برنامج الفدية الأزرق
في المشهد الرقمي الحالي، لم يكن الحصول على الحماية الكافية ضد تهديدات البرامج الضارة أكثر أهمية من أي وقت مضى. تشكل برامج الفدية، وهي نوع قوي بشكل خاص من البرامج الضارة، خطرًا كبيرًا من خلال تشفير بيانات المستخدمين والمطالبة بفدية لاستعادتها. ظهر أحد هذه التهديدات مؤخرًا، وهو برنامج الفدية الأزرق، الذي يستهدف الأفراد والمؤسسات. إن فهم كيفية عمل برنامج الفدية هذا وكيفية الحماية منه أمر ضروري للحفاظ على سلامة بياناتك وأمان أنظمتك.
جدول المحتويات
فهم برنامج الفدية Blue Ransomware
حدد باحثو الأمن السيبراني برنامج الفدية Blue Ransomware باعتباره أحد أشكال عائلة Phobos سيئة السمعة. يقوم هذا البرنامج الخطير بتشفير الملفات على الأجهزة المصابة وإعادة تسميتها بإضافة معرف الضحية وعنوان البريد الإلكتروني givebackdata@mail.ru وامتداد ".blue". على سبيل المثال، يصبح "1.doc" "1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue"، ويتغير "2.pdf" إلى "2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue".
مذكرة فدية التهديد
بمجرد أن يقوم برنامج الفدية Blue Ransomware بتشفير الملفات، فإنه ينشئ ملفات "info.hta" و"info.txt" تحتوي على مذكرة فدية. تُعلم هذه المذكرة الضحايا بالتشفير وتوجههم للاتصال بالمهاجمين عبر عنوان البريد الإلكتروني المقدم مع معرفهم الفريد في سطر الموضوع. يُنصح الضحايا بدفع فدية بعملة البيتكوين لتلقي أداة فك التشفير، وتعتمد التكلفة على سرعة استجابتهم. بالإضافة إلى ذلك، يتم تحذير الضحايا من إعادة تسمية الملفات المشفرة أو استخدام أدوات فك التشفير التابعة لجهات خارجية، حيث قد يؤدي هذا إلى فقدان البيانات أو زيادة تكاليف فك التشفير.
كيف يعمل برنامج الفدية Blue Ransomware
يقوم برنامج الفدية Blue Ransomware بتشفير الملفات المخزنة محليًا وعلى مشاركات الشبكة، وتعطيل جدار الحماية للنظام، وحذف نسخ Shadow Volume Copies لمنع الاسترداد السهل. ويضمن استمراره من خلال نسخ نفسه إلى دليل '%LOCALAPPDATA%' والتسجيل باستخدام مفاتيح تشغيل محددة. علاوة على ذلك، يجمع بيانات الموقع ويمكنه استبعاد مواقع محددة مسبقًا من هجماته، مما يجعله تهديدًا متعدد الاستخدامات ومستمرًا.
طرق التسليم
غالبًا ما يتم تسليم برامج الفدية من عائلة Phobos ، بما في ذلك Blue، من خلال خدمات بروتوكول سطح المكتب البعيد (RDP) الضعيفة. يستخدم المهاجمون عادةً القوة الغاشمة وهجمات القاموس على بيانات اعتماد الحساب التي تتم إدارتها بشكل سيئ. تشمل طرق التسليم الشائعة الأخرى رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات أو روابط مصابة، وتكتيكات الدعم الفني، واستغلال الثغرات الأمنية في البرامج القديمة. بالإضافة إلى ذلك، يمكن لمجرمي الإنترنت نشر برامج الفدية عبر الإعلانات الضارة، ومواقع الويب المخترقة أو الخادعة، وشبكات الند للند (P2P)، وبرامج التنزيل التابعة لجهات خارجية ومحركات أقراص USB المصابة.
تعزيز أمنك: كيفية الدفاع ضد برامج الفدية
- النسخ الاحتياطية المنتظمة : يعد النسخ الاحتياطي المنتظم لبياناتك أحد أكثر وسائل الدفاع فعالية ضد برامج الفدية. تأكد من تخزين النسخ الاحتياطية دون اتصال بالإنترنت أو على شبكة منفصلة لمنع أي احتمالات لتعرضها للخطر أثناء الهجوم.
- كلمات مرور قوية ومصادقة متعددة العوامل : أنشئ كلمات مرور قوية وفريدة لجميع حساباتك. قم بتمكين المصادقة متعددة العوامل (MFA) حيثما أمكن. يؤدي القيام بذلك إلى تقليل مخاطر الوصول غير المصرح به من خلال القوة الغاشمة أو هجمات القاموس بشكل كبير.
- حافظ على تحديث البرامج "قم بتحديث كافة البرامج بانتظام، بما في ذلك البرامج وأنظمة التشغيل، لتصحيح الثغرات الأمنية التي يمكن لمجرمي الإنترنت استغلالها. قم بتمكين التحديثات التلقائية لضمان حمايتك دائمًا بأحدث تصحيحات الأمان.
- تعطيل الخدمات غير الضرورية : قم بتعطيل أو تقييد استخدام RDP والخدمات البعيدة الأخرى إذا لم تكن ضرورية. إذا كان RDP ضروريًا، فقم بتأمينه باستخدام كلمات مرور قوية، وMFA، وتقييد الوصول إلى عناوين IP معينة.
- تثقيف وتدريب المستخدمين : تثقيف المستخدمين حول مخاطر رسائل البريد الإلكتروني الاحتيالية والمرفقات الضارة والروابط الخادعة. يساعد التدريب المنتظم المستخدمين على التعرف على التهديدات المحتملة وتجنبها.
- استخدم حلول الأمان القوية : قم بتنفيذ حلول الأمان الشاملة، بما في ذلك الحماية من البرامج الضارة وجدران الحماية. يمكن لهذه الأجهزة اكتشاف الأنشطة الضارة وحظرها قبل أن تعرض نظامك للخطر.
النتيجة: اليقظة هي المفتاح
يسلط ظهور برنامج الفدية الأزرق الضوء على التهديد المتطور والمستمر لهجمات برامج الفدية. ومن خلال فهم كيفية عمل مثل هذه البرامج الضارة وتنفيذ تدابير أمنية قوية، يمكن للمستخدمين تقليل خطر الوقوع ضحية لهذه المخططات الضارة بشكل كبير. كن يقظًا، وحافظ على تحديث أنظمتك، واحتفظ دائمًا بنسخة احتياطية من بياناتك لحماية نفسك من تهديدات برامج الفدية.
تنص مذكرة الفدية التي أرسلها برنامج الفدية Blue Ransomware على ما يلي:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'