#فايروس_الفدية Petya ينتشر بسرعه في جميع انحاء العالم

فايروس الفدية Petya :

انتشر في جميع انحاء العالم هذا اليوم واحدث الخراب والدمار على بعض الدول وقام باغلاق اجهزة الكمبيوتر في الشركات و المنظمات (الطاقة – البنوك- المطارات ) وكانت اكثر الدول اصابة هي روسيا واوكرانيا والهند وبعض الدول الاوربيه ، اما بنسبة للفديه قام المخترق بطلب فدية قدرها 300$ تدفع عن طريق البتكوين

معلومات اكثر عن الفايروس:

وفقا لمصدار متعدده ان فايروس Petwrap ماهو الا اصدار جديد من فايروس Petya وتشير بعض المصادر ان تاريخ انتشارة كان في تاريخ 18/6/2017 ويستخدم نفس طريقة فايروس الفدية السابق WannaCry  في الانتشار باستغلال الضعف الموجود في SMBv1. اما بنسبة لاول نسخه تم اكتشافها منه وهي myguy.exe  وملف myguy.xls

طريقة عمل الفايروس :

يوضح الباحثون ان الفايروس يستخدم طريقة WannaCry ذاتها (EternalBlue )ولكن مدخله الوحيد للمنظمة هي عن طريق الايميل ويستخدم في عملية الدخول من خلال استغلاله لثغرة CVE-2017-0199 وهي خاصة بملفات الاوفيس يستغلها من طرف المستخدم والثغرة الاخرى يستغلها من طرف الشبكة MS17-010 شرحها : https://www.rapid7.com/db/vulnerabilities/msft-cve-2017-0199

اما بنسبة للمنافذ المستخدمه حسب تصريح بعض شركات الامنيه الروسيه هي : 445-1035-135-1024

بعد الاصابة بالفايروس:

يقوم بتشفير ملفات النظام التي تحتوي على امتدادت معينه ويقوم كذلك بمسح وتغير نظام الاقلاع MBR لمنع النظام من العمل والسيطرة على الجهاز, وكما يشير الباحثين ان الفايروس يقوم بحذف سجلات النظام

 

من تأثر في فايروس الفدية:

البنك المركزي في اوكرانيا وشركة الكهرباء واكبر المطارات في الدولة (البنية التحتيه) وكذلك روسيا واسبانيا والهند وبعض دول اوروبا

ماهي موشرات الاصابة بالفايروس :

اول عينه تم الحصول عليها هي myguy.exe  وملف myguy.xls

1- https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

2- https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100

3- https://www.youtube.com/watch?v=3Ixtt8LVpTk&app=desktop (ملف فيديو يشرح طريقة عملة )

4-  شرحة لما يحدث حين تشغيله https://twitter.com/MAlajab/status/879755661097283585

5- https://otx.alienvault.com/pulse/59525e7a95270e240c055ead/?utm_source=email&utm_campaign=new_pulse_from_subscribed

ملفات الفايروس (كن حذر)

1- https://yadi.sk/d/S0-ZhPY53KWc84

2- https://yadi.sk/d/Zpkm88sp3KWc8v

3- الرقم السري : virus

تنزيل الملف عن طريق :

185.165.29.78

95.141.115.108

http://185.165.29[.]78/~alex/svchost.exe

111.90.139.247

COFFEINOFFICE.XYZ

تحديث ( تم ايقاف البريد الالكتروني اذاً لا فائده من دفع الفدية ) wowsmith123456@posteo.net

h11p://84.200.16.242/myguy.xls

من قام بالدفع حتى الان :

تسع اشخاص حتى هذه اللحظة

اترك رد