جميع ادوات فك تشفير فيروس الفدية
جدول المحتويات:
Petya Ransomware / Wiper وقد خلق الفوضى في أوروبا ، وشوهدت لأول مرة لمحة عن العدوى في أوكرانيا عندما أكثر من تم اختراق 12500 آلة. أسوأ ما في الأمر هو أن الإصابات انتشرت أيضاً في بلجيكا والبرازيل والهند والولايات المتحدة أيضاً. لدى Petya قدرات worm تسمح لها بالانتشار عبر الشبكة. أصدرت شركة مايكروسوفت توجيهات حول كيفية معالجة بيتيا ،
Petya Ransomware / Wiper
بعد انتشار العدوى الأولية ، لدى Microsoft الآن دليل على أن عدد قليل من الإصابات النشطة في الفدية تم ملاحظتها لأول مرة من الشرعية عملية تحديث MEDOCO. جعل هذا الأمر حالة واضحة لهجمات سلسلة توريد البرامج التي أصبحت شائعة جدًا مع المهاجمين لأنها تحتاج إلى دفاع عن مستوى عالٍ جدًا.
توضح الصورة أدناه أعلاه كيفية تنفيذ عملية Evit.exe من MEDOC الأمر التالي خط ، وناقلات متشابهة بشكل مثير تم ذكرها أيضا من قبل الشرطة السيبرانية في أوكرانيا في القائمة العامة لمؤشرات التسوية. يقال أن Petya قادرة على سرقة أوراق
- سرقة والاستفادة من الجلسات النشطة
- نقل الملفات الضارة عبر الأجهزة باستخدام خدمات مشاركة الملفات
- استغلال نقاط ضعف SMB في حالة وجود أجهزة غير مزوَّدة.
آلية الحركة الجانبية باستخدام سرقة الاعتمادات وانتحال الهوية يحدث
كل شيء يبدأ مع Petya إسقاط أداة إلقاء بيانات اعتماد ، وهذا يأتي في كلا النوعين 32 بت و 64 بت. نظرًا لأن المستخدمين يسجلون الدخول عادةً مع العديد من الحسابات المحلية ، فهناك دائمًا احتمال أن تكون إحدى الجلسات النشطة مفتوحة عبر عدة أجهزة. سوف تساعد بيانات الاعتماد المسروقة Petya للحصول على مستوى أساسي من الوصول.
بمجرد الانتهاء من Petya بمسح الشبكة المحلية للحصول على اتصالات صالحة على المنافذ tcp / 139 و tcp / 445. ثم في الخطوة التالية ، فإنه يستدعي الشبكة الفرعية ولكل مستخدمي الشبكة الفرعية tcp / 139 و tcp / 445. بعد الحصول على استجابة ، ستقوم البرامج الضارة بنسخ الملف الثنائي على الجهاز البعيد عن طريق الاستفادة من ميزة نقل الملفات وبيانات الاعتماد التي تمكنت من سرقتها في وقت سابق.
يتم إسقاط psexex.exe بواسطة أداة Ransomware من مورد مضمن. في الخطوة التالية ، يقوم بمسح الشبكة المحلية لمشاركات $ admin ثم يقوم بنسخ نفسه عبر الشبكة. بالإضافة إلى تفريغ بيانات الاعتماد ، تحاول البرمجيات الخبيثة أيضًا سرقة بيانات الاعتماد الخاصة بك من خلال الاستفادة من وظيفة CredEnumerateW للحصول على جميع بيانات اعتماد المستخدم الأخرى من مخزن بيانات الاعتماد.
التشفير
تقرر البرامج الضارة تشفير النظام اعتمادًا على مستوى امتياز عملية البرامج الضارة ، ويتم ذلك عن طريق توظيف خوارزمية التجزئة المستندة إلى XOR التي تتحقق من قيم التجزئة وتستخدمها كإستبعاد سلوكي.
في الخطوة التالية ، يكتب Ransomware إلى سجل التمهيد الرئيسي ثم يقوم بتعيين يصل النظام إلى إعادة تشغيل الكمبيوتر. علاوة على ذلك ، فإنه يستخدم وظيفة المهام المجدولة لإيقاف تشغيل الجهاز بعد 10 دقائق. تعرض الآن Petya رسالة خطأ مزيفة متبوعة برسالة Ransom فعلية كما هو موضح أدناه.
ثم يحاول Ransomware تشفير كافة الملفات بملحقات مختلفة عبر كافة محركات الأقراص باستثناء C: Windows. يكون مفتاح AES الذي تم إنشاؤه لكل محرك أقراص ثابت ، ويتم تصديره ويستخدم المفتاح العمومي المضمّن RSA 2048-bit للمهاجم ، كما يقول Microsoft.
تقترح ICANN طريقة جديدة لشراء نطاقات المستوى الأعلى
تقترح ICANN طريقة جديدة لمنح طلبات نطاق المستوى الأعلى.
الباحثون يبحثون عن طريقة جديدة لمهاجمة السحابة
طور الباحثون هجمات "قناة جانبية" جديدة يمكن استخدامها لسرقة البيانات من السحاب
يدفع برامج الأمازون ومايكروسوفت بخدمات الحوسبة السحابية كطريقة منخفضة التكلفة للاستعانة بمصادر خارجية لسلطات الحوسبة الخام ، لكن المنتجات قد تطرح مشاكل أمنية جديدة لم يتم استكشافها بالكامل بعد ، وفقا لباحثين في جامعة كاليفورنيا ، سان دييغو ، ومعهد ماساتشوستس للتكنولوجيا.
Trapit هي طريقة جديدة لاكتشاف الأخبار المهمة
تحقق من هذه الأداة الرائعة التي تسمى Trapit ، وهي طريقة جديدة لاكتشاف الأخبار التي تهمك.