• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

عـيـنة 30/5/2017 ملف 14

الحالة
مغلق و غير مفتوح للمزيد من الردود.
اليوناني

اليوناني

مصمم زيزوومي مميز (خبراء زبزووم)
★★ نجم المنتدى ★★
نجم الشهر
فريق التصميم
عضوية موثوقة ✔️
كبار الشخصيات
فريق دعم البرامج العامة
إنضم
13 نوفمبر 2014
المشاركات
18,208
مستوى التفاعل
29,638
النقاط
13,864
غير متصل

السلام عليكم



تنبيه هام جداً صادر عن إدارة المنتدى

كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم

فهذا القسم مخصص للتجارب على ملفات ضارة مختلفة الأنواع

ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة بما سوف يجربه

والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم وتجريبه على جهازه

والإدارة تخلي مسؤوليتها بهذا الشأن

30/5/2017 ملف 14


[hide]
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


او

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]

[hide]
infected
[/hide]
 

توقيع : اليوناني
شكرا اخي الكريم على العينات
محاولة فك احدى العينات ( سكريبت ) على السريع
tempo6.webp

يبقى تحويل قيم المتغيرات بما يقابلها لفهم العينة
( سيكون كالعادة اتصال بسيرفر تحميل ملف و تنفيذه -- ممل .... )
 

المرفقات

كل رمضان ونحن وانتم بخير


بالوصول لموقع التحميل حجبه الكاسبر سمول 5

upload_2017-5-31_18-7-20.webp



وبالتحميل بمجرد فك الضغط تحرك الكاسبر 5 وازال العينه كامله



upload_2017-5-31_18-9-46.webp
 
توقيع : التميمي14
السلام عليكم و رحمة الله
النورتن ثقيل جدا في الاستجابة تقريبا خمس دقائق لكي يعطيك ناتج ما تم فك الضغط عنه
تم حذف الكل و بقي واحد
M6KywUR.png


ان اردت صور التفاصيل ارفعها توجد 11 صورة
1UeQcJa.png
 
reda malossi قال:
السلام عليكم و رحمة الله
النورتن ثقيل جدا في الاستجابة تقريبا خمس دقائق لكي يعطيك ناتج ما تم فك الضغط عنه
تم حذف الكل و بقي واحد
M6KywUR.png


ان اردت صور التفاصيل ارفعها توجد 11 صورة
1UeQcJa.png
أنقر للتوسيع...
هذا هو السبب انني قمت بتحليل يدوي للعنة 450245 لانها عينة جد جد مملة
تعتمد على تشفير جد ممل ههه و هناك حوالي 3 اكواد للتضليل فقط
انا قمت بفكها كاملة ثم اكتشفت انها تتصل بسيرفر باستخدام get من تم ستحمل ملف معين ربما و ستقوم بتنفيذه ( لا اعلم لم اواصل عملية تعويض المتغيرات بقيمها ..)
ارجو ان يقوم الجميع بعزل العينة عن المجلد الرئيسي ثم فحصها بشكل مستقل
( لانني متأكد جدا ان العديد من المحركات ستفشل في اكتشافها )
:)
 
at810 قال:
هذا هو السبب انني قمت بتحليل يدوي للعنة 450245 لانها عينة جد جد مملة
تعتمد على تشفير جد ممل ههه و هناك حوالي 3 اكواد للتضليل فقط
انا قمت بفكها كاملة ثم اكتشفت انها تتصل بسيرفر باستخدام get من تم ستحمل ملف معين ربما و ستقوم بتنفيذه ( لا اعلم لم اواصل عملية تعويض المتغيرات بقيمها ..)
ارجو ان يقوم الجميع بعزل العينة عن المجلد الرئيسي ثم فحصها بشكل مستقل
( لانني متأكد جدا ان العديد من المحركات ستفشل في اكتشافها )
:)
أنقر للتوسيع...

العينه من نوع دونلودر تقوم بتحميل رانسيوم من عائله CRYPTOLOCKER

الملف المحمل ليس صيغه تنفيزيه بشكل مباشر وانما على صيغه nbv وفى الغالب احد الاكواد التى كانت مكتوبه فى الاسكربت تقوم بتشغيله بشكل مباشر

دون تحويل الصيغه او الكتابه على الهارد وانما تعمل من الممورى بشكل مباشر لكى يتم فك وتشغيل العينه بشكل مباشر
 
توقيع : black007
black007 قال:
العينه من نوع دونلودر تقوم بتحميل رانسيوم من عائله CRYPTOLOCKER

الملف المحمل ليس صيغه تنفيزيه بشكل مباشر وانما على صيغه nbv وفى الغالب احد الاكواد التى كانت مكتوبه فى الاسكربت تقوم بتشغيله بشكل مباشر

دون تحويل الصيغه او الكتابه على الهارد وانما تعمل من الممورى بشكل مباشر لكى يتم فك وتشغيل العينه بشكل مباشر
أنقر للتوسيع...
جزاك الله خيرا اخي مصطفى
على ما اضن اغلب عينات كريبتولوكر لن تقوم بالبدئ في تشفير الملفات الا اذا نجح الاتصال مع سيرفر التحكم
و اظن ان السرفرات لم تعد تعمل مند مدة لذلك ربما عينات cryptolocker لن تقوم باصابة الحاسوب :)
و الله اعلم
 
الأفاست 14\14
1.webp
 
توقيع : أبو رمش
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى