Solara Ransomware

سولارا سلالةٌ من برامج الفدية رُصدت مؤخرًا، ويقول الباحثون إنها مبنية على شيفرة عائلة Chaos المتداولة علنًا. تُشفّر برامج الفدية، مثل سولارا، ملفات المستخدمين، وتطالبهم بدفع فدية، وقد تُعطّل الوصول إلى البيانات المهمة بشكل دائم، لذا فإن حماية الأجهزة والنسخ الاحتياطية أمرٌ بالغ الأهمية.

ماذا تفعل سولارا

أثناء التحليل، لوحظ أن Solara تُشفّر الملفات وتُضيف السلسلة النصية '.solara' إلى أسماء الملفات (على سبيل المثال، '1.png' → '1.png.solara'). كما تُرسل البرمجية الخبيثة إشعار فدية باسم 'read_it.txt'، يدّعي أن الضحية فعّلت حماية "مضادة للاختراق"، ويُوجّه الضحايا للحصول على أداة فك تشفير من مُخترق عبر الإنترنت. تربط العديد من المقالات وتحليلات العينات Solara بعائلة برامج الفدية Chaos، وتصف سلوكًا مشابهًا (التشفير، واستبدال الامتدادات، وإشعار فدية بنص عادي).

مذكرة فدية ومطالبات الدفع

تؤكد رسالة الفدية التي فحصها المحللون أن استعادة الملفات "شبه مستحيلة" بدون أداة فك التشفير التي يستخدمها المهاجم. تُرشد الرسالة الضحايا للتواصل مع مستخدم Discord (xenqxd) وتقترح خيارات دفع مثل Paysafecard (في بولندا) أو مبلغ صغير من Bitcoin. تجدر الإشارة إلى أن بعض العينات تغفل قنوات اتصال مفيدة، مما قد يشير إلى حملة غير مدروسة أو أشبه بالمقالب، أو مشغلين لا يتوقعون التفاوض. تعامل مع جميع هذه المطالب بحذر شديد.

هل يمكنك استعادة الملفات دون دفع؟

بشكل عام، لا يمكن استعادة الملفات المُشفّرة بتهديدات عائلة Chaos بدون مفتاح فك التشفير المناسب. إذا كانت لديك نسخ احتياطية نظيفة وغير متصلة بالإنترنت من قبل الإصابة، فإن استعادتها هي الخيار الأكثر أمانًا. لا يُنصح بالدفع، فكثيرًا ما لا يُقدّم المجرمون برامج فك تشفير صالحة، ودفع الأموال يُعزّز النشاط الإجرامي.

نواقل العدوى الشائعة

• برامج مقرصنة، ومولدات مفاتيح، وأدوات مساعدة مقرصنة مقنعة بالبرامج الضارة.
• مرفقات وروابط البريد الإلكتروني الضارة (وحدات الماكرو Office والبرامج النصية وملفات EXE).
• الإعلانات المصابة، ومواقع التنزيل المخترقة أو غير الرسمية، وشبكات P2P/Torrent، ومحركات أقراص USB، وبرامج التنزيل التابعة لجهات خارجية.

إجراءات فورية إذا كنت تشك في الإصابة بالعدوى

قم بعزل الجهاز على الفور : افصله عن الشبكات (السلكية/الواي فاي) وقم بإلغاء تثبيت أي محركات مشتركة/شبكية لمنع الانتشار الجانبي.

الحفاظ على الأدلة : لا تقم بإيقاف تشغيل الطاقة إذا كنت تقوم بجمع الذاكرة أو القطع الأثرية الجنائية، بدلاً من ذلك قم بالتقاط صور للذاكرة والقرص إذا كانت لديك القدرة على ذلك، أو اتصل بالاستجابة للحوادث.

استخدام النسخ الاحتياطية : قم بالاستعادة من النسخ الاحتياطية الموثوقة بمجرد إزالة البرامج الضارة وإعادة بناء الأنظمة؛ لا تقم باستعادة النسخ الاحتياطية التي ربما تم توصيلها في وقت الإصابة.

لا تدفع إلا بعد أن يقوم فريق الاستجابة للحوادث بتقييم جميع الخيارات والعواقب؛ حيث لا يتم ضمان نجاح الدفع وقد يشجع على وقوع هجمات مستقبلية.

أفضل ممارسات الأمن

الحفاظ على دفاع محدث ومتعدد الطبقات يتضمن الممارسات التالية في العمليات اليومية:

إدارة التصحيحات : تطبيق تحديثات أمان نظام التشغيل والتطبيقات على الفور؛ حيث تستغل العديد من سلالات برامج الفدية الثغرات الأمنية المعروفة والمصححة.

أقل امتياز ونظافة الحساب : قم بتشغيل المستخدمين الذين لديهم حسابات غير إدارية، وفرض مصادقة متعددة العوامل قوية للوصول عن بعد والحسابات ذات الامتيازات، ومراقبة سلوك تسجيل الدخول غير المعتاد.

استراتيجية النسخ الاحتياطي : أنشئ نسخًا احتياطية بانتظام واحفظها منفصلة عن الشبكة. فالنسخ الاحتياطي هو الوسيلة الأكثر فعالية للتعافي من هجمات التشفير.

حماية نقاط النهاية والاستجابة للحوادث والاستجابة لها : استخدم حلولاً موثوقة للكشف عن نقاط النهاية والاستجابة لها، قادرة على اكتشاف أي خلل في التنفيذ، وحظر الحمولات الضارة، وتمكين الاحتواء السريع. حافظ على تفعيل التوقيعات والقياس عن بُعد.

تثقيف المستخدمين ومقاومة التصيد الاحتيالي : تدريب المستخدمين على تجنب استخدام برامج الاختراق/مولدات المفاتيح، والتحقق من مُرسِلي البريد الإلكتروني والروابط، والتعامل مع المرفقات غير المتوقعة بحذر. تُقلل حملات التصيد الاحتيالي والتوعية المُحاكية من عامل الخطر البشري.

عناصر التحكم في التطبيق وقيود الماكرو : قم بتعطيل وحدات الماكرو الخاصة بـ Office بشكل افتراضي، وقم بحظر التنفيذ من مواقع الإساءة الشائعة (على سبيل المثال، %AppData%، والمجلدات المؤقتة)، واستخدم قائمة السماح بالتطبيق حيثما كان ذلك ممكنًا.

ملاحظات ختامية

يوضح سولارا المخاطر الشائعة المرتبطة بمنشئي برامج الفدية المتاحة للعامة: تتكاثر النسخ المتشعبة والمتغيرة، ويُكيّف المهاجمون باستمرار أساليب التوزيع لاستهداف مجتمعات محددة (تُسلّط التقارير الضوء على منتديات الألعاب وقنوات البرامج المقرصنة كوسائل إغراء محتملة). أفضل وسائل الدفاع هي الوقاية، والنسخ الاحتياطية القوية، والاحتواء السريع، والعمل مع فرق استجابة مدربة، وعدم دفع فدية. إذا كنت تشك في وجود اختراق وتحتاج إلى مساعدة في التنظيف خطوة بخطوة، فاجمع مؤشرات نموذجية (أسماء الملفات، ورموز التجزئة، ونص إشعار الفدية) واستشر مزود استجابة للحوادث موثوقًا به أو مورد الأمان لديك للحصول على إرشادات الاحتواء والاسترداد.