مرآة الفدية

بعد إجراء تحليل شامل لتهديدات البرامج الضارة المحتملة، حدد الباحثون بشكل قاطع MIRROR باعتباره أحد أنواع برامج الفدية. الهدف الأساسي من تهديد MIRROR هو تشفير الملفات الموجودة على الأجهزة المعرضة للخطر. بالإضافة إلى ذلك، فإنه يتولى إعادة تسمية الملفات ويصدر ملاحظتي فدية — واحدة في شكل نافذة منبثقة والأخرى كملف نصي يسمى 'info-MIRROR.txt'.

يستخدم MIRROR Ransomware اصطلاح تسمية محددًا للملفات التي يقوم بتشفيرها، مع إلحاق معرف الضحية وعنوان البريد الإلكتروني "tpyrcedrorrim@tuta.io" والامتداد ".Mr". على سبيل المثال، يتم تحويل "1.pdf" إلى "1.pdf.id-9ECFA74E.[tpyrcedrorrim@tuta.io].Mr"، و"2.png" يصبح "2.png.id-9ECFA74E.[tpyrcedrorrim@". tuta.io).السيد، وما إلى ذلك. وقد تم تصنيف هذا التهديد على وجه الخصوص على أنه متغير ضمن عائلة Dharma Ransomware .

يتجاوز برنامج MIRROR Ransomware تشفير الملفات

بالإضافة إلى تشفير الملفات، تستخدم MIRROR إجراءات إستراتيجية لتهديد أمان النظام المستهدف بشكل أكبر. يتضمن أحد هذه الأساليب تعطيل جدار الحماية، وبالتالي زيادة تعرض النظام للأنشطة الضارة التي تنظمها برامج الفدية. بالإضافة إلى ذلك، تتخذ MIRROR إجراءات متعمدة لمسح نسخ Shadow Volume، مما يؤدي بشكل فعال إلى إزالة نقاط الاستعادة المحتملة وإعاقة جهود الاسترداد.

تستفيد MIRROR من الثغرات الأمنية الموجودة في خدمات بروتوكول سطح المكتب البعيد (RDP) باعتبارها الناقل الأساسي للإصابة. يتضمن هذا عادةً استغلال بيانات اعتماد الحساب الضعيفة من خلال أساليب مثل القوة الغاشمة وهجمات القاموس. ومن خلال الاستفادة من هذه التقنيات، تكتسب برامج الفدية إمكانية الوصول غير المصرح به إلى الأنظمة، لا سيما تلك التي تتمتع بأمان حساب مُدار بشكل غير كافٍ.

علاوة على ذلك، تعرض MIRROR القدرة على استخراج بيانات الموقع، مما يسمح لها بتمييز السياق الجغرافي للأنظمة المصابة. والجدير بالذكر أنه يمتلك القدرة على استبعاد المواقع المحددة مسبقًا من نطاق استخراج البيانات الخاص به. بالإضافة إلى ذلك، تتضمن MIRROR آليات الثبات، مما يضمن قدرتها على الحفاظ على موطئ قدم داخل النظام المخترق على مدى فترة طويلة.

يتم ابتزاز ضحايا برنامج MIRROR Ransomware للحصول على المال

تعمل مذكرة الفدية الخاصة ببرنامج MIRROR Ransomware بمثابة رسالة من المهاجمين إلى الضحية، تنص صراحة على أن جميع ملفات الضحية خضعت للتشفير. فهو يحدد طريقة محتملة لاستعادة الملفات، ويطلب من الضحية بدء الاتصال من خلال عنوان بريد إلكتروني محدد (tpyrcedrorrim@tuta.io) وتوفير معرف فريد.

وكوسيلة بديلة للاتصال، توفر المذكرة أيضًا عنوان بريد إلكتروني آخر (mirrorrorrim@cock.li). ومن الجدير بالذكر أن المذكرة لا تشجع بشدة على استخدام وسطاء للاتصالات، مشيرة إلى المخاطر المحتملة مثل فرض رسوم زائدة، والخصم غير المبرر، ورفض المعاملات. ويؤكد المهاجمون قدرتهم على تقديم خدمات استعادة البيانات المشفرة وتقديم الضمانات، بما في ذلك عرض الاسترداد الذي يتضمن ما يصل إلى ثلاثة ملفات لإثبات كفاءتهم.

علاوة على ذلك، تصدر مذكرة الفدية نصيحة تحذيرية للضحية، تنصح صراحةً بعدم إعادة تسمية الملفات المشفرة. كما يحذر من محاولة فك التشفير من خلال برامج الطرف الثالث، مع التركيز على العواقب المحتملة لفقدان البيانات بشكل دائم أو التعرض لعمليات الاحتيال. والقصد من ذلك هو توجيه الضحية إلى مسار العمل الأكثر أمانًا لزيادة فرص استرداد الملفات بنجاح مع تقليل المخاطر المحتملة.

اتخذ التدابير اللازمة لتحصين أجهزتك ضد فيروسات برامج الفدية

تشكل برامج الفدية تهديدًا كبيرًا لأمن الأجهزة الرقمية، مع عواقب محتملة تتراوح من فقدان البيانات إلى الابتزاز المالي. يعد تنفيذ التدابير الاستباقية أمرًا بالغ الأهمية لتحصين الأجهزة ضد مثل هذه العدوى. فيما يلي خمس خطوات فعالة يمكن للمستخدمين اتخاذها:

• تحديث أنظمة التشغيل والبرامج بانتظام : يعد الحفاظ على تحديث أنظمة التشغيل والبرامج أمرًا حيويًا، حيث تتضمن التحديثات غالبًا تصحيحات أمنية تعالج نقاط الضعف. تحقق بانتظام من التحديثات وقم بتطبيقها لتقليل مخاطر استغلال برامج الفدية لنقاط الضعف المعروفة.
• تثبيت برامج الأمان وصيانتها : يوفر استخدام برامج الأمان الموثوقة طبقة إضافية من الدفاع ضد برامج الفدية. تأكد من تحديث برنامج مكافحة البرامج الضارة بانتظام وإجراء عمليات فحص مجدولة لاكتشاف التهديدات المحتملة والقضاء عليها قبل أن تتمكن من اختراق جهازك.
• توخي الحذر مع مرفقات وروابط البريد الإلكتروني : غالبًا ما تتسلل برامج الفدية إلى الأنظمة من خلال رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات أو روابط ضارة. توخ الحذر الشديد عند فتح رسائل البريد الإلكتروني الواردة من مرسلين غير معروفين، وحاول عدم النقر على الروابط المشبوهة، والامتناع عن تنزيل المرفقات ما لم يتم التحقق من شرعيتها.
• النسخ الاحتياطي للبيانات بانتظام : يعد إنشاء نسخ احتياطية منتظمة للبيانات الأساسية إجراءً وقائيًا بالغ الأهمية. في هجوم برامج الفدية، تسمح النسخ الاحتياطية الأخيرة للمستخدمين باستعادة ملفاتهم دون الخضوع للابتزاز. تخزين النسخ الاحتياطية على جهاز خارجي أو خدمة سحابية آمنة.
• تنفيذ تدابير أمن الشبكة : يمكن أن يؤدي تعزيز أمان الشبكة إلى إحباط هجمات برامج الفدية. استخدم جدران الحماية وأنظمة كشف/منع التسلل، واستخدم كلمات مرور فريدة وقوية لجميع الأجهزة والحسابات، وفكر في تقسيم الشبكات للحد من التأثير المحتمل للإصابة على النظام بأكمله.

ومن خلال اعتماد هذه التدابير، يمكن للمستخدمين تعزيز مرونة أجهزتهم بشكل كبير ضد برامج الفدية، وحماية بياناتهم القيمة والحفاظ على سلامة بيئتهم الرقمية.

النص الكامل لمذكرة الفدية الرئيسية التي تركها برنامج MIRROR Ransomware هو:

'MIRROR
All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: tpyrcedrorrim@tuta.io YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:mirrorrorrim@cock.li
We strongly recommend that you do not use the services of intermediaries and first check the prices and conditions directly with us.The use of intermediaries may involve risks such as:
-Overcharging: Intermediaries may charge inflated prices, resulting in improper additional costs to you.
-Unjustified debit: There is a risk that your money may be stolen by intermediaries for personal use and they may claim that we did it.
-Rejection of the transaction and termination of communication: Intermediaries may refuse to cooperate for personal reasons, which may result in termination of communication and make it difficult to resolve issues.
We understand that data loss can be a critical issue, and we are proud to provide you with encrypted data recovery services. We strive to provide you with the highest level of confidence in our abilities and offer the following guarantees:
---Recovery demo: We provide the ability to decrypt up to three files up to 5 MB in size on a demo basis.
Please note that these files should not contain important and critical data.
Demo recovery is intended to demonstrate our skills and capabilities.
---Guaranteed Quality: We promise that when we undertake your data recovery, we will work with the utmost professionalism and attention to detail to ensure the best possible results.
We use advanced technology and techniques to maximize the likelihood of a successful recovery.
---Transparent communication: Our team is always available to answer your questions and provide you with up-to-date information about the data recovery process.
We appreciate your participation and feedback.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

يحتوي الملف النصي الذي تم إسقاطه بواسطة MIRROR Ransomware على الرسالة التالية:

'لقد تم تأمين كافة البيانات الخاصة بك لنا

تريد العودة؟

أرسل بريدًا إلكترونيًا إلى tpyrcedrorrim@tuta.io أو Mirrorrorrim@cock.li'