انها تقوم بقرائه اللودر الخاص بالملف فقط وتترك باقى الملف بالكامل
اى اذا قمت بحزف المشغل الاساسى الذى يتم بداخله كل الاكواد اصبحت باقى الملفات الاخرى التابعه للملف الخبيث ليس منها اى فائده لان تم مسح اللودر المسؤل عن تفعيلها او تشغيلها
اتمنى تكون وجده النظر
وهذا يعتبر التفسير لما يحدث من تضارب النتائج
بالنظر الى ان كلا التجربتين صحيحتين