ما هو ‘يتم تشفير الملفات الشخصية الخاصة بك بالحظر الشامل للتجارب-خزانة’؟
الحظر الشامل للتجارب-خزانة رانسومواري فيروس يخترق أنظمة التشغيل عن طريق رسائل البريد الإلكتروني المصابة والتنزيلات وهمية (على سبيل المثال، مشغلات الفيديو المارقة أو تحديثات فلاش وهمية). بعد أن نجحت في التسلل، هذا البرنامج الخبيثة بتشفير الملفات (*.doc, *.docx, *.xls, *.ppt، *.psd، اكستنسون، *.eps، *.ai، *. cdr، *.jpg، إلخ) المخزنة على أجهزة الكمبيوتر وطلبات دفع فدية 300 دولار (في بيتكوينس) لفك تشفير لهم (وثائق مشفرة تلقي ملحق ملفات.ctbl).
السيبرانية المجرمين المسؤولين عن إطلاق هذا البرنامج المارقة ضمان أن ينفذ في Windows كافة إصدارات نظام التشغيل (ويندوز إكس بي، ويندوز فيستا، ويندوز 7، و Windows 8). ينشئ رانسومواري كريتروني AllFilesAreLocked.bmp DecryptAllFiles.txt و [سبعة أحرف عشوائية] ملفات.html داخل كل مجلد يحتوي على الملفات المشفرة.
تحتوي هذه الملفات على التعليمات التي تبين بالتفصيل كيف المستخدمين قد فك تشفير الملفات الخاصة بهم، وعلى استخدام متصفح تور (أحد مستعرضات ويب مجهول). مجرمو الإنترنت باستخدام تور لإخفاء هوياتهم. مستخدمي أجهزة الكمبيوتر الشخصية وينبغي الحذر أن بينما الإصابة نفسها ليست معقدة لإزالة، فك تشفير ملفات (تشفيرها باستخدام تشفير RSA 2048) تتأثر بهذا البرنامج الخبيثة من المستحيل دون دفع الفدية. الوقت للبحث، هناك لا أدوات أو الحلول القادرة على فك تشفير الملفات التي تم تشفيرها من قبل كريتروني. علما بأن المفتاح الخاص المطلوب لفك تشفير الملفات يتم تخزينها من قبل الملقمات القيادة والسيطرة خزانة الحظر الشامل للتجارب، التي تتم إدارتها من قبل مجرمي الإنترنت. ولذلك، هو أفضل حل إزالة هذا الفيروس رانسومواري وثم استعادة البيانات من نسخة احتياطية.
رانسومواري العدوى مثل خزانة الحظر الشامل للتجارب (بما في ذلك كريبتووال، كريبتوديفينسي، كريبتوربيت، وكريبتولوكير) تقديم حجة قوية للحفاظ على النسخ الاحتياطي العادي للبيانات المخزنة. علما أن دفع الفدية التي طالبت بها كل هذا رانسومواري المكافئ لإرسال المال إلى مجرمي الإنترنت–ستقوم بدعم نموذج أعمالها الخبيثة وليس هناك أي ضمان أن يتم فك تشفير الملفات الخاصة بك من أي وقت مضى. ولتجنب إصابة الكمبيوتر بالعدوى رانسومواري مثل هذا، أعرب عن الحذر عند فتح رسائل البريد الإلكتروني، نظراً لمجرمي الإنترنت استخدام مختلف عناوين جذاب لخداع مستخدمي الكمبيوتر إلى فتح مرفقات البريد الإلكتروني المصابة (على سبيل المثال، “الإخطار باستثناء يو بي إس” أو “إعلام فشل التسليم فيديكس”). وتبين البحوث أن مجرمي الإنترنت أيضا استخدام شبكات P2P والتنزيلات وهمية تحتوي على رانسومواري المجمعة العدوى تنتشر كريتروني. رانسومواري ‘يتم تشفير الملفات الشخصية الخاصة بك’ في الوقت الراهن، يتم تسليم التهديد باللغتين الإنكليزية والروسية، وبالتالي فالبلدان يتحدث هذه اللغات في الجزء العلوي من قائمة مجرمي الإنترنت تنتشر هذه البرامج الضارة المستهدفة.
مجرمو الإنترنت وقد أصدرت نسخة محدثة من الحظر الشامل للتجارب-خزانة رانسومواري تستهدف الولايات المتحدة الأمريكية وإيطاليا وهولندا وألمانيا. وتوزع هذا البديل غالباً استخدام الفاكس وهمية إشعارات البريد الإلكتروني مع المرفقات المصابة. مجرمو الإنترنت تمتد أيضا إطار الزمني الذي ضحاياهم يجب أن تدفع الفدية استعادة السيطرة على الملفات الخاصة بهم لمدة 96 ساعة (قبل 72 ساعة)
الكتاب للحظر الشامل للتجارب-خزانة تستخدم تابعا للعدوى بالسيارة بالاستعانة بمصادر خارجية في عملية العدوى إلى شبكة من الفروع أو الشركاء مقابل قطع من الأرباح. يعتبر هذا النموذج التابعة لها استراتيجية مجربة ومختبرة وناجحة جداً في تحقيق كميات كبيرة من الأمراض الخبيثة. فقد استخدمت لتوليد إيرادات ضخمة لمكافحة الفيروسات وهمية، انقر فوق مخططات الاحتيال، ومجموعة متنوعة من أنواع أخرى من البرامج الضارة. أنها تستخدم حاليا لتوزيع رانسومواري بشكل عام والحظر الشامل للتجارب-خزانة خاصة.
مخطط التابعة للحظر الشامل للتجارب-خزانة أولاً علنا وسلط الباحث كافين، في منتصف عام 2014. آخر يدعى أنه من مشارك الفعلية للبرنامج التابع Reddit حلول عام 2015 ويقدم نظرة ثاقبة أعماله مثيرة للاهتمام. يستخدم الكتاب الحظر الشامل للتجارب-خزانة استراتيجية مماثلة للعديد من المؤلفين طقم استغلال بعرض خيار استضافت فيها المشغل يدفع رسماً شهريا والمؤلفين استضافة كافة التعليمات البرمجية. وهذا يجعل من أن يصبح تابعا بسيطة وخالية من المخاطر نسبيا. وادعي الملصق Reddit جعل 15,000 (يفترض دولار) شهريا، مع تكاليف حوالي 7000. ويذكر مقدم البلاغ أيضا أنه يركز فقط على الضحايا من “المستوى 1” بلدان مثل الولايات المتحدة والمملكة المتحدة، وأستراليا وكندا، كما أنه يجعل من المال سوى القليل من مناطق أخرى فإنه لا يستحق الوقت.
باستخدام نموذج تابعة للتوزيع يعني أن هناك طائفة واسعة من ناقلات العدوى المختلفة للحظر الشامل للتجارب–خلع الملابس. ولقد رأينا أنها توزع من خلال العديد من أدوات استغلال بما فيها تلاعب والنووية. بيد أنه من خلال حملات البريد المزعج الخبيثة أن أغلبية الإصابات خزانة الحظر الشامل للتجارب وقد لوحظت.
حملات البريد المزعج المشاهدة الأكثر شيوعاً التي توزع خزانة الحظر الشامل للتجارب استخدام مكون تنزيل المعروفة باسم داليكسيس أو الينوكا. رسائل البريد المزعج أنفسهم اتباع مجموعة متنوعة من الأشكال، بما في ذلك رسائل الفاكس الضائعة، والبيانات المالية والفواتير المتأخرة، تعليق الحساب ورسائل mms الضائعة. فيما يلي عدة أمثلة:
تصل نسبة كبيرة من البريد المزعج الخبيثة في العصر الحديث كملف exe داخل أرشيف zip أو rar. جانبا غير عادية من داليكسيس أن يصل دائماً تقريبا في أرشيف أقل شيوعاً، عادة ملف cab. الأرشيف يحتوي على العينة الخبيثة نفسها، غالباً مع ملحق .scr وأرشيف آخر يحتوي على مستند شرك التي سوف يتم عرضها على إقناع الضحية بأن المرفق غير مؤذية.
عينة داليكسيس الخبيثة يستخدم العديد من الأساليب في محاولة لتجنب صناديق الرمل والآلي تحليل النظم، بما في ذلك النوم لفترة من الوقت. داليكسيس ثم التنزيلات العينة الحظر الشامل للتجارب-خزانة عبر بروتوكول HTTP في نموذج مشفر وفك وينفذ ذلك.
التنفيذ
عندما ينفذ الحظر الشامل للتجارب-خزانة، يسقط نسخة من نفسها إلى الدليل temp ويقوم بإنشاء مهمة مجدولة لتمكين استمرار إعادة تشغيل الكمبيوتر.
ثم تكرار من خلال نظام الملفات وسيتم تشفير كافة الملفات ذات الملحقات التي تطابق قائمة تمديد الحظر الشامل للتجارب-الخزانة. تغيير صورة خلفية سطح المكتب وخزانة الحظر الشامل للتجارب يعلو الرسالة الحصول على فدية وواجهة قابلة لنقر في وسط الشاشة.
خلافا لبعض المتغيرات رانسومواري التشفير، خزانة الحظر الشامل للتجارب لا يتطلب اتصال إنترنت نشط قبل أن يبدأ تشفير الملفات.
التشفير
الحظر الشامل للتجارب-خزانة لتقف على “منحنى–تور-بيتكوين-القفل.” الجزء “المنحنى” من الاسم مأخوذ من استخدامه لتشفير منحنى الإهليلجية (ECC). ECC شكل من أشكال الترميز بالمفتاح العمومي استناداً إلى المنحنيات الإهليلجية على مجالات محدودة. قوتها مستمدة من مشكلة اللوغاريتم منفصلة منحنى الإهليلجية. يميل معظم رانسومواري تشفير الملف الذي يستخدم تشفير المفتاح العمومي استخدام RSA، الذي يستند إلى تحليل رئيس الوزراء. وهناك فائدة ECC يحتوي على RSA هو أن الأمن ما يعادل المستويات يمكن أن يتحقق مع أحجام المفاتيح أصغر كثيرا. على سبيل المثال، قد ECC 256 بت مفتاح الأمن مكافئ لمفتاح RSA 3072 بت.
مزايا حجم المفتاح التي توفر رعاية الطفولة المبكرة قد يكون عاملاً مساهما في عملية صنع القرار لمقدم البلاغ، كما كانت تقوم بتضمين مفتاح عمومي في العينة الخبيثة ويأخذ مفتاح أصغر مساحة أقل.
الحظر الشامل للتجارب-خزانة يستخدم مزيجاً من التشفير المتناظر وغير المتناظر لملفات التدافع. التشفير نفسها تجري باستخدام الخدمات المعمارية والهندسية وثم مشفرة وسيلة لفك تشفير الملفات باستخدام المفتاح العمومي ECC. وهذا يضمن أن فقط الحظر الشامل للتجارب-خزانة المؤلفين الذين لديهم المفتاح الخاص المطابق قادراً على فك تشفير الملفات. لإجراء تحليل مفصل للتشفير راجع نظام المستخدم بواسطة خزانة الحظر الشامل للتجارب، هذا التحليل من “زيرون.”
الحظر الشامل للتجارب-خزانة سيتم تشفير الملفات ذات الملحقات التالية:
بوم، kwm، txt، وحدات خفض الانبعاثات المعتمدة، crt، دير، يم، دوك، حزب الشعب الكمبودي، ج، بي إتش بي، شبيبة، cs، نظام تقييم الأداء، بس، رر، py، docx، rtf، docm، xls، xlsx، صندوق الأمانات،
المجموعات، إكسلك، إكسلسب، xlsm، mdb، يمول، dbf، sql، md، دد، دس، جب، jpg، jpeg، cr2، الخام، rw2، رول، dwg، dxf، [داكسغ، مديرية الأمن العام، 3fr، accdb،
منظمة العفو الدولية، arw، خليج، مزيج، ومجلس الإنماء والإعمار، crw، dcr، dng، eps، erf، indd، kdc، mef، مخلفات، ونيف، nrw، odb، odm، محسوبة، المواد المستنفدة للأوزون، odt، orf, p12، p7b، p7c،
وثيقة تصميم المشروع، pdf، pef، pfx، ppt، pptm، pptx، الباسيفيكي، ptx، r3d، سلاح الجو الملكي البريطاني، إطار النتائج الاستراتيجية، srw، wb2، vsd، wpd، wps، 7z، الرمز البريدي، رر، dbx، gdb، بسدر، بسدو،
بدكر، بدكو، ببدر، bpdu، نظام الرصد الدولي، وخدمات تنمية الأعمال التجارية، bdd، مكتب السياسات الإنمائية، صندوق الرياضة العالمي، الديمقراطيين الاشتراكيين، المحطة الفضائية الدولية، arp، ريك، gdb، fdb، أبو، التكوين، rgx
تم توسيع هذه القائمة كما تم الإفراج عن المتغيرات الجديدة-
في الأصل، كانت جميع الملفات المشفرة ملحق “.ctbl”، بيد أنه تم تغيير قريبا يكون ملحق عشوائي. ويبدو أن المؤلفين قد اقترضت على الأقل بعض من التشفير على التعليمات البرمجية من OpenSSL، كما يمكن الاطلاع على كميات كبيرة من السلاسل المتصلة بها في التعليمات البرمجية غير معبأة.
شبكة الاتصالات
منذ بدء الحظر الشامل للتجارب-خزانة تشفير الملفات دون الحاجة إلى الاتصال بخادم القيادة والسيطرة، هناك لا حاجة إلى أي شبكة الاتصالات حتى الضحية يحاول فك تشفير الملفات الخاصة بهم.
عندما يحدث هذا، كل الاتصالات تجري عبر تور (هذا حيث يأتي “تور” من منحنى–تور-بيتكوين-خزانة)، عادة من خلال الوكيل من المواقع التي تعمل التبديلات “الخدمات المخفية تور” التي تستضيف النهاية الخلفية البنية التحتية.
الحظر الشامل للتجارب-خزانة عندما ضحية دفعت الفدية، سوف الاتصال بملقم القيادة والسيطرة، إرسال كتلة من البيانات التي تحتوي على المعلومات اللازمة لاشتقاق المفتاح الذي سيتم فك تشفير الملفات للضحية. هذا الكتلة من البيانات يمكن فك تشفيرها فقط مع المفتاح الرئيسي المخزنة على الملقم.
طلب فدية
عندما يكون تم تشفير الملفات للضحية، يتم عرض الرسالة الحصول على فدية بتغيير خلفية سطح المكتب والتي تتراكب وسط الشاشة مع طلب فدية الرئيسية وواجهة قابلة للنقر.
هذه الشاشة يبلغ الضحية “تشفير ملفاتك الشخصية بالحظر الشامل للتجارب-خزانة”، التي قالوا أن لديهم “96 ساعة تقديم الدفع”، وهم حذروا من أن أي محاولة لإزالة البرامج الضارة من النظام المصاب سوف يسفر عن مفتاح فك التشفير ويجري تدمير – كان هذا الحد الزمني الأدنى في الإصدارات السابقة. الضحية يمكن انقر فوق زر “التالي” لبدء عملية فك التشفير أو الزر “عرض” لمشاهدة القائمة الملفات المشفرة.
الحظر الشامل للتجارب-خزانة عالية متعددة اللغات مع ملاحظة فدية تقدم في مجموعة متنوعة من اللغات، والوصول إليها من خلال الرموز العلم المختلفة في الجزء العلوي من الشاشة. اختيار اللغات ويبدو أن يكون على الأقل جزئيا للتخصيص حسب التابعة لها الذين قامت بشراء هذا المثيل الحظر الشامل للتجارب-خزانة خاصة، وقد ازدادت الخيارات المتاحة مع مرور الوقت. وقد عينة الأخيرة التالية خيارات اللغة–الإنكليزية والفرنسية، الألمانية، والإسبانية، ولاتفيا، والهولندية والإيطالية.
اللاتفية خيار لغة غير عادية، كما أن لاتفيا لا ينظر إليه عموما كهدف رئيسي رانسومواري وأنواع أخرى من برمجيات الجريمة. ربما يمثل هذا الكتاب تبحث لاقتحام أسواق جديدة حيث الوعي أقل، أو ربما قد المعارف المحلية التابعة لها خاصة وأفضل قادرة على شن حملة ناجحة في ذلك البلد.
كما توفر المتغيرات الأخيرة للحظر الشامل للتجارب-خزانة الملفات المحددة بطريقة للضحية للتحقق من أن هذه الملفات يمكن فك تشفيرها بتفكيك خمس عشوائياً مجاناً. ويبدو أن أدخلت كوسيلة لكسب ثقة الضحية وتزيد من احتمال أن تدفع الفدية الكاملة.
دفع فدية
عند النقر فوق الضحية من خلال واجهة فدية تعطي تعليمات مفصلة على مقدار الأجر وكيفية دفعها.
يتطلب الحظر الشامل للتجارب-خزانة بيتكوينس (BTC) لدفع الفدية (“بيتكوين” في منحنى–تور-بيتكوين-خزانة). يتم تعيين المبلغ المحدد من BTC التابعة لها الذين اشترت الحظر الشامل للتجارب–خلع الملابس، على الرغم من أن مقدمي البلاغ إعطاء التوجيه للمساعدة في تعيين مقدار فدية على مستوى المحتمل لتوليد أقصى قدر من الإيرادات. يبين الشكل 12 أعلاه مثال يطالب 3 BTC. يتم أيضا عرض مبلغ تقريبي يعادل بالعملة المحلية – مثلاً، 690 دولار أو يورو 660.
واحد من الجانب السلبي لاستخدام خدمات تور المخفية أن موثوقية يمكن أن يكون مشكلة، بمعنى أنه لا يمكن الوصول إلى الملقم القيادة والسيطرة عندما يحاول الضحية بدفع الفدية.
في محاولة لمكافحة هذا، خزانة الحظر الشامل للتجارب محاولات لاستخدام ملقمات الوكيل تور مختلفة متعددة للوصول إلى الخدمة المخفية، وأيضا يقدم الإرشادات اليدوية يجب إزالة عينة البرامج الضارة من الجهاز المصاب. وتشمل زيارة خدمة تور المخفية من خلال مستعرض ويب ولصقها نموذج المفتاح العمومي الذي يعطي الضحية.
الموثوقية
القراءة من خلال مختلف وظائف المنتدى الدعم العام يشير إلى أنه في كثير من الحالات سيؤدي إلى دفع الفدية في الحظر الشامل للتجارب-خزانة فك تشفير الملفات للضحية. ميزة “اختبار فك التشفير” مؤشر جيد على أن فك التشفير ممكن.
ومع ذلك، يجب أن الضحية ما زالوا يثقون مجرمو الإنترنت أن حسن على وعودها بعد تسليم مبلغ الفدية في BTC. هناك أيضا إمكانية أن تؤخذ مكونات الخوادم التي تستضيف المفاتيح الخاصة اللازمة للقيام بفك التشفير إلى أسفل، مؤقتاً أو بشكل دائم، التي يمكن أن تجعل فك التشفير مستحيلة. في هذا الظرف ومن المرجح أن يواصل مجرمو الإنترنت قبول دفع الفدية على الرغم من معرفة أن هناك أية طريقة لفك تشفير الملفات للضحية.
إحصائيات
وتعتبر التهابات القفل الحظر الشامل للتجارب معظمها في أوروبا الغربية وأمريكا الشمالية وأستراليا. وهذه هي عموما البلدان الطبقة الأولى الموصوفة في هذا المنصب Reddit المشار إليها أعلاه. تظهر ضحايا في هذه البلدان مستهدفة استناداً إلى الخبرة السابقة صاحب البلاغ رانسومواري المدفوعات ناجحة.
عند النظر في إعداد العينات يمكن أن نرى أن عدد العينات خزانة الحظر الشامل للتجارب الفعلية التي أقل بكثير من عدد العينات داليكسيس التي يتم استخدامها لتحميل خزانة الحظر الشامل للتجارب. هذا أمر منطقي نظراً تنزيل هو المتطفلة بها بكميات كبيرة للغاية، مما يسمح للمنتجات الأمنية لإضافة الكشف بسرعة كبيرة. مما يجعل كل عينة فريدة من نوعها عن طريق تغيير كمية صغيرة في كل ملف يزيد من احتمال التي ستفشل بعض حلول الحماية المستندة إلى المجموع الاختباري للكشف عن جميع العينات.
الحماية
سوفوس يحمي ضد الحظر الشامل للتجارب-خزانة في التنفيذ مع هبمال/فدية-N وثابت صفيف من أسماء الكشف بما في ذلك: Troj/فدية-عن، Troj/البصل-د، Troj/فيليكودي-ب، Troj/هكماين-قيراط
سوفوس يكشف تنزيل داليكسيس/النوكا مع صفيف أسماء الكشف بما في ذلك: Troj/عامل-أمتج، Troj/عامل-أمكب، Troj/سائق سيارة الأجرة-ح، Troj/عامل-AIRO، Troj/عامل-أمنك، Troj/عامل-أمنب، Troj/عامل-أموا، والقانون النموذجي للتحكيم/سائق سيارة الأجرة-باء.
هذه التوقيعات الوركين غالباً ما لا تتطلب أية تحديثات كما أنها الكشف عن التعليمات البرمجية الذاكرة غير معبأة بغض النظر عن الملفات على القرص أما وجبات أو غموض أو مشفرة.
بعد “الوركين سوفوس” ينصح تمكين تقنية بشدة لمنع رانسومواري على نحو استباقي.
إذا كنت تشك كنت لقد تم اختراق قبل رانسومواري، يمكنك إزالة البرامج الضارة باستخدام موقعنا Virus Removal Tool . للأسف، ليس هناك الكثير يمكنك القيام به للحصول على الملفات الخاصة بك مرة أخرى باستثناء دفع الفدية – التشفير قوية للغاية للقضاء.
وبصرف النظر عن وجود برامج مكافحة الفيروسات الخاص بك حتى الآن، هناك تغييرات إضافية للنظام للمساعدة في منع أو نزع سلاح رانسومواري الإصابات التي يمكن أن تنطبق مستخدم.
1-النسخ الاحتياطي للملفات الخاصة بك.
أفضل طريقة للتأكد من أنك لا تفقد الملفات الخاصة بك إلى رانسومواري نسخها احتياطياً بشكل منتظم. تخزين النسخ الاحتياطي بشكل منفصل أيضا الرئيسية – كما مبين، وحذف بعض المتغيرات رانسومواري Windows ملفات الظل الاحتياطية للملفات كتكتيك آخر لمنع الاسترداد الخاصة بك، حتى أنك تحتاج إلى تخزين النسخ الاحتياطي دون اتصال.
2-تطبيق windows وتحديثات البرامج الأخرى بشكل منتظم.
الحفاظ على النظام والتطبيقات الخاصة بك حتى الآن. وهذا يوفر لك فرصة أفضل لتجنب النظام الخاص بك ويجري استغلالها باستخدام محرك الأقراص قبل تحميل الهجمات والضعف البرمجيات (لا سيما أدوبي فلاش، Microsoft Silverlight، مستعرض ويب، إلخ) التي هي معروفة لتثبيت رانسومواري.
3-تجنب النقر فوق ارتباطات البريد الإلكتروني غير الموثوق بها أو فتح مرفقات البريد الإلكتروني غير المرغوب فيها.
رانسومواري معظم يصل عبر البريد الإلكتروني المتطفل أما بواسطة النقر فوق الارتباطات أو كمرفقات. وجود ماسح ضوئي مكافحة فيروسات البريد إلكتروني جيدة ستمنع أيضا استباقي المرفقات روابط أو ثنائي موقع الشبهة أو الضارة التي تؤدي إلى رانسومواري.
4-تعطيل ActiveX المحتوى في تطبيقات Microsoft Office مثل Word، Excel، إلخ
لقد شهدنا العديد من الوثائق الخبيثة التي تحتوي على وحدات الماكرو التي يمكن تحميل المزيد من رانسومواري بصمت في الخلفية.
5-تثبيت جدار حماية وحظر تور و I2P وتقييد إلى منافذ محددة.
منع البرامج الضارة من الوصول إلى ملقم استدعاء إلى المنزل به عبر الشبكة ويمكن نزع سلاح متغير رانسومواري نشطة. على هذا النحو، بحظر اتصالات إلى ملقمات I2P أو تور عبر جدار حماية تدبير فعال.
6-تعطيل اتصالات سطح المكتب البعيد.
تعطيل اتصالات سطح المكتب البعيد إذا كان غير مطلوبة في البيئة الخاصة بك، حيث أن الكتاب الخبيثة لا يمكن الوصول إلى الجهاز الخاص بك عن بعد.
7-كتلة الثنائيات تشغيل من % APPDATA % و % TEMP % مسارات-
انخفضت معظم الملفات رانسومواري وتنفيذها من هذه المواقع، لذلك عرقلة التنفيذ سيحول دون رانسومواري من التشغيل.