XznShirkiCry Ransomware

يُظهر XznShirkiCry، وهو عبارة عن سلالة من برامج الفدية التي اكتشفها خبراء أمن المعلومات أثناء فحص تهديدات البرامج الضارة المحتملة، خصائص مميزة مصممة للإضرار بسلامة البيانات الموجودة على الأجهزة المصابة. كشف التحليل المتعمق الذي أجراه الخبراء أن XznShirkiCry مصمم خصيصًا لتشفير البيانات بنجاح عند التسلل. والجدير بالذكر أن هذا التهديد يقدم تعديلات مثل إلحاق امتداد محدد لأسماء الملفات المصابة، وتغيير خلفية سطح المكتب للنظام المصاب، وتسليم مذكرة فدية كملف نصي بعنوان "read_me.txt".

يأخذ الامتداد الملحق شكل '.locked[payransom1@gmailcom][ID_STRING]، وكمثال على تأثيره، يقوم برنامج الفدية بإعادة تسمية الملفات عن طريق إضافة هذا الامتداد. على سبيل المثال، يتحول "1.doc" إلى "1.doc.locked[payransom1@gmailcom]id18666"، ويتحول "2.png" إلى "2.png.locked[payransom1@gmailcom]id18666." تؤكد هذه الاتفاقية المميزة لتسمية الملفات على نية برنامج الفدية في نقل معلومات الاتصال الخاصة بالجهات الفاعلة في مجال التهديد، وتحديدًا عبر عنوان البريد الإلكتروني "payransom1@gmailcom" ومعرف فريد

يتطلب برنامج XznShirkiCry Ransomware فدية بعملة البيتكوين

تعمل مذكرة الفدية المرتبطة ببرنامج XznShirkiCry Ransomware كأداة اتصال للمهاجمين لإبلاغ الضحايا بالوضع المزري. وينص صراحة على أن نظام التشغيل الخاص بالضحية وقع فريسة لتهديد XznShirkiCry، مما أدى إلى تشفير كافة الملفات الموجودة على الجهاز المصاب. لاستعادة الوصول إلى الملفات المشفرة، يتم توجيه الضحايا إلى دفع فدية إلى محفظة بيتكوين محددة ومن ثم التواصل مع الجناة عبر عنوان البريد الإلكتروني المقدم (payransom1@gmail.com).

ينصح جانب تحذيري من المذكرة الضحايا بعدم حذف الملفات المشفرة أو محاولة تغيير امتداداتها، لأن مثل هذه الإجراءات قد تجعل عملية فك التشفير مستحيلة. علاوة على ذلك، يتم تعيين معرف فريد لكل ضحية والذي يصبح معرفًا حاسمًا لعملية فك التشفير.

في حين أن مذكرات الفدية التي تسقطها هذه الأنواع من التهديدات غالبًا ما تحدد وسيلة محتملة لاستعادة الملفات من خلال دفع فدية، فإن خبراء الأمن السيبراني لا يشجعون الضحايا بشدة على الانخراط في معاملات الفدية بسبب المخاطر الكامنة التي تنطوي عليها. وعلى الرغم من الوعود باستعادة الملفات، ليس هناك ما يضمن أن المهاجمين سيحترمون التزاماتهم.

يجب على الضحايا إزالة برامج الفدية على الفور من الأنظمة المخترقة. تمنع هذه الخطوة الاستباقية المزيد من تشفير الملفات والانتشار المحتمل لبرنامج الفدية عبر الشبكات المحلية. يعد إعطاء الأولوية لإزالة برنامج الفدية أمرًا ضروريًا لحماية السلامة العامة للأنظمة المتضررة على الرغم من أنه لن يستعيد أي بيانات تم تشفيرها بالفعل.

كيف تحمي بياناتك وأجهزتك من تهديدات برامج الفدية؟

تتطلب حماية البيانات والأجهزة من تهديدات برامج الفدية اتباع نهج استباقي ومتعدد الأوجه. فيما يلي العديد من الإجراءات الأساسية التي يمكن للمستخدمين اتخاذها لتعزيز دفاعاتهم ضد برامج الفدية:

• النسخ الاحتياطي بانتظام : تنفيذ استراتيجية نسخ احتياطي قوية عن طريق إجراء نسخ احتياطي للبيانات الأساسية بشكل منتظم. قم بتخزين النسخ الاحتياطية في نظام غير متصل بالإنترنت أو قائم على السحابة ولا يمكن الوصول إليه مباشرة من الجهاز الذي يتم نسخه احتياطيًا. وهذا يضمن أنه في حالة حدوث هجوم ببرامج الفدية، يمكن للضحايا استعادة ملفاتك دون الخضوع لطلبات الفدية.
• حافظ على تحديث البرامج : قم بتحديث نظام التشغيل وبرامج الأمان وجميع التطبيقات الأخرى بانتظام. تُستخدم تحديثات البرامج لتقديم تصحيحات أمنية تعالج نقاط الضعف، مما يجعل من الصعب على برامج الفدية استغلال نقاط الضعف في نظامك.
• استخدم برامج أمان موثوقة : قم بتثبيت برامج مكافحة البرامج الضارة ذات السمعة الطيبة. تأكد من تحديثه وضبطه لإجراء عمليات فحص منتظمة. يمكن لبرامج الأمان اكتشاف تهديدات برامج الفدية وتحييدها قبل أن تتمكن من إحداث أضرار جسيمة.
• توخي الحذر مع مرفقات وروابط البريد الإلكتروني : كن يقظًا عند التعامل مع رسائل البريد الإلكتروني، خاصة تلك الواردة من مصادر غير معروفة أو مشبوهة. تجنب الوصول إلى الروابط أو فتح المرفقات في رسائل البريد الإلكتروني التي تبدو غير متوقعة أو تحتوي على محتوى غير عادي. تبدأ العديد من هجمات برامج الفدية من خلال رسائل البريد الإلكتروني التصيدية.
• تمكين التحديثات التلقائية : قم بتمكين التحديثات التلقائية لنظام التشغيل والبرامج لديك. ويضمن ذلك حصولك على تصحيحات الأمان المهمة على الفور، مما يقلل من احتمالية تعرضك لهجمات برامج الفدية المحتملة.
• استخدم كلمات مرور قوية وفريدة من نوعها : استخدم كلمات مرور قوية وفريدة من نوعها لجميع الحسابات والأجهزة. تجنب استخدام كلمات مرور يسهل تخمينها وفكر في استخدام مدير كلمات المرور لإنشاء كلمات مرور معقدة وتخزينها بشكل آمن.
• تثقيف المستخدمين وتدريبهم : قم بتثقيف نفسك والآخرين داخل مؤسستك حول مخاطر وخصائص برامج الفدية. يجب أن يتضمن التدريب التعرف على محاولات التصيد الاحتيالي، وفهم عادات التصفح الآمن، ومعرفة كيفية الاستجابة للتهديدات المحتملة.
• تنفيذ تجزئة الشبكة : قم بتقسيم شبكتك لتقييد الحركة الجانبية لبرامج الفدية. من خلال تقسيم شبكتك إلى أجزاء معزولة، يمكنك الحد من انتشار برامج الفدية إذا تم اختراق جزء واحد.
• ابق على اطلاع بشأن التهديدات الأمنية : ابق على اطلاع بأحدث تهديدات الأمن السيبراني وأفضل الممارسات. إن متابعة المدونات الأمنية ذات السمعة الطيبة، وحضور الندوات عبر الإنترنت، والمشاركة في منتديات الأمن السيبراني يمكن أن تساعدك على البقاء على علم بتهديدات برامج الفدية الناشئة واستراتيجيات الدفاع الفعالة.

ومن خلال تنفيذ هذه التدابير، يمكن للمستخدمين تقليل خطر الوقوع ضحية لبرامج الفدية بشكل كبير وتعزيز الأمن العام لبياناتهم وأجهزتهم.

النص الكامل لمذكرة الفدية التي تركها برنامج XznShirkiCry Ransomware لضحاياه هو:

'Внимание!
Ваша ОС заражена вирусом XznShirkiCry, а все ваши файлы были зашифрованы.
Для того чтобы расшифровать ваши файлы, необходимо заплатить выкуп 5$ на BitCoin-кошелек. После этого написать на нашу электронную почту.
BitCoin-кошелек:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV
Электронная почта:payransom1@gmail.com
Важно! Зашифрованы файлы:
Не удалять
Не изменять расширение файлов
В случаи если вы удалите наш вирус или ваш антивирус его удалит, то расшифровка станет невозможна!!!
Ваш ID: - . Данный ID понадобится для расшифровки.'

The English version:

'Attention!

Your OS is infected with the XznShirkiCry virus, and all your files have been encrypted.

In order to decrypt your files, you need to pay a $5 ransom to a BitCoin wallet.
After that, write to our email address.

BitCoin Wallet:17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

e-mail:payransom1@gmail.com

Important! Encrypted files:

Do not delete

Do not change the file extension

If you delete our virus or your antivirus deletes it, then decryption will be impossible!!!

Your ID: - . You will need this ID for decryption.'