تراخيص الأجهزة المتعددة (خصومات كبيرة)
Threat Database Ransomware Yanluowang Ransomware

Yanluowang Ransomware

بواسطة Mezo في Ransomware
ترجمة الى:
العربية

كشف باحثو إنفوسك عن عملية هجوم جديدة شديدة الاستهداف تنشر تهديد فدية لم يسبق له مثيل. ولم يتم الكشف عن هدف عملية التهديد لكنها توصف بأنها منظمة كبيرة بارزة. يسمى التهديد Yanluowang Ransomware بعد الامتداد الذي يستخدمه لتمييز الملفات التي يشفرها. تمتلك قائمة موسعة من الوظائف ولكن وفقًا لنتائج خبراء الأمن السيبراني ، لا يزال Yanluowang Ransomware في مرحلة التطوير وقد يصبح أكثر تهديدًا في المستقبل.

اعداد البيئة

قبل تسليم برامج الفدية إلى الأنظمة المخترقة ، يستغل المهاجمون أداة استعلام Active Directory لسطر الأوامر الشرعية المسماة AdFind. غالبًا ما يسيء مجرمو الإنترنت استخدام هذه الأداة المعينة كوسيلة للتنقل أفقياً داخل الشبكات المخترقة.

الخطوة التالية لهجوم Yanluowang هي تهيئة بيئة الكمبيوتر المخترق. ينشر المتسللون أداة متخصصة تؤدي ثلاث مهام رئيسية. أولاً ، يقوم بإنشاء ملف نصي يحتوي على عدد من الأجهزة البعيدة التي سيتم التحقق منها عبر سطر الأوامر. بعد ذلك ، يستخدم Window Management Instrumentation (WMI) المشروعة للحصول على قائمة بجميع العمليات التي تعمل على الأنظمة المدرجة في الملف النصي. أخيرًا ، يخزن جميع العمليات جنبًا إلى جنب مع اسم الأجهزة البعيدة في ملف "process.txt".

وظائف Yanluowang Ransomware

يمتلك تهديد برامج الفدية جميع الوظائف الضارة النموذجية المتوقعة من تهديد من هذا النوع. يبدأ عملية تشفير تقوم بتأمين الملفات على النظام المصاب باستخدام خوارزمية قوية. سيحتوي كل ملف مقفل على ".yanluowang" مُلحق باسمه الأصلي. ومع ذلك ، قبل بدء التشفير ، يقوم التهديد بإجراءين تحضيريين. يؤدي تهديد برامج الفدية إلى إنهاء جميع أجهزة برنامج Hypervisor الافتراضية إذا كانت تعمل على الكمبيوتر المصاب. ثم يبحث في ملف "process.txt" وينهي جميع العمليات المدرجة هناك ، بما في ذلك SQL وحل النسخ الاحتياطي وحماية البيانات Veeam. الخطوة الأخيرة التي يقوم بها التهديد هي تسليم فدية مع التعليمات لضحيته.

تفاصيل مذكرة الفدية

تكشف المذكرة أن المتسللين غير راضين عن مجرد قفل ملف الضحية وابتزاز الأموال لاستعادتها المحتملة. إذا لم يتم تلبية مطالبهم ، يقول مجرمو الإنترنت أنهم مستعدون لشن هجمات DDoS (رفض الخدمة الموزعة) ضد الضحية ، وسيبدأون في الاتصال بالموظف والشركاء التجاريين للكيان ، وأخيرًا ، سيشن هجومًا آخر في غضون أسبوعين لحذف جميع بيانات الضحية. بالإضافة إلى ذلك ، تدعي مذكرة Yanluowang Ransomware أنه تم بالفعل جمع كميات هائلة من البيانات الخاصة.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,356
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...