الــ MedusaLocker Ransomware
بعد عمليه اخفاء البارتيشن من المانيجمنت قام الميدوسا باعادة اظهارة وتشفيره للاسف !! ==== الرانسوم وير التقليدي لا يستطيع اصابة البارتيشن المخفى بطريقة المانيجمنت وعملية :
Change Drive Latter And Path
لكن للاسف مع الميدوسا لوكر صارت طرق الوقاية عقيمة بالفعل
----- فاذا كنا منذ مضى نستطيع ايقاف الديب فريز بالاداة :
Anti_Deep Freeze
فما الذى يمنع مصمم الرانسوم وير من دمج اداة ايقاف الديب فريز واصابة الجهاز والشبكة ؟؟ =======
* الاصابة تتم باكثر من طريقة وهى تنتشر عبر : كراك/ او موقع غير أمن / او صفحة دعائية منبثقة تحمل جافاسكريبت مفعله لديك بالمتصفح/ او يكون مدمج بملف اكسيل او وورد او ملف صورة داخل ملف مضغوط / الخ الخ
* والان : كيف يعمل فيرس الفدية ؟ MedusaLocker
- بمجرد تشغيل الفيرس ، يبدأ عمله فى تشفير كافة بارتيشنات الهارد
- يقوم بوضع مفتاح له فى الريجيسترى: EnableLinkedConnections
ومساره كالاتى : معطيا لنفسه قيمة رقمية = 1 بحيث يتمكن من الحصول على صلاحيات تغيير محتوى البارتيشنات واضافة امتداده لكافة الملفات حتى لو كانت خاصية __UAC _ مفعله لديك فانه سوف يتجاوزها ولن تشعر بعمله فى الخلفية لديك
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- يقوم بعمل ريستارت للخدمة : LanmanWorkstation service
ليتأكد من اتصال الانترنت بالشبكة Windows networking والتى تتيح له الوصول الى اكبر كم من الاجهزة عبر الشبكة والواى فاى لنشر العدوى كذالك
- يبحث عن بعض العمليات فى الويندوز والمسئولة عن حماية الويندوز والنظام فى انظمة 7/ 8.1 / وويندوز 10
وبعد ان يتأكد فيرس ميدوسا من ايقاف كافة الخدمات يبدأ فى عمليه التشفير مرة اخرى / وجب التنوية الى انه يقوم بايقاف هذه العمليات :
wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8
wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe, ZhuDongFangYu.exe
- بعد ذلك يقوم بعملية مسح Shadow Volume Copies
او اى نقاط استعادة النظام system restor
- ولا انسي زكر عملية حذف المساحة الحرة للاقرص فى نفس الوقت حتى لا يتسطيع المستخدم من ايجاد اى ملفات باستخدام اى برنامج استعادة محذوفات مهما كانت قوة البرنامج المستخدم ف محاولة الاستعادة والفحص
- يقوم الميدوسا رانسوم وير ايضا بمسح باك الويندوز Windows backup لو كانت هناك نسخة محفوظة بالجهاز
- يقوم ايضا بتعطيل كافة محاولات استعادة النظام عبر تعطيل كافة الخدمات الاتية والمسئولة عن عملية الصيانة والاصلاح ف ويندوز 7 فما احدث :
disables the Windows automatic startup repair using the following commands:
واليكم قائمة بتلك العمليات التى ستصبح بلا جدوى
vssadmin.exe Delete Shadows /All /Quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
بعد ذلك يعيد الكرة من جديد ويبدء بفحص كافة الاقرص لبدء عملية تشفير جديدة لاى ملفات لم يتم تشفيرها ف عمليته الاولى
- يقوم بتجاهل تشفير الملفات التى تنتهى بالامتدادات الاتية :
.exe, .dll, .sys, .ini, .lnk, .rdp,
وجب التنوية الى ان تلك الامتدادات التى سيتجاوزها ستكون موجودة فى فولدرات معينه وهى : USERPROFILE
PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia
مما يعنى ان اى برامج او امتدادات مثل :
.exe, .dll, .sys, .ini, .lnk, .rdp,
سوف يقوم بتشفيرها ف كافة الاقراص الاخرى :*
مفتاح التشفير المستخدم يحمل المفتاح العمومى : RSA-2048
الامتداد الذى يسببة الميدوسا لوكر رانسوم وير هو واحد من هذى القائمة :
.encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet
بعد ذلك يضع الفيرس نفسه فى فترة ثبات لمدة دقيقة واحد ويصحو مرة اخرى لبدء عمله الشاق :
When done, the ransomware will sleep for 60 seconds and then scan the drives again for new files to encrypt.
- يقوم فيما بعد بنسخ نفسه ف مجلد المستخدم ف المسار الاتى :
%UserProfile%\AppData\Roaming\svchostt.exe
وسيكون عمله متخفيا فى عمليه التشغيل الاتية : svchostt.exe
تلك العملية تكفل له كل 30دقيقة بدء عمله الشاق المستمر الدءوب للتأكد ان كل شئ على ما يرام ويبدأ محاولة تشفير الملفات مرة اخرى واخرى باستمرار
************************
قبل ان ارفع الفديو الذى يبين تلك العملية بالتفصيل احب ان احكى لكم باختصار عن ميدوسا فى الاساطير اليونانية القديمة _ ولكن كلكم اكيد شاهدتم ثلاثية :
Clash Of Titan صراح الجبابرة
ولكن هذا فى اول تعليق اسفل الصفحة
اضغط على الصورة بالاعلى لترى البوست كاملا - وسوف ترى التعليق ان شاء الله :*
سوف تروا ذلك ف الفيديو خلال دقائق ان شاء الله
*************************
يمكنكم تحميل الفيرس " MedusaLocker Ransomware" عينة للاختبار _ من اللينك الاتى على حسابي فى الرابط :
https://www.upload.ee/files/10747426/rename_file_to__dix_16.exe__Orm1.exe___MedusaLocker__Ransomware__password_infected__.zip.html
باسوورد فك الضغط عن الملف : infected
بعد فك لاضغط عن الملف قم بتغيير اسمه وامتداده ليصبح الاسم كالتالى مثلا :
MedusaLocker Ransomware.exe
بعد عمليه اخفاء البارتيشن من المانيجمنت قام الميدوسا باعادة اظهارة وتشفيره للاسف !! ==== الرانسوم وير التقليدي لا يستطيع اصابة البارتيشن المخفى بطريقة المانيجمنت وعملية :
Change Drive Latter And Path
لكن للاسف مع الميدوسا لوكر صارت طرق الوقاية عقيمة بالفعل
----- فاذا كنا منذ مضى نستطيع ايقاف الديب فريز بالاداة :
Anti_Deep Freeze
فما الذى يمنع مصمم الرانسوم وير من دمج اداة ايقاف الديب فريز واصابة الجهاز والشبكة ؟؟ =======
* الاصابة تتم باكثر من طريقة وهى تنتشر عبر : كراك/ او موقع غير أمن / او صفحة دعائية منبثقة تحمل جافاسكريبت مفعله لديك بالمتصفح/ او يكون مدمج بملف اكسيل او وورد او ملف صورة داخل ملف مضغوط / الخ الخ
* والان : كيف يعمل فيرس الفدية ؟ MedusaLocker
- بمجرد تشغيل الفيرس ، يبدأ عمله فى تشفير كافة بارتيشنات الهارد
- يقوم بوضع مفتاح له فى الريجيسترى: EnableLinkedConnections
ومساره كالاتى : معطيا لنفسه قيمة رقمية = 1 بحيث يتمكن من الحصول على صلاحيات تغيير محتوى البارتيشنات واضافة امتداده لكافة الملفات حتى لو كانت خاصية __UAC _ مفعله لديك فانه سوف يتجاوزها ولن تشعر بعمله فى الخلفية لديك
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- يقوم بعمل ريستارت للخدمة : LanmanWorkstation service
ليتأكد من اتصال الانترنت بالشبكة Windows networking والتى تتيح له الوصول الى اكبر كم من الاجهزة عبر الشبكة والواى فاى لنشر العدوى كذالك
- يبحث عن بعض العمليات فى الويندوز والمسئولة عن حماية الويندوز والنظام فى انظمة 7/ 8.1 / وويندوز 10
وبعد ان يتأكد فيرس ميدوسا من ايقاف كافة الخدمات يبدأ فى عمليه التشفير مرة اخرى / وجب التنوية الى انه يقوم بايقاف هذه العمليات :
wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8
wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe, ZhuDongFangYu.exe
- بعد ذلك يقوم بعملية مسح Shadow Volume Copies
او اى نقاط استعادة النظام system restor
- ولا انسي زكر عملية حذف المساحة الحرة للاقرص فى نفس الوقت حتى لا يتسطيع المستخدم من ايجاد اى ملفات باستخدام اى برنامج استعادة محذوفات مهما كانت قوة البرنامج المستخدم ف محاولة الاستعادة والفحص
- يقوم الميدوسا رانسوم وير ايضا بمسح باك الويندوز Windows backup لو كانت هناك نسخة محفوظة بالجهاز
- يقوم ايضا بتعطيل كافة محاولات استعادة النظام عبر تعطيل كافة الخدمات الاتية والمسئولة عن عملية الصيانة والاصلاح ف ويندوز 7 فما احدث :
disables the Windows automatic startup repair using the following commands:
واليكم قائمة بتلك العمليات التى ستصبح بلا جدوى
vssadmin.exe Delete Shadows /All /Quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
بعد ذلك يعيد الكرة من جديد ويبدء بفحص كافة الاقرص لبدء عملية تشفير جديدة لاى ملفات لم يتم تشفيرها ف عمليته الاولى
- يقوم بتجاهل تشفير الملفات التى تنتهى بالامتدادات الاتية :
.exe, .dll, .sys, .ini, .lnk, .rdp,
وجب التنوية الى ان تلك الامتدادات التى سيتجاوزها ستكون موجودة فى فولدرات معينه وهى : USERPROFILE
PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia
مما يعنى ان اى برامج او امتدادات مثل :
.exe, .dll, .sys, .ini, .lnk, .rdp,
سوف يقوم بتشفيرها ف كافة الاقراص الاخرى :*
مفتاح التشفير المستخدم يحمل المفتاح العمومى : RSA-2048
الامتداد الذى يسببة الميدوسا لوكر رانسوم وير هو واحد من هذى القائمة :
.encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet
بعد ذلك يضع الفيرس نفسه فى فترة ثبات لمدة دقيقة واحد ويصحو مرة اخرى لبدء عمله الشاق :
When done, the ransomware will sleep for 60 seconds and then scan the drives again for new files to encrypt.
- يقوم فيما بعد بنسخ نفسه ف مجلد المستخدم ف المسار الاتى :
%UserProfile%\AppData\Roaming\svchostt.exe
وسيكون عمله متخفيا فى عمليه التشغيل الاتية : svchostt.exe
تلك العملية تكفل له كل 30دقيقة بدء عمله الشاق المستمر الدءوب للتأكد ان كل شئ على ما يرام ويبدأ محاولة تشفير الملفات مرة اخرى واخرى باستمرار
************************
قبل ان ارفع الفديو الذى يبين تلك العملية بالتفصيل احب ان احكى لكم باختصار عن ميدوسا فى الاساطير اليونانية القديمة _ ولكن كلكم اكيد شاهدتم ثلاثية :
Clash Of Titan صراح الجبابرة
ولكن هذا فى اول تعليق اسفل الصفحة
اضغط على الصورة بالاعلى لترى البوست كاملا - وسوف ترى التعليق ان شاء الله :*
سوف تروا ذلك ف الفيديو خلال دقائق ان شاء الله
*************************
يمكنكم تحميل الفيرس " MedusaLocker Ransomware" عينة للاختبار _ من اللينك الاتى على حسابي فى الرابط :
https://www.upload.ee/files/10747426/rename_file_to__dix_16.exe__Orm1.exe___MedusaLocker__Ransomware__password_infected__.zip.html
باسوورد فك الضغط عن الملف : infected
بعد فك لاضغط عن الملف قم بتغيير اسمه وامتداده ليصبح الاسم كالتالى مثلا :
MedusaLocker Ransomware.exe
تعليقات
إرسال تعليق