برنامج الفدية الخبيثة Syrk يتنكر كحزمة حيل للعبة Fortnite

أغسطس 28, 2019

يسعى مرتكبو الجرائم الإلكترونية لاستغلال كل ما يثير إعجاب جمهور المستخدمين على الإنترنت. ويشمل ذلك الألعاب ذائعة الصيت. عادة ما تتخفى البرامج الضارة على هيئة نسخة مقرصنة أو إصدار للأجهزة المحمولة من لعبة ما، خاصةً في حالة عدم إصدار اللعبة رسميًا.

شهدت الشبكة الدولية منذ فترة ظهور برنامج فدية ضار باسم Syrk، والذي أخفاه المجرمون في صورة حزمة حيل للعبة Fortnite – وهي لعبة جذبت عددًا من المستخدمين بلغ 250 مليونًا في غضون عامين. يتلقى اللاعبون وعدًا بالحصول على اثنين من أكواد الحيل في حزمة واحدة: aim (برنامج تحسين التصويب، أداة التصويب التلقائي) وWH (أو ESP، لاكتشاف مواقع اللاعبين الآخرين في اللعبة). ولكن ما يفعله هذا البرنامج الضار حقًا هو تشفير ملفات الضحية مع المطالبة بفدية لفك تشفيرها.

كيفية عمل برنامج طلب الفدية الضار Syrk‏

وفقًا للباحثين من شركة Cyren‏، فإن Syrk عبارة عن نسخة من برنامج فدية ضار ذي تعليمات برمجية مفتوحة، وقد تم الإبقاء عليها دون أي تغيير جوهري. وبمجرد تنفيذ “حزمة الحيل” التي تم تنزيلها، فإنها تتصل بخادم للتحكم والسيطرة يعمل على تعطيل البرامج التي تعتبرها خطرة:

· Windows Defender؛
· UAC (التحكم في حساب المستخدم) – النظام الذي يطلب أذونات من المستخدم لتنفيذ إجراءات المسؤول؛
· تطبيقات مراقبة العمليات التي يمكن استخدامها للكشف عن الإصابة بفيروس، مثل مدير المهام وTask Manager (مراقبة العمليات) وProcess Hacker.

يضيف البرنامج نفسه إلى قائمة التحميل التلقائي، بحيث لا يستطيع المستخدم التخلص منه بمجرد إعادة تشغيل الجهاز. في حالة وجود محركات أقراص USB، فإن Syrk يحاول أن يصيبها أيضًا.

ثم يشرع في تحديد موقع ملفات الوسائط والمستندات النصية وجداول البيانات والعروض التقديمية ومحفوظات ZIP وRAR وملفات Photoshop وMicrosoft Visual Studio وتشفيرها، لتنتهي الملفات الناتجة عن تلك الشعوذة التقنية باللاحقة .SYRK. وتعرض الشاشة طلبًا لا يمكن إغلاقه للحصول على فدية.

يظهر نص خلفيته قناع Guy Fawkes ومضمونه أن الطريقة الوحيدة لاستعادة الملفات هي الاتصال بالمبتزين عبر البريد الإلكتروني ودفع الفدية لهم. ويتم منح الضحية وقتًا محدودًا لذلك: يقوم فيروس Syrk بحذف الملفات المشفرة كل ساعتين – أولًا في مجلد الصور، ثم في مجلد سطح المكتب، وأخيرًا في مجلد المستندات.

استرداد ملفاتك مجانًا

لكنك لست مضطرًا لدفع المال للمبتزين، حتى لو اخترق Syrk دفاعات جهاز الكمبيوتر الخاص بك وتمكن من تشفير مستنداتك. تبين أن الإصدار الحالي من الفيروس يخزن المفتاح اللازم لفك تشفير الملفات على الجهاز المصاب نفسه. ويمكن العثور على المفتاح في مجلد C:\Users\Default\AppData\Local\Microsoft\ in the file -pw+.txt or +dp-.txt.

للتمكن من استعادة ملفاتك:
· انسخ المفتاح.
· في نافذة طلب الفدية، اضغط على Show My ID (إظهار معرّفي) لفتح صفحة تعرض معرّفك ودعوة نصها Enter the key to Decrypt your Files (أدخل المفتاح لفك تشفير ملفاتك).
· الصق المفتاح في الحقل المناسب ثم اضغط على Decrypt my Files (فك تشفير ملفاتي).

يقوم البرنامج نفسه عندئذ باستعادة الصور والمستندات المشفرة، ثم يقوم بإنشاء ملفين بالامتداد .exe وتنفيذهما، مما يؤدي إلى إزالة ما تبقى من البرنامج الضار.

وهناك أيضًا طريقة بديلة لحفظ الملفات، وإن كانت أكثر صعوبة. فالحقيقة أن البرنامج الضار يحتوي على مكون لفك تشفير يقوم باستعادة المستندات، ذلك إذا نجحت في استخراجه وتنفيذه. لكن سيلزم في هذه الحالة حذف آثار الإصابة يدويًا.

حماية نفسك من برامج الفدية الضارة

وفقًا للباحثين، فحتى إن تم حذف البيانات بواسطة فيروس Syrk فمن المرجح أن يظل استردادها ممكنًا، ولكن قد يلزم الاستعانة بمحترفين في تلك الحالة. وفيما يتعلق باستعادة الملفات باستخدام مفتاح مُخزّن محليًا، فقد يعمد مصممو الفيروس لاحقًا لتعديل أدوات قرصنتهم بما يحرم المستخدمين من فرصة فك تشفير ملفاتهم دون مساعدة. لذا فإن أفضل أسلوب للدفاع هو منع فيروس الفدية من إيذائك.

· إياك والتنزيل من مصادر غير موثوق بها، حتى وإن كانت لعبتك الرائعة الموعودة تحمل ما لا يتخيله عقل من الميزات. بل خاصة إذا كانت اللعبة الموعودة تحمل ما لا يتخيله عقل من الميزات.
· عليك بنسخ ملفاتك احتياطيًا وتخزينها بحيث يتعذر الوصول إليها مباشرة من جهاز الكمبيوتر الخاص بك. وإذا كنت تستخدم محركات أقراص خارجية محمولة، فعليك بتوصيلها لفترة تسمح بإتمام النسخ الاحتياطي فقط.
· عليك أيضًا بتثبيت أحد الحلول البرمجية الموثوقة للحماية من الفيروسات. يُعرّف Kaspersky Internet Security Syrk

ككائن ضار، مما يعني أنه لن يتم السماح له بالوصول إلى ملفاتك، حتى لو حاولت تنزيله أو تنفيذه.