Multi-License Discount Quote
قاعدة بيانات التهديد Ransomware قوة الفدية

قوة الفدية

بواسطة Mezo في Ransomware
ترجمة الى:
العربية

أثناء فحص تهديدات البرامج الضارة المحتملة، اكتشف الباحثون برنامج FORCE Ransomware. بمجرد اختراقه للجهاز، يبدأ FORCE التشفير عبر أنواع مختلفة من الملفات، بما في ذلك الصور والمستندات وجداول البيانات والمزيد. هدف المهاجمين هو احتجاز البيانات المشفرة كرهينة وإجبار الضحايا المتضررين على الدفع مقابل فك تشفيرها. للتعرف على الضحايا وإقامة الاتصال، يقوم برنامج الفدية بإلحاق معرفات فريدة وعناوين البريد الإلكتروني لمجرمي الإنترنت وامتداد ".FORCE" لأسماء ملفات الملفات المشفرة. على سبيل المثال، سيتم تحويل الملف المسمى في البداية "1.png" إلى "1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE."

عند الانتهاء من عملية التشفير، يعرض النظام ملاحظات فدية متطابقة بتنسيقين: نافذة منبثقة ('info.hta') وملف نصي ('info.txt'). تظهر هذه الرسائل على سطح المكتب وضمن كافة الدلائل التي تحتوي على ملفات مشفرة. كشف المزيد من التحليل أن FORCE ينتمي إلى عائلة Phobos Ransomware .

برنامج FORCE Ransomware يبتز الضحايا من أجل المال

تؤكد مذكرات الفدية الصادرة عن FORCE على أن ملفات الضحية قد تم تشفيرها وأن البيانات الحساسة قد تم اختراقها. ومن أجل استعادة الوصول إلى ملفاتهم، يُطلب من الضحية دفع فدية باستخدام عملة البيتكوين المشفرة فقط. سيؤدي عدم الامتثال للمتطلبات المذكورة إلى بيع المعلومات المسروقة. قبل إجراء أي مدفوعات، يتم منح الضحية خيار اختبار عملية فك التشفير مجانًا، ولكن مع بعض القيود.

تحذر الرسائل من تغيير الملفات المشفرة أو استخدام أدوات الاسترداد التابعة لجهات خارجية، لأن مثل هذه الإجراءات قد تجعل البيانات غير قابلة للاسترداد. بالإضافة إلى ذلك، يتم تحذير الضحية من أن طلب المساعدة من أطراف ثالثة قد يؤدي إلى تفاقم خسائره المالية.

يتخذ برنامج FORCE Ransomware تدابير لمنع سهولة استعادة البيانات المقفلة

يُعرف برنامج التهديد هذا، وهو جزء من عائلة Phobos Ransomware، بنهجه المنهجي في التشفير. على عكس بعض متغيرات برامج الفدية التي تجعل الأجهزة المصابة غير قابلة للتشغيل تمامًا، تستهدف البرامج الضارة Phobos الملفات بشكل انتقائي للتشفير، وتتجنب ملفات النظام المهمة لضمان بقاء النظام فعالاً. فهو يقوم بتشفير كل من الملفات المخزنة محليًا وتلك المشتركة عبر الشبكات وينهي العمليات المرتبطة بالملفات المفتوحة لمنع الاستثناءات بناءً على الملفات "قيد الاستخدام"، مثل برامج قواعد البيانات أو برامج قراءة الملفات النصية.

لمنع التشفير المزدوج، يحتفظ Phobos Ransomware بقائمة استبعاد لبرامج الفدية الشائعة. تظل الملفات المقفلة بالفعل بواسطة البرامج الموجودة في هذه القائمة غير متأثرة. بالإضافة إلى ذلك، يقوم Phobos بحذف Shadow Volume Copies، وهو خيار استرداد شائع، لمزيد من إحباط محاولات استعادة البيانات.

ولضمان استمرار وجوده على الأجهزة المخترقة، تقوم البرامج الضارة بنسخ نفسها إلى مسار %LOCALAPPDATA% والتسجيل باستخدام مفاتيح تشغيل محددة، مما يضمن بدء تشغيلها تلقائيًا مع كل عملية إعادة تشغيل للنظام. ومن المثير للاهتمام أن برنامج الفدية Phobos قد يمتنع عن مهاجمة الأجهزة بناءً على موقعها الجغرافي، لا سيما تلك الموجودة في المناطق الضعيفة اقتصاديًا أو البلدان المتحالفة جيوسياسيًا.

عادةً ما يكون فك تشفير البيانات المقفلة بواسطة برامج الفدية دون تدخل مجرمي الإنترنت أمرًا مستحيلًا. وحتى إذا امتثل الضحايا لطلبات الفدية، فليس هناك ضمان بأنهم سيحصلون على مفاتيح أو برامج فك التشفير الموعودة. ولذلك، فإن دفع الفدية لا يفشل في ضمان استعادة البيانات فحسب، بل يؤدي أيضًا إلى إدامة الأنشطة غير القانونية.

على الرغم من أن إزالة برامج الفدية من نظام التشغيل تمنع المزيد من التشفير، إلا أنها لا تستعيد الملفات المخترقة. الحل الوحيد الموثوق به هو استعادة الملفات من نسخة احتياطية إذا كانت متوفرة.

لا تخاطر بسلامة أجهزتك وبياناتك

يمكن للمستخدمين تعزيز الدفاع عن بياناتهم وأجهزتهم ضد تهديدات برامج الفدية من خلال تنفيذ نهج متعدد الطبقات للأمن السيبراني. فيما يلي بعض الاستراتيجيات الفعالة:

  • حافظ على تحديث البرامج : قم بتحديث أنظمة التشغيل والتطبيقات البرمجية وبرامج مكافحة الفيروسات بانتظام لتصحيح الثغرات الأمنية والحماية من عمليات الاستغلال المعروفة. تمكين التحديثات التلقائية كلما أمكن ذلك.
  • تثبيت برامج أمان جديرة بالثقة : استخدم برامج مكافحة البرامج الضارة ذات السمعة الطيبة لاكتشاف وإزالة برامج الفدية وغيرها من التهديدات الضارة. تأكد من تحديث برنامج مكافحة الفيروسات بشكل متكرر للتعرف على أحدث التهديدات.
  • توخي الحذر بشأن مرفقات وروابط البريد الإلكتروني : كن حذرًا من رسائل البريد الإلكتروني المشبوهة، خاصة تلك الواردة من مرسلين غير معروفين أو التي تحتوي على مرفقات أو روابط غير متوقعة. حاول عدم الوصول إلى الروابط أو تنزيل المرفقات من رسائل البريد الإلكتروني غير المرغوب فيها، لأنها قد تحتوي على برامج فدية أو برامج ضارة أخرى.
  • النسخ الاحتياطي للبيانات بانتظام : قم بإعداد إستراتيجية نسخ احتياطي قوية عن طريق النسخ الاحتياطي للبيانات المهمة بشكل منتظم على محرك أقراص ثابت خارجي أو خدمة تخزين سحابية أو جهاز تخزين متصل بالشبكة (NAS). تأكد من تخزين النسخ الاحتياطية بشكل آمن ولا يمكن الوصول إليها مباشرة من النظام الأساسي لمنع تشفيرها بواسطة برامج الفدية.
  • استخدم كلمات مرور قوية وفريدة من نوعها : قم بإنشاء كلمات مرور قوية ومعقدة لجميع الحسابات ولا تستخدم نفس كلمة المرور عبر حسابات متعددة. فكر في إمكانية استخدام مدير كلمات مرور حسن السمعة لإنشاء كلمات المرور وتخزينها بشكل آمن.
  • تمكين المصادقة الثنائية (2FA) : قم بتمكين المصادقة الثنائية لتحقيق أقصى قدر من الأمان لحساباتك. يتطلب المصادقة الثنائية (2FA) من المستخدمين تضمين نموذج ثانٍ للتحقق، مثل كلمة المرور الخاصة بهم أو الرمز المرسل إلى أجهزتهم المحمولة.
  • تثقيف المستخدمين : تثقيف نفسك والآخرين حول مخاطر برامج الفدية وكيفية التعرف على التهديدات المحتملة وتجنبها. تدريب الموظفين على الممارسات الفعالة للأمن السيبراني، بما في ذلك كيفية إعادة التعرف على رسائل البريد الإلكتروني التصيدية ومواقع الويب المشبوهة.
  • الحد من امتيازات المستخدم : تقييد امتيازات المستخدم على ما هو ضروري فقط لوظيفة وظيفته. يمكن أن يساعد الحد من أذونات المستخدم في منع برامج الفدية من الانتشار أفقيًا عبر الشبكات والوصول إلى البيانات الحساسة.

    • ومن خلال اعتماد هذه التدابير الاستباقية، يمكن للمستخدمين تقليل فرص الوقوع ضحية لهجمات برامج الفدية وحماية بياناتهم وأجهزتهم بشكل أفضل.

    مذكرة الفدية التي أسقطتها FORCE Ransomware هي:

    'Your files are encrypted.

    AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
    Write to e-mail: data199@mailum.com
    Write this ID in the title of your message -
    Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
    You can download TOX messenger here hxxps://tox.chat/
    Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

    Free decryption as guarantee
    Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
    I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

    How to obtain Bitcoins
    Contact me and I will give you instructions on how to purchase bitcoins.

    Attention!
    Do not rename encrypted files.
    Do not try to decrypt your data using third party software, it may cause permanent data loss.
    Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
    The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'

    الشائع

    الأكثر مشاهدة

    احتيال البريد الإلكتروني "Geek Squad"

    Phishing, Spam
    37,199
    أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
    جار التحميل...