برنامج الفدية PayForRepair
في عصرٍ تُسيطر فيه العمليات الرقمية على حياتنا الشخصية والمهنية والمالية، لا يُمكن المبالغة في أهمية الحفاظ على أمن سيبراني قوي. وقد تطورت برامج الفدية، على وجه الخصوص، لتصبح واحدة من أخطر التهديدات في عالم الإنترنت، إذ تُمكّن المستخدمين من الوصول إلى بياناتهم ومطالبتهم بمبالغ طائلة لاستعادتها. ومن التهديدات الحديثة التي أحدثت ضجةً في دوائر الأمن السيبراني برنامج الفدية PayForRepair، وهو أحد أشكال عائلة دارما سيئة السمعة. إليك كل ما تحتاج لمعرفته للحفاظ على سلامتك.
جدول المحتويات
وجه جديد في عائلة قديمة: ما هو برنامج الفدية PayForRepair؟
برنامج الفدية PayForRepair هو فرع متطور من سلسلة برامج الفدية Dharma. هدفه الرئيسي هو تشفير بيانات الضحايا وابتزازهم ماليًا مقابل فك التشفير. بمجرد تشغيله على الجهاز، يستهدف البرنامج الخبيث مجموعة واسعة من أنواع الملفات ويضيف إليها علامة مميزة: معرف خاص بالضحية، وبريد إلكتروني للتواصل مع المهاجم (مثل payforrepair@tuta.io)، وامتداد ".P4R". على سبيل المثال، قد يصبح الملف الذي كان اسمه الأصلي "1.jpg" هو "1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R".
بالإضافة إلى تشفير الملفات، يُرسِل البرنامج الخبيث رسالة فدية كملف نصي يُسمى info.txt في جميع المجلدات المُستهدفة، ويُطلق رسالة منبثقة تتضمن مطالب أكثر تفصيلاً. يُطلب من الضحايا التواصل مع المهاجمين عبر البريد الإلكتروني والدفع بعملة بيتكوين مقابل استرداد ملفاتهم. ولإغراء الضحايا، يُقدِّم المجرمون اختبار فك تشفير مجاني لعدد محدود من الملفات لكسب ثقتهم.
التكتيكات والسلوك: كيف تعمل PayForRepair
يُظهر PayForRepair العديد من السلوكيات النموذجية لمتغيرات Dharma:
- التشفير الانتقائي : يتجنب العبث بملفات النظام الأساسية لإبقاء نظام التشغيل قيد التشغيل، مما يضمن قدرة الضحايا على عرض ملاحظات الفدية وإجراء المدفوعات.
- إنهاء العملية : يقوم بإيقاف العمليات النشطة - مثل قاعدة البيانات أو برنامج المستندات - للوصول إلى الملفات المفتوحة.
- آليات الاستمرار : يقوم برنامج الفدية بتثبيت نفسه في '%LOCALAPPDATA%'، ويضيف إدخالات التسجيل للبدء التلقائي، ويضمن تشغيله بعد كل إعادة تشغيل للنظام.
- حذف النسخة الظلية : يقوم بإزالة نسخ وحدة التخزين الظلية لمنع خيارات استرداد الملفات البسيطة.
- الاستهداف الجغرافي : استنادًا إلى بيانات الموقع الجغرافي، قد يتخطى مناطق معينة أو يعطي الأولوية لمناطق أخرى استنادًا إلى اعتبارات اقتصادية أو سياسية.
كيف ينتشر: نقاط الدخول وناقلات العدوى
في حين أن Dharma Ransomware ينتشر تقليديًا من خلال هجمات القوة الغاشمة عبر بروتوكول سطح المكتب البعيد (RDP)، فإن PayForRepair ليس استثناءً ويستخدم تقنيات توزيع متعددة:
- خدمات RDP المستغلة : غالبًا ما يتم استغلال نقاط نهاية RDP غير المؤمنة بشكل جيد للحصول على إمكانية الوصول إليها عن طريق القوة الغاشمة.
- رسائل البريد الإلكتروني الاحتيالية والروابط : تظل المرفقات أو الروابط الاحتيالية في رسائل البريد الإلكتروني والرسائل المباشرة ناقل العدوى المفضل.
- التنزيلات غير المقصودة والبرامج المزيفة : تساعد التنزيلات الخادعة من مواقع الطرف الثالث والإعلانات الضارة وشقوق أو تحديثات البرامج المزيفة في انتشار البرامج الضارة.
- الانتشار عبر الشبكة ومحركات الأقراص القابلة للإزالة : بمجرد دخول البرنامج الخبيث إلى الشبكة، قد ينتشر إلى أنظمة وأجهزة أخرى متصلة.
لا تدفع - احمِ نفسك بدلاً من ذلك: أفضل ممارسات الأمان
لا ينبغي اعتبار دفع الفدية حلاً عمليًا. لا يوجد ضمان بأن مجرمو الإنترنت سيوفون بوعودهم. بدلًا من ذلك، عزّز دفاعاتك باتباع ممارسات الأمن السيبراني التالية:
- تعزيز أمن الأجهزة والشبكات
- استخدم كلمات مرور قوية ومبتكرة لجميع الحسابات؛ وقم بتنفيذ المصادقة متعددة العوامل.
- قم بتعطيل خدمات الوصول عن بعد غير المستخدمة مثل RDP أو تقييدها عبر VPN والقائمة البيضاء لعناوين IP.
- حافظ على جدار الحماية الخاص بك نشطًا وقم بتكوينه بشكل صحيح لمنع الأنشطة المشبوهة.
- في كثير من الأحيان، قم بتحديث أنظمة التشغيل والبرامج لديك لإصلاح الثغرات الأمنية المعروفة.
- ممارسة عادات الملفات والويب الآمنة
- كن حذرًا عند التعامل مع مرفقات البريد الإلكتروني والروابط - لا تفتح أي شيء من مصادر غير معروفة.
- قم بتنزيل البرامج فقط من المنصات الرسمية أو ذات السمعة الطيبة.
- تجنب استخدام البرامج المقرصنة أو الكراكات أو مولدات المفاتيح، والتي غالبًا ما تكون مليئة بالبرامج الضارة.
- قم بتثبيت وصيانة برامج مكافحة الفيروسات/مكافحة البرامج الضارة القوية مع الحماية في الوقت الحقيقي.
- قم بإنشاء نسخ احتياطية غير متصلة بالإنترنت للملفات الأساسية بانتظام وقم بتخزينها على أجهزة غير متصلة أو منصات سحابية آمنة.
الأفكار النهائية: الوقاية هي أفضل علاج
بما أن عدوى برامج الفدية مثل PayForRepair قد اخترقت نظامك، فإن خيارات الاسترداد نادرة وغير مؤكدة. إزالة البرامج الضارة ضرورية، لكنها لن تفك تشفير الملفات - فقط النسخ الاحتياطية الموجودة مسبقًا أو أدوات فك التشفير (إن وجدت) يمكن أن تساعد. أفضل دفاع هو اتخاذ إجراء استباقي: عزز وضعك الأمني السيبراني، وكن يقظًا على الإنترنت، وعلّم الآخرين من حولك. الجريمة الإلكترونية لن تختفي - ولكن مع الاستعداد، ليس بالضرورة أن تنتصر.
رسائل
تم العثور على الرسائل التالية المرتبطة بـ برنامج الفدية PayForRepair:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email payforrepair@tuta.io or payforrepair@mailum.com |
