برامج الفدية Bash 2.0
لا تزال برامج الفدية تُعدّ من أكثر التهديدات إزعاجًا للأفراد والمؤسسات. يُمكن لاختراق ناجح واحد أن يُعطّل ملفاتك، ويُعطّل عملياتك التجارية، ويُعرّض بياناتك الحساسة لخطر الابتزاز. ستُكلّفك الحماية الاستباقية، وضوابط الأمان المتعددة الطبقات، ويقظة المستخدم، والنسخ الاحتياطية الموثوقة، دائمًا أقل من دفع المال للمجرمين (مع عدم استعادة بياناتك). يُعدّ برنامج Bash 2.0 Ransomware، المعروف أيضًا باسم Bash Red، تذكيرًا في الوقت المناسب بأن الشركات الناشئة تُواصل استخدام برمجيات هجومية مُجرّبة، مع تحسين أساليب الضغط التي تتبعها ضد الضحايا.
جدول المحتويات
تعرف على BASH 2.0 (BASH RED)
حدد الباحثون Bash 2.0 أثناء دراسة نشاط البرامج الضارة الجديدة. يعتمد هذا التهديد على قاعدة بيانات برامج الفدية Chaos، وهي إطار عمل أُعيد استخدامه في العديد من البرامج الفرعية. يمنح استغلال Chaos المهاجمين ميزة إضافية: فتشفير النواة، ومعالجة الملفات، وإجراءات إشعارات الفدية موجودة بالفعل، ويمكن تخصيصها للحملات الجديدة. يستخدم Bash 2.0 هذه الإمكانيات الموروثة لقفل البيانات وابتزاز الأموال.
ماذا يحدث لملفاتك
بمجرد تشغيل Bash 2.0 على النظام، يحاول تشفير البيانات المتاحة. يتلقى كل ملف مُصاب امتدادًا إضافيًا مكونًا من أربعة أحرف عشوائية، مما يحول ملفًا مثل "1.png" إلى "1.png.2rf9" (تختلف اللاحقة العشوائية باختلاف نوع الإصابة). تساعد هذه الطريقة في إعادة التسمية المهاجمين (والأدوات الآلية) على تتبع الملفات المقفلة، مع إرسال إشارة فورية للضحايا بأن بياناتهم لم تعد صالحة للاستخدام. كما يُغير برنامج الفدية خلفية سطح المكتب لتعزيز رسالة الابتزاز بصريًا.
رسالة الفدية: BASHRED-README.TXT
بعد اكتمال التشفير، يُرسل Bash 2.0 رسالة نصية باسم "bashred-reAdmE.txt". تُعلم الرسالة الضحية بتشفير الملفات، وتزعم أن طريقة الاسترداد الوحيدة الممكنة هي الحصول على مفتاح فك تشفير فريد وبرنامج من المهاجمين. يُطلب من الضحايا التواصل ودفع الفدية؛ وتُحذر الرسالة من أن إعادة تسمية البيانات المقفلة أو تعديلها أو محاولة فك تشفيرها بشكل مستقل قد يؤدي إلى إتلافها بشكل دائم. عادةً ما يُعيد تغيير خلفية الشاشة نفس الأفكار، مما يزيد من إلحاح المشكلة.
ما مدى واقعية استعادة البيانات؟
في معظم حوادث برامج الفدية، يكون فك التشفير دون تعاون المهاجمين مستحيلاً من الناحية التقنية، لأن التشفير مصمم ليكون قوياً من الناحية التشفيرية. في حالات نادرة فقط، عادةً عندما يرتكب مطورو البرامج الضارة أخطاءً فادحة في التنفيذ، يكون فك التشفير ممكناً دون تدخلهم. حتى الدفع ليس ضماناً: إذ يُبلغ الضحايا بانتظام عن عدم استلامهم أدوات تعمل أبداً، أو استلامهم برامج فك تشفير جزئية، أو اكتشافهم مفاتيح تالفة. كما أن الدفع يُموّل عمليات إجرامية أخرى، مما قد يجعلك هدفاً متكرراً. لهذه الأسباب، يُوصي خبراء الأمن بشدة بعدم تلبية طلبات الفدية.
أوقف النزيف: الإزالة والاحتواء
إزالة Bash 2.0 من البيئة المصابة أمرٌ ضروري لمنع تشفير الملفات الإضافية ومنع انتشار التهديد إلى الأنظمة المتصلة. مع ذلك، فإن تنظيف البرامج الضارة لا يفك تشفير البيانات المقفلة بالفعل. تعتمد عملية الاستعادة الفعلية على وجود نسخ احتياطية آمنة وغير متصلة بالإنترنت وغير معرضة للخطر. قبل الاستعادة، اعزل الأجهزة المصابة عن الشبكة، وأجرِ فحصًا شاملًا للبرامج الضارة باستخدام أدوات مُحدثة، وأعد بناء النظام أو إعادة إنشاء صورته في الحالات التي لا يمكن فيها ضمان الثقة. لا تعيد توصيل الأنظمة المستعادة إلا بعد التأكد من سلامتها.
كيف ينتشر BASH 2.0 في البرية
يُلقي المهاجمون شبكةً واسعةً من التهديدات. تشمل ناقلات التوزيع الشائعة المرتبطة بحملات برامج الفدية، والمتعلقة بـ Bash 2.0، ما يلي:
- المرفقات أو الروابط الضارة التي يتم إرسالها عبر البريد العشوائي أو التصيد الاحتيالي أو منصات المراسلة الاجتماعية.
- برامج التثبيت المجمعة أو المصابة بأحصنة طروادة والتي تظهر على أنها برامج أو ألعاب أو برامج ترميز وسائط أو أدوات إنتاجية شرعية.
- التنزيلات العشوائية التي يتم تشغيلها من خلال مواقع مخترقة أو ضارة، والتي يتم الوصول إليها غالبًا عن طريق الإعلانات الضارة.
- قنوات التنزيل التابعة لجهات خارجية والبرامج المجانية وقنوات التنزيل من نظير إلى نظير مع ضوابط سلامة ضعيفة.
- برامج غير قانونية "تكسر" وتولد المفاتيح وأدوات التنشيط المزيفة التي تقوم بتوصيل الحمولات بصمت.
- مطالبات التحديث المزيفة (للمتصفح أو البرنامج الإضافي أو نظام التشغيل أو التطبيق) التي تقوم بتثبيت البرامج الضارة بدلاً من التصحيحات.
تتمتع بعض أشكال التهديدات بالقدرة على الحركة الجانبية أو الانتشار الذاتي، ومحاولة عبور الشبكات المحلية أو نسخ نفسها إلى وسائط قابلة للإزالة مثل محركات أقراص USB المحمولة والأقراص الخارجية.
أفضل ممارسات الأمن لتعزيز دفاعاتك
- احتفظ بنسخ احتياطية مُعَيَّنة الإصدارات، وغير متصلة بالإنترنت، ومُختَبَرة بانتظام. خزِّن نسخة احتياطية واحدة على الأقل خارج الشبكة (يُفضَّل استخدام وسائط تخزين ثابتة أو الكتابة مرة واحدة).
- حافظ على تحديث أنظمة التشغيل والتطبيقات وحزم الأمان والبرامج الثابتة بشكل كامل. فعّل التحديثات التلقائية عند الحاجة.
- نشر حلول مكافحة البرامج الضارة/EDR ذات السمعة الطيبة مع قدرات الكشف عن برامج الفدية السلوكية والتراجع عنها.
- استخدم تصفية البريد الإلكتروني، وعزل المرفقات، وبوابات مسح الروابط لتقليل مخاطر التصيد الاحتيالي؛ وقم بتدريب المستخدمين على اكتشاف المرسلين المزيفين والمرفقات غير المتوقعة.
أفكار ختامية
يوضح برنامج Bash 2.0 Ransomware مدى سرعة الجهات الفاعلة في إعادة توظيف قواعد البيانات البرمجية الحالية وتحويلها إلى أدوات ابتزاز جديدة. سيظل المدافعون الذين يعتمدون فقط على الكشف القائم على التوقيع أو الاستجابة الفورية في وضع غير مواتٍ. من خلال الجمع بين استراتيجيات النسخ الاحتياطي المنضبطة، ودقة تصحيح البرامج، ودفاعات متعددة الطبقات لنقاط النهاية والبريد الإلكتروني، وتصميم الحد الأدنى من الامتيازات، ودلائل الاستجابة المُجرّبة، يمكنك تقليل احتمالية وقوع هجوم برنامج الفدية وتأثيره بشكل كبير.
رسائل
تم العثور على الرسائل التالية المرتبطة بـ برامج الفدية Bash 2.0:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
