Ior Ransomware

مع تزايد تعقيد هجمات برامج الفدية وتدميرها، لم يعد حماية أجهزتك من التهديدات الضارة أكثر أهمية من أي وقت مضى. يمكن لهذه الهجمات تشفير بياناتك وتعطيل العمليات التجارية وابتزاز الأموال من الضحايا، وغالبًا دون ضمان استرداد البيانات. يسلط الاكتشاف الأخير لفيروس Ior Ransomware الضوء على التهديد المستمر الذي تشكله عائلات برامج الفدية الحديثة. إن فهم كيفية عمل فيروس Ior Ransomware وتنفيذ إجراءات أمنية قوية يمكن أن يقلل بشكل كبير من خطر الوقوع ضحية لمثل هذه الهجمات.

برنامج الفدية Ior: تهديد جديد في عائلة Dharma

ينتمي برنامج Ior Ransomware إلى عائلة Dharma Ransomware سيئة السمعة، والتي تشتهر باستهداف الشركات والأفراد على حد سواء. بمجرد إصابة Ior للنظام، فإنه يقوم بسرعة بتشفير الملفات وإعادة تسميتها باستخدام التنسيق filename.id-[ID STRING].[attacker's email].ior. على سبيل المثال، سيتم إعادة تسمية "document.pdf" إلى "document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior"، مما يؤدي إلى قفل الملف وجعله غير قابل للوصول من قبل المستخدم.

يترك برنامج الفدية Ior خلفه نوعين من مذكرات الفدية:

• نافذة منبثقة تخبر الضحية فورًا بالهجوم.
• ملف يسمى "manual.txt"، والذي يوفر تعليمات مفصلة حول كيفية استعادة البيانات المشفرة.

وتحث مذكرات الفدية الضحية على الاتصال بالمهاجمين عبر عناوين البريد الإلكتروني المقدمة - jasalivan@420blaze.it أو ja.salivan@keemail.me - في غضون 12 ساعة. كما تعرض المذكرة فك تشفير ما يصل إلى ثلاثة ملفات (أصغر من 3 ميجا بايت) كدليل على إمكانية فك التشفير. ومع ذلك، يحذر المهاجمون من محاولة إعادة تسمية الملفات المشفرة أو استخدام أدوات فك التشفير التابعة لجهات خارجية، مما يهدد بفقدان البيانات بشكل دائم أو تكاليف أعلى لفك التشفير إذا تم اتخاذ هذه الإجراءات.

أساليب الهجوم: كيف يصيب برنامج الفدية Ior الأنظمة

يعد برنامج Ior Ransomware خطيرًا للغاية ليس فقط بسبب قدراته على تشفير الملفات ولكن أيضًا بسبب نهجه العدواني في تعطيل ميزات الأمان وضمان الاستمرارية. البرامج الضارة:

• يقوم بتشفير كل من الملفات المحلية والمشتركة عبر الشبكة، مما يؤثر ليس فقط على الكمبيوتر المصاب، ولكن أيضًا على أي أجهزة أو أنظمة تخزين متصلة.
• يقوم بتعطيل جدار حماية النظام، مما يجعل الجهاز أكثر عرضة لمزيد من الهجمات.
• يقوم بحذف نسخ وحدة التخزين الظلية، مما يمنع المستخدمين من استعادة الملفات باستخدام نقاط الاستعادة المضمنة في Windows.
• يقوم بنسخ نفسه إلى دليل %LOCALAPPDATA% ويسجل باستخدام مفاتيح التشغيل في Windows، مما يسمح له بإعادة التشغيل تلقائيًا عند إعادة تشغيل النظام.

بالإضافة إلى ذلك، فإن برنامج الفدية Ior قادر على جمع بيانات الموقع واستبعاد أدلة معينة من التشفير، مما يشير إلى مستوى من التخصيص يعتمد على استراتيجية المهاجم.

ناقلات العدوى: كيف يتم توصيل فيروس الفدية Ior

مثل العديد من سلالات برامج الفدية في عائلة Dharma، غالبًا ما يتم تسليم برنامج الفدية Ior من خلال خدمات بروتوكول سطح المكتب البعيد (RDP) الضعيفة. يستغل مجرمو الإنترنت تكوينات RDP الضعيفة، باستخدام هجمات القوة الغاشمة أو هجمات القاموس لاختراق بيانات الاعتماد التي تتم إدارتها بشكل سيئ. ومع ذلك، هذه ليست الطريقة الوحيدة التي تصيب بها Ior الأنظمة:

• مرفقات أو روابط البريد الإلكتروني التالفة : رسائل البريد الإلكتروني الاحتيالية التي تحتوي على مرفقات ضارة أو روابط مضمنة هي طريقة شائعة لتسليم برامج الفدية.
• ثغرات البرامج المستغلة : الأنظمة غير المرقعة هي الأهداف الرئيسية لبرامج الفدية، حيث يمكن للمهاجمين استغلال الثغرات الأمنية المعروفة في البرامج القديمة أو أنظمة التشغيل.
• البرامج المقرصنة : غالبًا ما تخفي البرامج التي يتم تنزيلها بشكل غير قانوني البرامج الضارة، بما في ذلك برامج الفدية، والتي يتم تنفيذها دون علم المستخدمين.
• المواقع الإلكترونية المخترقة : قد يتم خداع المستخدمين لتنزيل البرامج الضارة من خلال الإعلانات الخادعة أو التنزيلات المزيفة أو المواقع الإلكترونية المخترقة.
• شبكات نظير إلى نظير (P2P) وبرامج التنزيل التابعة لجهات خارجية : يمكن أن تنتشر الملفات غير الآمنة بسهولة عبر منصات التورنت أو برامج إدارة التنزيل التابعة لجهات خارجية والتي تفتقر إلى ضوابط الأمان.

أفضل ممارسات الأمان للدفاع ضد برامج الفدية

لحماية نفسك من برامج الفدية والتهديدات الإلكترونية الأخرى، من الضروري اتباع أفضل ممارسات الأمان. من خلال اتخاذ الإجراءات الاستباقية والاحتياطات الصحيحة، يمكنك تضييق نطاق خطر الوقوع ضحية لهذه الهجمات بشكل كبير. فيما يلي الخطوات الرئيسية لتعزيز دفاعك ضد برامج الفدية:

1. انسخ بياناتك احتياطيًا بشكل منتظم: النسخ الاحتياطي المتكرر هو أقوى دفاع لديك ضد برامج الفدية. تأكد من نسخ جميع الملفات الأساسية احتياطيًا على جهاز تخزين مستقل أو خدمة سحابية منفصلة عن نظامك الرئيسي. بهذه الطريقة، إذا تم تشفير بياناتك، فيمكنك استعادتها دون الحاجة إلى دفع الفدية.
2. الوصول عن بعد الآمن: إذا كنت تستخدم RDP أو خدمات الوصول عن بعد الأخرى، فتأكد من تكوينها بشكل آمن:

قم بتعطيل RDP إذا لم يكن قيد الاستخدام.

استخدم كلمات مرور قوية وفريدة للحسابات التي يمكن الوصول إليها عن بعد.

قم بتمكين المصادقة متعددة العوامل (MFA) لمزيد من الأمان.

تقييد وصول RDP إلى عناوين IP محددة من خلال جدار الحماية أو VPN.

1. حافظ على تحديث الأنظمة والبرامج: البرامج القديمة هي هدف متكرر لهجمات برامج الفدية. تأكد من تحديث نظام التشغيل والتطبيقات وبرامج مكافحة البرامج الضارة لديك بأحدث تصحيحات الأمان. قم بأتمتة التحديثات حيثما أمكن لتقليل فترة الثغرات الأمنية.
2. نشر حلول مكافحة برامج الفدية: استثمر في برامج مكافحة البرامج الضارة الموثوقة التي تتضمن حماية ضد برامج الفدية. يمكن للعديد من مجموعات الأمان الحديثة اكتشاف السلوك المشبوه، مثل تشفير الملفات أو التغييرات غير المصرح بها لإعدادات النظام، وإيقاف برامج الفدية قبل أن تتسبب في حدوث أضرار.
3. كن حذرًا عند التعامل مع رسائل البريد الإلكتروني: تظل رسائل التصيد الاحتيالي واحدة من أكثر الطرق فعالية التي يستخدمها المهاجمون لتوصيل برامج الفدية. تجنب النقر على مرفقات أو روابط البريد الإلكتروني غير المرغوب فيها. تحقق من شرعية رسائل البريد الإلكتروني غير المتوقعة، حتى لو بدت وكأنها تأتي من مصادر موثوقة.
4. استخدم كلمات مرور قوية وفريدة: تعد كلمات المرور الضعيفة نقطة ضعف رئيسية في هجمات برامج الفدية، وخاصة تلك التي تنطوي على تكتيكات القوة الغاشمة على RDP. استخدم كلمات مرور قوية ومعقدة وقم بتغييرها بانتظام. فكر في استخدام مدير كلمات المرور لتخزين وإنشاء كلمات مرور فريدة لحسابات مختلفة.
5. تعطيل وحدات الماكرو والحد من تنفيذ البرامج النصية: تبدأ العديد من حالات الإصابة ببرامج الفدية من خلال وحدات الماكرو الضارة في المستندات أو من خلال استغلال محركات البرامج النصية مثل PowerShell. قم بتعطيل وحدات الماكرو افتراضيًا وتقييد تنفيذ البرامج النصية لتقليل مخاطر الإصابة.
6. استخدم جدار الحماية وتقسيم الشبكة: يمكن لجدار الحماية إيقاف الوصول غير المصرح به إلى نظامك، ويمكن لتقسيم الشبكة الحد من انتشار برامج الفدية داخل المؤسسة. من خلال عزل الأنظمة الحرجة والحد من الوصول إلى الشبكة، يمكنك احتواء الضرر الناتج عن الهجوم.

الاستنتاج: ابق على اطلاع واستعد

يشكل برنامج الفدية Ior، مثل غيره من أعضاء عائلة Dharma، تهديدًا خطيرًا للأفراد والمؤسسات على حد سواء. إن قدرته على تشفير البيانات وتعطيل ميزات الأمان والانتشار عبر الشبكات المخترقة يجعله خصمًا هائلاً. ومع ذلك، من خلال تبني أفضل الممارسات الموضحة أعلاه - النسخ الاحتياطية المنتظمة وتحديثات البرامج وضوابط الوصول عن بُعد القوية وكلمات المرور القوية - يمكنك تعزيز دفاعاتك وتقليل تأثير هجوم برنامج الفدية. إن مفتاح البقاء آمنًا هو اليقظة الاستباقية والالتزام بأفضل ممارسات الأمن السيبراني.

ملاحظة الفدية التي يعرضها برنامج Ior Ransomware على شكل نافذة منبثقة:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

رسالة من المهاجمين تم إرسالها على شكل ملف نصي:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'