برنامج الفدية REVRAC (Makop)
إن خطر برامج الفدية أكبر من أي وقت مضى. ومع تصدر خروقات البيانات وهجمات البرامج الضارة عناوين الأخبار بانتظام، من الضروري أن يظل المستخدمون يقظين ويتبعوا ممارسات أمن سيبراني فعّالة. من بين أحدث التهديدات المتداولة، نوع جديد من برنامج الفدية REVRAC، وهو سلالة متطورة وشديدة الضرر تنتمي إلى عائلة برامج الفدية Makop. يتعمق هذا التحليل في آلية عمل هذا التهديد، وطرق إصابته، وأكثر الطرق فعالية للدفاع ضده.
جدول المحتويات
اسم مألوف مع تطور خطير
على الرغم من رصد برنامج فدية يُسمى REVRAC سابقًا، إلا أن النسخة الحالية تُمثل تطورًا جديدًا وخطيرًا تمامًا. رُبط هذا الإصدار بشكل قاطع بعائلة برامج الفدية Makop، المعروفة بتشفيرها العدواني وقدراتها التدميرية. بمجرد تشغيله على النظام المستهدف، يبدأ REVRAC فورًا بتشفير ملفات المستخدم، بما في ذلك المستندات والصور وقواعد البيانات وغيرها من البيانات القيّمة.
تتم إعادة تسمية الملفات المصابة وفقًا لنمط مميز: يُعدّل اسم الملف الأصلي ليشمل معرف الضحية الفريد، وعنوان البريد الإلكتروني للمهاجم، وامتداد ".REVRAC". على سبيل المثال، يُعاد تسمية ملف مثل "1.png" إلى "1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC".
بالإضافة إلى قفل الملفات، يُغيّر برنامج الفدية خلفية سطح مكتب النظام ويُنشئ مذكرة فدية باسم "+README-WARNING+.txt". تُحدّد هذه المذكرة مطالب المهاجمين وتُحذّر من استخدام أدوات خارجية أو إعادة تسمية الملفات، مما يُهدد بإلحاق ضرر دائم أو زيادة مطالب الفدية.
مذكرة الفدية: الابتزاز بالتصميم
تهدف رسالة الفدية التي تركها REVRAC إلى إجبار الضحايا على الامتثال من خلال الخوف والإلحاح. تُعلم الرسالة المستخدمين بأنه لا يمكن استعادة ملفاتهم إلا بمفتاح فك تشفير فريد لا يمتلكه سوى المهاجمين. يُطلب من الضحايا التواصل مع onlybuy@cyberfear.com، وتقديم هوياتهم الشخصية كما هو موضح في أسماء الملفات. تُشدد الرسالة على أن أي محاولة غير مصرح بها لفك تشفير البيانات المشفرة أو تعديلها قد تؤدي إلى فقدانها بشكل لا رجعة فيه.
على الرغم من هذه الادعاءات، ينصح خبراء الأمن السيبراني بشدة بعدم دفع الفدية. فلا يوجد ضمان بأن الدفع سيؤدي إلى استعادة الملفات، بل سيؤدي ذلك إلى تأجيج المزيد من النشاط الإجرامي.
كيف يصيب REVRAC الأنظمة
ينتشر برنامج الفدية REVRAC عبر مجموعة متنوعة من الأساليب الخادعة والخبيثة. وتشمل نواقل العدوى الشائعة ما يلي:
برامج التثبيت المزيفة : برامج ضارة متخفية في شكل برامج مخترقة أو مولدات مفاتيح أو أدوات تنشيط غير مصرح بها.
رسائل التصيد الاحتيالي : رسائل تخدع المستخدمين لتنزيل مرفقات ضارة أو النقر على روابط خطيرة.
المواقع الإلكترونية والإعلانات المخترقة : مواقع الويب أو الإعلانات التي تبدو شرعية والتي تقوم بتثبيت البرامج الضارة سراً.
الوسائط القابلة للإزالة وانتشار الشبكة : العدوى التي تنتشر عبر محركات أقراص USB أو أفقيًا عبر الأنظمة المتصلة.
استغلال ثغرات البرامج : استخدام الأخطاء غير المصححة في البرامج المشروعة للوصول إلى حمولة برامج الفدية وتنفيذها.
غالبًا ما يتم تضمين البرامج الضارة في تنسيقات الملفات مثل الملفات القابلة للتنفيذ (.exe) أو المستندات (.docx، .xls) أو البرامج النصية (.js، .vbs) أو الملفات الأرشيفية (.zip، .rar).
أفضل الممارسات للوقاية من الإصابة ببرامج الفدية
للدفاع ضد تهديدات مثل REVRAC، يجب على المستخدمين اتباع نهج شامل واستباقي للأمن السيبراني. من بين أكثر ممارسات الأمن فعالية:
- حافظ على تحديث كافة أنظمة التشغيل والتطبيقات وأدوات الأمان بشكل كامل.
- استخدم حلاً موثوقًا لمكافحة الفيروسات أو مكافحة البرامج الضارة مع الحماية في الوقت الفعلي.
- تعطيل وحدات الماكرو في ملفات Microsoft Office من مصادر غير معروفة.
الخلاصة: ابقَ يقظًا، ابقَ محميًا
يُعد برنامج الفدية REVRAC مثالاً واضحاً على تطور برامج الفدية المستمر، حيث أصبح أكثر استهدافاً وضرراً. ويُبرز ارتباطه بعائلة Makop قدرته على إحداث أضرار جسيمة. ومع ذلك، باتخاذ الاحتياطات اللازمة، بدءاً من سلامة البرامج وتوعية المستخدمين وإجراءات النسخ الاحتياطي، يمكن للأفراد والمؤسسات على حد سواء حماية بياناتهم وأنظمتهم من الوقوع في أيدي مجرمي الإنترنت. وتظل الوقاية هي الأداة الأقوى ضد برامج الفدية.
رسائل
تم العثور على الرسائل التالية المرتبطة بـ برنامج الفدية REVRAC (Makop):
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
