برنامج الفدية RDAT

لا تزال برامج الفدية تُعدّ من أكثر التهديدات إزعاجًا للمستخدمين المنزليين والمؤسسات. يُمكن لاختراق واحد أن يُشوّش المستندات والصور وبيانات الأعمال في دقائق، ثم يُجبر الضحايا على الوصول إليها. يُوضّح برنامج الفدية RDAT، وهو فرع من عائلة Dharma واسعة الانتشار، أهمية الدفاعات متعددة الطبقات والتخطيط المُنضبط للتعافي.

ملف تعريف التهديد: نظرة عامة على RDAT

اكتشف باحثو أمن المعلومات RDAT خلال مراجعة شاملة للبرمجيات الخبيثة الناشئة. وهو برنامج مُشتق من برنامج Dharma، مُصمم خصيصًا لابتزاز البيانات: يُشفّر الملفات ويُجبر الضحايا على دفع ثمن فك التشفير. يستهدف RDAT كلاً من محركات الأقراص المحلية ومشاركات الشبكة، مُتجنبًا عمدًا ملفات النظام المهمة ليظل الجهاز قابلًا للتشغيل، وليتمكن الضحية من قراءة إشعارات الفدية.

ما يراه الضحايا

بمجرد تنفيذ RDAT، يُشفّر مجموعة واسعة من أنواع الملفات. تُعدّل أسماء الملفات لتشمل مُعرّف ضحية فريدًا، وبريد المهاجم الإلكتروني، وامتداد ".RDAT"، على سبيل المثال:
1.png يصبح 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

تظهر مذكرتا فدية: نافذة منبثقة تُفيد بأن الملفات مُشفّرة، وملف نصي باسم "DAT_INFO.txt" يحتوي على تعليمات للتواصل. يعرض المُشغّلون فك تشفير ما يصل إلى ثلاثة ملفات (مع مراعاة حدود الحجم والتنسيق) كدليل، مع تحذيرهم من أن استخدام أدوات خارجية أو تعديل البيانات المُشفّرة قد يُؤدي إلى فقدانها بشكل دائم. صُممت هذه الأساليب لتعزيز المصداقية والسرعة، وليس لمساعدتك.

كيف يبقى RDAT وينتشر

يرث RDAT أسلوبَي Dharma للاستمرارية ومنع الاسترداد. ينسخ البرنامج الخبيث نفسه إلى %LOCALAPPDATA%، ويسجل إدخالات التشغيل التلقائي عبر مفاتيح تشغيل محددة، ويعيد تشغيله بعد إعادة التشغيل. لمنع عمليات الاستعادة السريعة، يحذف نسخ الظل لوحدة التخزين. قبل التشفير، يُنهي العمليات التي قد تُبقي الملفات مفتوحة (قواعد البيانات، قارئات المستندات، وما شابه)، مما يضمن أقصى تغطية. كما يحاول تجنب "التشفير المزدوج" للبيانات التي أصابتها برامج فدية أخرى من خلال التحقق من قائمة معروفة، وهو فحص أمان غير كامل.

اختيار الهدف وتحديد المواقع الجغرافية

يجمع البرنامج الخبيث بيانات الموقع الجغرافي لتقييم احتمالية دفع الضحية فدية. إذا بدت المنطقة غير مواتية، لأسباب اقتصادية أو جيوسياسية، فقد يتجاهل التشفير تمامًا. الهدف من هذا السلوك هو تعظيم عائد الفدية.

لماذا يعتبر الدفع رهانًا خاسرًا

عادةً ما يكون فك التشفير بعد هجوم برامج الفدية مستحيلاً بدون مفاتيح المهاجم، إلا إذا كانت النسخة معيبة بشدة. وحتى في هذه الحالة، يكون الدفع محفوفاً بالمخاطر: فالعديد من الضحايا لا يتلقون برامج فك تشفير فعّالة. كما أن الدفع يُموّل المزيد من الهجمات. الحل الأمثل هو القضاء على البرامج الضارة، وإعادة البناء من نسخ احتياطية موثوقة، وتعزيز الأنظمة لمنع تكرار الحوادث.

قنوات التسليم المؤكدة

غالبًا ما تبدأ عمليات الاختراق من عائلة دارما ببروتوكول سطح المكتب البعيد (RDP) المكشوف أو ضعيف الحماية. يعتمد المهاجمون على هجمات القوة الغاشمة والقاموس، وبمجرد اختراقهم، قد يعطلون جدران حماية المضيف. بالإضافة إلى بروتوكول سطح المكتب البعيد (RDP)، يستغل النظام البيئي التصيد الاحتيالي والهندسة الاجتماعية، والإعلانات الخبيثة، ومصادر البرامج غير الموثوقة، ومرفقات البريد العشوائي، وأحصنة طروادة المُحمّلة/الخلفية. عادةً ما يتم إرسال الحمولات الخبيثة على شكل ملفات أرشيف (RAR/ZIP)، وملفات قابلة للتنفيذ، ونصوص برمجية (بما في ذلك JavaScript)، ومستندات (PDF، وOffice، وOneNote). كما تنتشر بعض عائلات البرامج الضارة عبر الشبكات المحلية والوسائط القابلة للإزالة.

الاحتواء والتعافي

تخلص من برنامج الفدية لإيقاف التشفير الإضافي، ولكن تذكر أن الإزالة لا تعيد الملفات المقفلة. يتطلب الاسترداد نسخًا احتياطية نظيفة ومُنسَّقة. والقاعدة الأساسية هي الاحتفاظ بنسخ احتياطية في مواقع وأنواع وسائط متعددة، بما في ذلك التخزين غير المتصل بالإنترنت الذي لا تستطيع البرامج الضارة الوصول إليه.

تتضمن متجهات الوصول والتوزيع الشائعة لتهديدات برامج الفدية ما يلي:

• خدمات RDP المكشوفة/الضعيفة، وحشو بيانات الاعتماد، وعمليات تسجيل الدخول بالقوة الغاشمة
• رسائل التصيد الاحتيالي، وإغراءات الهندسة الاجتماعية، ومرفقات البريد العشوائي والروابط، والإعلانات الخبيثة، والتنزيلات المزيفة، والتنزيلات غير المقصودة، والبرامج المقرصنة و"الكراكات"، وبرامج التحديث المزيفة، وإصابات المحمل/الباب الخلفي؛ والانتشار الجانبي عبر الشبكة المحلية وأجهزة USB/التخزين القابلة للإزالة

خلاصة القول

برنامج الفدية RDAT هو نسخة منظّمة من برنامج دارما، مدفوعًا بالربح: يستمر بعد إعادة التشغيل، ويحذف نقاط الاسترداد، ويستهدف البيانات المحلية والمشتركة، ويستغل أساليب الضغط للحصول على المال. إن أكثر الطرق فعاليةً لتحقيق المرونة هي التحصين الاستباقي، بالإضافة إلى نسخ احتياطية قوية وقابلة للتشغيل دون اتصال بالإنترنت، واستعادة مُدرّبة جيدًا. لا تدفع؛ تخلص من البرنامج، واستعِدْه، وشدّد دفاعاتك لمنع المحاولة التالية.