الإمبراطورية الفدية
في عملية التدقيق في تهديدات البرامج الضارة المحتملة، حدد محللو الأمن السيبراني متغيرًا من برامج الفدية يسمى Empire. تستخدم هذه السلالة الخاصة من برامج الفدية طريقة لجعل ملفات الضحايا غير قابلة للوصول عن طريق تشفيرها، وبالتالي تقييد وصولهم. والجدير بالذكر أن Empire يغير أسماء الملفات عن طريق إلحاق الامتداد ".emp" بكل ملف متأثر. على سبيل المثال، يتم تحويل الملف الذي كان اسمه في الأصل "1.png" إلى "1.png.emp"، ويصبح "2.doc" "2.doc.emp"، وهكذا.
علاوة على ذلك، يترك Empire علامة مميزة من خلال إنشاء ملف باسم "HOW-TO-DECRYPT.txt". يعمل هذا الملف النصي بمثابة مذكرة فدية، حيث يوفر تعليمات للضحية حول كيفية متابعة عملية فك التشفير.
يبتز برنامج Empire Ransomware ضحاياه عن طريق أخذ بياناتهم كرهائن
يدعي المهاجمون أنهم قاموا بتشفير جميع الملفات الموجودة على جهاز الكمبيوتر الخاص بالضحية بشكل آمن. ويؤكدون أن استعادة هذه الملفات مشروطة بدفع فدية مقابل برنامج فك التشفير الذي يمتلكه المهاجمون فقط. لبدء عملية الاسترداد، يُطلب من الضحايا الحصول على برنامج فك التشفير عن طريق الاتصال ببرنامج Telegram bot، والذي يمكن الوصول إليه عبر رابط متوفر.
في حالة عدم إمكانية الوصول إلى روبوت Telegram، يتم تحديد طريقة اتصال بديلة عبر البريد الإلكتروني (howtodecryptreserve@proton.me). تصدر مذكرة الفدية تحذيرًا من محاولة استرداد الملفات بشكل مستقل، مع التركيز على احتمال حدوث أضرار لا يمكن إصلاحها. ويتم تحذير الضحايا أيضًا من عدم إيقاف تشغيل أجهزة الكمبيوتر الخاصة بهم حتى تكتمل عملية فك التشفير، مما يشير إلى حساسية إجراء الاسترداد.
يُنصح بشدة المتضررين من برامج الفدية بعدم الاستسلام لمطالب الجهات التهديدية عن طريق سداد المدفوعات، حيث لا يوجد ضمان بالحصول على أداة فك التشفير في المقابل. لسوء الحظ، نادرًا ما يكون فك تشفير الملفات دون مشاركة مجرمي الإنترنت ممكنًا ما لم تكن هناك نقاط ضعف أو عيوب متأصلة في برنامج الفدية أو إذا كان الضحايا قادرين على الوصول إلى النسخ الاحتياطية للبيانات غير المتأثرة.
والأهم من ذلك، هو التأكيد على الإزالة السريعة لبرامج الفدية من نظام التشغيل. وبينما يظل جهاز الكمبيوتر مصابًا، فإن برامج الفدية تشكل خطر التسبب في عمليات تشفير إضافية ولديها القدرة على الانتشار عبر شبكة محلية، مما يؤدي إلى تفاقم تأثير الهجوم. ولذلك، فإن الاستجابة السريعة والشاملة للقضاء على برامج الفدية أمر ضروري للتخفيف من المزيد من الضرر.
تأمين جميع الأجهزة ضد عمليات اختراق البرامج الضارة المحتملة
يعد تأمين الأجهزة ضد عمليات الاقتحام المحتملة للبرامج الضارة أمرًا أساسيًا للحفاظ على حماية المعلومات الحساسة والحفاظ على سلامة الأنظمة. فيما يلي دليل شامل حول كيفية تعزيز المستخدمين لأمان أجهزتهم:
- تثبيت برامج موثوقة لمكافحة البرامج الضارة : اختر برامج مكافحة البرامج الضارة ذات السمعة الطيبة من البائعين الموثوقين. حافظ على تحديث برنامج الأمان للتأكد من أنه قادر على اكتشاف أحدث التهديدات وتحييدها.
- تحديث أنظمة التشغيل والبرامج بانتظام : تمكين التحديثات التلقائية لأنظمة التشغيل والتطبيقات والبرامج. تعمل التحديثات المنتظمة على تصحيح الثغرات الأمنية التي تستغلها البرامج الضارة غالبًا.
- استخدام جدار الحماية : قم بتنشيط جدران الحماية وتكوينها على أجهزة توجيه الشبكة والأجهزة الفردية. تعمل جدران الحماية كحاجز، حيث تمنع الوصول غير المصرح به والبرامج الضارة المحتملة.
- توخي الحذر مع رسائل البريد الإلكتروني : تجنب الوصول إلى مرفقات البريد الإلكتروني أو الروابط من مصادر غير معروفة أو مشبوهة. استخدم أدوات تصفية البريد الإلكتروني لاكتشاف رسائل البريد الإلكتروني التي يحتمل أن تكون ضارة وعزلها.
- تنفيذ ممارسات تصفح الويب الآمنة : استخدم متصفحات الويب الآمنة والمحدثة. قم بتثبيت ملحقات المتصفح أو الوظائف الإضافية التي تحظر البرامج النصية والإعلانات غير الآمنة.
- تثقيف نفسك واستخدام السلوك الآمن عبر الإنترنت : ابق على علم بالتهديدات الشائعة عبر الإنترنت وأساليب التصيد الاحتيالي. كن حذرًا عند زيارة مواقع ويب غير مألوفة، وتجنب تنزيل الملفات من مصادر غير موثوقة.
- النسخ الاحتياطي للبيانات بانتظام : قم بعمل نسخة احتياطية منتظمة من البيانات المهمة على جهاز مستقل أو خدمة سحابية آمنة. تأكد من عدم إمكانية الوصول مباشرة إلى النسخ الاحتياطية من الشبكة لمنع البرامج الضارة من اختراقها.
ومن خلال دمج ممارسات الأمان هذه في روتين حياتهم، يمكن للمستخدمين إنشاء دفاع قوي ضد عمليات اختراق البرامج الضارة المحتملة، مما يقلل من مخاطر اختراق أجهزتهم وبياناتهم. إن اليقظة المنتظمة والتعليم والتدابير الاستباقية هي مكونات أساسية لاستراتيجية أمنية شاملة.
تنص مذكرة الفدية التي أسقطتها Empire Ransomware على ما يلي:
'Empire welcomes you!
All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this linkhxxps://t.me/how_to_decrypt_bot
If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me
There you will receive an up-to-date contact for personal communication.
لا تحاول استعادة الملفات بنفسك، فقد تنكسر ولن نتمكن من إعادتها، وحاول أيضًا عدم إيقاف تشغيل جهاز الكمبيوتر الخاص بك حتى يتم فك التشفير.
معرفك هو [-]'
