الإعلانات
عندما بدأت النسخ الجديدة من برنامج الفدية Locky الموزعة على نطاق واسع تجف في نهاية شهر مايو عام 2016 ، كان باحثو الأمن على يقين من أننا لم نر آخر البرامج الضارة لتشفير الملفات البديل.
وها هم كانوا على حق.
منذ 19 يونيوالعاشر لاحظ خبراء الأمن الملايين من رسائل البريد الإلكتروني الخبيثة المرسلة مع مرفق يحتوي على متغير جديد من Locky ransomware. ال يبدو أن التطور جعل البرامج الضارة أكثر خطورة ما وراء جهاز الكمبيوتر الخاص بك: 5 طرق ستأخذك برامج Ransomware في الأسر في المستقبلمن المحتمل أن تكون رانسومواري هي أكثر البرامج الضارة شرًا هناك ، وأصبح المجرمون الذين يستخدمونها أكثر متقدم ، إليك خمسة أشياء مقلقة يمكن أخذها كرهائن قريبًا ، بما في ذلك المنازل الذكية والذكية سيارات. اقرأ أكثر ، ويصاحبها تكتيك توزيع متغير ، ينشر العدوى أكثر مما شوهد من قبل.
انها ليست مجرد برامج الفدية لوكي تقلق الباحثين الأمن. كان هناك بالفعل أنواع أخرى من Locky ، ويبدو أن شبكات التوزيع تكثف "الإنتاج" في جميع أنحاء العالم ، دون وضع أهداف محددة في الاعتبار.
جافا سكريبت Ransomware
شهد عام 2016 تحول طفيف في توزيع البرامج الضارة
لا تقع في خطأ المحتالين: دليل برامج الفدية والتهديدات الأخرى اقرأ أكثر . قد يكون مستخدمو الإنترنت قد بدأوا للتو في فهم ما يشكله برنامج الفدية من خطر شديد ، ولكنه بدأ بالفعل في التطور ، من أجل البقاء تحت الرادار لأطول فترة ممكنة.
وعلى الرغم من أن البرامج الضارة التي تستخدم أطر عمل جافا سكريبت المعروفة ليست شائعة ، إلا أن المتخصصين في مجال الأمن غمرهم طوفان من البرامج الضارة في الربع الأول من عام 2016 مما أدى إلى إلدون سبريكرهوف للدولة:
"يبدو أن تطور البرمجيات الخبيثة سريع وحاد مثل أي بيئة غابة ، حيث يسير البقاء والانتشار جنبًا إلى جنب. قام المؤلفون بشكل متكرر باختيار الوظائف من سلالات البرامج الضارة المختلفة إلى الجيل التالي من التعليمات البرمجية - أخذ عينات بانتظام من فعالية وربحية كل جيل. "
يمثل ظهور برامج الفدية المشفرة في JavaScript تحديًا جديدًا للمستخدمين لمحاولة تجنبه. في السابق ، إذا قمت بتنزيل ملف ضار عن طريق الخطأ ، أو تم إرسال ملف ضار ، فسيقوم Windows بفحص امتداد الملف ويقرر ما إذا كان هذا النوع المحدد من الملفات يشكل خطرًا على نظامك أم لا.
على سبيل المثال ، عند محاولة تشغيل مجهول.إملف تنفيذى ملف ، سوف تواجه هذا التحذير:
لا يوجد مثل هذا التحذير الافتراضي مع جافا سكريبت - .js امتداد الملف - الملفات ، التي أدت إلى نقر عدد كبير من المستخدمين دون تفكير ، ثم احتجازهم للحصول على فدية.
Botnets والبريد الإلكتروني العشوائي
يتم إرسال الغالبية العظمى من برامج الفدية عبر رسائل البريد الإلكتروني الضارة ، والتي يتم إرسالها بدورها بأحجام كبيرة من خلال شبكات ضخمة من أجهزة الكمبيوتر المصابة ، والتي يشار إليها عادةً باسم "الروبوتات".
وقد ارتبط الارتفاع الكبير في برنامج Locky Ransomware مباشرة بشبكة Necrus الروبوتات ، والتي شهدت متوسطًا 50,000 تصاب عناوين IP كل 24 ساعة لعدة أشهر. خلال الملاحظة (بواسطة أنوبيس نتوركس) ، ظلت معدلات الإصابة ثابتة حتى 28 مارسالعاشر عندما كانت هناك زيادة كبيرة ، وصلت 650,000 الالتهابات على مدار 24 ساعة. ثم ، عد إلى العمل كالمعتاد ، وإن كان ذلك مع انخفاض معدل الإصابة ببطء.
في 1 يونيوش، ذهب Necrus هادئة. التكهنات حول سبب هدوء البوت نت ضئيلة ، على الرغم من أنها تركزت حول العالم القبض على نحو 50 من المتسللين الروس. ومع ذلك ، استأنفت الروبوتات أعمالها في وقت لاحق من الشهر (حول ال 19العاشر يونيو) ، وإرسال متغير لوكي الجديد إلى ملايين الضحايا المحتملين. يمكنك مشاهدة الانتشار الحالي لشبكة Necrus الروبوتات في الصورة أعلاه - لاحظ كيف تتجنب روسيا؟
تحتوي رسائل البريد الإلكتروني العشوائية دائمًا على مرفق ، يُزعم أنه مستند أو أرشيف مهم يتم إرساله من حساب موثوق به (ولكن مخادع). بمجرد تنزيل المستند والوصول إليه ، سيتم تشغيل ماكرو مصاب أو برنامج نصي ضار تلقائيًا ، وتبدأ عملية التشفير.
سواء لوكي ، دريديكس ، كريبتو لوكير ، أو أحد المتغيرات التي لا تعد ولا تحصى من برامج الفدية الفيروسات وبرامج التجسس والبرامج الضارة وما إلى ذلك. وأوضح: فهم التهديدات عبر الإنترنتعندما تبدأ في التفكير في كل الأشياء التي يمكن أن تسوء عند تصفح الإنترنت ، يبدأ الويب في الظهور كمكان مخيف جدًا. اقرأ أكثر ، لا يزال البريد الإلكتروني العشوائي هو شبكة توصيل برامج الفدية ، وهو يوضح بوضوح مدى نجاح طريقة التسليم هذه.
ظهور منافسين جدد: بارت و RAA
برامج جافا سكريبت الضارة ليست هي الخطر الوحيد برامج الفدية تحافظ على نموها - كيف يمكنك حماية نفسك؟ اقرأ أكثر سيتعين على المستخدمين التعامل معها في الأشهر القادمة - على الرغم من أن لدي أداة جافا سكريبت أخرى لأخبركم بها!
أولا ، بارت تستفيد العدوى من بعض تقنيات برامج الفدية القياسية جدًا ، باستخدام واجهة دفع مشابهة لـ Locky ، واستهداف قائمة سائدة من امتدادات الملفات للتشفير. ومع ذلك ، هناك زوجان من الاختلافات التشغيلية الرئيسية. في حين أن معظم برامج الفدية تحتاج إلى الاتصال بالمنزل إلى خادم أوامر وتحكم من أجل الضوء الأخضر للتشفير ، فإن بارت ليس لديه مثل هذه الآلية.
بدلا من ذلك ، بريندان جريفين وروني توكازوفسكي من Phishme يعتقد بارت يعتمد على "معرّف الضحية المميز للإشارة إلى جهة التهديد بمفتاح فك التشفير الذي يجب استخدامه لإنشاء تطبيق فك التشفير المفترض أنه متاح للضحايا الذين يدفعون فدية "، وهذا يعني أنه حتى إذا تم فصل المصاب عن الإنترنت بسرعة (قبل تلقي الأمر التقليدي والتحكم في المضي قدمًا) ، فستستمر برامج الفدية في تشفير الملفات.
هناك شيئان آخران يضعان بارت جانبًا: سعر طلب فك التشفير ، واختياره المحدد للأهداف. يبلغ سعره حاليًا 3BTC (بيتكوين) ، والذي يعادل وقت كتابة هذا التقرير أقل من 2000 دولار! أما بالنسبة لاختيار الأهداف ، فإن بارت هو في الواقع أكثر من لا استهداف. إذا حدد بارت لغة مستخدم مثبتة هي الروسية أو الأوكرانية أو البيلاروسية ، فلن يتم نشرها.
ثانيًا ، لدينا RAA، وهو نوع آخر من برامج الفدية تم تطويره بالكامل في JavaScript. ما يجعل RAA مثيرًا للاهتمام هو استخدامه لمكتبات JavaScript الشائعة. يتم توزيع RAA من خلال شبكة بريد إلكتروني ضارة ، كما نرى مع معظم برامج الفدية ، وعادة ما يأتي متنكرًا في شكل مستند Word. عند تنفيذ الملف ، يقوم بإنشاء مستند Word مزيف يبدو أنه تالف تمامًا. بدلاً من ذلك ، تقوم RAA بفحص محركات الأقراص المتوفرة للتحقق من إمكانية الوصول للقراءة والكتابة ، وإذا نجحت ، فإن مكتبة Crypto-JS تبدأ في تشفير ملفات المستخدم.
لإضافة إهانة للإصابة ، تقوم RAA أيضًا بتجميع برنامج سرقة كلمة المرور المعروف Pony ، فقط للتأكد من أنك مشدود حقًا.
التحكم في البرامج الضارة لجافا سكريبت
لحسن الحظ ، على الرغم من التهديد الواضح الذي تمثله البرامج الضارة المستندة إلى JavaScript ، يمكننا التخفيف من الخطر المحتمل باستخدام بعض عناصر التحكم الأساسية في حسابات البريد الإلكتروني وأجنحة Office الخاصة بنا. أستخدم Microsoft Office ، لذا ستركز هذه النصائح على تلك البرامج ، ولكن يجب عليك تطبيق نفس مبادئ الأمان على أي تطبيقات تستخدمها.
تعطيل وحدات الماكرو
أولاً ، يمكنك تعطيل وحدات الماكرو من التشغيل تلقائيًا. قد يحتوي الماكرو على رمز مصمم لتنزيل البرامج الضارة وتنفيذها تلقائيًا ، دون أن تدرك ذلك. سأوضح لك كيفية القيام بذلك في Microsoft Word 2016 ، ولكن عملية مماثلة نسبيا لجميع برامج Office الأخرى كيف تحمي نفسك من البرامج الضارة مايكروسوفت ووردهل تعلم أن جهاز الكمبيوتر الخاص بك يمكن أن يكون مصابًا بمستندات Microsoft Office الخبيثة ، أو أنه يمكن خداعك لتمكين الإعدادات التي يحتاجونها لإصابة جهاز الكمبيوتر الخاص بك؟ اقرأ أكثر .
رئيس ل ملف> خيارات> مركز التوثيق> إعدادات مركز التوثيق. تحت إعدادات الماكرو لديك أربعة خيارات. اخترت قم بتعطيل كافة وحدات الماكرو مع الإعلام، لذلك يمكنني اختيار تشغيله إذا كنت متأكدًا من المصدر. ومع ذلك، تنصح Microsoft بالاختيارتعطيل كافة وحدات الماكرو باستثناء وحدات الماكرو الموقعة رقمياً، فيما يتعلق بانتشار برنامج Locky Ransomware.
إظهار الامتدادات ، استخدام برنامج مختلف
هذا ليس مضمونًا تمامًا ، ولكن الجمع بين التغييرين ربما يوفر عليك من النقر المزدوج على الملف الخطأ.
أولاً ، تحتاج إلى تمكين ملحقات الملفات داخل Windows ، والتي تكون مخفية افتراضيًا.
في Windows 10 ، افتح نافذة Explorer ، وتوجه إلى رأي التبويب. التحقق من ملحقات اسم الملف.
في Windows 7 أو 8 أو 8.1 ، توجه إلى لوحة التحكم> المظهر والتخصيص> خيارات المجلد. تحت رأي علامة التبويب ، قم بالتمرير لأسفل إعدادات متقدمة حتى تكتشف إخفاء امتداد الملفات المعروفة.
إذا قمت عن طريق الخطأ بتنزيل ملف ضار مقنعًا كشيء آخر ، فيجب أن تتمكن من تحديد امتداد الملف قبل التنفيذ.
يتضمن الجزء الثاني من هذا تغيير البرنامج الافتراضي المستخدم لفتح ملفات JavaScript. كما ترى ، عندما تتعامل مع JavaScript داخل متصفحك ، هناك عدد من العوائق والأطر لمحاولة إيقاف أي أحداث ضارة من تخريب النظام الخاص بك. بمجرد أن تكون خارج حرمة المتصفح وداخل shell Windows ، يمكن أن تحدث أشياء سيئة عند تنفيذ هذا الملف.
توجه إلى .js ملف. إذا كنت لا تعرف أين أو كيف ، أدخل *. js في شريط بحث Windows Explorer. يجب أن تملأ نافذتك بالملفات المشابهة لهذا:
انقر بزر الماوس الأيمن على ملف وحدد الخصائص. يتم فتح ملف JavaScript في الوقت الحالي باستخدام Microsoft Windows Based Script Host. قم بالتمرير لأسفل حتى تجد المفكرة و اضغط حسنا.
التأكد مرتين
لا يتيح لك Microsoft Outlook تلقي ملفات من نوع معين. وهذا يشمل كلاً من .exe و. js ، وهو منعك من إدخال برامج ضارة إلى جهاز الكمبيوتر الخاص بك دون قصد. ومع ذلك ، هذا لا يعني أنهم لا يستطيعون ولن يفلتوا من كلتا الوسيلتين. هناك ثلاث طرق سهلة للغاية لإعادة حزم برامج الفدية:
- باستخدام ضغط الملفات: يمكن أرشفة الشفرة الضارة وإرسالها بملحق ملف مختلف لا يؤدي إلى حظر المرفقات المدمج في Outlook.
- إعادة تسمية الملف: نواجه رمزًا ضارًا بشكل متخفي متنكرًا على أنه نوع ملف آخر. نظرًا لأن معظم دول العالم تستخدم شكلاً من أشكال مجموعات المكتب ، فإن تنسيقات المستندات شائعة للغاية.
- باستخدام خادم مشترك: هذا الخيار أقل احتمالًا إلى حد ما ، ولكن يمكن إرسال البريد الضار من FTP خاص أو خادم SharePoint آمن إذا تم اختراقه. نظرًا لأن الخادم قد تم إدراجه في القائمة البيضاء ضمن Outlook ، فلن يتم اعتبار المرفق ضارًا.
انظر هنا للحصول على قائمة كاملة منها ملحقات يقوم Outlook بحظرها افتراضيًا.
يقظة دائمة
أنا لن أكذب. هناك تهديد شامل بالبرامج الضارة عندما تكون متصلاً بالإنترنت - ولكن ليس عليك الخضوع للضغوط. ضع في اعتبارك المواقع التي تزورها والحسابات التي تشترك فيها والرسائل الإلكترونية التي تتلقاها. وعلى الرغم من أننا نعلم أنه من الصعب على برامج مكافحة الفيروسات مواكبة المجموعة الرائعة من البرامج الضارة المتغيرات التي تم إصدارها وتنزيل وتحديث مجموعة مكافحة الفيروسات يجب أن تشكل بالتأكيد جزءًا من نظامك دفاع.
هل تعرضت لبرامج الفدية؟ هل استعدت ملفاتك؟ ما هو برنامج الفدية؟ دعنا نعرف ما حدث لك!
ائتمانات الصورة: خريطة عدوى Necrus botnet عبر malwaretech.com, واجهة فك التشفير بارت والإصابات الحالية حسب الدولة عبر phishme.com
جافين هو كاتب أول في MUO. وهو أيضًا محرر ومدير تحسين محركات البحث لموقع شقيق MakeUseOf الذي يركز على التشفير ، Blocks Decoded. حصل على درجة البكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات الفن الرقمي المنهوبة من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة في الكتابة المهنية. يتمتع بكميات وفيرة من الشاي.
