برنامج مكافحة برامج الفدية AntiHacker
لم تعد حماية البيانات الشخصية والتجارية من تهديدات البرمجيات الخبيثة الحديثة خيارًا، بل ضرورة تشغيلية. يواصل مُشغِّلو برامج الفدية تطوير أساليبهم وأدواتهم وأساليبهم في الهندسة الاجتماعية لتحقيق أقصى قدر من التعطيل وابتزاز الأموال. حتى المؤسسات الصغيرة والمستخدمون المنزليون يُستهدفون بانتظام، وقد يكون التعافي صعبًا أو مستحيلًا دون تحضير. يُعد برنامج AntiHacker Ransomware، وهو أحد أفراد عائلة Xorist، تهديدًا كهذا تحديدًا.
جدول المحتويات
نظرة عامة على التهديدات والنسب
AntiHacker هو برنامج خبيث اكتشفه باحثون في أمن المعلومات، ويُصنف ضمن عائلة برامج الفدية Xorist. عادةً ما تُبنى التهديدات المستندة إلى Xorist من إطار عمل يُمكن للمهاجمين تخصيصه، بتغيير رسالة الفدية المعروضة، وامتداد الملف، وعناصر اللغة، وغيرها من المعلمات. يتبع AntiHacker أسلوب Xorist المألوف: يُشفّر بيانات الضحية، ثم يطلب فدية مقابل مفتاح فك تشفير مزعوم.
سلوك تشفير الملفات والعلامات
بمجرد اختراق AntiHacker للنظام، فإنه يبحث عن البيانات المتاحة للمستخدم عبر محركات الأقراص المحلية، وربما مواقع الشبكة المُحددة. يستهدف مجموعة واسعة من أنواع الملفات، بما في ذلك المستندات والصور والأرشيفات وملفات الوسائط المتعددة ومخازن البيانات القيّمة الأخرى. يُعاد تسمية كل عنصر مُشفّر بإضافة السلسلة النصية ".antihacker2017" إلى نهاية اسم الملف الأصلي. على سبيل المثال، يصبح الملف الذي كان اسمه الأصلي "1.png" هو "1.png.antihacker2017"؛ ويصبح "2.pdf" هو "2.pdf.antihacker2017"؛ ويتكرر هذا النمط في جميع الملفات المُعالجة. يخدم الامتداد المُضاف غرضين: فهو يُشير بصريًا إلى الاختراق للضحية، ويساعد برنامج الفدية على تحديد الملفات التي تعامل معها بالفعل.
ملاحظات الفدية والنوافذ المنبثقة ورسائل الخلفية
بعد إتمام عملية التشفير، يُعدِّل برنامج AntiHacker خلفية سطح مكتب الضحية ويرسل إشعار فدية بصيغتين متوازيتين: نافذة منبثقة وملف نصي باسم "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" (بالروسية: "كيفية فك تشفير الملفات"). محتوى الرسالة المعروضة في النافذة المنبثقة والملف النصي هو نفسه. ومع ذلك، يتضمن إصدار الخلفية لغة هندسة اجتماعية إضافية، وهو تبرير مُفترض بأن الهجوم وقع لأن المستخدم زار مواقع ويب مُحددة للبالغين أو غير قانونية. صُممت هذه الحيلة المُشينة للضغط على الضحايا لدفع الفدية بسرعة وهدوء.
غرابة ترميز الأحرف
في الأنظمة التي لا تستخدم أحرفًا سيريلية، قد يبدو نص الفدية المعروض في النافذة المنبثقة كهراء غير قابل للقراءة. لذلك، قد يرى الضحايا نافذة رسالة تالفة، لكنهم لا يزالون يجدون التعليمات القابلة للقراءة داخل ملف النص المفقود. غالبًا ما يتجاهل المهاجمون تفاصيل الموقع؛ ويمكن للمدافعين استخدام هذه العناصر للمساعدة في تجميع الحوادث ذات الصلة.
آليات الإكراه: حدود الإدخال الرئيسية ومطالبات التهديد
تنص تعليمات الفدية على ضرورة تواصل الضحايا مع المهاجمين للحصول على مفتاح فك التشفير. كما تفرض قيودًا صارمة: يُسمح بإدخال المفتاح 50 مرة فقط، وبعدها تُعلن الرسالة فقدان البيانات المشفرة نهائيًا. وتؤكد تحذيرات إضافية أن استخدام أدوات الأمان، أو إعادة تشغيل الجهاز، أو إيقاف تشغيله سيجعل الملفات غير قابلة للتشفير. هذه الأساليب التخويفية شائعة في أدلة برامج الفدية، وتهدف إلى ثني المستخدمين عن طلب المساعدة المهنية أو محاولة اتباع إجراءات الإصلاح الآمنة.
لماذا يُعد دفع الفدية أمرًا محفوفًا بالمخاطر؟
لا يوجد ضمان بأن مجرمي الإنترنت الذين يقفون وراء AntiHacker (أو أي برنامج فدية آخر) سيقدمون حلاً فعالاً لفك التشفير بعد الدفع. غالبًا ما لا يتلقى الضحايا الذين يدفعون أي شيء، أو يحصلون على مفتاح معطل، أو يصبحون هدفًا للابتزاز المتكرر. كما أن الدفع يُموّل العمليات الإجرامية المستمرة ويُحفّز على المزيد من الهجمات. لذا، يُنصح بتجنب الدفع قدر الإمكان والتركيز على مسارات الاسترداد التي تقع تحت سيطرتك.
حقائق التعافي
إزالة AntiHacker من نظام مُصاب قد يُوقف تشفير الملفات، ولكنه لا يُفك تشفير البيانات المُقفلة. الطريقة الأكثر موثوقية لاستعادة البيانات هي استعادة نسخ نظيفة من الملفات المُصابة من نُسخ احتياطية كانت معزولة، أو غير متصلة بالإنترنت، أو بعيدة عن متناول البرامج الضارة. في حال عدم وجود نُسخ احتياطية فعّالة، تُصبح خيارات استعادة البيانات محدودة للغاية.
ناقلات العدوى الأولية
يعتمد مُطوّرو برامج الفدية على نفس منظومة التوزيع الواسعة التي تُغذّي فئات أخرى من البرامج الضارة. وAntiHacker ليس استثناءً. فكثيرًا ما يُخفي المهاجمون حمولاتهم على هيئة برامج شرعية، أو يُدمجونها مع برامج أو مستندات أو مُثبّتات مُخترقة أو مُقرصنة. ومجرد فتح ملف مُفخّخ قد يُؤدي إلى سلسلة تنزيل أو تنفيذ.
- إغراءات التصيد والهندسة الاجتماعية التي يتم إرسالها عبر البريد الإلكتروني أو الرسائل الخاصة أو الرسائل المباشرة مع مرفقات ضارة أو روابط مضمنة.
- التنزيلات العشوائية أو الخادعة التي يتم البدء بها من مواقع ويب مخترقة أو ضارة دون موافقة واضحة من المستخدم.
- برامج تحميل أحصنة طروادة والأبواب الخلفية التي تقوم باسترداد وتشغيل برامج الفدية بصمت بمجرد تضمينها.
- مصادر التنزيل غير الموثوقة مثل مواقع البرامج المجانية، وصفحات الاستضافة التابعة لجهات خارجية، وشبكات مشاركة الملفات من نظير إلى نظير (P2P).
- عمليات الاحتيال عبر الإنترنت وحملات الإعلانات الخبيثة التي تعيد توجيه المستخدمين نحو أدوات الاستغلال أو الحمولات الضارة.
- أدوات تنشيط البرامج غير القانونية ('الكراكات' / مولدات المفاتيح) وتحديثات البرامج المزيفة التي تقوم بتثبيت البرامج الضارة بدلاً من التصحيحات المشروعة.
نظرة عامة على الاستراتيجية الدفاعية
تُقسّم الحماية الفعّالة ضد برامج الفدية مستويات الأفراد والعمليات والتكنولوجيا. لا يُمكن الاعتماد على عنصر تحكم وقائي واحد؛ بل على افتراض فشل طبقة واحدة على الأقل. اجمع بين وعي المستخدم، والتكوينات المُعزّزة، والتحديثات الدقيقة، وممارسات النسخ الاحتياطي الفعّالة، وقدرات الكشف والاستجابة القوية لتقليل احتمالية وتأثير أي اختراق على غرار برنامج مكافحة الاختراق.
- احتفظ بنسخ احتياطية للبيانات الهامة.
- حافظ على تحديث أنظمة التشغيل والتطبيقات وأدوات الأمان بشكل كامل؛ وقم بتطبيق التصحيحات على الفور، وخاصةً لخدمات الوصول عن بعد ومشاركة الملفات.
- استخدم حلول مكافحة البرامج الضارة/اكتشاف نقاط النهاية والاستجابة (EDR) الموثوقة مع اكتشاف برامج الفدية السلوكية وإمكانيات التراجع التلقائي عند الدعم.
- فرض حقوق المستخدم الأقل امتيازًا؛ وتشغيل المهام اليومية باستخدام حسابات غير إدارية وتقييد الوصول إلى الكتابة إلى مخازن البيانات المشتركة.
- تقسيم الشبكات والحد من الحركة الجانبية؛ عزل مستودعات النسخ الاحتياطية والخوادم المهمة على مستويات وصول منفصلة.
- تتطلب مصادقة متعددة العوامل (MFA) لتسجيل الدخول عن بعد والإجراءات المميزة ووحدات التحكم في إدارة النسخ الاحتياطي.
خاتمة
يوضح برنامج AntiHacker Ransomware كيف يُكيّف مُصنّعو التهديدات عائلات أدوات الحماية مثل Xorist لصياغة مخططات ابتزاز قوية مُستهدفة إقليميًا. فتشفير البيانات، ووسم أسماء الملفات، ورسائل الفدية متعددة اللغات، والرسائل القسرية، كلها مصممة لدفع الأموال. ومع ذلك، يبقى الاستعداد هو أقوى التدابير المضادة: نسخ احتياطية معزولة، ودفاعات متعددة الطبقات، ومستخدمون مُلِمّون، وخطة استجابة منضبطة. يمكن للمؤسسات والأفراد الذين يستثمرون في هذه الضمانات تحويل حادثة فدية كارثية محتملة إلى حادثة قابلة للتعافي.
رسائل
تم العثور على الرسائل التالية المرتبطة بـ برنامج مكافحة برامج الفدية AntiHacker:
|
Message shown as a desktop background image; Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Ваш данные были зашифрованы по причине того что с вашего IP Был зафиксирован доступ на Порно сайты: по ключевым запросам Гей-порно, порно с малолетками, инцест, изнасилование. Порно это Вред!!! Надеемся в будущем вы не будете посещать данные сайты." Вам на почту придёт инструкция по расшифровке ваших данных. Не пытайтесь запустить Антивирус. Он только навредит и исключит возможность расшифровки. Удачи. С Вами был Антихакер. |
|
Внимание! Все Ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru С кодом №83465178562201 У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода! Также не рекомендую выключать компьютер. Это также приведет к удалению Windows. Это не шутка и не прикол. Стоит перезагрузить компьютер и вы навсегда потеряете свои данные. |
