???? |Tmou7 | ????? ????? | ???? ????? ??????? ?????

Ransomware Petya ما هو و كيفية الحماية منه؟

Ransomware Petya ما هو و كيفية الحماية منه؟ نفس الثغرة اللي تم تسريبها من وكالة الأمن القومي الأمريكية مؤخرا - و اللي انتشر من خلالها الRansomware المشهور WannaCry - بيهجم عن طريقها دلوقتي Ransomware تاني أشرس بمراحل إسمه Petya. مجموعة باحثين ف Emsisoft و TrustedSec, LLC و PT Security Ltd - اكتشفوا طريقة نهائية لمنع هجمة ال Ransomware ده لحد آخر عينة منتشرة منه دلوقتي. --- الطريقة للوقاية - مش للاسترجاع. الفكرة كلها انهم بعد مراقبة سلوك ال Petya - لقوه بيعمل check على ملف معين - لو لقاه مش موجود بيعملله Create و يكمل شغل - لو لقاه موجود ببساطة بيعمل exit لنفسه و مبيشتغلش خلاص. و من هنا عملو توصيات بإنك ك User تعمل Create لل File ده بنفسك - ك خدعة لل petya - عشان لما يلاقيه ميشتغلش. الملف هتكريته ف المسار ده : C:\Windows\perfc و هتعمله Read-Only لينك المصدر : https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/ ----------------------------------- 1- الفرق المخيف بين الهجمة دي و اللي فاتت - إن اللي فاتت كنت بتتقي شرها بمجرد تطبيق تحديث سد الثغرة اللي نزلته Microsoft ف مارس اللي فات. إلا إنه المرادي حتى لو انك مطبق التحديث ده - و اللي بيحتوي الترقيع الأمني اللي بيسد ثغرة بروتوكول ال SMB - ف انت برضو هتفضل معرض للهجمة الجديدة دي عادي جدا !! و السبب انها بتنتشر بميكانزم مختلف بيشمل الأداتين WMIC و PSEXEC عن طريق client-side attack (CVE-2017-0199). المرة اللي فاتت الإجراءات الوقاية كانت بتشمل إغلاق بروتوكول ال SMB - بكل اصداراته - بكل ال Services و ال Ports اللي مرتبطة بيه. و احنا ف WiRE Microsystems - صممنا و كودنا أداة احترافية بتقوم بالأمر على أكمل وجه فيما يخص مسألة تعطيل و إعادة تفعيل ال Protocol ده بكل اصداراته بكل شيء مرتبط بيه كما التوصيات العالمية بالمللي - و ساعدت ناس كتير في تجاوز الأمر بسلام تماما - هتلاقيها ف اللينك ده : https://goo.gl/05tb0k و تفوقنا ف ده الحمد لله على الأداة القديمة المنسوبة لشركة Symantec - و اللي هي غير فعالة بعد Windows 7 و مبتقفلش كل اصدارات SMB. ----------------------------------- 2- أعمل ايه ؟؟؟ 1- طبق تحديث مارس اللي فات بتاع ميكروسوفت - لو مش مطبقه - أو مش متأكد - أو لسه ناوي تطبقه - إقفل ال SMB بكل متعلقاته - دلوقتي !! - و ده لينك الأداة بتاعتنا اللي هتقوم ب الأمر ده : https://goo.gl/05tb0k 2- المرادي هنحتاج كمان إجراء تاني عشان نسد ثغرة ال client-side attack (CVE-2017-0199) - و ده عن طريق تعطيل أداة WMIC - عن طريق تعطيل ال Service بتاعتها - هتلاقي الطريقة ف اللينك ده : https://msdn.microsoft.com/e…/library/aa826517(v=vs.85).aspx 3- نزل KasperskyLab AntiRansomware - و اتأكد انها متحدثة عندك بتاريخ النهاردة - دي الأداة الوحيدة اللي احنا بنثق فيها ضمن منافسينها بعد متابعة تقارير فنية كتير الفترة اللي فاتت دي - ده اللينك بتاعها : https://go.kaspersky.com/Anti-ransomware-tool.html ====== تحديث ====== مجموعة باحثين ف Emsisoft و TrustedSec, LLC و PT Security Ltd - اكتشفوا طريقة نهائية لمنع هجمة ال Ransomware ده لحد آخر عينة منتشرة منه دلوقتي. --- الطريقة للوقاية - مش للاسترجاع. الفكرة كلها انهم بعد مراقبة سلوك ال Petya - لقوه بيعمل check على ملف معين - لو لقاه مش موجود بيعملله Create و يكمل شغل - لو لقاه موجود ببساطة بيعمل exit لنفسه و مبيشتغلش خلاص. و من هنا عملو توصيات بإنك ك User تعمل Create لل File ده بنفسك - ك خدعة لل petya - عشان لما يلاقيه ميشتغلش. الملف هتكريته ف المسار ده : C:\Windows\perfc و هتعمله Read-Only لينك المصدر : https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/ ----------------------------------- 3- هو أصلا بيشتغل ازاي ؟؟ التشفير المرادي مش على الملفات دايركت - التشفير بيتم لل MFT - و اللي هو ال Master File Table - الخاص ب ال NTFS Filesystem - و ده باختصار هو الملف اللي فيه بيانات تخزين الملفات على الديسك بتاعك - مكانها فين - أسمائها - متوزعة على أنهي Sectors - ال ِAttributes بتاعتها. الحركة دي خبيثة جدا - لأنه بيأدي الغرض ف زمن أسرع بمراحل ! بيعمل Restart و بيطلع رسالة مضروبة بخصوص انه بيعمل Disk Check - بيقوم في أثناءها بتشفير ال MFT و بيعمل Restart تاني - و Replace لل MBR - ال Master Boot Record - اللي هي أول حاجة ف مرحلة ف ال Boot - عشان ال MBR الجديدة اللي هو حطها تعرضلك رسالة ان الكمبيوتر بتاعك اتشفر و مش هيفتح ولا هتشوف ملفاتك قبل ما تدفع الفدية. محدش اتكلم عن موقف ال UEFI من الموضوع. لما تشوف رسالة ال Check Disk المضروبة - إقفل الكمبيوتر فورا - و اسحب الديسك و خد نسخة احتياطية من بياناتك. ----------------------------------- 4- لو اتصابت - متدفعش الفدية عشان ملفاتك مش هترجع - و استنى لحد ما يظهر حل مناسب. ----------------------------------- 5- الإنتشار سريع جدا - كثافة الإصابة العظمى ف أوكرانيا - و اللي اتصابت فيها أماكن حيوية كتير جدا. ----------------------------------- المصادر : 1- http://thehackernews.com/2017/…/petya-ransomware-attack.html 2- https://www.extremetech.com/…/251711-notpetya-ransomware-lo… 3- https://msdn.microsoft.com/e…/library/aa826517(v=vs.85).aspx 4- https://www.us-cert.gov/…/2017/01/16/SMB-Security-Best-Prac… 5- https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/

Ransomware Petya ما هو و كيفية الحماية منه؟

نفس الثغرة اللي تم تسريبها من وكالة الأمن القومي الأمريكية مؤخرا - و اللي انتشر من خلالها الRansomware المشهور WannaCry - بيهجم عن طريقها دلوقتي Ransomware تاني أشرس بمراحل إسمه Petya.

مجموعة باحثين ف Emsisoft و TrustedSec, LLC و PT Security Ltd - اكتشفوا طريقة نهائية لمنع هجمة ال Ransomware ده لحد آخر عينة منتشرة منه دلوقتي.

--- الطريقة للوقاية - مش للاسترجاع.

الفكرة كلها انهم بعد مراقبة سلوك ال Petya - لقوه بيعمل check على ملف معين - لو لقاه مش موجود بيعملله Create و يكمل شغل - لو لقاه موجود ببساطة بيعمل exit لنفسه و مبيشتغلش خلاص.

و من هنا عملو توصيات بإنك ك User تعمل Create لل File ده بنفسك - ك خدعة لل petya - عشان لما يلاقيه ميشتغلش.

الملف هتكريته ف المسار ده : C:\Windows\perfc

و هتعمله Read-Only

لينك المصدر : https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/

-----------------------------------

1- الفرق المخيف بين الهجمة دي و اللي فاتت - إن اللي فاتت كنت بتتقي شرها بمجرد تطبيق تحديث سد الثغرة اللي نزلته Microsoft ف مارس اللي فات.

إلا إنه المرادي حتى لو انك مطبق التحديث ده - و اللي بيحتوي الترقيع الأمني اللي بيسد ثغرة بروتوكول ال SMB - ف انت برضو هتفضل معرض للهجمة الجديدة دي عادي جدا !!

و السبب انها بتنتشر بميكانزم مختلف بيشمل الأداتين WMIC و PSEXEC عن طريق client-side attack (CVE-2017-0199).

المرة اللي فاتت الإجراءات الوقاية كانت بتشمل إغلاق بروتوكول ال SMB - بكل اصداراته - بكل ال Services و ال Ports اللي مرتبطة بيه.

و احنا ف WiRE Microsystems - صممنا و كودنا أداة احترافية بتقوم بالأمر على أكمل وجه فيما يخص مسألة تعطيل و إعادة تفعيل ال Protocol ده بكل اصداراته بكل شيء مرتبط بيه كما التوصيات العالمية بالمللي - و ساعدت ناس كتير في تجاوز الأمر بسلام تماما - هتلاقيها ف اللينك ده : https://goo.gl/05tb0k

و تفوقنا ف ده الحمد لله على الأداة القديمة المنسوبة لشركة Symantec - و اللي هي غير فعالة بعد Windows 7 و مبتقفلش كل اصدارات SMB.

-----------------------------------

2- أعمل ايه ؟؟؟

1- طبق تحديث مارس اللي فات بتاع ميكروسوفت - لو مش مطبقه - أو مش متأكد - أو لسه ناوي تطبقه - إقفل ال SMB بكل متعلقاته - دلوقتي !! - و ده لينك الأداة بتاعتنا اللي هتقوم ب الأمر ده : https://goo.gl/05tb0k

2- المرادي هنحتاج كمان إجراء تاني عشان نسد ثغرة ال client-side attack (CVE-2017-0199) - و ده عن طريق تعطيل أداة WMIC - عن طريق تعطيل ال Service بتاعتها - هتلاقي الطريقة ف اللينك ده : https://msdn.microsoft.com/e…/library/aa826517(v=vs.85).aspx

3- نزل KasperskyLab AntiRansomware - و اتأكد انها متحدثة عندك بتاريخ النهاردة - دي الأداة الوحيدة اللي احنا بنثق فيها ضمن منافسينها بعد متابعة تقارير فنية كتير الفترة اللي فاتت دي - ده اللينك بتاعها : https://go.kaspersky.com/Anti-ransomware-tool.html

====== تحديث ======

--- الطريقة للوقاية - مش للاسترجاع.

و من هنا عملو توصيات بإنك ك User تعمل Create لل File ده بنفسك - ك خدعة لل petya - عشان لما يلاقيه ميشتغلش.

الملف هتكريته ف المسار ده : C:\Windows\perfc

و هتعمله Read-Only

لينك المصدر : https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/

-----------------------------------

3- هو أصلا بيشتغل ازاي ؟؟

التشفير المرادي مش على الملفات دايركت - التشفير بيتم لل MFT - و اللي هو ال Master File Table - الخاص ب ال NTFS Filesystem - و ده باختصار هو الملف اللي فيه بيانات تخزين الملفات على الديسك بتاعك - مكانها فين - أسمائها - متوزعة على أنهي Sectors - ال ِAttributes بتاعتها.

الحركة دي خبيثة جدا - لأنه بيأدي الغرض ف زمن أسرع بمراحل !

بيعمل Restart و بيطلع رسالة مضروبة بخصوص انه بيعمل Disk Check - بيقوم في أثناءها بتشفير ال MFT و بيعمل Restart تاني - و Replace لل MBR - ال Master Boot Record - اللي هي أول حاجة ف مرحلة ف ال Boot - عشان ال MBR الجديدة اللي هو حطها تعرضلك رسالة ان الكمبيوتر بتاعك اتشفر و مش هيفتح ولا هتشوف ملفاتك قبل ما تدفع الفدية.

محدش اتكلم عن موقف ال UEFI من الموضوع.

لما تشوف رسالة ال Check Disk المضروبة - إقفل الكمبيوتر فورا - و اسحب الديسك و خد نسخة احتياطية من بياناتك.

-----------------------------------

4- لو اتصابت - متدفعش الفدية عشان ملفاتك مش هترجع - و استنى لحد ما يظهر حل مناسب.

-----------------------------------

5- الإنتشار سريع جدا - كثافة الإصابة العظمى ف أوكرانيا - و اللي اتصابت فيها أماكن حيوية كتير جدا.

-----------------------------------

المصادر :

1- http://thehackernews.com/2017/…/petya-ransomware-attack.html

2- https://www.extremetech.com/…/251711-notpetya-ransomware-lo…

3- https://msdn.microsoft.com/e…/library/aa826517(v=vs.85).aspx

4- https://www.us-cert.gov/…/2017/01/16/SMB-Security-Best-Prac…

5- https://www.bleepingcomputer.com/…/vaccine-not-killswitch-…/