احتيال مزدوج: Zorab Trojan في أداة فك تشفير STOP

ماذا يفعل الناس إذا اكتشفوا أن فيروس الفدية قد شفّر ملفاتهم؟ غالبًا ما يفزعون أولاً، ثم يقلقون ثم يبحثون عن طرق لاستعادة البيانات بدون دفع أي فدية للمهاجمين (الأمر الذي يكون غير مجدٍ على أي حال). بكلمات أخرى، يبحثون على Google عن حل أو يسعون لطلب نصيحة على شبكات التواصل الاجتماعي. وهذا بالضبط ما يريده مصممو فيروس Zorab Trojan وهو أن يدمجوا البرنامج الضار في أداة تهدف إلى مساعدة ضحايا STOP/Djvu.

أداة فك تشفير فيروس STOP الزائفة كطعم

في الواقع، قرر مجرمو الإنترنت زيادة تفاقم المشكلة التي تواجه بالفعل ضحايا فيروس الفدية STOP/Djvu، والتي تقوم بتشفير البيانات بناءً على الإصدار المستخدم، وتحديد تمديد – وتتضمن الخيارات‏‏‎.‎‎djvu‏‎ و‎.djvus و‎.djvuu و‎.tfunde و‎.uudjvu – إلى الملفات المعدّلة. أصدر مصممو Zorab أداة من المفترض أن تفيد في فك تشفير هذه الملفات ولكنها في الواقع تعمل على تشفيرها من البداية.
يمكنك بالفعل فك تشفير الملفات التي بها إصدار قديم من STOP المعرض للخطر – أصدرت Emsisoft أداة قديمًا في أكتوبر 2019. ولكن تستخدم الإصدارات الحديثة خوارزمية تشفير أكثر تعقيدًا بحيث يصعب على التقنيات الحالية اختراقها. لذلك وحتى الآن، لا توجد أداة واحدة لفك تشفير الإصدارات الحديثة من STOP/Djvu.
ونقول “حتى الآن” لأن أدوات فك التشفير تظهر في إحدى حالتين: إما أن يرتكب مجرمو الإنترنت خطأ في خوارزمية التشفير (أو ببساطة يستخدمون شفرة ضعيفة)، أو أن تحدد الشرطة موقع خوادمهم وتصادرها. وبالتأكيد قد ينشر المصممون المفاتيح طواعيةً ولكن هذا مستبعد – وحتى إذا فعلوا، فلا تزال شركات أمن المعلومات بحاجة إلى استخدام أداة مفيدة بإمكان الضحايا استخدامها لاستعادة بياناتهم. وحدث هذا مع مفاتيح الملفات التي أصيبت بفيروس الفدية Shade، ونشرنا برنامج فك التشفير في شهر أبريل من هذا العام.

كيفية معرفة إذا كانت أداة فك التشفير زائفة

من المستبعد للغاية أن يصمم فاعلو الخير المجهولون أداة فك تشفير ووضعها على بعض المواقع غير المعروفة أو نشر رابط مباشر على منتدى أو إحدى شبكات التواصل الاجتماعي. يمكنك العثور على أدوات حقيقية على المواقع الإلكترونية لشركات أمن المعلومات أو على البوابات المتخصصة المخصصة لمكافحة فيروسات الفدية مثل nomoreransom.org. تعامل بشك مع الأدوات المنشورة في أي مكان آخر.
يعتمد مجرمو الإنترنت على الفزع الذي يصيب الضحية بمعرفة أنه فقد ملفاته ضحية التشفير مما يجعله كالغريق الذي يتعلق بأي قشة. حتى إذا صدقت أداة حسنة النية، فمن المهم أن تظل هادئًا وموضوعيًا وتتحقق من الموقع بشكل مناسب. إذا راودتك أي شكوك على الإطلاق حول شرعيتها، فلا تقترب من الأداة.

كيفية التحصّن ضد Zorab وغيره من فيروسات الفدية

• لا تتبع الروابط المشتبه بها أو تفتح ملفات قابلة للتنفيذ إذا لم تثق في مصدرها. إذا كنت تبحث عن أداة فك التشفير، ستكون أكثر المصادر ثقة — والأماكن التي يجب بدء البحث منها — هي noransom.kaspersky.comو nomoreransom.org (مشروع مشترك تديره عدة شركات)، وغيرها من مواقع مقدمي الحلول الأمنية. إذا عثرت على أداة في مكان آخر، فننصح بشدة بالتحقق من مشروعية مطوريها والموقع الذي نُشرت عليه قبل حتى التفكير في استخدامها.
• اصنع نسخ احتياطية من الملفات المهمة.
• استخدم [ KIS placeholder]الحل الأمني الموثوق به KIS placeholder] الذي يكشف عن فيروسات الفدية المعروفة وعند مواجهة شيء غير معروف، يحدد الملفات ويحجب محاولات تعديلها.
للشركات التي تخاف من فيروس الفدية ولكن تعتمد على وسائل حماية أخرى، نوفر أداة Kaspersky Anti-Ransomware Tool المستقلة. متوافقة مع أغلب الحلول الأمنية، وتكشف عن التهديدات التي بإمكانها اختراق خطوط دفاعها.