• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

فيروس Ransom لإغلاق الشاشة بتقنية ذكية (لكسر الروتين)

  • بادئ الموضوع بادئ الموضوع yones7x
  • تاريخ البدء تاريخ البدء
  • المشاهدات 6,349
الحالة
مغلق و غير مفتوح للمزيد من الردود.
التعديل الأخير:
بدوري ساقوم بارساله لمطوري الارمور
ان جد اي جديد ساخبركم به
 
توقيع : MagicianMiDo32
أكتشاف جديد ايه الأخوة
عمل reset للجهاز الوهمي لاعلاقة له بالموضوع

أكتشف شيئ أهم
انا كنت مجمد الجهاز الحقيقي بالشادو ديفندر أثناء التجربة المطروحة سابقا
والآن كنت مجمد بالشادو ديفندر
أضفت قواعد للمكافي
عملت ريستارت
ووجدتها غير موجودة
زاد شكر بالامر
وضعت ملفات على سطح مكتب الجهاز الوهمي
ثم عملت ريستارت
و.....
لم تكن موجودة بعد عمل ريستارت !!!
فأعدت التجربة على الرانسوم وير دون تجميد الجهاز الحقيقي بالشادو ديفيندر
وعملت reset
والنتيجة
عمل مع الستارت أب :woot:

أذا
الشادو ديفندر لايجمد الجهاز الحقيقي فقط:stop:
لكنه يجمد الوهمي أيضا !!!!!!
بحيث أنك لما تعمل ريستارت للجهاز الوهمي
يعود كما كان !!!!

:eek:
والشادو ديفندر على الحقيقي
 
توقيع : MagicianMiDo32
تبقى سؤآل واحد لحل اللغز :- كيف تمت اضافة قيمة الى الريجستري ولم تكشفه برامج الحماية !!
مع أنه من المفروض أن تكشفه !!!
 
توقيع : MagicianMiDo32
medo32 قال:
تبقى سؤآل واحد لحل اللغز :- كيف تمت اضافة قيمة الى الريجستري ولم تكشفه برامج الحماية !!
مع أنه من المفروض أن تكشفه !!!
أنقر للتوسيع...

مكتشف من الارمور
 
التجربة على spy sheleter

أكتشف أضافة الريجستري

ااا.PNG




لكن لم يكتشف التعديل على الواجهة !! mad:
 
توقيع : MagicianMiDo32
والآن ايكم الأجابة المحتملة حول هذة الخدعة

في البداية يضيف الرانسوم مفتاح ريجستري في المسار:-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

بأسم Net.

ااا.PNG


طيب لماذا لم تكشفه برامج الحماية !!!
بحثت كثيرا
وأليكم الاجابة التي توقعتها~
في رأيكم لماذا تشك اغلب برامج الحماية في الاوتو أت
السبب ان تطبيقات الاوتو أت تحتاج الى صلاحيات غير محدودة للعمل!!
لاحظ تجربتي على
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هذا التقريب يعد 1% فقط من التقرير الكلي
حذفت الكثير من السلوكيات
لو لاحظتم تحميل مكتبات ربط ديناميكي والاتصال بعمليات يجب الحصول على صلاحيات علية للاتصال بها حيث انها ملفات نظام !!
فاغلب برامج الحماية "كلها ماعدا مكافي !" سمح لها بأخذ الصلاحيات الامحدودة لتشغيلها وهذا طبيعي جدا!!
أمنا المكافي فهو نسخة للشركات لها تعاملاتها الخاصة
لكن بما انها لديها صلاحيات غير محدودة بالفعل صار بامكانها التعديل على الريجستري- وهو سلوك خطير ومكتشف من جميع برامج الحماية - بكل سهولة مع غفلة برامج الحماية !
لماذا \\ لأمتلاكها تصريح - معها الباسبور:)

لكن برامج الحماية التي توفر حماية جيدة لاتثق 100% بالملفات ذات الصلاحيات الامحدودة
كالآرمور والسباي شيلتير
أستطاعت اكتشاف سلوك التعديل على الريجستري حتى مع امتلاك صلاحيات لامحدودة !!

لكي نتاكد من هذا أي مبرمج بالفيجوال بيزيك (للأسف لا أستطيع لعدم امتلاكي الفيجوال ستوديو سخافة بصراحة اتعلم برمجة دون ان ابرمج) بامكانه عمل برنامج(سهل على فكرة) يضيف قيمة في الريجستري المذكور سابقا
ثم نجربه على برامج الحماية التي سقطت للتاكد من صحة هذا الكلام حيث أنني غير متأكد منه لانه هو الاحتمال الوحيد حاليا"

أنا فتحت السورس وجربت كل التجارب ولو جمعتم كل محللي العالم البرمجيين لم يستطيعو الجواب على هذا السؤآل
لأنه لايتعلق بكيف يعمل البرنامج
بل كيف يشغل الويندو البرنامج
فهو يحاج الى خبراء حماية لتحليله

ثانيا يقوم بأخفاء نوافذ الويندوز وليس قتلها وهي فكرة مقتبسة من برنامج wincloser الأخير من برمجة يونس
والوحيد للأسف الذي أكتشفها هو
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



=====================

ملحوظة هذة ليست اول عينة بفكرة اخفاء النوافذ فقد طرح الاخ @black007 مثيل لها (الفرق انها لاتعمل في بدأ التشغيل)

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : MagicianMiDo32
medo32 قال:
الحمد لله أن أريك الرخم لم يرنا وجهه
هل تتحدث معهم على الخاص أم ماذا
لم أرى سوى كايرون يرد ؟
أنقر للتوسيع...
لان chiron هو مشرف قسم bugs
يراسلوني على الخاص من اجل العينات ونادرا مطوري البرنامج للاستفسار عن bugs
 
اشكر كل عضو فام ببث عبق زهوره هنا

وشرفني برائحة مروره الطيبة

:love:

medo32 قال:
ما أنا عارف لكن مش بيضيفها بالطريقة المباشرة الي أحنا عارفينها
الريجستري المقصود هو
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

أكيد برنامج الحماية لازم يقفشه !
لكن لأ !!!
وبعدين لسة اللغز الثالث
ليه بيتعطل لما تعمل reset؟

عموما أنا لسة بجرب و ح اضيف مراقبة على المفاتيح دي وأشوف
أنقر للتوسيع...
ببساطة، عمل Reset في النظام الوهمي دون إعادة التشغيل بشكل صحيح يتسبب بضياع بعض التغييرات في البيانات خصوصًا في الريجستري

أتذكر ذلك النص الذي كان يظهر أحيانًا عند إعادة/إيقاف تشغيل النظام في ويندوز إكسبي (جاري حفظ البيانات…) كذا تقريبًا

medo32 قال:
والآن ايكم الأجابة المحتملة حول هذة الخدعة

في البداية يضيف الرانسوم مفتاح ريجستري في المسار:-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

بأسم Net.

مشاهدة المرفق 56290

طيب لماذا لم تكشفه برامج الحماية !!!
بحثت كثيرا
وأليكم الاجابة التي توقعتها~
في رأيكم لماذا تشك اغلب برامج الحماية في الاوتو أت
السبب ان تطبيقات الاوتو أت تحتاج الى صلاحيات غير محدودة للعمل!!
لاحظ تجربتي على
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هذا التقريب يعد 1% فقط من التقرير الكلي
حذفت الكثير من السلوكيات
لو لاحظتم تحميل مكتبات ربط ديناميكي والاتصال بعمليات يجب الحصول على صلاحيات علية للاتصال بها حيث انها ملفات نظام !!
فاغلب برامج الحماية "كلها ماعدا مكافي !" سمح لها بأخذ الصلاحيات الامحدودة لتشغيلها وهذا طبيعي جدا!!
أمنا المكافي فهو نسخة للشركات لها تعاملاتها الخاصة
لكن بما انها لديها صلاحيات غير محدودة بالفعل صار بامكانها التعديل على الريجستري- وهو سلوك خطير ومكتشف من جميع برامج الحماية - بكل سهولة مع غفلة برامج الحماية !
لماذا \\ لأمتلاكها تصريح - معها الباسبور:)

لكن برامج الحماية التي توفر حماية جيدة لاتثق 100% بالملفات ذات الصلاحيات الامحدودة
كالآرمور والسباي شيلتير
أستطاعت اكتشاف سلوك التعديل على الريجستري حتى مع امتلاك صلاحيات لامحدودة !!

لكي نتاكد من هذا أي مبرمج بالفيجوال بيزيك (للأسف لا أستطيع لعدم امتلاكي الفيجوال ستوديو سخافة بصراحة اتعلم برمجة دون ان ابرمج) بامكانه عمل برنامج(سهل على فكرة) يضيف قيمة في الريجستري المذكور سابقا
ثم نجربه على برامج الحماية التي سقطت للتاكد من صحة هذا الكلام حيث أنني غير متأكد منه لانه هو الاحتمال الوحيد حاليا"

أنا فتحت السورس وجربت كل التجارب ولو جمعتم كل محللي العالم البرمجيين لم يستطيعو الجواب على هذا السؤآل
لأنه لايتعلق بكيف يعمل البرنامج
بل كيف يشغل الويندو البرنامج
فهو يحاج الى خبراء حماية لتحليله

ثانيا يقوم بأخفاء نوافذ الويندوز وليس قتلها وهي فكرة مقتبسة من برنامج wincloser الأخير من برمجة يونس
والوحيد للأسف الذي أكتشفها هو
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



=====================

ملحوظة هذة ليست اول عينة بفكرة اخفاء النوافذ فقد طرح الاخ @black007 مثيل لها (الفرق انها لاتعمل في بدأ التشغيل)

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...
امتلاك صلاحية لا محدودة لا يعني تخطي برنامج الحماية

كما أن هذا الكلام غير صحيح

الأوتوإت محدودة أكثر من أي لغة أخرى
 
توقيع : yones7x
yones7x قال:
اشكر كل عضو فام ببث عبق زهوره هنا

وشرفني برائحة مروره الطيبة

:love:


ببساطة، عمل Reset في النظام الوهمي دون إعادة التشغيل بشكل صحيح يتسبب بضياع بعض التغييرات في البيانات خصوصًا في الريجستري

أتذكر ذلك النص الذي كان يظهر أحيانًا عند إعادة/إيقاف تشغيل النظام في ويندوز إكسبي (جاري حفظ البيانات…) كذا تقريبًا





لا ياغالي وسوف أصورلك فيديو ;)

امتلاك صلاحية لا محدودة لا يعني تخطي برنامج الحماية

كما أن هذا الكلام غير صحيح

الأوتوإت محدودة أكثر من أي لغة أخرى
أنقر للتوسيع...


أنا لا أعرف فيما يتعلق بالأوتو ات :oops:

لكن أكيدد 100% هناك حقن \ استاضافة \ ألخ ....

بأذن الله لي مشاركة غدا
+ الحصول على صلاحيات هو اول مايقوم به أي فيروس:rolleyes:

والمبرر الوحيد لسقوط برامج الحماية
هو
الصلاحيات ;)

أنا لن اترك هذا الفيروس حتى اكشف اللغز :mad::mad::mad::mad:
 
توقيع : MagicianMiDo32
تمت مراسلة مطوري SpyShelter
والاجابة كالتالي

اخفاء النوافد ليس سلوك مؤدي لدلك فنحن لا نقوم بمنعه
 
nizarawi قال:
تمت مراسلة مطوري SpyShelter
والاجابة كالتالي

اخفاء النوافد ليس سلوك مؤدي لدلك فنحن لا نقوم بمنعه
أنقر للتوسيع...
واو:p
just "و"
 
توقيع : MagicianMiDo32
nizarawi قال:
تمت مراسلة مطوري SpyShelter
والاجابة كالتالي

اخفاء النوافد ليس سلوك مؤدي لدلك فنحن لا نقوم بمنعه
أنقر للتوسيع...
;)
 
توقيع : yones7x
أنوبيس
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يتضح انه يعدل على مددخلتي ريجستري
أحداهما مذكورة سابقا
والأخرى خاصة بأخفاء النوافذ
والله اعلم
بالمناسبة اخي
لاعلاقة لعمل reset بالأمر أطلاقا
أما مايتعلق بالشادو فيظهر اني أستعد سنافشوت دون قصد
يجب الانتظار بعض الوت عند ظهور الرسالة hello
ليتم اضافة قيمة الريجستري

فيديو يوضح عمل reset دون تعطل الفيروس
بالنسبة للsave your personal settings
فهي خاصة باعدادات ال user accoun

يعني لو غيرت الباسوورد لل user account وعملت reset لل machine
فلن تحفظ الباسوورد الجديدة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : MagicianMiDo32
2014-07-10_061414.png
 
توقيع : pro george
توقيع : MagicianMiDo32
انتم كلكم هنا و مش عارف ... اول ما شفت انه موضوع ليونس ما انتظرت و انا من نصف ساعة اجرب :)

مش ممكن تعتبرني حريف eset بس ما تركت طريقة الا و اشتغل الملف .... ولكن بالتعديل على الريجستري لم انجح الا بالوضع المشدد للهيبس :

zFykXCS.png


ولكن مع انه منعه بس اتقفلت الشاشة ووجدت الملف بمجلد الرومينينغ ... و وقت وضعت الهيبس على اليدوي عشان يسالني ما اظهر اي رسالة بعد اختفاء الشاشة مع انني استطعت تشغيل سطح المكتب و وجدت بانه يعمل و لم تغلق عمليته ... !!!! يعني البرنامج مش ميت بس يمكن راحت عليه نومة مش اكتر :dead:

ما اعلم بصراحة ولكن هذا يونس جامد اوي :banghead:
 
توقيع : Mazn_TNT
mazntnt قال:
انتم كلكم هنا و مش عارف ... اول ما شفت انه موضوع ليونس ما انتظرت و انا من نصف ساعة اجرب :)

مش ممكن تعتبرني حريف eset بس ما تركت طريقة الا و اشتغل الملف .... ولكن بالتعديل على الريجستري لم انجح الا بالوضع المشدد للهيبس :

zFykXCS.png


ولكن مع انه منعه بس اتقفلت الشاشة ووجدت الملف بمجلد الرومينينغ ... و وقت وضعت الهيبس على اليدوي عشان يسالني ما اظهر اي رسالة بعد اختفاء الشاشة مع انني استطعت تشغيل سطح المكتب و وجدت بانه يعمل و لم تغلق عمليته ... !!!! يعني البرنامج مش ميت بس يمكن راحت عليه نومة مش اكتر :dead:

ما اعلم بصراحة ولكن هذا يونس جامد اوي :banghead:
أنقر للتوسيع...
هذه حركة ضعيفة كما أخبرت في بداية الموضوع

هناك ما هو أدهى

همسة: إنشاء سطح مكتب جديد :D
 
توقيع : yones7x
yones7x قال:
هذه حركة ضعيفة كما أخبرت في بداية الموضوع

هناك ما هو أدهى

همسة: إنشاء سطح مكتب جديد :D
أنقر للتوسيع...

هي كانت تجربة بس ... ولكن مهما حاولت فلن اكون ادهى منك يا غالي ( و لم تخطر لي هذه الفكرة ابدا صراحة ) :sneaky:

بس هي الفكرة باني ما تركت ما اعرفه عن البرنامج الا و طبقته و لم استطع ايقافه بالايسيت !!! بس استطعت ان اكشف ما يفعله بالريجستري ... حتى ان شاء الملف بالرومينينغ لم يمنع !!!!

دا انت خطير بجد لازم نعمل مضاد بس على شانك .... ما انت صارت تتسمى الفيروسات باسمك و صرت قد الدنيا :LOL:
 
توقيع : Mazn_TNT
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى