باج افزار coharos

[سعید بهمنیان 6475]

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را  ناکار و آغاز به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

ویرایش شده آگوست 18, 2019 توسط سعید بهمنیان

[MojArch 537]

در 5 دقیقه قبل، سعید بهمنیان گفته است :

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را از ناکار و شروع به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

سلام

با لینوکس امتحان کنید و ببینید فایلها را رمزنگاری میکند یا خیر؟(برای اینکار دیسک زنده پیشنهاد میگردد) اگر رمزنگاری کرده است، راه شکستنش یافتن هش این باج افزار و مهندسی معکوس آن و به دست اوردن کلید ازاد سازی هست.

اطلاع دارم سایتهایی کار بازسازی هش و مهندسی معکوس را به رایگان انجام میدهند(پشتیبانی توسط نرم افزار های ویروس یاب دارند)

ویرایش شده آگوست 18, 2019 توسط MojArch

[سعید بهمنیان 6475]

در 3 دقیقه قبل، MojArch گفته است :

سلام

با لینوکس امتحان کنید و ببینید فایلها را رمزنگاری میکند یا خیر؟(برای اینکار دیسک زنده پیشنهاد میگردد) اگر رمزنگاری کرده است، راه شکستنش یافتن هش این باج افزار و مهندسی معکوس آن و به دست اوردن کلید ازاد سازی هست.

اطلاع دارم سایتهایی کار بازسازی هش و مهندسی معکوس را به رایگان انجام میدهند(پشتیبانی توسط نرم افزار های ویروس یاب دارند)

درود

روی لبتاپم کنار ویندوز، اوبونتو دارم. برای احتیاط باید روی رایانه ی دیگری بنصبم تا دچار مشکل نشوم. نتیجه را همینجا خواهم گفت.

[MojArch 537]

در 6 دقیقه قبل، سعید بهمنیان گفته است :

درود

روی لبتاپم کنار ویندوز، اوبونتو دارم. برای احتیاط باید روی رایانه ی دیگری بنصبم تا دچار مشکل نشوم. نتیجه را همینجا خواهم گفت.

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

[سعید بهمنیان 6475]

در 10 دقیقه قبل، MojArch گفته است :

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

دیسک زنده ی لینوکس روی دیویدی دارم، قابل انتقال به فلش است؟  لبتاپم دیویدی رایتر ندارد.

[MojArch 537]

در هم اکنون، سعید بهمنیان گفته است :

دیسک زنده ی لینوکس روی دیویدی دارم، قابل انتقال به فلش است؟  لبتاپم دیویدی رایتر ندارد.

بله!

برنامه UNetbootin و حتی خود ابزار dd در اوبونتو میتواند این کار را انجام دهد!

کلا ابزار برای اینکار بسیار فراهم هست(اگر از این دو ابزار معرفی شده خوشتان نمی‌آید یک جستجوی کوچک در گوگل موارد متعدد بسیار در اختیارتان قرار میدهد)

[سعید بهمنیان 6475]

در 1 دقیقه قبل، MojArch گفته است :

بله!

برنامه UNetbootin و حتی خود ابزار dd در اوبونتو میتواند این کار را انجام دهد!

کلا ابزار برای اینکار بسیار فراهم هست(اگر از این دو ابزار معرفی شده خوشتان نمی‌آید یک جستجوی کوچک در گوگل موارد متعدد بسیار در اختیارتان قرار میدهد)

سپاسگزارم دوست گرامی

من کاربر حرفه ای لینوکس نیستم و برای موردهای کم شماری از آن استفاده می کنم. آیا ابزارهای یاد شده دیسک زنده با تنظیمات پیشفرض می سازند یا برنامه ها و میز کار و دیگر تنظیمات سیستم عامل را هم انتقال می دهند؟

[MojArch 537]

در 1 دقیقه قبل، سعید بهمنیان گفته است :

سپاسگزارم دوست گرامی

من کاربر حرفه ای لینوکس نیستم و برای موردهای کم شماری از آن استفاده می کنم. آیا ابزارهای یاد شده دیسک زنده با تنظیمات پیشفرض می سازند یا برنامه ها و میز کار و دیگر تنظیمات سیستم عامل را هم انتقال می دهند؟

امکان انتقال آن اطلاعات و حتی نصب سیستم عامل روی فلش هم هست.

ابزار های معرفی شده دیسک نصب را به فلش منتقل میکنند.(یعنی شما دقیقا محتویات برابر با دی وی دی که در دست دارید تحویل میگیرد) برای بررسی این باج افزار کافیست گزینه Live test را انتخاب کنید تا بدون هیچ تغییری در هارد سیستم به لینوکس وارد شوید.

 

[MojArch 537]

سلام

همانطور که خودتون هم اشاره داشتید این باج افزار جدید هست

این راهنما شاید کمک کند

https://malwaretips.com/blogs/remove-coharos/

http://www.computips.org/how-to-remove-coharos-ransomware/

 

ویرایش شده آگوست 18, 2019 توسط MojArch

[mInI_ClockEr 3314]

با سلام
یه عکس از وضعیت بزارید من ببینم بیچاره نشم، شانس نداریم
با سپاس

ویرایش شده آگوست 18, 2019 توسط mInI_ClockEr

[MojArch 537]

در 5 دقیقه قبل، mInI_ClockEr گفته است :

با سلام
یه عکس از وضعیت بزارید من ببینم بیچاره نشم، شانس نداریم
با سپاس

شما فایلهای مشکوک دانلود نکنید و اونها رو اجرا نکنید.

هیچ وقت تنها به extension فایل بسنده نکنید(منظور اینه که ممکنه اسم فایل به صورت 1.jpg باشه اما در اصل 1.exe هست که میتونید توسط گزینه properties ویندوز و یا نگاه به نوار پایین فایل اکسپلورر ویندوز این مورد رو تشخیص بدید)

ساخت همچین فایلی که در ظاهر عکس باشه اما در واقع چیز دیگه ای سخت نیست(حتی تصویر بند انگشتی هم میندازه براتون)

ویرایش شده آگوست 18, 2019 توسط MojArch

[mInI_ClockEr 3314]

در 1 دقیقه قبل، MojArch گفته است :

شما فایلهای مشکوک دانلود نکنید و اونها رو اجرا نکنید.

هیچ وقت تنها به extension فایل بسنده نکنید(منظور اینه که ممکنه اسم فاسل به صورت 1.jpg باشه اما در اصل 1.exe هست که میتونید توسط گزینه properties ویندوز و یا نگاه به نوار پایین فایل اکسپلورر ویندوز این مورد رو تشخیص بدید)

ای وای برمن
عجب زرنگ بازی ها
ممنون از راهنمایی تون
اگر این ذهن لنگ من کمکم کنه و حواسم جمع باشه خوب هست

[babak_11 842]

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 😁

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

[Failure 2093]

در 1 ساعت قبل، سعید بهمنیان گفته است :

درود بر دوستان

طی چند روز گذشته، یعنی دقیقا از ۲۳ امرداد تاکنون سه هارددیسک از همکاران به دستم رسیده اند که به باج افزار coharos آلوده شده اند. نشانه ی این باج افزار پسوند coharos است که به پسوند فایل افزوده می شود و نیز فایل readme شامل درخواست پول و نشانی ایمیل باجگیر. اگر چنین نشانه هایی را دیدید، رایانه را خاموش و هارد را از رایانه جدا کنید. اگر فایل آلوده ای را کسی برای کمک فرستاد یا جایی دیدید به وسوسه ی تغییر پسوند و اجرای فایل توجه نکنید. زیرا بلافاصله سیستم عامل را  ناکار و آغاز به خراب کردن فایلها می کند.

گمان کنم همرسان کردن و پراکندن این فایلهای آلوده از نظر قانونی نادرست باشد. و گرنه تعدادی را پیوست می کردم برای دوستان گیک و ماجراجو.

به نظر می رسد باج افزار جدید باشد، چون اطلاعات  کمی ازش در اینترنت است.

اگر اطلاعات سودمندی دارید، به شکل واضح در میان بگذارید.

 

راهکار برای بازگشایی فایل های رمز شده ندارم چون قطعا علاوه بر تغیر پسوند فایل رمزنگاری شده و یا باید کیلید رمز داشته باشید یا یه باگ کسی پیدا کنه و باز کنه فایلرو

اما خوب اگه این فایل از نت دانلود شده میشه برای جلوگیری  الوده شدن توسط دیگران ازین به بعد فایل های دانلود شده رو با ایزوله کردن یا سندباکس کردن اجرا کنند

 

[Failure 2093]

در ۱ ساعت قبل، MojArch گفته است :

به همین دلیل دیسک زنده پیشنهاد شد هرچند بعید هست که این باج افزار روی لینوکس جواب بدهد(معمولا این نوع بد افزار ها مختص سیستم عامل و با بررسی ساختار اون ساخته میشه)

احتمالا فقط رو ویندوز جواب میده  چون فایل یا bat بوده یا به شکل exe  خلاصه یه مدل فایل اجرایی بوده با هر پسوند اجرایی

فک نمیکنم باج گیرش اینقد مهارت داشته باشه 1مخرب رو 2تا سیستم عامل پیاده کنه علاوه بر اینکه در لینوکس دسترسی روت لازمه هرچند میشه باز این بدافزار هارو پشت یه سری اسکریپت های سالم مخفی کرد 

 

[Failure 2093]

در 35 دقیقه قبل، babak_11 گفته است :

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

تمرکز رو پول گرفتنه 

براش مهم نیست چی رو سیستمه فقط رمزنگاری میکنه و تغیر پسوند میده البته شاید همه فرمت هارو تغیر نده نمیدونم بستگی به حوصله سازنده داره

یه روش بود قبلا اینکه هارد رو کامل فرمت میکردن بعد ریکاوری میکردن البته این فقط زمانی جواب میداد که فایل رمزنگاری شده نباشه

اگه رمز شده باشه فقط با اون کیلید باز میشه یا اینکه یه باگ مرتبط یا غیرمرتبط پیدا کنن 

[MojArch 537]

در ۱ ساعت قبل، babak_11 گفته است :

فارسی رو پاس بدارید ولی نه در این حد . گنگ ورفتم 😁

هیچ اطلاعی از روشهای پخش شدنش هست که بیشتر تمرکز رو چی داره یا اینکه بیشتر از چه طریق آلوده میکنه ؟ 

روی پسوند های زیر رمزنگاری اعمال میکنه:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

تقریبا همه چیز!

روش پخش شدنش رو دقیق نمیدونم اما احتمال بالا embed کردن فایل اجراییش در فایل عکس و فیلم هست

در 51 دقیقه قبل، memex گفته است :

احتمالا فقط رو ویندوز جواب میده  چون فایل یا bat بوده یا به شکل exe  خلاصه یه مدل فایل اجرایی بوده با هر پسوند اجرایی

فک نمیکنم باج گیرش اینقد مهارت داشته باشه 1مخرب رو 2تا سیستم عامل پیاده کنه علاوه بر اینکه در لینوکس دسترسی روت لازمه هرچند میشه باز این بدافزار هارو پشت یه سری اسکریپت های سالم مخفی کرد 

 

دقیقا چون تفاوت ساختار زیاده بعیده رو جفتش کار کنه(دیدم نمونه ای که رو جفتش کار کنه البته از طریق زیرنویس خودشو منتشر میکرد)

از جمله دلایلی که میگن با ترمینال اسکریپت ها رو بررسی نکنید همون موردیه که قرمز کردم

[babak_11 842]

دیگه هیچ خبری از این بدتر نمیشد . تقریبا بیشتر فرمت هارو شامل میشه و راه فرار نداره 

به احتمال زیاد هم باجگیری از طریق کریپتو و کوین ها انجام میشه که نشه کاریش کرد . تنها راهی که میشه بهش فکر کرد اینه که تا زمانی که راه حلی براش پیدا بشه و شرکتهای بزرگ روش کار کنن و جلوش در بیان بهتره هاردهای مهممون رو از سیستم جدا کنیم و فقط با هاردی که مهم نیست کار کنیم که اگر آلوده شدیم حداقل فایل مهم از دست ندیم 

دوستانی که چند هارد دارن بهتره هارد مهمشون رو فعلا از سیستم جدا کنن و دوستانی که هارد کوچیک دارن بهتره یه بکاپ از اطلاعاتشون بگیرن 

ممنون از استارتر عزیز بابت اطلاع رسانی . امیدوارم هیچ کدوم از دوستان لیونی درگیر این ماجرا نشن . 🌷

[TERRORIST 268]

درود

 

شما اگر اطلاعات مهمی دارید باید با شرکت های امنیتی که دراین  زمینه فعالیت می کنند مکاتبه داشته باشید.

 

ما یکی از سرورهامون به باج افزار الوده شده بود راهی نبودش که امتحان نکنیم ،  با هزار زحمت  تونستیم برخی از اطلاعات مهم برگردونیم.

 

ولی مطمئن باشید هر چقدر هم بتونید از این باج افزار که  قصد دارند فایل ها رمزنگاری و به یک پسوند تغییر بدن و قابل استفاده نباشه . بازم اثراتش می مونه.

 

راه هایی  که دوستان گفتن پاسخ گو نیستش .

ویرایش شده آگوست 19, 2019 توسط TERRORIST

[سعید بهمنیان 6475]

در 33 دقیقه قبل، TERRORIST گفته است :

درود

 

شما اگر اطلاعات مهمی دارید باید با شرکت های امنیتی که دراین  زمینه فعالیت می کنند مکاتبه داشته باشید.

 

ما یکی از سرورهامون به باج افزار الوده شده بود راهی نبودش که امتحان نکنیم ،  با هزار زحمت  تونستیم برخی از اطلاعات مهم برگردونیم.

 

ولی مطمئن باشید هر چقدر هم بتونید از این باج افزار که  قصد دارند فایل ها رمزنگاری و به یک پسوند تغییر بدن و قابل استفاده نباشه . بازم اثراتش می مونه.

 

راه هایی  که دوستان گفتن پاسخ گو نیستش .

طی این چند روز تقریبا هر چه روی نت درباره ی coharos یافته ام نامید کننده بوده. 

امیدوارم تولید کننده های نرم افزارهای امنیتی دست کم راهی برای شناساییش و پیشگیری از اجرایش عرضه کنند.

[saeed110 1268]

سلام دوستان

من حدود ۴ ترا اطلاعات بسیار مهم دارم. امکان بکاپ گیری وجود نداره چون هر لحظه در حال تغییر هست.

لطف کنید راه حلی بگید چکار کنم یا چکار نکنم به این مدل باج افزارها آلوده نشم.

اگه قصد دانلود دارم از کجا بفهمم فایل آلوده نیست؟

ویرایش شده آگوست 19, 2019 توسط saeed110

[سعید بهمنیان 6475]

در 33 دقیقه قبل، saeed110 گفته است :

سلام دوستان

من حدود ۴ گیگ اطلاعات بسیار مهم دارم. امکان بکاپ گیری وجود نداره چون هر لحظه در حال تغییر هست.

لطف کنید راه حلی بگید چکار کنم یا چکار نکنم به این مدل باج افزارها آلوده نشم.

اگه قصد دانلود دارم از کجا بفهمم فایل آلوده نیست؟

درود

اکنون یک کیس دارم راه می اندازم تا رویش بیازمایم. روی رایانه های خودم خطرناک است. به زودی نتیجه را خواهم گفت. علی الحساب از جاهایی که نمی شناسی چیزی دانلود نکن. اگر دیدی فایلی پسوندش عوض شده اجرا نکن. و رایانه را خاموش کن. smb را از بخش تنظیمات features ویندوز غیرفعال کن.

ویرایش شده آگوست 19, 2019 توسط سعید بهمنیان

[mInI_ClockEr 3314]

در 15 دقیقه قبل، سعید بهمنیان گفته است :

. smb را از بخش تنظیمات features ویندوز غیرفعال کن.

با سلام
این رو بیشتر توضیح بدین
با سپاس

[سعید بهمنیان 6475]

در 34 دقیقه قبل، mInI_ClockEr گفته است :

با سلام
این رو بیشتر توضیح بدین
با سپاس

درود محمد گرامی

control panel

programs and features

turn windows features on or off

گزینه های smb را غیر فعال کن.

 

 

[saeed110 1268]

در 21 دقیقه قبل، سعید بهمنیان گفته است :

درود محمد گرامی

control panel

programs and features

turn windows features on or off

گزینه های smb را غیر فعال کن.

 

 

ممنون

با غیر فعال کردن این مورد مانع چه موردی میشیم اصلا این گزینه چیه.