SRC الفدية
أثناء التحقيق في تهديدات البرامج الضارة، حدد باحثو الأمن السيبراني برنامج فدية محددًا يُعرف باسم SRC. بمجرد أن يتسلل SRC Ransomware إلى جهاز الضحية، فإنه يبدأ في تشفير أنواع مختلفة من الملفات. ثم يقوم بتعديل أسماء الملفات الأصلية عن طريق إلحاق معرف ضحية فريد وعنوان البريد الإلكتروني "restoreBackup@cock.li" وملف . امتداد "SRC".
بالإضافة إلى تشفير الملفات، يقوم برنامج SRC Ransomware بتبديل صورة خلفية سطح المكتب وإسقاط ملاحظة فدية على الجهاز. يتم تخزين رسالة طلب الفدية في ملف نصي يسمى "+README-WARNING+.txt". على سبيل المثال، يقوم SRC Ransomware بتغيير اسم الملف "1.doc" إلى "1.doc.[2AF25FA3].[RestoreBackup@cock.li].SRC" و"2.pdf" إلى "2.pdf.[2AF25FA3].[ RestoreBackup@cock.li].SRC."
أكد الخبراء أن برنامج الفدية هذا بالتحديد هو جزء من عائلة البرامج الضارة Makop .
قد يترك برنامج SRC Ransomware الضحايا غير قادرين على الوصول إلى بياناتهم الخاصة
تُعلم مذكرة الفدية التي خلفتها SRC Ransomware ضحاياها بأن ملفاتهم قد تم تشفيرها ولكنها تؤكد أن بنية الملف تظل سليمة لتجنب تلف البيانات. وينص على أن الدفع ضروري لفك تشفير الملفات ويعرض فك تشفير ملفين نموذجيين لإثبات قدرتهما. توفر المذكرة عنوان بريد إلكتروني (restoreBackup@cock.li) ومعرف TOX للاتصال بالمهاجمين.
بالإضافة إلى ذلك، تنصح مذكرة الفدية الضحايا بعدم محاولة تغيير الملفات المشفرة أو استخدام أدوات فك التشفير التابعة لجهة خارجية، لأن هذه الإجراءات قد تؤدي إلى فقدان البيانات بشكل دائم.
بمجرد قيام برنامج الفدية بتشفير الملفات الموجودة على جهاز الكمبيوتر، يصبح من غير الممكن الوصول إلى هذه الملفات حتى يتم استخدام أداة فك التشفير. عادةً ما يمتلك المهاجمون فقط أداة فك التشفير اللازمة. ومع ذلك، فإن دفع الفدية أمر محفوف بالمخاطر لأن المهاجمين قد لا يوفرون أداة فك التشفير. علاوة على ذلك، فإن الاتصال بمجرمي الإنترنت يمكن أن يعرض المستخدمين لمخاطر الخصوصية والأمان المختلفة.
من الضروري إزالة برامج الفدية من الأنظمة المتأثرة لمنعها من الانتشار إلى أجهزة كمبيوتر أخرى متصلة بالشبكة أو مواصلة تشفير الملفات على نفس النظام. ومع ذلك، فإن إزالة برنامج الفدية لن يؤدي إلى استعادة الملفات التي تم تشفيرها بالفعل.
نفِّذ تدابير أمنية فعالة لحماية أجهزتك من تهديدات البرامج الضارة وبرامج الفدية
لحماية أجهزتهم من تهديدات البرامج الضارة وبرامج الفدية، يُنصح المستخدمون بشدة بتنفيذ الإجراءات الأمنية التالية:
النسخ الاحتياطية العادية :
النسخ الاحتياطية المتكررة: قم بعمل نسخة احتياطية منتظمة من البيانات المهمة على محركات الأقراص الخارجية أو التخزين السحابي. تأكد من الاحتفاظ بالنسخ الاحتياطية دون اتصال بالإنترنت أو معزولة لمنع برامج الفدية من تشفيرها.
اختبار النسخ الاحتياطي: قم باختبار النسخ الاحتياطية بشكل دوري للتأكد من إمكانية استعادة البيانات بنجاح.
برامج مكافحة البرامج الضارة :
الحماية الشاملة: قم بتثبيت برامج مكافحة البرامج الضارة ذات السمعة الطيبة التي توفر الحماية في الوقت الحقيقي وتحديثات منتظمة.
عمليات الفحص المنتظمة: قم بإجراء عمليات فحص كاملة للنظام بشكل متكرر لاكتشاف التهديدات المحتملة وإزالتها.
تحديثات البرنامج :
التحديثات في الوقت المناسب: حافظ على تحديث برامج نظام التشغيل بأحدث تصحيحات الأمان.
التحديثات التلقائية: قم بتمكين التحديثات التلقائية حيثما أمكن ذلك لضمان تصحيح الثغرات الأمنية في الوقت المناسب.
أمن البريد الإلكتروني :
عوامل تصفية البريد العشوائي: استخدم عوامل تصفية البريد العشوائي القوية لمنع رسائل البريد الإلكتروني التصيدية والمرفقات الضارة. الحذر بشأن المرفقات: تجنب الوصول إلى مرفقات البريد الإلكتروني والروابط من مصادر غير معروفة أو مشبوهة.
أمن الشبكات :
جدران الحماية: تمكين جدران الحماية وتكوينها لمراقبة حركة مرور الشبكة الواردة والصادرة والتحكم فيها.
اتصالات آمنة: استخدم شبكات VPN لتأمين اتصالات الإنترنت، خاصة عند استخدام شبكة Wi-Fi عامة.
ضوابط الوصول :
امتيازات المستخدم: الحد من امتيازات المستخدم إلى الحد الأدنى اللازم لأداء مهامه، مما يقلل من تأثير الإصابات المحتملة.
كلمات مرور قوية: تنفيذ كلمات مرور فعالة وفريدة لجميع الحسابات وتغييرها بانتظام. استخدم المصادقة متعددة العوامل (MFA) للحصول على طبقة إضافية من الأمان.
تدريب توعية الحراس :
تدريب الموظفين: تثقيف الموظفين والمستخدمين حول مخاطر البرامج الضارة وبرامج الفدية، وممارسات الإنترنت الآمنة، وكيفية التعرف على محاولات التصيد الاحتيالي.
التعليم المستمر: توفير تدريب مستمر للتوعية الأمنية لإبقاء المستخدمين مطلعين على أحدث التهديدات وتقنيات الوقاية.
التحكم في التطبيق :
القائمة البيضاء: تفعيل القائمة البيضاء للتطبيقات لضمان تشغيل البرامج المعتمدة فقط على الشبكة.
المراقبة: مراقبة التطبيقات المثبتة بانتظام وإزالة أي تطبيقات غير ضرورية أو مشبوهة.
ومن خلال تنفيذ هذه الإجراءات الأمنية الشاملة، يمكن للمستخدمين تجنب الإصابة بالبرامج الضارة وبرامج الفدية وحماية بياناتهم وأجهزتهم من التهديدات المحتملة.
نص مذكرة الفدية التي تم إنشاؤها بواسطة SRC Ransomware هو:
'::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc… not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailbox: RestoreBackup@cock.li
Or you can contact us via TOX: -
You don't know about TOX? Go to hxxps://tox.chat.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files..6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.'
