رفتن به مطلب

سعید بهمنیان
 اشتراک گذاری

Recommended Posts

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را  ناکار و آغاز به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

ویرایش شده توسط سعید بهمنیان
لینک به دیدگاه
Share on other sites

در 5 دقیقه قبل، سعید بهمنیان گفته است :

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را از ناکار و شروع به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

سلام

با لینوکس امتحان کنید و ببینید فایلها را رمزنگاری میکند یا خیر؟(برای اینکار دیسک زنده پیشنهاد میگردد) اگر رمزنگاری کرده است، راه شکستنش یافتن هش این باج افزار و مهندسی معکوس آن و به دست اوردن کلید ازاد سازی هست.

اطلاع دارم سایتهایی کار بازسازی هش و مهندسی معکوس را به رایگان انجام میدهند(پشتیبانی توسط نرم افزار های ویروس یاب دارند)

ویرایش شده توسط MojArch
لینک به دیدگاه
Share on other sites

در 3 دقیقه قبل، MojArch گفته است :

سلام

با لینوکس امتحان کنید و ببینید فایلها را رمزنگاری میکند یا خیر؟(برای اینکار دیسک زنده پیشنهاد میگردد) اگر رمزنگاری کرده است، راه شکستنش یافتن هش این باج افزار و مهندسی معکوس آن و به دست اوردن کلید ازاد سازی هست.

اطلاع دارم سایتهایی کار بازسازی هش و مهندسی معکوس را به رایگان انجام میدهند(پشتیبانی توسط نرم افزار های ویروس یاب دارند)

درود

روی لبتاپم کنار ویندوز، اوبونتو دارم. برای احتیاط باید روی رایانه ی دیگری بنصبم تا دچار مشکل نشوم. نتیجه را همینجا خواهم گفت.

لینک به دیدگاه
Share on other sites

در 6 دقیقه قبل، سعید بهمنیان گفته است :

درود

روی لبتاپم کنار ویندوز، اوبونتو دارم. برای احتیاط باید روی رایانه ی دیگری بنصبم تا دچار مشکل نشوم. نتیجه را همینجا خواهم گفت.

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

لینک به دیدگاه
Share on other sites

در 10 دقیقه قبل، MojArch گفته است :

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

دیسک زنده ی لینوکس روی دیویدی دارم، قابل انتقال به فلش است؟  لبتاپم دیویدی رایتر ندارد.

لینک به دیدگاه
Share on other sites

در هم اکنون، سعید بهمنیان گفته است :

دیسک زنده ی لینوکس روی دیویدی دارم، قابل انتقال به فلش است؟  لبتاپم دیویدی رایتر ندارد.

بله!

برنامه UNetbootin و حتی خود ابزار dd در اوبونتو میتواند این کار را انجام دهد!

کلا ابزار برای اینکار بسیار فراهم هست(اگر از این دو ابزار معرفی شده خوشتان نمی‌آید یک جستجوی کوچک در گوگل موارد متعدد بسیار در اختیارتان قرار میدهد)

لینک به دیدگاه
Share on other sites

در 1 دقیقه قبل، MojArch گفته است :

بله!

برنامه UNetbootin و حتی خود ابزار dd در اوبونتو میتواند این کار را انجام دهد!

کلا ابزار برای اینکار بسیار فراهم هست(اگر از این دو ابزار معرفی شده خوشتان نمی‌آید یک جستجوی کوچک در گوگل موارد متعدد بسیار در اختیارتان قرار میدهد)

سپاسگزارم دوست گرامی

من کاربر حرفه ای لینوکس نیستم و برای موردهای کم شماری از آن استفاده می کنم. آیا ابزارهای یاد شده دیسک زنده با تنظیمات پیشفرض می سازند یا برنامه ها و میز کار و دیگر تنظیمات سیستم عامل را هم انتقال می دهند؟

لینک به دیدگاه
Share on other sites

در 1 دقیقه قبل، سعید بهمنیان گفته است :

سپاسگزارم دوست گرامی

من کاربر حرفه ای لینوکس نیستم و برای موردهای کم شماری از آن استفاده می کنم. آیا ابزارهای یاد شده دیسک زنده با تنظیمات پیشفرض می سازند یا برنامه ها و میز کار و دیگر تنظیمات سیستم عامل را هم انتقال می دهند؟

امکان انتقال آن اطلاعات و حتی نصب سیستم عامل روی فلش هم هست.

ابزار های معرفی شده دیسک نصب را به فلش منتقل میکنند.(یعنی شما دقیقا محتویات برابر با دی وی دی که در دست دارید تحویل میگیرد) برای بررسی این باج افزار کافیست گزینه Live test را انتخاب کنید تا بدون هیچ تغییری در هارد سیستم به لینوکس وارد شوید.

 

لینک به دیدگاه
Share on other sites

سلام

همانطور که خودتون هم اشاره داشتید این باج افزار جدید هست

این راهنما شاید کمک کند

https://malwaretips.com/blogs/remove-coharos/

http://www.computips.org/how-to-remove-coharos-ransomware/

 

ویرایش شده توسط MojArch
لینک به دیدگاه
Share on other sites

  • کاربر ویژه

با سلام
یه عکس از وضعیت بزارید من ببینم بیچاره نشم، شانس نداریم :(
با سپاس

ویرایش شده توسط mInI_ClockEr
لینک به دیدگاه
Share on other sites

در 5 دقیقه قبل، mInI_ClockEr گفته است :

با سلام
یه عکس از وضعیت بزارید من ببینم بیچاره نشم، شانس نداریم :(
با سپاس

شما فایلهای مشکوک دانلود نکنید و اونها رو اجرا نکنید.

هیچ وقت تنها به extension فایل بسنده نکنید(منظور اینه که ممکنه اسم فایل به صورت 1.jpg باشه اما در اصل 1.exe هست که میتونید توسط گزینه properties ویندوز و یا نگاه به نوار پایین فایل اکسپلورر ویندوز این مورد رو تشخیص بدید)

ساخت همچین فایلی که در ظاهر عکس باشه اما در واقع چیز دیگه ای سخت نیست(حتی تصویر بند انگشتی هم میندازه براتون)

ویرایش شده توسط MojArch
لینک به دیدگاه
Share on other sites

  • کاربر ویژه
در 1 دقیقه قبل، MojArch گفته است :

شما فایلهای مشکوک دانلود نکنید و اونها رو اجرا نکنید.

هیچ وقت تنها به extension فایل بسنده نکنید(منظور اینه که ممکنه اسم فاسل به صورت 1.jpg باشه اما در اصل 1.exe هست که میتونید توسط گزینه properties ویندوز و یا نگاه به نوار پایین فایل اکسپلورر ویندوز این مورد رو تشخیص بدید)

ای وای برمن
عجب زرنگ بازی ها :(
ممنون از راهنمایی تون
اگر این ذهن لنگ من کمکم کنه و حواسم جمع باشه خوب هست

لینک به دیدگاه
Share on other sites

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 😁

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

لینک به دیدگاه
Share on other sites

در 1 ساعت قبل، سعید بهمنیان گفته است :

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را  ناکار و آغاز به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

راهکار برای بازگشایی فایل های رمز شده ندارم چون قطعا علاوه بر تغیر پسوند فایل رمزنگاری شده و یا باید کیلید رمز داشته باشید یا یه باگ کسی پیدا کنه و باز کنه فایلرو

اما خوب اگه این فایل از نت دانلود شده میشه برای جلوگیری  الوده شدن توسط دیگران ازین به بعد فایل های دانلود شده رو با ایزوله کردن یا سندباکس کردن اجرا کنند

 

لینک به دیدگاه
Share on other sites

در ۱ ساعت قبل، MojArch گفته است :

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

احتمالا فقط رو ویندوز جواب میده  چون فایل یا bat بوده یا به شکل exe  خلاصه یه مدل فایل اجرایی بوده با هر پسوند اجرایی

فک نمیکنم باج گیرش اینقد مهارت داشته باشه 1مخرب رو 2تا سیستم عامل پیاده کنه علاوه بر اینکه در لینوکس دسترسی روت لازمه هرچند میشه باز این بدافزار هارو پشت یه سری اسکریپت های سالم مخفی کرد 

 

لینک به دیدگاه
Share on other sites

در 35 دقیقه قبل، babak_11 گفته است :

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 1f601.png

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

تمرکز رو پول گرفتنه 

براش مهم نیست چی رو سیستمه فقط رمزنگاری میکنه و تغیر پسوند میده البته شاید همه فرمت هارو تغیر نده نمیدونم بستگی به حوصله سازنده داره

یه روش بود قبلا اینکه هارد رو کامل فرمت میکردن بعد ریکاوری میکردن البته این فقط زمانی جواب میداد که فایل رمزنگاری شده نباشه

اگه رمز شده باشه فقط با اون کیلید باز میشه یا اینکه یه باگ مرتبط یا غیرمرتبط پیدا کنن 

لینک به دیدگاه
Share on other sites

در ۱ ساعت قبل، babak_11 گفته است :

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 😁

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

روی پسوند های زیر رمزنگاری اعمال میکنه:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

تقریبا همه چیز!

روش پخش شدنش رو دقیق نمیدونم اما احتمال بالا embed کردن فایل اجراییش در فایل عکس و فیلم هست

در 51 دقیقه قبل، memex گفته است :

احتمالا فقط رو ویندوز جواب میده  چون فایل یا bat بوده یا به شکل exe  خلاصه یه مدل فایل اجرایی بوده با هر پسوند اجرایی

فک نمیکنم باج گیرش اینقد مهارت داشته باشه 1مخرب رو 2تا سیستم عامل پیاده کنه علاوه بر اینکه در لینوکس دسترسی روت لازمه هرچند میشه باز این بدافزار هارو پشت یه سری اسکریپت های سالم مخفی کرد 

 

دقیقا چون تفاوت ساختار زیاده بعیده رو جفتش کار کنه(دیدم نمونه ای که رو جفتش کار کنه البته از طریق زیرنویس خودشو منتشر میکرد)

از جمله دلایلی که میگن با ترمینال اسکریپت ها رو بررسی نکنید همون موردیه که قرمز کردم

لینک به دیدگاه
Share on other sites

دیگه هیچ خبری از این بدتر نمیشد . تقریبا بیشتر فرمت هارو شامل میشه و راه فرار نداره 

به احتمال زیاد هم باجگیری از طریق کریپتو و کوین ها انجام میشه که نشه کاریش کرد . تنها راهی که میشه بهش فکر کرد اینه که تا زمانی که راه حلی براش پیدا بشه و شرکتهای بزرگ روش کار کنن و جلوش در بیان بهتره هاردهای مهممون رو از سیستم جدا کنیم و فقط با هاردی که مهم نیست کار کنیم که اگر آلوده شدیم حداقل فایل مهم از دست ندیم 

دوستانی که چند هارد دارن بهتره هارد مهمشون رو فعلا از سیستم جدا کنن و دوستانی که هارد کوچیک دارن بهتره یه بکاپ از اطلاعاتشون بگیرن 

ممنون از استارتر عزیز بابت اطلاع رسانی . امیدوارم هیچ کدوم از دوستان لیونی درگیر این ماجرا نشن . 🌷

لینک به دیدگاه
Share on other sites

درود

 

شما اگر اطلاعات مهمی دارید باید با شرکت های امنیتی که دراین  زمینه فعالیت می کنند مکاتبه داشته باشید.

 

ما یکی از سرورهامون به باج افزار الوده شده بود راهی نبودش که امتحان نکنیم ،  با هزار زحمت  تونستیم برخی از اطلاعات مهم برگردونیم.

 

ولی مطمئن باشید هر چقدر هم بتونید از این باج افزار که  قصد دارند فایل ها رمزنگاری و به یک پسوند تغییر بدن و قابل استفاده نباشه . بازم اثراتش می مونه.

 

راه هایی  که دوستان گفتن پاسخ گو نیستش .

ویرایش شده توسط TERRORIST
لینک به دیدگاه
Share on other sites

در 33 دقیقه قبل، TERRORIST گفته است :

درود

 

شما اگر اطلاعات مهمی دارید باید با شرکت های امنیتی که دراین  زمینه فعالیت می کنند مکاتبه داشته باشید.

 

ما یکی از سرورهامون به باج افزار الوده شده بود راهی نبودش که امتحان نکنیم ،  با هزار زحمت  تونستیم برخی از اطلاعات مهم برگردونیم.

 

ولی مطمئن باشید هر چقدر هم بتونید از این باج افزار که  قصد دارند فایل ها رمزنگاری و به یک پسوند تغییر بدن و قابل استفاده نباشه . بازم اثراتش می مونه.

 

راه هایی  که دوستان گفتن پاسخ گو نیستش .

طی این چند روز تقریبا هر چه روی نت درباره ی coharos یافته ام نامید کننده بوده. 

امیدوارم تولید کننده های نرم افزارهای امنیتی دست کم راهی برای شناساییش و پیشگیری از اجرایش عرضه کنند.

لینک به دیدگاه
Share on other sites

سلام دوستان

من حدود ۴ ترا اطلاعات بسیار مهم دارم. امکان بکاپ گیری وجود نداره چون هر لحظه در حال تغییر هست.

لطف کنید راه حلی بگید چکار کنم یا چکار نکنم به این مدل باج افزارها آلوده نشم.

اگه قصد دانلود دارم از کجا بفهمم فایل آلوده نیست؟

ویرایش شده توسط saeed110
لینک به دیدگاه
Share on other sites

در 33 دقیقه قبل، saeed110 گفته است :

سلام دوستان

من حدود ۴ گیگ اطلاعات بسیار مهم دارم. امکان بکاپ گیری وجود نداره چون هر لحظه در حال تغییر هست.

لطف کنید راه حلی بگید چکار کنم یا چکار نکنم به این مدل باج افزارها آلوده نشم.

اگه قصد دانلود دارم از کجا بفهمم فایل آلوده نیست؟

درود

اکنون یک کیس دارم راه می اندازم تا رویش بیازمایم. روی رایانه های خودم خطرناک است. به زودی نتیجه را خواهم گفت. علی الحساب از جاهایی که نمی شناسی چیزی دانلود نکن. اگر دیدی فایلی پسوندش عوض شده اجرا نکن. و رایانه را خاموش کن. smb را از بخش تنظیمات features ویندوز غیرفعال کن.

ویرایش شده توسط سعید بهمنیان
لینک به دیدگاه
Share on other sites

  • کاربر ویژه
در 15 دقیقه قبل، سعید بهمنیان گفته است :

. smb را از بخش تنظیمات features ویندوز غیرفعال کن.

با سلام
این رو بیشتر توضیح بدین
با سپاس

لینک به دیدگاه
Share on other sites

در 34 دقیقه قبل، mInI_ClockEr گفته است :

با سلام
این رو بیشتر توضیح بدین
با سپاس

درود محمد گرامی

control panel

programs and features

turn windows features on or off

گزینه های smb را غیر فعال کن.

 

 

لینک به دیدگاه
Share on other sites

در 21 دقیقه قبل، سعید بهمنیان گفته است :

درود محمد گرامی

control panel

programs and features

turn windows features on or off

گزینه های smb را غیر فعال کن.

 

 

ممنون

با غیر فعال کردن این مورد مانع چه موردی میشیم اصلا این گزینه چیه.

 

لینک به دیدگاه
Share on other sites

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .
توجه: مطلب ارسالی شما پس از تایید مدیریت برای همه قابل رویت خواهد بود.

مهمان
ارسال پست در این تاپیک...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

 اشتراک گذاری

×
  • اضافه کردن...