برنامج Night Sky Ransomware
التهديدات بطاقة الأداء
EnigmaSoft بطاقة أداء التهديد
EnigmaSoft Threat Scorecards عبارة عن تقارير تقييم لتهديدات البرامج الضارة المختلفة والتي تم جمعها وتحليلها من قبل فريق البحث لدينا. تقوم بطاقات أداء التهديد EnigmaSoft بتقييم وتصنيف التهديدات باستخدام العديد من المقاييس بما في ذلك عوامل الخطر الواقعية والمحتملة ، والاتجاهات ، والتكرار ، والانتشار ، والمثابرة. يتم تحديث بطاقات EnigmaSoft Threat Scorecards بانتظام بناءً على بيانات ومقاييس البحث لدينا وهي مفيدة لمجموعة واسعة من مستخدمي الكمبيوتر ، من المستخدمين النهائيين الذين يبحثون عن حلول لإزالة البرامج الضارة من أنظمتهم إلى خبراء الأمن الذين يقومون بتحليل التهديدات.
تعرض بطاقات أداء التهديد EnigmaSoft مجموعة متنوعة من المعلومات المفيدة ، بما في ذلك:
الترتيب: ترتيب تهديد معين في EnigmaSoft's Threat Database.
مستوى الخطورة: مستوى الخطورة المحدد لشيء ما ، ممثلاً عدديًا ، بناءً على عملية نمذجة المخاطر والبحث لدينا ، كما هو موضح في معايير تقييم التهديدات الخاصة بنا.
أجهزة الكمبيوتر المصابة: عدد الحالات المؤكدة والمشتبه فيها لتهديد معين تم اكتشافه على أجهزة الكمبيوتر المصابة كما تم الإبلاغ عنها بواسطة SpyHunter.
راجع أيضًا معايير تقييم التهديد .
| مستوى التهديد: | 100 % (عالي) |
| أجهزة الكمبيوتر المصابة: | 4 |
| الروية الأولى: | January 7, 2022 |
| اخر ظهور: | April 26, 2023 |
| نظام (أنظمة) متأثر: | Windows |
قرر بعض مجرمي الإنترنت عدم أخذ قسط من الراحة خلال العطلات والتركيز بدلاً من ذلك على العثور على ضحايا جدد لهجمات برامج الفدية. تتكون إحدى هذه المجموعات من المتسللين الذين يقفون وراء تهديد Night Sky Ransomware المكتشف حديثًا. تم اكتشاف هذا البرنامج الضار المحدد لأول مرة من قبل الباحثين الذين يعتقدون أن عملية Night Sky انطلقت في 27 ديسمبر 2021. وبعد أسبوع بقليل ، نجح تهديد Night Sky في إصابة ضحيتين من الشركات ، أحدهما من اليابان والآخر من بنغلاديش.
تفاصيل تقنية
مثل معظم عمليات برامج الفدية التي تستهدف كيانات الشركات ، يستخدم المجرمون الإلكترونيون في Night Sky Ransomware أيضًا أسلوبين مختلفين للابتزاز. يقومون بقفل الملفات الهامة المخزنة على أجهزة الكمبيوتر المصابة ولكن ليس قبل إخراجها إلى الخادم الخاص بهم. بعد ذلك ، يهددون الضحايا غير المستعدين لدفع الفدية المطلوبة بأن يتم بيع البيانات التي تم جمعها إلى المنافسين أو نشرها للجمهور عبر موقع تسريب مخصص.
أما بالنسبة لبرنامج Night Sky Ransomware نفسه ، فإن التهديد يستخدم خوارزمية تشفير غير قابلة للكسر لقفل عدد كبير من أنواع الملفات. الوحيدين الذين سيتم تركهم على حالهم هم أولئك الذين لديهم .dll. و. exe ، مثل العبث بها ، قد يتسبب في تعطل نظام التشغيل على الجهاز أو التعرض لأخطاء فادحة. في الغالب للسبب نفسه ، سيتجنب برنامج الفدية تشفير قائمة تضم 30 ملفًا ومجلدًا تم اختياره خصيصًاتقريبا. وتشمل هذه التطبيقات AppData و Boot و Windows و ProgramData و boot.ini و ntldr والمزيد. سيتم تشفير جميع الملفات الأخرى وإلحاق ".nightsky" بأسمائها الأصلية.
نظرة عامة على مذكرة الفدية
بعد الانتهاء من عملية التشفير ، سيقوم Night Sky Ransomware بإسقاط ملف ملاحظة فدية في كل مجلد يحتوي على البيانات المقفلة. ستتم تسمية هذه الملفات المنشأة حديثًا باسم "NightSkyReadMe.hta". تحتوي على رسالة تتطلب فدية تم تخصيصها للضحية المحددة. على هذا النحو ، قد تختلف بعض التفاصيل ، بما في ذلك مبلغ الفدية. تظهر الأدلة الحالية أن أحد الضحيتين الحاليتين لعمليات Night Sky قد طُلب منه دفع 800000 دولار لتلقي أداة فك التشفير وتجنب الإفراج عن بياناتها.
تحتوي ملاحظات الفدية أيضًا على بيانات اعتماد تسجيل الدخول المشفرة لصفحة تفاوض مجرمي الإنترنت. على عكس مجموعات المتسللين الأخرى من هذا النوع ، لا تستخدم Night Sky موقع Tor لأغراض الاتصال. بدلاً من ذلك ، يتم توجيه الضحايا نحو موقع ويب عادي يقوم بتشغيل Rocket.Chat. ومع ذلك ، فإن موقع تسريب المجموعة الذي يحتوي على بيانات ضحاياهم مستضاف بالفعل على شبكة Tor.
