تحقق من تاريخ وعدد نقط إستعادة النظام
في حالة تواجد نقطة إستعادة للنظام قبل تاريخ تثبيت البرنامج المصاب إستعملها لتجاوز المشكلة من البداية
بشكل إفتراضي نظام التشغيل ويندوز يحتفظ بثلاثة إلى خمس نقط للإستعادة كحد أقصى
ويحذف أقدمها في كل مرة يتم تسجيل نقطة جديدة
مالم تقم برفع حصتها من مساحة التخزين في القرص الصلب
في حالة وجدت نقط إستعادة متقاربة في التاريخ دون أن تحمل توقيع برنامج تم تثبيته أو إلغاء تثبيته مثلاً
قم بحذف جميع نقط الإستعادة وعطل إعداد الإستعادة
مشاهدة المرفق 240325
ثم أعد الإجراءات المقترحة سابقا من الإخوة الأكارم
(الدخول على الوضع الامن و...)
بعد إعادة التشغيل لاتقم بالإتصال بالأنترنت
إلا بعد إعادة الفحص في الوضع العادي بحثا عن بقايا البرنامج الخبيث
والقيام بعملية reset للبرنامج الذي تستعمله chrome أو firefox أو ...
بشكل إفتراضي
عائلة PowerShel تحقن نفسها في هجومين الأول يذهب مباشرة لنقطة الإستعادة والتي تكون محمية في system volume information
ويقوم في كل مرة بتسجيل نقطة إستعادة جديدة تحمل نسخة لنفس الملف الخبيث باسم جديد
عند تشغيل الجهاز تتم إستعادة النقطة وإنشاء واحدة أخرى باسم جديد وهكذا دواليك
الهجوم الثاني يحقن نفسه في الشبكة أو السرفر ويصبح client للخوادم التابعة للمبرمج ويتيح له تنفيد الهجمات
الإشعارات أو التنبيهات هي محاولة للإتصال بالخوادم تم منعها من برنامج الحماية كل ثلاث أوخمس دقائق تقريباً
بمجرد الإتصال بالشبكة أو السرفر المصاب تعاد القصة من جديد
التعديل على نظام التشغيل
بشكل إفتراضي هذه هي القيمة المستهدفة في رجستري نظام التشغيل
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SHTinfo
يجب تحليل الملف الملغم لمعرفة نطاقات DLL المستهدفة
قد يختلف تصرف البرمجية الخبيثة حسب تطوير المبرمج
إن كان بالإمكان رفع مصدر أو الملف المصاب للتحليل بشكل أدق ومعرفة قيم الرجستري المحقونة في نظام التشغيل
حظاً طيباً وفقك الله
