• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

  • بادئ الموضوع بادئ الموضوع BOYKA
  • تاريخ البدء تاريخ البدء
الحالة
مغلق و غير مفتوح للمزيد من الردود.
اخواني ...
هل قام احد بتعطيل ثغرة SMB في ويندوز 10 وواجه مشكلة في التحديث بعد ذلك ؟
hUA6TnJ.png


بعد تعطيل الثغرة بيومين واجهت هذه المشكلة الويندوز لا يجري اي تحديث وعندما ذهبت لأعيد تشغيل SMB لا يستجيب التشغيل
اضع علامة عليها واضغط OK ولا يحدث شيء ولا يطلب الويندوز اعادة التشغيل حتى وعندما افتح القائمة مرة اخرى أجد SMB مازال غير مفعلاً !!

HtiTnds.png


لا اعلم ان كان هذا السبب ام لا
 

توقيع : BOYKA
اخواني ...
هل قام احد بتعطيل ثغرة SMB في ويندوز 10 وواجه مشكلة في التحديث بعد ذلك ؟
hUA6TnJ.png


بعد تعطيل الثغرة بيومين واجهت هذه المشكلة الويندوز لا يجري اي تحديث وعندما ذهبت لأعيد تشغيل SMB لا يستجيب التشغيل
اضع علامة عليها واضغط OK ولا يحدث شيء ولا يطلب الويندوز اعادة التشغيل حتى وعندما افتح القائمة مرة اخرى أجد SMB مازال غير مفعلاً !!

HtiTnds.png


لا اعلم ان كان هذا السبب ام لا

لاعلاقه للتحديث بتلك الوظيفه فانا دوما اعطلها من ايام ويندوز 7 حتى 10 والنظام يقوم بالتحديث

حاول ان تقوم باعاده تشغيل خيار التحديث من services
 
  • Like
التفاعلات: BOYKA
لاعلاقه للتحديث بتلك الوظيفه فانا دوما اعطلها من ايام ويندوز 7 حتى 10 والنظام يقوم بالتحديث

حاول ان تقوم باعاده تشغيل خيار التحديث من services

لا اعلم سبب المشكلة بالتحديد وقمت بتعطيل خاصية التحديث واعادة تشغيلها مرة اخرى من services ولم تحل المشكلة للأسف
 
توقيع : BOYKA
لا اعلم سبب المشكلة بالتحديد وقمت بتعطيل خاصية التحديث واعادة تشغيلها مرة اخرى من services ولم تحل المشكلة للأسف

هل تستخدم جدار نارى ربما يكون هو السبب فى منع التحديث
 
هل تستخدم جدار نارى ربما يكون هو السبب فى منع التحديث

استخدم الكاسبر انترنت سيكيوريتي 2017
بعد البحث على مدار يوم كامل وجدت بعض الحلول على موقع ميكروسوفت جربت احدهم ونفع الحمد لله لكنه ازال سجل التحديثات القديمة
 
توقيع : BOYKA
اخواني ...
هل قام احد بتعطيل ثغرة SMB في ويندوز 10 وواجه مشكلة في التحديث بعد ذلك ؟
hUA6TnJ.png


بعد تعطيل الثغرة بيومين واجهت هذه المشكلة الويندوز لا يجري اي تحديث وعندما ذهبت لأعيد تشغيل SMB لا يستجيب التشغيل
اضع علامة عليها واضغط OK ولا يحدث شيء ولا يطلب الويندوز اعادة التشغيل حتى وعندما افتح القائمة مرة اخرى أجد SMB مازال غير مفعلاً !!

HtiTnds.png


لا اعلم ان كان هذا السبب ام لا


يا اخي والله شكيت في نفسي نفس المشكله لسه مفرمط لجهاز و نزلت ويندوز جديد ومازالت المشكله قائمه تقريبا خطا في سيرفير ميكروسوفت
 
استخدم الكاسبر انترنت سيكيوريتي 2017
بعد البحث على مدار يوم كامل وجدت بعض الحلول على موقع ميكروسوفت جربت احدهم ونفع الحمد لله لكنه ازال سجل التحديثات القديمة

ايه الحل ارجوك والله تعبت
 
ايه الحل ارجوك والله تعبت

الحل اللي نفع معي كالتالي :

تذهب الى بارتيشن C ثم فولدر Windows ثم فولدر SoftwareDistribution بعدها تحذف مجلد Download و مجلد DataStore
ثم تذهب الى Task MAnager وفي تبويب Startup تذهب الى كل برنامج وتضغط Disable بالأسفل حتى يصبحوا كلهم معطلين
7Payy9o.png

ثم تعيد تشغيل الجهاز وعند فتح الجهاز تجرب تعمل تحديث ثم بعدها ترجع خانة Startup كما كانت وتعيد تشغيل الجهاز
هذا الحل اللي نفع معي
 
توقيع : BOYKA
49ba7d1b6ee2c946c45b180380494ec4.png

كل ما تود معرفته عن فيروس WannaCry الذي اجتاح العالم


Wanna_Cry.jpg




WannaCry أو كما يُغرف بـ WanaCrypt0r 2.0 هو فيروس برمجي خطير استطاع تخريب أكثر من 75 الف جهاز كمبيوتر في 99 دولة حتي تاريخ نشر هذه المقالة, وذلك خلال ساعات قليلة ظهر يوم أمس الجمعة.



[ WannaCry ransomware ]



ماهو فيروس WannaCry وكيف يعمل وكيف استطاع الانتشار بهذه السرعه خلال ساعات قليلة أن يُصيب أكثر من 75 الف جهاز حاسوب وشبكة اتصالات !!!


كيف تحمي حاسوبك وبياناتك من الاختراق وتشفير البيانات ؟ واسئلة أخري كثيرة سنتعرف علي إجابتها سويآ من خلال هذه التدوينة وسيعقبها أيضآ فيديو توضيحي وشرح عملي لعمل هذا الفيروس وذلك من خلال قناة ماتريكس219 علي اليوتيوب. ولكن دعونا أولآ نتعرف علس هذا التصنيف من أنواع الفيروسات.


ماهو فايروس رانسوم وير :



هو ليس إسم فيروس مُحدد كما يظُن البعض ولكنه نوعية من البرمجيات الخبيثة التي لها نشاط فيروسي. وهو من نوع التروجان “Trojan” وعادة ما يستهدف نظام التشغيل ويندوز وفيما ندر ما يستهدف نظام لينوكس.


وهذه النوعية من الفيروسات “رانسوم وير” لها عدة خصائص منها على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز، و القدرة علي استغلال الجهاز لعمل دوس أتاك DDOS attack وذلك بتحويل الكمبيوتر الي botnet، فهو يقوم بحجب الخدمة عن المستخدم والتحكم في جهازه بشكل كامل من خلا السيطرة علي بروتوكلات الاتصال بشبكة الانترنت.

فيروس رانسوم وير وعملية الابتزاز :


يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.


تختلف قوة هذا الفيروس بحسب نوعية وعدد الملفات المستهدفة ودرجة صعوبة فك التشفير. واليكم في الصورة التاليه مثال علي رسالة طلب فدية للحصول علي برنامج فك التشفير.



Dc_JDh_Il.png

كيف يعمل فيروس الرانسوم وير ؟

فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
المشهور نوضح فيه آلية عمل هذا الفيروس وذلك قبل الخوض في تفاصيل موضوعنا اليوم عن فيروس WannaCry.


لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على هذا الشكل.

FMu9_KU7.png


و من ثم تظهر لك رسالة مضمونها المترجم كالتالي..

qjr2_LWW.png


وبعد أن تتخز الاجراء المناسب ودفع الفدية يقوم مبرمج الفيروس بارسال برنامج فك التشفير اليك لاستعادة السيطرة علي ملفاتك مرة أخري.

[ WannaCry Ransomware ]

بداية انتشار فيروس WannaCry :


بدأ إنتشار هذا الرانسوم وير خلال الساعات الأولي من يوم الجمعة 2017-05-12 ليصيب ماهو أكثر من 75 الف جهاز حاسوب في نطاق 75 دولة و 20 لغة مختلفة.

أول تداعيات هذا الفيروس بدأت من دولة أسبانيا وذلك بإصابة شبكة Telefónica للاتصالات وهي شركة اتصالات أسبانية متعددة الجنسيات تغطي اوروبا وآسيا واماكن متفرقة من الولايات المتحدة الأمريكية. كما أصاب الفيروس أنظمة العديد من الشركات الشهيرة مثل National Health Service (NHS), FedEx and Deutsche Bahn


تلي هذه العملية بلاغات متعددة من دولة روسيا وذلك بتأكيد إصابة أنظمة رقمية متعددة تابعة لمؤسسات وهيئات حكومية منها :RussianInterior Ministry – Russian Emergency Ministry – MegaFon

وفي الساعات الماضية بدا انتشار الفيروس في العديد من الدول العربية ولكن في نطاق ضيق وكان أشهرها المملكة العربية السعودية وشركة الاتصالات STC,الذي كانت حديث السوشيال ميديا لمدة ايام الي أن قامت الشركة بتكذيب الخبر, ولا ندري هل كان هذا للحفاظ علي عملاءها, أم أنها كانت مجرد إشاعه صدرت من السوشيال ميديا


وهذا لم يمنع هيئات الاتصالات من تحذير المواطنين واصدار نشرات توعيه من خطورة الفيروس وكيفية التعامل معه, وكانت أول هذه الهيئات هي تنظيم الاتصالات بدولة الإمارات الشقيقة. ”
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"الملف في المرفقات"


الثغرة التي تم استغلالها لنشر فيروس Wannacry :


الغريب في الأمر أن فيروس WannaCry استغل ثغرة EnternalBlue والتي تم الاعلان عنها في مارس الماضي وتم طرحها من قبل إحدي مجموعات الهاكرز تسمي The Shadow Brokers في 14 ابريل 2017, وذلك بعد أن تم تسريبها من Equation Group, والتي لم يتم تحديد ماهيتها هل هي مجموعة من الهاكرز تابعين لوكالة الأمن القومي الأمريكي أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز.


ولكن أيآ كان فمن المؤكد أن وكالة الأمن القومي الأمريكية NSA لها دور كبير في ذلك. وسبق وأن ذكرنا في تدوينة سابقة علاقتها الوطيدة بالعديد من عمليات الاختراق والتجسس التي تتم في الانترنت المظلم.

ثغرة EnternalBlue :

إحدي ثغرات نظام التشغيل ويندوز والتي تستغل بروتوكول SMB “Server Message Block” المسئول عن مشاركة الملفات والمجلدات في شبكة الانترنت.

وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد. مما ساهم في انتشار رانسوم وير WannaCry بهذا الشكل البشع.

Zero-Day Vulnerability :

ملحوظة: لا يمكن اعتبار هذا الهجوم zero-day vulnerability حيث أن شركة ميكروسوفت قد سبق وطرحت تحديث SMB 3.0 منذ شهر مضي وتحديدآ في 14 مارس من العام الحالي. اي قبل حدوث الهجوم بحوالي شهرين.

آلية عمل Wannacry رانسوم وير :

1- يصل الفيروس الي جهاز الكمبيوتر عن طريق متصفح الانترنت في عدة صور, أشهرها كانت رسالة بريد الكتروني تخبرك بأنك فزت بجائزة من المال ـو أنك ستحصل علي تحويل بنكي كما هو موضح بالصورة.

2- بمجرد تحميل ملف المرفقات وتشغيله يتم تشفير ملفات الجهاز بالكامل.

wannacry-ransomware-archive-file.png



3- يستخدم الفيروس ثغرة بروتوكول الـ SMB للانتقال الي جميع الأجهزة المتصلة بالشبكة والمصابة بهذه الثغرة.

4- تظهر لك رسالة التشفير التالية.


Wana_Decrypt0r_screenshot.png


تخبرك الرسالة أنه تم تشفير البيانات الموجوده علي جهازك, ولن تستطيع فك التشفير بدون برنامج الـ Decryption , وسيقوم الهاكرز بإثبات قدرتهم علي ذلك بفك تشفير بعض البيانات مجانآ بدون مقابل ولكن إن كنت ترغب في فك تشفير جميع الملفات فعليك أن تقوم بعمل تحويل بقيمة 300$ بعملة البتكوين خلال 33 ايام علي الأكثر. وإذا تجاوزت هذه المدة سوف يتم مضاعفة المبلغ. وإذا مرت 77 ايام بدون أن تقوم بدفع المبلغ ففي هذه الحالة لن تتمكن من استعادة ملفاتك الي الأبد.

ويظهر عداد تنازلي Counter لفترة السداد التي مدتها 72 ساعة وكذلك عداد تنازلي لـ 7 أيام هي المدة المتاح فيها محاولة استعادة الملفات, وبعدها سوف تفقد ملفاتك للأبد.

4- يتصل الفيروس بهذا الموقع الالكتروني “
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
” ويقوم باستخدامه كـ Kill Switch.

حيث يحدد اختيار من اثنين:

أولهما تنفيذ التشفير في حالة عدم امكانية الوصول الي الموقع, والثاني هو ايقاف الهجوم وفك التشفير في حالة التمكن من الوصول الي الموقع.

كيف تقوم بحماية جهازك من WannaCry :
1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
من شركة ميكروسوفت.

2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
واختيار التحديث المناسب لنظام تشغيل جهازك.

3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.

4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.

5- قم بتفعيل الـ Firmware و
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
بإصداراتها المختلفة.

6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.



لماذا هذه الإجراءات بعد تحديث الويندوز ؟

ما توصلت اليه الجهات البحثيه لمكافحة الفيروسات الوبرمجيات الخبية حتي وقتنا هذا هو في نطاق الاصدار الأول فقط من فيروس الـ WannaCry , ورغم محاولتهم لتعطيل الـ Kill Switch الا أن الفيروس مازال قادرآ علي تطوير عمله حتي وقت كتابة هذه المقالة. وبالتالي فنحن حتي الآن نتعامل فقط مع واجهة الفيروس, وما يحدث في الـ BackEnd ماهو الا اجتهادات ولذك وجب أخذ كافة الاحتياطات خاصة في شبكات المؤسسات الحكومية والتجارية والبنكية والتي تعتمد في نشاطها علي قواعد البيانات بشكل اساسي.


وفي النهاية اليكم ملفات تشفير رانسوم وير WannaCry بصيغة PEM من خلال هذا الرابط :
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



واليكم
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"الملف في المرفقات" وكيف يمكنك أخد احتياطاتك لتجنب إصابة بيانات حاسوبك بهذا الفايروس.

دمتم في حفظ الله..
 

المرفقات

توقيع : MoncefComputer
يعطيك الف عافيه
بالنسبه لهذه الخطوات

- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

كيف نقوم بذلك

هذه صوره من اصابة لجهاز احد أصدقائي
imagef-149823853417812-jpg.html


وهذه صوره من جهازي عندما قمت بفحصه باداة مايكروسوفت وذهلت للنتيجه
مع العلم بوجود الكاسبر انترنت سكيورتي 2017 لدي ولم يكتشف اي شيء مسبقا
imagef-149823853411441-jpg.html
 
توقيع : K-in-G
يعطيك الف عافيه
بالنسبه لهذه الخطوات

- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

كيف نقوم بذلك

هذه صوره من اصابة لجهاز احد أصدقائي
imagef-149823853417812-jpg.html


وهذه صوره من جهازي عندما قمت بفحصه باداة مايكروسوفت وذهلت للنتيجه
مع العلم بوجود الكاسبر انترنت سكيورتي 2017 لدي ولم يكتشف اي شيء مسبقا
imagef-149823853411441-jpg.html
ممكن صديقي تعيد التعديل وتقوم بإعادة رفع الصور حتى تظهر
 
توقيع : MoncefComputer
لم أفهم قصدك صديقي
لم تظهر الصور عندك ؟؟
حسنا ها هيي على موقع رفع آخر
تفضل

882444980.jpg

503523263.jpg



سؤالي لكم كان كيف اقوم بعمل هذه الخطوات التي تفضلت وذكرتها انت


6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.
 
توقيع : K-in-G
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى