كاسبرسكي تطرح أداة لفك تشفير برمجية الفدية Yanluowang

متميز

تُطلق "فيرجن موبايل الإمارات" خاصية التسجيل إلى الهوية الرقمية UAE Pass للاشتراك ولتفعيل شريحة eSIM الرقمية لأول مرة في الإمارات العربية المتحدة

أبريل 3, 2024 | اتصالات, تواصل

تستهدف برمجية الفدية المسمّاة Yanluowang الشركات في جميع أنحاء العالم، لتشفّر الملفات على حواسيبها وتمنع الوصول إلى أنظمتها، فيعجز الضحايا عن الوصول إلى بياناتهم. في السابق، كان الحلّ الوحيد أمام الضحايا للتخلص من التشفير يكمن في دفع الفدية المطلوبة من مجرمي الإنترنت. ولكن باحثي كاسبرسكي نجحوا في تطوير أداة مجانية تسمح للضحايا باستعادة ملفاتهم المتأثرة دون الاضطرار إلى سداد الفدية للمهاجمين للحصول على مفتاحهم الخاص، وذلك بعد أن أجروا تحليلًا متقدمًا لبرمجية الفدية هذه. وأصبحت الأداة متاحة على الموقع الإلكتروني الخاص بمكافحة هجمات طلب الفدية No Ransom.

وكانت البرمجية Yanlouwang اكتُشفت أول مرة في أكتوبر 2021، ويشير اسمها إلى الإله الصيني Yanluo Wang، أحد ملوك الجحيم العشرة. ووفقًا لقياسات كاسبرسكي الواردة عن بُعد، فإن Yanlouwang تهاجم الشركات الكبيرة في دول عديدة أبرزها الولايات المتحدة وتركيا والبرازيل.

الهجوم باستخدام Yanluowang يبدأ بمشغل يطلق عملية تشفير ملفات الضحايا يدويًا، وفي الأثناء، تقوم البرمجية الخبيثة بتغيير امتدادات الملفات إلى “Yanlouwang” وبعد مهاجمة الحاسوب، يُترك أحد الملفات مفتوحًا وفيه ملاحظة تطلب الفدية. ويهدّد مجرمو الإنترنت الضحية بحذف جميع الملفات الموجودة على الحاسوب المصاب في حال جرى إبلاغ الشرطة. ولا يترك المجرمون الشركة في حال سبيلها حتى بعد حذف جميع الملفات، إذ يهدّدون مرة أخرى بمهاجمة الشركة بأكملها بهجمات الحرمان من الخدمة الموزعة (DDoS) وبمزيد من هجمات الفدية.

مثال على ملاحظة طلب الفدية التي يتركها المهاجمون الذين يقفون خلف البرمجية Yanluowang

وحلّل خبراء كاسبرسكي برمجية الفدية ووجدوا ثغرة تسمح للضحايا بفك تشفير الملفات على جهاز الحاسوب المصاب. ويلزم المستخدم وجود ملف أصلي واحد على الأقلّ، وتنزيل أداة خاصة مصممة لفكّ التشفير الذي تُحدثه هذه البرمجية، ما يمكّن الضحية بنفسه من فك تشفير الملفات المتأثرة.

وتواصل Yangluowang التسبب في الأذى للمستخدمين بالرغم من أنها لا تمثل تهديدًا واسعًا لبرمجيات الفدية، بحسب ما أكّد يانيس زينشينكو الباحث الأمني لدى كاسبرسكي، الذي قال إن إسقاط أية برمجية فدية في الحرب ضد هذه البرمجيات يمثل “إنجاز ًا مهمًا”. وأضاف: “تُعد برمجيات الفدية تهديدًا عالميًا، وعلى مجتمع الإنترنت التعاون ومضافرة الجهود في المساعي الرامية إلى مكافحة هذه البرمجيات، ونأمل في أن يكون للمساهمات التي نقدمها في هذا المجال دور في مساعدة الشركات التي تعرضت لهجمات ببرمجية Yanlouwang”.

ويمكن الاطلاع على التقرير الكامل حول Yanluowang على Securelist.

وتوصي كاسبرسكي باتباع التدابير التالية للحماية من هجمات برمجيات الفدية:

تجنُّب تعريض خدمات سطح المكتب البعيد (مثل RDP) للشبكات العامة ما لم يكن ذلك ضروريًا، والحرص على استخدام كلمات مرور قوية دائمًا لهذه الخدمات.
المسارعة إلى تثبيت التصحيحات البرمجية المتاحة لحلول VPN التجارية التي تمكّن الموظفين من الوصول عن بُعد إلى أنظمة العمل.
المحافظة دائمًا على تحديث البرمجيات على جميع الأجهزة لمنع برمجيات الفدية من استغلال الثغرات الأمنية.
تركيز الاستراتيجيات الدفاعية على اكتشاف الحركات الجانبية للبيانات وتسرّب البيانات إلى الإنترنت، مع ضرورة الانتباه لحركة البيانات الصادرة لاكتشاف الاتصالات التي يجريها مجرمو الإنترنت.
تجهيز نسخة احتياطية من البيانات بانتظام، والحرص على إمكانية الوصول إليها بسرعة في حالات الطوارئ.
استخدام أحدث معلومات التهديدات للبقاء على اطلاع على أحدث التكتيكات والأساليب والإجراءات التي تلجأ إليها العصابات الرقمية وجهات التهديد في عملياتها.
استخدام حلول مثل Kaspersky Endpoint Detection and Response وKaspersky Managed Detection and Response، يساعد في تحديد الهجوم وإيقافه في مراحله الأولى قبل تمكُن المهاجمين من تحقيق أهدافهم.
حماية البيئة المؤسسية بتوعية الموظفين. ويمكن أن تساعد الدورات التدريبية التخصصية، مثل المتاحة على Kaspersky Automated Security Awareness Platform.
استخدام حل أمني موثوق به للنقاط الطرفية، مثل Kaspersky Endpoint Security for Business، المزوّد بقدرات منع محاولات الاستغلال، واكتشاف السلوكيات الغريبة، ومحرّك معالجة قادر على إلغاء الإجراءات الخبيثة. لدى هذا الحلّ أيضًا آليات دفاعية لمنع المجرمين من إزالته.

وقد أضيفت أداة فكّ تشفير Yanluowang إلى أداة No Ransom Kaspersky Rannoh Decryptor. ويمكن تنزيلها من الموقع No Ransom، المشروع الذي أطلقته شركة كاسبرسكي لمشاركة الحلول الرامية إلى وقف تهديد برمجيات الفدية.