• نقاش حول الفايروس الجديد الذي إكتسح العالم BitCrypt وهل هناك حل له؟ موضوع متجدد

imadeddine wissam · 8 أبريل 2014

مساء الفل للناس الكل
اعضاء منتدى زيزوووم اسعد الله مساءكم بكل خير وبركة

انتشرت في الآونة الأخيرة إصابة خطيرة جدا تحت اسم :

read me to unlock
او
BitCrypt
عجزت كل برامج الحماية عن كشفها او التصدي لها وحذفها نظرا لان هذه المفات الخبيثة تكون مدمجة بنظام معقد داخل ملفات برامج سليمة ونظيفة .
هذه الاصابة الخبيثة تقوم بتشفير الملفات المصابة كلها دون استثناء
ولا يوجد حل لها حاليا فكل من اصيب بها بعد تاريخ : 01 افريل 2014 لا يمكنه فك تشفيرها او حذفها
اما من اصيب بها قبل ذلك فيمكن استعادة المفات المصابة بعد نسخها احتياطيا ولكن الاستعادة معقدة وتحتاج الى خبرة كبيرة
اذن ما نخلص اليه هو ان هذه الاصابة تحتاج الى فك تشفير والى خبرة وكذا تحليل عميق لكشف طريقة عملها
لذلك وجب من كل عضو هنا مساعدة اخوانه الذين يعانون من الاصابة وكل ما جد جديد حول الموضوع يعاد التطرق اليه
ومن لديه معلومات فلا يبخل بها وجزاكم الله خيرا

ملاحظة : الجهاز المصاب اعراضه :

كود:

    تحول امتداد جميع الملفات الى .locked

    تصبح أسماء الملفات هكذا:

    file.rar.locked

    و لكم تغيير الاسم الى :

    file.rar

    يعود الملف الى العمل بشكل عادي

    و أيضا تواجد هذا الملف في كل مكان تحت هذا الاسم: read me to unlock.txt

    به النص التالي:

    Your files are locked and encrypted with a unique RSA-1024 key!
    To regain access you have to obtain the private key (password).
    ++++++++++++++++++++
    To receive your private key (password):
    Go to ........ اخفيت الرابط and follow the instructions.
    You will receive your private key (password) within 24 hours.
    Your ID# is 48023940

    If you can't find the page, install the Tor browser ()
    and browse to اخفيت الرابط
    ++++++++++++++++++++
    BEWARE - this is NOT a virus.
    The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your files lost!
    Guaranteed recovery is provided within 10 days.
    ++++++++++++++++++++
    LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)

    PORNOGRAPHIC MATERIAL

أبو رمش · 8 أبريل 2014

ألف شكر لك أخي الكريم على هذه المعلومة الجديدة و المفيدة ....
و بانتظار عمالقة الحماية ....

أبو عائشه · 8 أبريل 2014

بارك الله فيكم أخي على الطرح الرائع

لا يوجد شيء أخي اسمه مستحيل بما أنه من صنع البشر لابد وإن طال وجود علاج ناجع له لذلك نترقب ذلك

imadeddine wissam · 8 أبريل 2014

شكرا لكم ..صحيح لا مستحيل مع العقل البشري ان شاء الله يكون هناك حل عاجل لمساعدة من يعانون من الاصابة

أبو عائشه · 8 أبريل 2014

MD DESIGN قال:
شكرا لكم ..صحيح لا مستحيل مع العقل البشري ان شاء الله يكون هناك حل عاجل لمساعدة من يعانون من الاصابة

كيف يعرف من جهازه مصاب هل هناك دلالات أو بوادر على حدوث ذلك ما الذي سيلاحظ حينها

imadeddine wissam · 8 أبريل 2014

أبو عائشه قال:
كيف يعرف من جهازه مصاب هل هناك دلالات أو بوادر على حدوث ذلك ما الذي سيلاحظ حينها

تحول امتداد جميع الملفات الى .locked

تصبح أسماء الملفات هكذا:

file.rar.locked

و لكم تغيير الاسم الى :

file.rar

يعود الملف الى العمل بشكل عادي

و أيضا تواجد هذا الملف في كل مكان تحت هذا الاسم: read me to unlock.txt

به النص التالي:

Your files are locked and encrypted with a unique RSA-1024 key!
To regain access you have to obtain the private key (password).
++++++++++++++++++++
To receive your private key (password):
Go to ........ اخفيت الرابط and follow the instructions.
You will receive your private key (password) within 24 hours.
Your ID# is 48023940

If you can't find the page, install the Tor browser ()
and browse to اخفيت الرابط
++++++++++++++++++++
BEWARE - this is NOT a virus.
The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your files lost!
Guaranteed recovery is provided within 10 days.
++++++++++++++++++++
LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)

PORNOGRAPHIC MATERIAL

أبو عائشه · 8 أبريل 2014

MD DESIGN قال:
تحول امتداد جميع الملفات الى .locked

تصبح أسماء الملفات هكذا:

file.rar.locked

و لكم تغيير الاسم الى :

file.rar

يعود الملف الى العمل بشكل عادي

و أيضا تواجد هذا الملف في كل مكان تحت هذا الاسم: read me to unlock.txt

به النص التالي:

Your files are locked and encrypted with a unique RSA-1024 key!
To regain access you have to obtain the private key (password).
++++++++++++++++++++
To receive your private key (password):
Go to ........ اخفيت الرابط and follow the instructions.
You will receive your private key (password) within 24 hours.
Your ID# is 48023940

If you can't find the page, install the Tor browser ()
and browse to اخفيت الرابط
++++++++++++++++++++
BEWARE - this is NOT a virus.
The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your files lost!
Guaranteed recovery is provided within 10 days.
++++++++++++++++++++
LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)

PORNOGRAPHIC MATERIAL

هل الجهاز الذي لا يكون به برنامج حماية عرضة لهذا أم أنه نتيجة الدخول للمواقع التي تكون منشور بها هذا الفايروس

imadeddine wissam · 8 أبريل 2014

أبو عائشه قال:
هل الجهاز الذي لا يكون به برنامج حماية عرضة لهذا أم أنه نتيجة الدخول للمواقع التي تكون منشور بها هذا الفايروس

نعم كل الاجهزة عرضة حتى مع وجود مكافح فيروسات

فاعل الخير · 8 أبريل 2014

بحثت في اليوتيوب عن الفايروس

فوجدت فيديو يشرح كيفيه حذف هذا الفايروس

[hide]

[/hide]

شكرا للخبر

ملاجظه الفيديو يظهر للأعضاء فقط . <<< (عنصريه )

imadeddine wissam · 8 أبريل 2014

فاعل الخير قال:
بحثت في اليوتيوب عن الفايروس

فوجدت فيديو يشرح كيفيه حذف هذا الفايروس

[hide]

[/hide]

شكرا للخبر

ملاجظه الفيديو يظهر للأعضاء فقط . <<< (عنصريه )

نعم لكن بعد اعادة التشغيل ترجع الامور كما كانت ...

Abdallah Pro · 8 أبريل 2014

شكرا لك على المعلومة أخى و بانتظار عمالقة الحماية

imadeddine wissam · 8 أبريل 2014

ali2014 قال:
شكرا لك على المعلومة أخى و بانتظار عمالقة الحماية

شكرا لك اخي الغالي علي نورت ان شاء الله ننتظر الحلول والتحاليل

fahd · 8 أبريل 2014

ليه مانشفر قرص النظام قبل أن يشفره فايرس ؟
يوجد برنامج أسمه: Full Disk Encryption
هذا البرنامج يستطيع تشفير جميع الأقراص بما فيها قرص النظام

ملاحظة:
بعد تشفير قرص النظام
1- بعد إعادة تشغيل الجهاز أو تشغيله إنكان مطفي سيطلب منك كتابة كلمة المرور التي اخترتها عند تشفيره
ولن يشتغل الجهاز بدونها
ولهذا لا تنسوها.

2- لن تستطيع إعادة النسخة الإحتياطية للجهاز إلا بواسطة قرص إقلاع من الدوس.

(تجربتي الخاصة)

mkhawe night · 8 أبريل 2014

مثل الزميل crypted loker

m0d!s@r7@n · 9 أبريل 2014

اولا هذا الرانسوم صار مكشوف من كثير من الحمايات خاصه المشهوره

https://www.virustotal.com/fr/file/...ca69cecf2496328b1c700ec1073ad52e99a/analysis/

ثانيا الحل لاسترجاع الملفات المشفره هو باستخدام مفتاح التشفير و الحصول عليه اما من خلال المشفر نفسه او من خلال التخمين

والسؤال ما مدي صعوبه التخمين هنا

يدعي صاحب الرانسوم ان التشفيره باستخدام خوارزميه RSA بطول 1024 وهي بذلك معقده وصعبه للغايه ولم ينجح احد في كسرها الا مجموعه صغيره باحد المعاهد التقنيه واستغرق الامر منهم ما يزيد عن 100 ساعه مع الوضع بالاعتبار مدي قوه وامكانيات الاجهزه التي تم كسر التشفيره عليها

الا ان بعض الباحثين نجحوا في كسر تشفير هذا الرانسوم ووجدوا ان التشفيره بطول 128 بايت وليس كما ادعي صاحب الرانسوم كما ان التشفيره عباره عن ارقام فحسب وليس بها اي حروف او رموز معقده

وقاموا بعمل اسكربت بايثون لاستخدامه لفك تشفير هذه الملفات (الامر قد يستغرق يوما كاملا باستخدام جهاز امكانياته عاليه)

هنا المقاله كامله للباحثين الذين نجحوا في كسر تشفير الرانسوم

http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken

qysr · 9 أبريل 2014

بالنسبه للحذف لست متأكدا
لكن اعتقد هذه الاداه المجانيه من شركة الهيتمان HitmanPro.Alert تساعد في الحمايه من هذه الفصيله من المالوير بشكل استباقي
http://www.surfright.nl/en/alert

عاشق الصبر · 9 أبريل 2014

نتظر مين يقضي على هذا الفايروس
موفقين أحبتي

imadeddine wissam · 10 أبريل 2014

شكرا للجميع بانتظار المزيد منكم ...

nada_douh · 3 يونيو 2014

السلام عليكم
انا من من اصابه هذا الفيرس اللعين وهو نوع من الابتزاز لجلب المال ( ادفع لتحصل على ملفاتك المهمه ) ويضع لك موقعه لتحميل برنامج فك التشفير بعد الحصول على ماله .
ومن السهل حذف الفايرس لكن تبقا ملفاتك مغلقه وللعلم برنامج افاست يحمى من هذه النوعيه فقد حذرنى وانا لم استمع للتحذير . والملفات الناجيه عندى هى الملفات المضغوطه فقط rar ويمكن فتحها وفك ضغطها باستخدام برنامج win zip . وانا الان محتفظ بالملفات وانتظر فك التشفير لاعاده ملفاتى

شكرا لكم جميعا

Gone without a trace · 3 يونيو 2014

وعليكم السلام ورحمة الله وبركاته

مساء الياسمين والجوري

لم اصب بمثل هذه النوعية وتوصلت الى بعض الحلول لحذف الاصابة ولا اعلم ولا اجزم بانها فعالة كما ذكر الخبراء

اولا

670px-Activate-Safe-Mode-on-Windows-7-Step-4Bullet2.jpg

2- Ctrl+Alt+Del لاستدعاء التاسك مانيجير وابحث عن اي ملف غريب وقم بقتلة End process tree

3- اذهب التيمب وقم بحذف الملفات التي تحمل الاسماء التالية

random.exe
random

4- استدعي محرر الريجستري وابحث عن هذه القيم واحذفها

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes
” =
‘/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:’

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1′

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1′

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘yes

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0′

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = 0′

ملفات مرتبطة بالاصابه لحذفها

HTML:

%AllUsersProfile%\~
%AllUsersProfile%\~r
%AllUsersProfile%\.dll
%AllUsersProfile%\.exe
%AllUsersProfile%\
%AllUsersProfile%\.exe
%UserProfile%\Desktop\BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\
%UserProfile%\Start Menu\Programs\BitCrypt\Uninstall BitCrypt.lnk
%UserProfile%\Start Menu\Programs\BitCrypt\BitCrypt.lnk

هذه الطريقه منقولة لحذف الاصابة يدويا

والله اعلم

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

.: خبير نقاشات الحماية :.

توقيع : أبو رمش

عضو شرف وداعم ذهبي للمنتدى

توقيع : أبو عائشهأبو عائشه is verified member.

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف وداعم ذهبي للمنتدى

توقيع : أبو عائشهأبو عائشه is verified member.

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف وداعم ذهبي للمنتدى

توقيع : أبو عائشهأبو عائشه is verified member.

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

فاعل الخير

Guest

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

عضو شرف

توقيع : Abdallah Pro

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

زيزوومي VIP

توقيع : fahd

زيزوومى فعال

عضو شرف (خبير فحص الملفات)( خبراء زيزووم)

توقيع : m0d!s@r7@n

زيزوومي VIP

زيزوومى فعال

فائز بمسابقة التصميم الموسم العاشر،(خبراء زيزووم)

توقيع : imadeddine wissamimadeddine wissam is verified member.

زيزوومي جديد

زيزوومي VIP

توقيع : Gone without a trace

توقيع : imadeddine wissam

توقيع : أبو عائشه

توقيع : imadeddine wissam

توقيع : أبو عائشه

توقيع : imadeddine wissam

توقيع : أبو عائشه

توقيع : imadeddine wissam

توقيع : imadeddine wissam

توقيع : imadeddine wissam

توقيع : imadeddine wissam