تواصل عائلة ملفات نزع الفدية المشفرة للبيانات بتوليد برامج ابتزاز جديدة. ومن الواضح أن مطوري هذه الفيروسات يقومون بتجربة ارسال ملفات نزع فدية متنوعة وممارسات لتعطيل بيانات المستخدمين. في هذه المرة يقوم مرتكبي الجرائم بجمع ارباح مفاجأة أخرى من نموذجهم القذر الي يقوم بإضافة امتداد osiris. الى الملفات المشفرة ويقومون بتنزيل ملاحظة الفدية هذه للمستخدم: OSIRIS-[victim_ID].htm.
ما هي فدية Osiris؟
حسب شروط الأمن السيبراني، تأتي كلمة “Osiris” كاسم مستعار للفيروس القذر المشفر للبيانات وهو شيء ليس له علاقة بأساطير مصر القديمة. وتفتخر العينة الأخيرة الخبيثة من مستنقع هذه الملفات بتقنية تلويث معقدة يصعب حلها وهو نمط لإعادة تسمية ملف مختلف وكتيبات استعادة بصيغة جديدة. تقوم هذه النسخة بإعطاء امتداد osiris. لكل ملف يخضع لتشفير الرتب العسكرية من خلال خليط غير قابل للكسر من معايير AES وRSA. ويقوم تروجان نزع الفدية أيضاً بالتأثير على اسماء الملفات بطريقة جديدة واستبدالها بإدخالات B5F7GEC2–A9BF–816E–373B5CBG–41019FD253D9.osiris. والخوارزمية هي [8_hexadecimal_chars]–[4_hexadecimal_chars]–[4_hexadecimal_chars]–[8_hexadecimal_chars]–[12_hexadecimal_chars].osiris.
والتغير الآخر الذي سوف لا يخفق الضحايا في ملاحظته وهو انشاء ملف الفدية لملفات المساعدة بصيغة واحدة وهي (HTM) حيث اعتادت انذاراتها على تنزيل ملاحظات فدية مختلفة. حيث تكون عملية الاستعادة مشروحة الآن في مستند OSIRIS-[victim_ID].htm. وستحتوي بالعادة العلامة الفريدة في اسمه على 4 حروف. وعلاوة على ذلك، سوف يكون المستند مختلفاً عن نسخ الملفات المتروكة على سطح المكتب وعن المستندات الشخصية الأخرى المشوهة المدموجة في المجلدات المنفردة. ويحتوي رابط فك التشفير HTM على رابط تشعبي لاستعادة الملفات الشخصية الخاصة بالضحية واسم هذه الصفحة هو “Locky Decryptor Page”. حيث يمكن تحميل رابط onion. فقط على متصفح Tor الذي يشكل طبقة سرية لإخفاء هوية موزعي ملفات الفدية.
ولذلك من الضروري تحميل هذا المتصفح للمتابعة. عند فتح الصفحة، سيتلقى المستخدم المعلومات التالية: حجم الفدية، وعنوان محفظة البتكوين لإرسال النقود الرقمية اليها، بالإضافة الى بعض المصادر لشراء البتكوين. خدمة فك التشفير المفروضة من قبل من قبل الهاكرز ستكلف بالعادة 0.5 بتكوين، أو 370 دولار أمريكي. ومع ذلك، اجراء صفقة مع العاملين على ملفات نزع الفدية هو بمثابة منحدر زلق، ولذلك يفضل المحاولة باستخدام برامج استعادة البيانات.
وتماما مثل الفيروسات السابقة التي تم الحديث عنها، نسخة فيروس Osiris تشق طريقها الى حواسيب المستخدمين من خلال الرسائل المزعجة. والتجديد الوحيد في هذه الموجة من الرسائل المزعجة هي أن المرفق الفخ في البريد الالكتروني هو عبارة عن مستند XLS. سيقوم هذا الملف بفتح نافذه تنصح المستخدم بتمكين وحدات الماكرو. إذا كان المستخدم ساذجاً بما فيه الكفاية، سوف تنتشر جميع ملفات نزع الفدية في حاسوب المستخدم. لذلك يجب التأكد من النظر في مرفقات البريد الالكتروني جيداً وعدم إعطاء الثقة الكاملة بهذه الملفات والاحتياط منها.
الازالة التلقائية لفيروس Osiris
يمكن أن يتم اجتثاث برنامج الفدية بكفاءة بواسطة برنامج حماية موثوق به. ويضمن التمسك بتقنية التنظيف التلقائي أن كافة المكونات المتضررة مسحت بشكل شامل من النظام الخاص بك.
١ القيام بتحميل برنامج أمان موصى به وقم بفحص حاسوبك من الكائنات الضارة من خلال تحديد خيار البدء بفحص الحاسوب.
٢ سيقوم الفحص بعرض قائمة بالعناصر التي تم كشفها. أنقر على اصلاح التهديدات لتتمكن من ازالة اعلانات التجسس من نظامك. سيؤدي اكمال هذه المرحلة من عملية المسح الى القضاء التام على الاصابة. أنت تواجه الآن تحدياً كبيراً -ابذل أفضل ما لديك لاستعادة ملفاتك.
طرق استعادة الملفات التي تم تشفيرها من خلال فيروس Osiris
الحل ١: استخدام برامج لإسترجاع البيانات ومن الضروري معرفة أن برنامج .osiris يقوم بعمل نسخ للملفات كما يقوم بتشفير تلك الملفات . وفي حال تم حذف تلك الملفات فإنه يوجد تطبيقات لإستعادة تلك الملفات . بالإضافة الى أن آخر تحديث للبرنامج يراعي تطبيق شطب آمن مع محاولات إعادة كتابتها وبذلك فإنها طريقة تستحق التجربة
الحل ٢: استخدام عملية النسخ الاحتياطي
في البداية وقبل كل شيء إن كنت قد قمت بإجراء نسخ احتياطي فإنه من المتوجب الإستفادة من ذلك النسخ الذي قد أجريته.
الحل ٣: استخدام النسخ الظليلي لوحدة التخزين
في حال عدم معرفتك بأن النظام يقوم بإنشاء نسخ ظليلية لوحدة التخزين لكل ملفاتك أو كنت لا تدري بأن خيار إستعادة النظام مفعل على جهاز حاسوبك .
كما أنه يتم إنشاء نقاط إستعادة للملفات تظهر في نفس الوقت التي تنشأ به. للعلم فان هذه الطريقة من غير المؤكد أنها تقوم بإستعادة اخر نسخة للنظام الموجود فيه الملفات .. لكنها أيضا طريقة تستحق التجربة .. و تجري العمليه بنوعين يدويا و اتوماتيكياً
• استخدام ميزة الإصدارات السابقة
نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .
• تطبيق أداة الظل اكسبلورر
هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه
التحقق من أن الفيروس .osiris قد أزيل تماماً
مرة أخرى، إزالة برنامج الفدية وحدها لا تؤدي إلى فك التشفير للملفات الشخصية الخاصة بك. طرق استعادة البيانات المشار إليها أعلاه قد أو قد لا تفي بالغرض ، ولكن برنامج الفدية نفسه لا ينتمي إلى داخل جهاز الكمبيوتر الخاص بك. وبالمناسبة، فإنه غالباً ما يأتي مع غيره من البرامج الضارة، ذلك هو السبب فإنه من المنطقي فحص النظام بواسطة برنامج الأمان التلقائي مرارا وتكرارا من أجل التأكد من عدم وجود مخلفات ضارة لهذا الفيروس والتهديدات المرتبطة التي تركت داخل “سجل ويندوز” ومواقع أخرى.
التعليق هنا