صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 24

موضوع: همفکری برای پیدا کردن راه حل در مورد ویروس encrypt locker

  
  1. #1
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324

    همفکری برای پیدا کردن راه حل در مورد ویروس encrypt locker

    سلام به همه دوستان
    والا در مورد این ویروسی که تازگیا پیداش شده و باعث میشه تمامی فایلها به صورت encrypt شده lock بشوند میخواستم ببینم چه راه حلی میشه پیدا کرد که :
    1 - این مشکل که بوجود اومده رو به حالت قبل بر گردوند حالا یا با decrypt کردن و کرک کدی که گذاشته شده یا یه همچین کاری
    2 - تا اونجا که من پرسیدم آنتی ویروسها نمیتونن این ویروس رو شناسایی کنن, راه حلی برای جلوگیری از منتقل شده یا ورود یا پخش شدن این ویروس تو شبکه و یا انتقال به سرور پیدا بشه .

    چون در بعضی از سرورهای ما مجبور به دادن دسترسی به ادمین برنامه های تحت وب هستیم برای جابجایی دیتا و گرفتن فایل پشتیبان و یا انتقال دیتا برای همین اگر سیستم کلایت دچار حمله شده باشه این ویروس به سرور منتقل میشه و باعث دردسر های زیادی میشه


    دوستان هر نظری و ایده ای دارن من سراپا گوش هستم و اگر قابل انجام باشه شرکت ما هزینه انجام اون رو به شخصی که این کار رو بتونه انجام بده پرداخت میکنه .

    ممنون از دوستان



    موضوعات مشابه:
    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .





  2. #2
    نام حقيقي: Mask

    عضو عادی شناسه تصویری Mask
    تاریخ عضویت
    Jun 2014
    محل سکونت
    ایران-فعلا اصفهان
    نوشته
    529
    سپاسگزاری شده
    240
    سپاسگزاری کرده
    96
    یه نمونه فایل کم حجمی که کد شده رو بزارید اینجا.


    kavehashoori سپاسگزاری کرده است.

  3. #3
    نام حقيقي: Masoud

    تازه وارد
    تاریخ عضویت
    May 2013
    محل سکونت
    Tehran
    نوشته
    3
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0

    Shadow Copy

    نقل قول نوشته اصلی توسط kavehashoori نمایش پست ها
    سلام به همه دوستان
    والا در مورد این ویروسی که تازگیا پیداش شده و باعث میشه تمامی فایلها به صورت encrypt شده lock بشوند میخواستم ببینم چه راه حلی میشه پیدا کرد که :
    1 - این مشکل که بوجود اومده رو به حالت قبل بر گردوند حالا یا با decrypt کردن و کرک کدی که گذاشته شده یا یه همچین کاری
    2 - تا اونجا که من پرسیدم آنتی ویروسها نمیتونن این ویروس رو شناسایی کنن, راه حلی برای جلوگیری از منتقل شده یا ورود یا پخش شدن این ویروس تو شبکه و یا انتقال به سرور پیدا بشه .

    چون در بعضی از سرورهای ما مجبور به دادن دسترسی به ادمین برنامه های تحت وب هستیم برای جابجایی دیتا و گرفتن فایل پشتیبان و یا انتقال دیتا برای همین اگر سیستم کلایت دچار حمله شده باشه این ویروس به سرور منتقل میشه و باعث دردسر های زیادی میشه


    دوستان هر نظری و ایده ای دارن من سراپا گوش هستم و اگر قابل انجام باشه شرکت ما هزینه انجام اون رو به شخصی که این کار رو بتونه انجام بده پرداخت میکنه .

    ممنون از دوستان

    سلام
    وقت بخیر

    اگر قابلیت System Restore روی سیستم شما فعال شده باشه، میتونین با استفاده از shadow copy فایل ها رو برگردونین.

    موفق باشید.


    kavehashoori سپاسگزاری کرده است.

  4. #4
    نام حقيقي: رنجبران

    بلاگر شناسه تصویری pardazande
    تاریخ عضویت
    Feb 2009
    محل سکونت
    C:\WINDOWS\system32
    نوشته
    824
    سپاسگزاری شده
    440
    سپاسگزاری کرده
    499
    سلام

    البته اکثر این باج افزارها قبل از هرکاری قابلیت shadow copy رو غیرفعال میکنن و نمیشه به اون دل بست


    kavehashoori، halvaei، EVERAL و 1 نفر دیگر سپاسگزاری کرده‌اند.
    خوشبختی یعنی اینکه خداوند آنقدر عزیزت کند که مایه آرامش دیگری شوی ...

  5. #5
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    دقیقا قابلیت shadow copy غیر فعال شده


    سورس اصلی فایل رو نمیتونم پیدا کنم اما فایلهای کد شده اون هستش .

    الان آپلود میکنم و لینکشو میزارم

    ممنون از شما

    - - - ادامه - - -

    اینم لینک آپلود یکی از فایلهای اتوکد که کد شده

    http://etc.zarup.com/102677-download-acad.fas.id-CA443766.systemdownindia.com.rar.html


    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .

  6. #6
    نام حقيقي: saeid

    عضو عادی شناسه تصویری jozef
    تاریخ عضویت
    Oct 2007
    محل سکونت
    Tehran
    نوشته
    257
    سپاسگزاری شده
    351
    سپاسگزاری کرده
    259
    دوست گرامی

    ابتدا بر روی یک سیستم آزاد سیستم عامل و سرویسهای مورد نیاز را به صورت آزمایشی نصب نمایید ...


    سپس به کمک ا یکی از HIPS های لیست سفید کلیه پروسسهای لازم در سیستم را به طور مشخص تعریف کنید ...
    در نهایت اگر سیستم آزمایشی درمقابل اجرا مستقیم فایل آلوده مصونیت داشته باشد میتوانید از تکنیک مشابه در سیستمهای اصلی نیز استفاده فرمایید


    ویرایش توسط jozef : 2016-08-21 در ساعت 06:15 PM
    kavehashoori و Unique سپاسگزاری کرده‌اند.
    http://www.wilderssecurity.com





  7. #7
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    ممنون از شما
    والا این ویروس سورس اصلیش مشخص نیست کجاست و مشخص نیست طی چه پروسه ای چه زمانی فعال میشه . ممکنه مدتها بوده باشه این ویروس غیر فعال در سیستمها یا سرور موجود بوده اما طی یک زمان خاص یا اتفاق خاص فعال شده چون الان همون سرور که مشکل داره من یکی از هارهای روی اونو فرمت کردم و یک سری فایل سالم در کنار فایلهای ویروسی گذاشتم و حدود 10 روز میگذره و هیچ اتفاقی برای فایلهای سالمم بوجود نیومده .
    برای همین نمیتونم به جد بگم با استفاده از روشی خاص مشکل حل شده چون نمیدونیم طی چه فرایندی فعال میشه


    jozef سپاسگزاری کرده است.
    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .

  8. #8
    نام حقيقي: saeid

    عضو عادی شناسه تصویری jozef
    تاریخ عضویت
    Oct 2007
    محل سکونت
    Tehran
    نوشته
    257
    سپاسگزاری شده
    351
    سپاسگزاری کرده
    259
    دوست گرامی
    معمولا بد افزارهایی که از طریق یک مرکز کنترل و توسط اینترنت کنترل میشوند ، دارای دوره های غیر فعال میباشند .... و برخی نیز ( که اکثرا تبلیغاتی میباشند ) به صورت بمب زمانی و غالبا وابسته به زمان سیستم فعال میگردند
    ویروسهای عادی اغلب یا به کمک آسیب پذیری های سیستم عامل و یا اشتباه کاربر ( در اجرای یک فایل آلوده ) جای پای اولیه را به شکل یک پروسس و یا تسک اجرایی در سیستم عامل یافته و سپس مقدمات اجرای ثانویه ( در آلوده ساختن مسیرهای استارت آپ ) و سایر نمهیدات ( مثل پنهان کردن فایلهای اجرایی و غیر فعال کردن برخی ابزارهای ویندوز ) را فراهم میسازند

    نمیدانیم نحوه آلوده سازی اولیه در بد افزار مورد نظر شما به چه صورت میباشد ولی احتمالا صرف نگه داری فایلهای کد شده برای آلوده سازی سیستم کافی نبوده است ... ضمن تقدیر از ازمایش جالب شما یشنهاد میشود فایلها ی دیگری نیز از سیستم الوده به سیستم آزمایشی منتقل کرده و به تلاش برای یافتن فایل اجرایی ویروس و یا فایل الوده به ویروس ادامه دهید


    kavehashoori سپاسگزاری کرده است.
    http://www.wilderssecurity.com

  9. #9
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    ممنون از توضیح شما
    امروز صبح همون درایو مجدد فایلهاش کد شد ( این درایو فقط فایلهای سالم جایگزین فایلهای قبلی شد ه بود )
    اما درایو دیگری که فرمت شده بود و فایلهای سالم روش ریخته شده بود دچار مشکل نشده


    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .

  10. #10
    نام حقيقي: علی شفائی

    عضو عادی شناسه تصویری alisc
    تاریخ عضویت
    Sep 2010
    محل سکونت
    شهریار
    نوشته
    1,895
    سپاسگزاری شده
    1728
    سپاسگزاری کرده
    2052
    دوستان کدوم آنتی ویروس میتونه از ورود این ویروس به سیستم جلوگیری کنه ؟



  11. #11
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    نقل قول نوشته اصلی توسط alisc نمایش پست ها
    دوستان کدوم آنتی ویروس میتونه از ورود این ویروس به سیستم جلوگیری کنه ؟
    راستش من با چند تا شرکت صحبت کردم که نمایندگی آنتی ویروسهای eset , bitdefender و quickheal بودن همشون میگم ransomware های موجود رو میگیریم و اجازه نفوذ نمیدیم اما به شرطی که خود کاربر نره attach ایمیلهای اسپمش رو باز کنه .
    یعنی عملا کار خاصی نمیکنن . و حتی اگه ransomware جدیدی هم نوشته بشه کاری روش نمیتونن انجام بدن


    alisc سپاسگزاری کرده است.
    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .

  12. #12
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    فعلا ما اولین کارهایی که تونستیم بکنیم این بود که برند آنتی ویرسومون رو عوض کنیم
    backup گیری مون رو قوی تر کردیم و در بازه های زمانی کمتر و نگهداری به تعداد بیشتر انجام دادیم
    backdoor هایی که از قبل از اومدن من تو شبکه بود رو با این دلیل تونستیم تا حدودی محدود کنیم
    و کنترل بیشتری رو شبکه بکنیم


    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .





  13. #13
    نام حقيقي: Mask

    عضو عادی شناسه تصویری Mask
    تاریخ عضویت
    Jun 2014
    محل سکونت
    ایران-فعلا اصفهان
    نوشته
    529
    سپاسگزاری شده
    240
    سپاسگزاری کرده
    96
    نمیدونم این حرفم دوباره به مدیران سایت بر میخوره یا نه.
    نمیدونمم کجا باید اینو بگم.
    اما من فایلهارو بررسی کردم. در صورت حضور ویروس میشه با ریورسش به الگورینم اینکرپت رسید. قبلا اینکارو برای تست انجام دادم.
    اگر فایلهاتون خیلی ارزشمنده و میتونید هزینه کنید و هنوز اون سیستم الوده و ویروس موجوده. میتونم کمکتون کنم.


    kavehashoori سپاسگزاری کرده است.

  14. #14
    نام حقيقي: ابراهیم

    خواننده شناسه تصویری EMSebi
    تاریخ عضویت
    Sep 2009
    محل سکونت
    هر جا بجز پرشین نتورک
    نوشته
    274
    سپاسگزاری شده
    169
    سپاسگزاری کرده
    21
    نقل قول نوشته اصلی توسط Mask نمایش پست ها
    نمیدونم این حرفم دوباره به مدیران سایت بر میخوره یا نه.
    نمیدونمم کجا باید اینو بگم.
    اما من فایلهارو بررسی کردم. در صورت حضور ویروس میشه با ریورسش به الگورینم اینکرپت رسید. قبلا اینکارو برای تست انجام دادم.
    اگر فایلهاتون خیلی ارزشمنده و میتونید هزینه کنید و هنوز اون سیستم الوده و ویروس موجوده. میتونم کمکتون کنم.

    دوست عزیز نسخه قبلی این ویروس انکریپت 64 بیتی بود.. دکودرش بعد یه مدت اومد .
    نسخه جدیدش 128 بیتی هست . و تو هر سیستم الگوریتم و هشینگش عوض میشه .

    انتی ویروسهای گنده هنوز درگیر این ویروس هستند برای بازیابی اطلاعات .


    kavehashoori و Unique سپاسگزاری کرده‌اند.

  15. #15
    نام حقيقي: کاوه آشوری

    عضو عادی شناسه تصویری kavehashoori
    تاریخ عضویت
    Apr 2005
    محل سکونت
    تهران
    نوشته
    1,649
    سپاسگزاری شده
    966
    سپاسگزاری کرده
    324
    نقل قول نوشته اصلی توسط Mask نمایش پست ها
    نمیدونم این حرفم دوباره به مدیران سایت بر میخوره یا نه.
    نمیدونمم کجا باید اینو بگم.
    اما من فایلهارو بررسی کردم. در صورت حضور ویروس میشه با ریورسش به الگورینم اینکرپت رسید. قبلا اینکارو برای تست انجام دادم.
    اگر فایلهاتون خیلی ارزشمنده و میتونید هزینه کنید و هنوز اون سیستم الوده و ویروس موجوده. میتونم کمکتون کنم.

    سلام دوست عزیز
    مطمئنا هر چیزی امکان پذیره . هرچند من با چن تا متخصص بازیابی اطلاعات و شرکتهایی که کار دیکد کردن انجام میدان صحبت کردم و براشون فایلهارو فرستادم هیچکدوم نتونستن
    اما اگر شما میتونید من سرور رو فرمت کردم اما فایلهای کد شده رو جایی ذخیره کردم برای روزی که شاید بشه .
    اگر شما میتونید من امکان دادن چند فایل به شما برای تست رو دارم . حتی یکی از فایلهارو تو همین پست گذاشتم . میتونید اونو یه بررسی بکنید
    در ضمن با تمام برنامه هایی که دیکد میکرد هم تست کردم اما اتفاقی مثبتی صورت نگرفت

    - - - ادامه - - -

    نقل قول نوشته اصلی توسط EMSebi نمایش پست ها
    دوست عزیز نسخه قبلی این ویروس انکریپت 64 بیتی بود.. دکودرش بعد یه مدت اومد .
    نسخه جدیدش 128 بیتی هست . و تو هر سیستم الگوریتم و هشینگش عوض میشه .

    انتی ویروسهای گنده هنوز درگیر این ویروس هستند برای بازیابی اطلاعات .
    و دقیقا با صحبتهای شما موافقم


    برای پیشرفت اول سعی خودتو بکن , بعد اگه به نتیجه نرسیدی هزاران بار سوال کن .

صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •