يونيو 28, 2017

الفدية الخبيثة تشن هجوم جديد New Petya / NotPetya / ExPetr

تهديدات

(EDT تم التحديث بتاريخ 28 يونيو PM 1:30 )

قبل بضع ساعات فقط، بدأ تفشي هجمات للبرامج الفدية الخبيثة عالمياً، ويبدو أنها كبيرة مثل هجمات واناكري التي اندلعت منذ وقت ليس ببعيد.

وكانت تلك الساعات القليلة كافية لعدة شركات كبيرة من بلدان مختلفة للإبلاغ عن العدوى، ومن المرجح أن ينمو حجم الوباء أكثر من ذلك.

ليس من الواضح بعد ما هو بالضبط هذا الفيروس الجديد. يعتقد البعض أنه قد يكون إما فيروس بيتيا، أو أنه يمكن أن يكون وناكري (ليس محتمل). يقوم خبراء كاسبرسكي لاب الآن بالتحقيق في هذه الهجمات الجديدة، وبمجرد التوصل إلى حقائق، سنقوم بتحديث هذه التدوينة.

ويبدو أن هذا الهجوم معقد يحتوي على عدة نواقل هجومية. يمكننا أن نؤكد أن هناك “انترنال بلو” معدل يستخدم للانتشار داخل شبكات الشركات. إقرأ مزيد من المعلومات التقنية عن الهجوم.

في الوقت الراهن، نعلم أن منتجات كاسبيرسكي لاب اكتشفت الهجوم الجديد باستخدام كاسبيرسكي سيكوريتي نيتورك
و الهجوم يستخدم فيردكت والامدادات التالية:

  1. Trojan-Ransom.Win32.ExPetr.a
  2. HEUR:Trojan-Ransom.Win32.ExPetr.gen
  3. UDS:DangerousObject.Multi.Generic (detected by Kaspersky Security Network)
  4. PDM:Trojan.Win32.Generic (detected by the System Watcher feature)

                5. PDM:Exploit.Win32.Generic (detected by the System Watcher feature)

نوصي عملائنا من الشركات القيام بالتالي

  1. تأكد من تشغيل ميزات كاسبيرسكي سيكوريتي نيتورك و سيستيم واتشر.
  2. تحديث قواعد بيانات مكافحة الفيروسات يدويا.
  3. تثبيت كافة التحديثات الأمنية لنظام التشغيل ويندوز. التحديث الذي يحدد البرمجيات الخبيثة التي يتم استغلالها من قبل إترنبلو مهم بشكل خاص
  4. كوسيلة إضافية للحماية يمكنك استخدام تطبيق امتياز التحكم
    “Application Privilege Control”
    ، وهو مكون من كاسبيرسكي ايند بوينت سيكيورتي، لحرمان أي وصول (وبالتالي إمكانية التفاعل أو التنفيذ) لجميع مجموعات من التطبيقات إلى الملف باسم
    perfc.dat
    ومنع الأداة المساعدة
    “PSExec utility”
    (التي هي جزء من سيسينترنالس سويت ) من التشغيل.
  5. وكبديل يمكنك استخدام قائمة
    Application Startup Control
    في برنامج كاسبرسكي ايند بوينت سيكيورتي لمنع اداة
    PSExec utility
    وبرجاء استخدام خاصية
    Application Privilege Control
    لمنع ملف
    perfc.dat.
  6. قم تمكين وضع الرفض الافتراضي في قائمة التحكم عند بدء تشغيل برنامج كاسبيرسكي إندبوانت سيكوريتي لضمان وفرض الدفاع الاستباقي ضد هذه الهجمات وغيرها.
  7.   يمكنك أيضاً استخدام تطبيق :
    AppLocker
    لايقاف الملفات perfc.dat file و PSExec utility

نوصي عملائنا من الافراد  القيام بالتالي:

  1. تأكد من تشغيل مكونات كاسبيرسكي سيكوريتي نيتورك و سيستيم واتشر.
  2. قم بنسخ ملفاتك نسخ احتياطية
  3. تحديث قواعد بيانات مكافحة الفيروسات يدويا. كما يوصي بتحديثها عدة مرات في الساعات القليلة المقبلة.
  4. تثبيت كافة التحديثات الأمنية لنظام التشغيل ويندوز. واحد الذي يحدد البق استغلالها من قبل إترنبلو مهم بشكل خاص. إقرأ هنا شرح كيفية القيام بذلك.

لا تقم بدفع الفدية!

مزود البريد الإلكتروني الألماني  “بوستيو” أغلق عنوان البريد الإلكتروني الذي كان من المفترض أن يستخدم من قبل الضحايا للاتصال مع مشن الهجوم، ومعاملات البيتكوين وتلقي مفاتيح فك التشفير. ما يعنيه هذا هو أن الضحايا لن يستطيعوا الحصول على ملفاتهم مرة أخرى حتى إذا دفعوا الفدية.
في كاسبيرسكي لاب، نحن لا ننصح بدفع الفدية، وفي هذه الحالة يبدو أنه لا طائل منه على أي حال.

 

تحديث هام! 

اكتشف خبرائنا ان الأمل لكي يسترجع ضحايا الهجوم ملفاتهم ضعيف للغاية!
بعد ابحاث دقيقة وتحليل لكود تشفير البيانات الذي يستخدمه الهجوم، توصل الخبراء الي انه الكود لا يحتوي على الملف الذي يمكنه الغاء تشفير الملفات مرة أخرى.
في الهجمات السابقة كان يحتوي فيروس الفدية على ملف يمكنه الغاء تشفير ملفات الضحايا واعادتها لهم.

فيروس الفدية في الهجمات الاخيرة لا يحتوي على هذا الملف الذي يمكنه الغاء التشفير، مما يعني انه لا يوجد امل للضحايا ان يستعيدو ملفاتهم المشفرة.

دفع الفدية لن يساعدك ان تسترجع ملفاتك، فلا تدفع.