تشفيرة رانسوم وير قوي مشفر يتخطى أقوى الحمايات >> تحدي صعب للحمايات الإستباقية

[MagicianMiDo32]

:: السلام عليكم ورحمة الله وبركاته ::

:: معنا اليوم رانسوم وير قوي , مشفر تشفير بسيط ::

:: برمجته بسيطة ولكن فكرته قاتلة تتحدى جميع برامج الحماية وهي إستعمال خدمة Task scheduler ::

:: لإضافة مدخلة بدء تشغيل وبالتالي التغلب على اقوى الحمايات المعروفة لأن معظمها لا يحمي هذة العينة ::

:: كذلك فعملية إضافة التاسك تتم باستخدام ملف Bat والذي يستعمل الحاضن الموثوق CMD.EXE ::

:: وبالتالي فمعظم برامج الحماية لن تشك فيه ::

:: كما يقوم بالحصول على صلاحيات المسؤول بطريقة ذكلة دون ان تكتشفه برامج الحماية ::

:: يا ريت من الأعضاء التركيز على التشغيل لان الملف قوي ويستاهل ::



عند تشغيل الملف أكتب زيزووم ( بواوين ) حتى يعمل الفيروس
في حالة غلق الشاشة أكتب زيزووم ( بواوين ) أيضا حتى يتم فك الشاشة
ولا تنسى بعد ذلك حذف الملف من مجلد الـ Temp
%temp%

,وحذف التاسك من الـ Task scheduler
Control panel >Administrative tools >Task scheduler
أسمه Screen locker




:: التحميل ::


[hide]






http://www.gulfup.com/?qiWoom

[/hide]





[hide]
[/hide][hide]
:: كلمة سر فك الضغط ::


infected



[/hide]


أرجوا يا شباب ان تحترموا مجهودي في صنع الملف ولا تقوموا برفع الملف على الفيرس توتال إلا بعد مرور 48 ساعة على طرحه وذلك لأن فيرس توتال يرسل القيم الى شركات الحماية وبالتالي تضيع مصداقية التجارب



:: موفقين ::

 

[MagicianMiDo32]

لماذا لم يقم باكتشافه اذا عندما فحصته على موقع الفحص
علما بان البرنامج غير محدث

 

[MagicianMiDo32]

,والسبب أنني حول ملف الت Bat ل exe

شيئ تافه بصراحة

 

[black007]

لماذا لم يقم باكتشافه اذا عندما فحصته على موقع الفحص
علما بان البرنامج غير محدث

مشاهدة المرفق 94736

,والسبب أنني حول ملف الت Bat ل exe
مشاهدة المرفق 94737


شيئ تافه بصراحة

هههههه وهو غباء فعلا

انظر هنا

صنعت ملف بات وكتبت فيه هذه التعليمات

ping www.google.com -t

فحصت الملف على التوتل بامتداد bat.

والنتيجه 0 / 56

https://www.virustotal.com/en/file/...3791d6d24dfc36ccf16e2d9d/analysis/1439526391/

قمت بحويل نفس الملف ولكن الى صغيه exe.

وقمت بفحص نفس الملف

والنتيجه 31 / 56

https://www.virustotal.com/en/file/...8974941bb99707c8b5dd3a0a/analysis/1439526410/

وكما تلاحظ نفس التسمه التى قمت بذكرها فى الموضوع السابق لك

سبب الانكشاف هنا ان الملف الاصلى الى هو ملف البات يتم نزوله فى مسار التمب

والسبب الاخر هو بسبب نوعيه الضغط المستخدمه UPX

 

[mohamed gouch]

عليكم السلام ورحمة الله وبركاته
بالتشغيل

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

[hide]

[/hide]

 

[SkY MaRvEL]

اهلا اخي ميدو
بارك الله بجهودك وياريت نشوف عينات اكثر واقوى

الافاست تحركت فحص الشاشة العميقة مرتين
لكن تم التخطي بسهولة

تجربة البرايفت فاير وول مع الافاست نفس النتيجة

تحياتي لك

 

[awake]

البت دبفندر 2016 به طبقة حمايه خاصه بتلك الانواع من الفيروسات بعتقد حيكون سهل الاكتشتف على البت ديفندر وبالذات نسخة 2016

 

[black007]

البت دبفندر 2016 به طبقة حمايه خاصه بتلك الانواع من الفيروسات بعتقد حيكون سهل الاكتشتف على البت ديفندر وبالذات نسخة 2016

اذا كان لديك نسخه 2016 فارنا تصدى الطبقه للملف

بعيد عن المحرك لان المحرك سيكشف الملف البات المحول الى EXE

لكن ان اقصد هل الطبقه فعلا تعمل ام انها وهم

 

[Mr. Abdul Bari]

هههههههههههههه


اولا الويندوز

[hide]

ثم بالتشغيل

بكم ثانية كشف البيدفنتر عن ملف خبيت في التمب وهو الملف

[/hide]

 

[كمال احمد]

السلام عليكم ورحمة الله

كاسبر 16

بالفحص الملف غير مكشوف

بالتشغيل :

ضغطت على allow startup من اجل السماح بتشغيل الملف

تم التشغيل وحطينا كلمة السر

ثم :

ثم سماح

ثم سمااح

ثم سماح فنحن مسامحون الى اقصى الحدود

والنتيجة غلق الشاشة وضظهور الساعة مع المطالبة بكلمة السر لفتحها




لكن لم اقم باستخدام كلمة السر


وانما


السلاح السري للكاسبر لفتح الشاشة : الضربة الرباعية

ctrl+shift+alt+f4


والنتيجة :

مع تحياتي لميدو وبلاك 07

 

[black007]

السلام عليكم ورحمة الله

كاسبر 16

بالفحص الملف غير مكشوف

بالتشغيل :

ضغطت على allow startup من اجل السماح بتشغيل الملف

تم التشغيل وحطينا كلمة السر

ثم :

ثم سماح

ثم سمااح

ثم سماح فنحن مسامحون الى اقصى الحدود

والنتيجة غلق الشاشة وضظهور الساعة مع المطالبة بكلمة السر لفتحها




لكن لم اقم باستخدام كلمة السر


وانما


السلاح السري للكاسبر لفتح الشاشة : الضربة الرباعية

ctrl+shift+alt+f4


والنتيجة :

مع تحياتي لميدو وبلاك 07

حمد الله على السلامه اخى الغالى كمال

ما هذه الغيبه الطويله

كم يسعدنى ان اراك مره اخرى فى الاختبارت

الملف بفكر ومجهود ميدو انا معملتش اى حاجه انا حللت الملف بس مش اكتر سريعا

وبنبه ميدو لبعض الجزئيات البسيطه لكن الفكره والتنفيذ وكل شى بمجهود ميدو

السلاح السرى للكاسبر ( كانت ضربه قاضيه للرانسيوم مهما كانت قوته )

لكن هل قمت بعاده تشغيل الجهاز وارنا هل ستظهر الشاشه مجددا ام تم الحجب الكامل من الكاسبر ؟؟

 

[كمال احمد]

حمد الله على السلامه اخى الغالى كمال

ما هذه الغيبه الطويله

كم يسعدنى ان اراك مره اخرى فى الاختبارت

الملف بفكر ومجهود ميدو انا معملتش اى حاجه انا حللت الملف بس مش اكتر سريعا

وبنبه ميدو لبعض الجزئيات البسيطه لكن الفكره والتنفيذ وكل شى بمجهود ميدو

السلاح السرى للكاسبر ( كانت ضربه قاضيه للرانسيوم مهما كانت قوته )

لكن هل قمت بعاده تشغيل الجهاز وارنا هل ستظهر الشاشه مجددا ام تم الحجب الكامل من الكاسبر ؟؟

مادام الكاسبر قد قام بحجز الملف وحذفه من التمب اتوقع انه تم القضاء عليه

لكن ساعيد التشغيل لعيونك

 

[كمال احمد]

تمت عملية اعادة التشغيل بنجاح دون وجود اي اثار لميدو

 

[ALmehob]

السلام عليكم ورحمة الله

كاسبر 16

بالفحص الملف غير مكشوف

بالتشغيل :

ضغطت على allow startup من اجل السماح بتشغيل الملف

تم التشغيل وحطينا كلمة السر

ثم :

ثم سماح

ثم سمااح

ثم سماح فنحن مسامحون الى اقصى الحدود

والنتيجة غلق الشاشة وضظهور الساعة مع المطالبة بكلمة السر لفتحها




لكن لم اقم باستخدام كلمة السر


وانما


السلاح السري للكاسبر لفتح الشاشة : الضربة الرباعية

ctrl+shift+alt+f4


والنتيجة :

مع تحياتي لميدو وبلاك 07

 

[ALmehob]

جربت على السمول 4ولم يعمل شئ
انا من الاول قلت السمول4مبنى على نظام السيكورتى2015التعبان
تم حذفه والعودة الى السمول3

 

[كمال احمد]

جربت على السول 4ولم يعمل شئ
انا من الاول قلت السمول4مبنى على نظام السيكورتى2015التعبان
تم حذفه والعودة الى السمول3

واخيرا يتمكن ميدو من الاطاحة بالسمول4

جاري تبليغ الشركة

 

[qysr]

تشكر ياميدو

لا يوجد رد فعل من التريند

او النود

لكن اعتقد الملف ليس سكرين لوكر بالضبط .. لاني قتلته في المرتين من مدير المهام

 

[samerira]

 

[X55X]

تم تجاوز أفاست

تم تشغيله في الساندبوكس

وتأتي الرساله هذي

 

[AbdoussalemAbdoussalem is verified member.]

​