يشهد مجتمع أمن تكنولوجيا المعلومات تفشي برنامج فدية وتشفير ملفات جديد وخطير. وقد نشط منذ مطلع نيسان، واتسع نطاق الهجوم للآلاف من الآلات في جميع أنحاء العالم خلال أقل من أسبوع. تحليل أنماط التعليمات البرمجية في دلفي و أنماط النشاط يكون خام إلى حد ما في هذه المرحلة، لكنها بالفعل من العدل التأكيد على أن العدوى نموذج مستقل على الأرجح تم إنشاؤها بشكل مستقل. في البداية،على كل حال ، كان هناك بعض الجدل بشأن انتسابه إلى بعض السلالات المعروفة مثل TeslaCrypt و CryptoWall لكن كل هذا تحول إلى مجرد تكهنات. استناداً إلى السلاسل الثنائية المستخرجة بواسطة الباحثين يشير الوافد الجديد إلى CryptXXX أو CryptProjectXXX.
وإليك لمحة سريعة عن سمات هذه العينة: إنه يستخدم تشفير لا يمكن إختراقه لتشفير البيانات، وإلحاق إمتداد “.crypt” لأسماء الملفات من كافة العناصر المرمزة، وينشئ مستندات تعليمات الحصول على الفدية في ثلاثة أشكال، هي: de_crypt_readme.txt و de_crypt_readme.bmp و de_crypt_readme.html.
واحد من التفاصيل المثيرة للإهتمام حول برنامج الفدية .crypt هو أن الطريقة التي يقع المستخدمين فيها ضحية له لا تكون مألوفة مثل مرفق خادع عن طريق البريد الإلكتروني. بدلاً من ذلك، تتوجه المشكلة إلى معظم الناس أثناء تشغيل جلسة الفيديو. من غير المحتمل أن عرض الفيديو في الوقت الحقيقي يتسبب في حدوث مشكلات في حد ذاته، ولذلك والأكثر احتمالاً أنه الإعلانات التي ترعاه تشكل مصدر العدوى. يميل المستخدمين إلى النقر فوق أي شيء يقطع عليهم الحدث الرياضي المفضل أو حلقة العرض التلفزيوني ، فقط للتخلص من النوافذ المنبثقة التي تظهر. هذا النقر الغير ضار ممكن أن يشغل برنامج الفدية بإعادة توجيه الشخص إلى صفحة استضافة ومجموعة استغلال مثل الصياد أو بدء عملية تحميل غامضة. ومن الواضح أن المبتزين على الإنترنت خرقوا آفاقاً جديدة من ناحية نشر البرمجيات الخبيثة.
شيء آخر غير عادي فيما يتعلق بحصان طروادة هو المسار الذي يتم إطلاقه على جهاز الكمبيوتر المصاب. خلافاً لغيرها من سلالات برامج الفدية أن تشغيل معظمها من خلال بيانات التطبيقات أو بيانات التطبيقات المحلية أو الملفات المؤقتة و يتم إسقاط عملية التهديد.crypt الجديدة إلى بيانات البرامج. و هو ملف.dat اسمه يتزامن مع المعرف الشخصي للضحية المشار إليها في اتجاهات الانتعاش de_crypt_readme. وفي الوقت نفسه أيضاً يقومCryptXXX بإنشاء ملف DLL جديد في المسارالمؤقت الذي يشغل مع تأخير لمدة ساعة تقريباً.
عندما بدأ ينتشر الضرر على نطاق واسع من أنواع الملفات على وحدات تخزين محرك الأقراص المحلية ومحركات الأقراص القابلة للإزالة ومشاركات شبكة الاتصال. وهو أيضاً يجمع البيانات المتعلقة بالرسائل الفورية وعملاء البريد. بالمناسبة رسائل التحذير المصاحبة تذكر معيار التشفير RSA-4096، ولكن طول المفاتيح العامة والخاصة في الواقع أصغر. وهذا نوعاً من التهويل الإضافي والذي لا يغير أي شيءفي الواقع و التشفير قوي للغاية على أي حال.
بعض الوقائع الحقيقية الآن: يحتاج المستخدم المصاب إلى دفع 1.2 بيتكوين أو 500 دولار أمريكي، خلال 96 ساعة من بدء الإصابة بالعمل في النظام. في حالة تأخر الدفع، ترتفع الفدية مرتين وتساوي 1000 دولار أمريكي. بشكل مفترض في حال أرسل المستخدم الأموال عن طريق صفحة الشبكة المجهولة “لخدمة فك التشفير” متعددة اللغات يمكن أن يحمل تطبيق فك التشفير و تشغيله وتفحص الكمبيوتر بحثاً عن ملفات مشفرة والحصول عليها مرة أخرى. على الرغم من ذلك لا يفي المجرمين بوعودهم ووفقاً لبعض تقارير المستخدمين. وفي ظل هذه الظروف، يوصى محاولة استخدام خدعة “نسخة الظل لوحدة التخزين”، والاستفادة من أدوات استرداد أو استعادة الملفات من النسخ الاحتياطي.
إزالة برنامج الفدية .crypt بأداة التنظيف التلقائي
هذه طريقة فعالة للعناية الشاملة من البرامج الضارة وتهديدات برنامج الفدية بشكل خاص. ويضمن استخدام برنامج حماية ذو سمعة جيدة الكشف الدقيق عن جميع مكونات الفيروس وإزالة كاملة له بنقرة واحدة. لأخذ العلم، إن إلغاء هذه العدوى واستعادة الملفات هما شيئان مختلفان، ولكن الحاجة إلى إزالة الآفات أمر لا جدال فيه، لكي لا تنشر أحصنة طروادة أخرى أثناء التشغيل.
١ تحميل وتثبيت برنامج إزالة الفيروسات.crypt. شغل بدأ الحل، و انقر زر “بدء تفحص الكمبيوتر”.
٢ سوف تأتي الأداة بنتائج الفحص، إبلاغ الكشف عن البرامج الضارة. اختار خيار “إصلاح التهديدات” لإزالة جميع الإصابات التي تم العثور عليها. وهذا سيؤدي إلى استكمال إبادة الفيروس.
الحصول على الملفات المشفرة مرة أخرى
لقد ذكر أن برنامج الفدية .crypt يطبق تشفير قوي على الملفات حتى يتعذر الوصول إليها، لذلك لا يوجد عصا سحرية يمكن أن تستعيد كافة البيانات المشفرة في طرفةعين، ما عدا بالطبع دفع الفدية التي لا يمكن تصورها. ورغم ذلك، توجد تقنيات التي يمكنها أن تقدم لك العون من ناحية استعادة الأشياء الهامة وتعلم ما تلك.
برنامج إستعادة الملفات التلقائي
إنه من المثير للإهتمام أن نعرف أن هذه العدوى تمحو الملفات الأصلية في صيغة غير مشفرة. ومن النسخ التي تخضع لها معالجة تشفير برنامج الفدية. لذلك أدوات مثل “استرداد البيانات برو ” يمكنها إستعادة الكائنات المحذوفة وحتى إذا قد تم إزالتها بطريقة آمنة. هذا الحل بالتأكيد جديرة بالاهتمام حيث أنها أثبتت أنها فعالة إلى حد ما.
نسخ ظل وحدة التخزين
ويعتمد هذا النهج على النسخ الاحتياطي الأصلي لملفات ويندوز على جهاز الكمبيوتر، الذي يجري في كل نقطة استعادة. و هناك شرط هام لهذا الأسلوب: أنه يعمل إذا كانت ميزة “استعادة النظام” مثبتة من قبل الإصابة. أيضا، إذا تم إجراء تغييرات على الملف بعد نقطة الاستعادة الأخيرة، فأن هذه التغييرات لن تظهر في إصدار الملف المسترد.
• استخدام ميزة الإصدارات السابقة
مربع الحوار خصائص لملفات عشوائية يحتوي على علامة تبويب تسمى الإصدارات السابقة. وهناك حيث يتم عرض الإصدارات الإحتياطية ويمكن استردادها. لذلك النقر بالزر الأيمن على ملف والذهاب إلى خصائص نقر علامة التبويب المشار إليها أعلاه وتحديد خيار نسخ أو استعادة اعتماداً على الموقع الذي تود الإسترداد إليه.
• تطبيق أداة الظل اكسبلورر
العملية المذكورة أعلاه يمكن أن تكون آلياً مع أداة تسمى ظل إكسبلورر. إنها أساسا تفعل الشيء نفسه (استرداد نسخ ظل وحدة التخزين )، لكن بطريقة أكثر ملاءمة. لذا قم بتحميل وتثبيت التطبيق، وتشغيله واستعرض للوصول إلى الملفات والمجلدات التي ترغب في استعادتها من الإصدارات السابقة. ولإنجاز هذه المهمة، النقر بالزر الأيمن على أي من الإدخالات وحدد ميزة التصدير.
النسخ الاحتياطية
من بين جميع الخيارات التي ليست ذات الصلة بالحصول على فدية، هذا واحد من الخيارات الأمثل. في حال قد قمت بنسخ إحتياطي للمعلومات الخاصة بك على قرص صلب خارجي قبل أن يصل برنامج الفدية إلى جهاز الكمبيوتر الخاص بك، استعادة الملفات المشفرة من قبل البرامج الضارة.crypt بسيطة مثل تسجيل الدخول إلى الواجهة الخاصة بكل منها وتحديد الملفات المناسبة وبدء استعادة الإجراءالمناسب. قبل القيام بذلك، يجب التأكد من إزالة برنامج الفدية بشكل كامل من جهاز الكمبيوتر الخاص بك.
تحقق من وجود مخلفات ممكنة من من برنامج الفدية .crypt
في حال اخترت الإلتزام بتقنية التنظيف اليدوي، ممكن أن تبقى بعض أجزاء برنامج الفدية ككائنات متخفية في نظام التشغيل أو إدخالات التسجيل. للتأكد من عدم وجود أية مكونات ضارة للتهديد، قم بفحص الكمبيوتر ببرنامج حماية يمكن الاعتماد عليه خاص بالبرمجيات الخبيثة.
التعليق هنا