Traders Ransomware

لا تزال برامج الفدية من أسرع التهديدات انتشارًا وأكثرها إرباكًا التي تواجه الأفراد والمؤسسات. يمكن لاختراق ناجح واحد أن يُشفّر سنوات من العمل، ويكشف بيانات خاصة، ويتسبب في توقف مكلف للأنظمة. إن البقاء على اطلاع دائم بالتهديدات النشطة وتطبيق دفاعات متعددة الطبقات يقللان بشكل كبير من احتمالية وقوع هجوم وتأثيره.

ملف التهديد - ما هو "التجار"؟

التجار هو برنامج فدية لتشفير الملفات، رصده محللو الأمن أثناء عمليات البحث عن التهديدات والتحقيقات المتعلقة بالبرمجيات الخبيثة. بمجرد وصوله إلى النظام، يقوم بتشفير بيانات المستخدم وتغيير أسماء الملفات لتمييزها. ثم يطلب مشغلوه فدية مقابل الحصول على مفتاح فك التشفير، ويمارسون ضغوطًا من خلال تهديدات تسريب البيانات.

علامات الملفات المميزة — كيفية إعادة تسمية بياناتك

بعد التشفير، يُضيف برنامج Traders مُعرّفًا خاصًا بالضحية وامتداد ".traders" إلى كل ملف مُتأثر. يتضمن النمط مُعرّف الضحية بين قوسين، مما يُسهّل اكتشاف الاختراق في جميع المجلدات. على سبيل المثال:

• 1.png يصبح 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
• 2.pdf يصبح 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders

مذكرة فدية - مطالب المهاجمين وادعاءاتهم

يُرسل المتداولون ملاحظةً باسم "README.TXT". تُشير الرسالة إلى تشفير المستندات والصور وقواعد البيانات وغيرها من الملفات القيّمة، وتؤكد أن عملية الاسترداد تتطلب مفتاحًا خاصًا فريدًا يحتفظ به المهاجمون. عادةً ما تُثني هذه الملاحظة عن محاولات فك التشفير الذاتية، مُحذرةً من أن الأدوات غير المناسبة قد تُتلف البيانات بشكل لا رجعة فيه. تُوفر الرسالة نقاط اتصال، وعنوان بريد إلكتروني (traders@mailum.com)، ومعرف جلسة مراسلة، يُطلب من الضحايا من خلاله التفاوض.

الابتزاز المزدوج - سرقة البيانات كوسيلة ضغط

بالإضافة إلى التشفير، تُهدد المذكرة ببيع البيانات المُستخرجة أو نشرها في حال عدم الدفع. ويسعى هذا الأسلوب "الابتزاز المزدوج" إلى إجبار الضحايا الذين يعتمدون على النسخ الاحتياطية، من خلال إضافة مخاطر تتعلق بالسمعة والقانون والخصوصية إلى المعادلة.

حقيقة التعافي - ما الذي يساعد فعليًا

عادةً ما تقاوم الملفات المقفلة ببرامج الفدية الحديثة عملية الاستعادة دون استخدام برنامج فك التشفير الذي يستخدمه المهاجمون. تقتصر مسارات الاستعادة العملية على النسخ الاحتياطية النظيفة وغير المتصلة بالإنترنت التي لم يكن من الممكن الوصول إليها أثناء الحادث. يُنصح بشدة بعدم دفع الفدية: فلا يوجد ضمان لحصولك على أدوات فك تشفير فعّالة، كما أن الدفع يُغذي المزيد من النشاط الإجرامي.

الاحتواء والاستئصال - إجراءات فورية

في حال اكتشاف برنامج Traders، اعزل الأجهزة المصابة عن الشبكة فورًا لوقف أي تشفير أو انتشار جانبي. احتفظ بسجلات الأدلة الجنائية، بما في ذلك إشعار الفدية، وعينات من الملفات المشفرة، والسجلات ذات الصلة. استخدم برنامجًا موثوقًا لمكافحة البرامج الضارة/EDR لإزالة الحمولة وأي آليات استمرارية. بعد الإزالة، أعد بناء الأنظمة المخترقة أو أعد تصويرها، وقم بتدوير بيانات الاعتماد، ودقق مفاتيح الوصول والرموز. عندها فقط، ابدأ باستعادة البيانات من النسخ الاحتياطية المُتحقق منها مع مراقبة إعادة الإصابة بعناية.

الوصول والتسليم الأولي - كيف يصل المتداولون إلى الأنظمة

كما هو الحال مع العديد من عائلات برامج الفدية، يُنقل برنامج Traders عبر قنوات متعددة. تشمل نقاط الدخول الشائعة مرفقات أو روابط بريد إلكتروني ضارة، وبرامج مُقرصنة أو مُصابة بأحصنة طروادة (بما في ذلك مُولدات المفاتيح وبرامج الاختراق)، وإغراءات الدعم الفني الوهمية، واستغلال الثغرات الأمنية غير المُرقعة. كما يستغل مُجرمو الإنترنت الإعلانات الخبيثة، ومواقع الويب المُخترقة أو المُشابهة، والوسائط القابلة للإزالة المُصابة، وشبكات النظير للنظير (P2P)، وبوابات التنزيل الخارجية، وأنواع الملفات المُخبأة مثل مُثبتات الملفات القابلة للتنفيذ، ومستندات Office أو PDF المُدمجة بها وحدات ماكرو أو نصوص برمجية، والأرشيفات المضغوطة (ZIP/RAR) التي تُفكّك البرامج الضارة.

تعزيز دفاعاتك - ممارسات أمنية أساسية

• الحفاظ على النسخ الاحتياطية دون اتصال بالإنترنت.
• قم بتصحيح الأخطاء فورًا. أعطِ الأولوية للخدمات المتصلة بالإنترنت والتحديثات التلقائية القابلة للتشغيل عند الإمكان.
• قم بنشر برامج أمان ذات سمعة طيبة مع الحماية في الوقت الفعلي وحظر السلوك والتحكم في الوصول إلى المجلد.
• عزز الوصول عن بُعد عبر بروتوكول RDP. عطّل الوصول إذا لم يكن ضروريًا، وقيّده بقائمة السماح/شبكة VPN، واطلب المصادقة الثنائية (MFA)، وراقب عمليات تسجيل الدخول غير القانونية أو غير الطبيعية.
• تعطيل وحدات الماكرو والبرامج النصية الخطرة. حظر وحدات ماكرو Office من الإنترنت، وتقييد استخدام PowerShell إلى وضع اللغة المقيدة لغير المسؤولين، وتدقيق تنفيذ البرامج النصية.
• متصفحات آمنة وعمليات تنزيل آمنة. استخدم فقط خدمات موثوقة، واحظر المواقع الضارة المعروفة، وتجنب برامج التنزيل الخارجية ومصادر P2P.

الأفكار النهائية

يجمع برنامج الفدية للتجار بين التشفير القوي وضغوط الابتزاز، مما يجعل الاستعداد أفضل دفاع. حافظ على تحديث أنظمتك، وفرض وصول محدود، ونشر حماية فعالة لنقاط النهاية، وتجزئة الشبكات، والأهم من ذلك، احرص على الاحتفاظ بنسخ احتياطية مختبرة وغير متصلة بالإنترنت. إذا تأثرت بالفعل، ركز على الاحتواء والمعالجة الاحترافية بدلاً من الدفع.