Intel Ransomware
اكتشف الباحثون سلالة جديدة من برامج الفدية المعروفة باسم Intel Ransomware. يتسلل برنامج التهديد هذا إلى الأجهزة، ويقوم بتشفير البيانات المخزنة والمطالبة بفدية مقابل فك التشفير المزعوم للمعلومات المخترقة.
والجدير بالذكر أن الملفات المتأثرة ببرنامج Intel Ransomware تخضع لعملية إعادة تسمية. يتم تعزيز أسماء الملفات الأصلية بمعرف فريد مخصص للضحية، متبوعًا بـ ".[intellent@ai_download_file]،" وينتهي بامتداد ".intel". كمثال توضيحي، سيتم تحويل الملف المسمى في البداية "1.jpg" إلى "1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel" بعد التشفير.
بمجرد اكتمال عملية التشفير، يواجه الضحايا ملاحظات فدية معروضة في نافذة منبثقة وكملفات نصية تسمى 'README!.txt'. يتم إيداع هذه الملفات النصية داخل كل مجلد مشفر وعلى سطح مكتب النظام. يكشف تحليل محتوى مذكرة الفدية أن برنامج Intel Ransomware يستهدف الشركات على وجه التحديد ويستخدم أساليب الابتزاز المزدوج. علاوة على ذلك، فإن برنامج التهديد هذا تابع لعائلة Dharma Ransomware .
يمنع Intel Ransomware الضحايا من الوصول إلى بياناتهم الخاصة
يُظهر Intel Ransomware نهجًا شاملاً من خلال تشفير كل من الملفات المحلية والملفات المشتركة على الشبكة بينما تظل ملفات النظام المهمة غير متأثرة لتجنب جعل النظام غير قابل للتشغيل. والجدير بالذكر أنه يستخدم إستراتيجية لتجنب التشفير المزدوج عن طريق استبعاد الملفات المقفلة بواسطة برامج الفدية الأخرى. ومع ذلك، فإن هذه الطريقة ليست مضمونة، لأنها تعتمد على قائمة محددة مسبقًا قد لا تشمل جميع متغيرات برامج الفدية المعروفة.
علاوة على ذلك، تُظهر البرمجيات الخبيثة من Intel تعقيدًا في عملها من خلال إغلاق العمليات المرتبطة بالملفات التي يمكن أن تكون مفتوحة، مثل قارئات الملفات النصية وبرامج قواعد البيانات. ويهدف هذا الإجراء الاستباقي إلى منع تعارض الملفات التي تعتبر "قيد الاستخدام"، مما يضمن عدم استثناءها من التشفير.
تستخدم عائلة Dharma من برامج الفدية، التي تنتمي إليها برامج Intel الضارة، تكتيكات استراتيجية للتسلل والمثابرة. يتضمن ذلك إيقاف تشغيل جدار الحماية لتسهيل التسلل والتهرب من الاكتشاف. بالإضافة إلى ذلك، تتضمن تقنيات ضمان الثبات ما يلي:
-
- نسخ البرامج الضارة إلى مسار %LOCALAPPDATA%.
-
- تسجيله بمفاتيح تشغيل محددة.
-
- تكوين البدء التلقائي لبرنامج الفدية بعد كل عملية إعادة تشغيل للنظام.
أحد الجوانب البارزة في هجمات دارما هو قدرتها على اتخاذ إجراءات مستهدفة. يمكن للبرامج المرتبطة بهذه العائلة جمع بيانات تحديد الموقع الجغرافي، مما يسمح باستثناءات في هجماتها. وتعني هذه القدرة على التكيف أن العدوى قد تكون لها دوافع سياسية أو جيوسياسية، أو أنها قد تتعمد تجنب الضحايا الذين من غير المرجح أن يلبيوا طلبات الفدية، خاصة في المناطق ذات الظروف الاقتصادية الضعيفة.
ولعرقلة جهود الاسترداد بشكل أكبر، قد يقوم برنامج Intel Ransomware بحذف نسخ Shadow Volume، مما يعيق استعادة الإصدارات السابقة من الملفات. استنادًا إلى الأبحاث المكثفة حول إصابات برامج الفدية، من الواضح أن فك التشفير دون تدخل المهاجمين يمثل عادةً تحديًا لا يمكن التغلب عليه.
يستخدم Intel Ransomware تكتيكات الابتزاز المزدوج
يعد المحتوى الموجود في الملف النصي بمثابة إشعار موجز للضحية، حيث يشير إلى أن بياناتهم قد تم تشفيرها وجمعها. ويطالب الضحية بإجراء اتصال عن طريق إرسال بريد إلكتروني إلى المهاجمين.
في المقابل، توفر الرسالة المنبثقة معلومات أكثر تفصيلاً حول الإصابة ببرامج الفدية. ويكرر جوانب التشفير وسرقة البيانات، مع التركيز على مدى إلحاح الوضع. تصدر مذكرة الفدية تحذيرًا صارمًا بأن عدم الاتصال بمجرمي الإنترنت خلال 24 ساعة أو رفض الامتثال لطلب الفدية سيؤدي إلى كشف المحتوى المسروق على الويب المظلم أو بيعه لمنافسي شركة الضحية.
ولإثبات إمكانية الاسترداد، تقدم الرسالة اختبارًا مجانيًا لفك التشفير يتم إجراؤه على ملف واحد. يتم أيضًا إبلاغ الضحية صراحةً بأن طلب المساعدة من شركات الاسترداد قد يؤدي إلى خسائر مالية إضافية، حيث يفرض هؤلاء الوسطاء عادةً رسومًا تضاف إلى مبلغ الفدية.
ومع ذلك، كثيرًا ما يُلاحظ أن الضحايا، حتى بعد الامتثال لطلبات الفدية، لا يتلقون مفاتيح أو برامج فك التشفير الموعودة. على الرغم من استيفاء متطلبات الفدية، لا يوجد ضمان لاستعادة الملف. وبالتالي، لا يشجع الباحثون بشدة على دفع الفدية، لأنها لا تفشل في ضمان استرجاع الملفات فحسب، بل تديم وتدعم الأنشطة الإجرامية أيضًا. بالإضافة إلى ذلك، من الضروري أن نفهم أنه على الرغم من أن إزالة برامج الفدية يمكن أن توقف المزيد من تشفير البيانات، إلا أن عملية الإزالة لا تؤدي تلقائيًا إلى استعادة الملفات التي تم اختراقها مسبقًا.
يعرض Intel Ransomware مذكرة الفدية التالية كنافذة منبثقة:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
إذا لم تقم بمراسلتنا خلال 24 ساعة، فسنبدأ في نشر وبيع بياناتك على الشبكة المظلمة على مواقع الهاكر ونعرض المعلومات على منافسيك
راسلنا عبر البريد الإلكتروني: intellent.ai@onionmail.org هويتك -
إذا لم تتلق ردًا خلال 24 ساعة، فاكتب إلى هذا البريد الإلكتروني:intellent.ai@onionmail.org
معلومات مهمة!
ضع في اعتبارك أنه بمجرد ظهور بياناتك على موقع التسريب الخاص بنا، يمكن أن يشتريها منافسوك في أي لحظة، لذلك لا تتردد لفترة طويلة. كلما أسرعت في دفع الفدية، أصبحت شركتك آمنة.
لقد اطلعنا على جميع تقاريرك وإيرادات شركتك.
الضمان: إذا لم نوفر لك برنامج فك التشفير أو قمنا بحذف بياناتك بعد الدفع، فلن يدفع لنا أحد في المستقبل. نحن نقدر سمعتنا.
مفتاح الضمان: لإثبات وجود مفتاح فك التشفير، يمكننا اختبار الملف (وليس قاعدة البيانات والنسخ الاحتياطي) مجانًا.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث، فقد يتسبب ذلك في فقدان دائم للبيانات.
لا تذهب إلى شركات الاسترداد - فهي في الأساس مجرد وسطاء. قد يؤدي فك تشفير ملفاتك بمساعدة أطراف ثالثة إلى زيادة السعر (يضيفون رسومهم إلى رسومنا)، فنحن الوحيدون الذين لدينا مفاتيح فك التشفير.
تحتوي الملفات النصية التي تم إنشاؤها بواسطة Intel Ransomware على الرسالة التالية:
لقد تمت سرقة بياناتك وتشفيرها!
ارسل لنا عبر البريد الإلكتروني
intellent.ai@onionmail.org'
