ننصح ضحايا برامج الفدية عمومًا بعدم اليأس وعدم حذف أي ملفات – حتى لو لم يساعد أي شيء في استردادها على الفور. ففي النهاية، سوف يأتي اليوم الذي ستستولي الشرطة فيه على البنية الأساسية للمهاجمين، أو قد يكشف الباحثون عن عيوب في خوارزميات البرامج الضارة. ومن الأمثلة على هذا التحليل الأخير تحليل Kaspersky لبرامج الفدية Yanluowang. وجد خبراؤنا ثغرة تسمح باستعادة الملفات دون مفتاح المهاجمين — في ظل ظروف معينة.
كيفية فك تشفير الملفات المشفرة بواسطة Yanluowang
تسمح الثغرة الموجودة في برنامج Yanluowang الضار بفك تشفير الملفات بمساعدة هجوم النص الأصلي المعروف. تتغلب هذه الطريقة على خوارزمية التشفير في حالة توفر نسختين من نفس النص: نسخة نظيفة وأخرى مشفرة. لذا إذا كان لدى الضحية نسخ نظيفة من بعض الملفات المشفرة أو لديه معرفة بمكانها، فأنه يمكن أن يقوم برنامج فك التشفير Rannoh بتحليلها واستعادة بقية المعلومات.
هناك عائق واحدة: يعمل Yanluowang على أتلاف الملفات بشكل مختلف قليلاً اعتمادًا على حجمها. يقوم بتشفير الملفات الصغيرة (أقل من 3 جيجابايت) بالكامل، والكبيرة جزئيًا. لذا فك تشفيرهم يتطلب ملفات نظيفة من أحجام مختلفة. بالنسبة للملفات التي يكون حجمها أصغر من 3 جيجابايت، يكفي أن يكون لديك النسخة الأصلية والنسخة المشفرة من الملف بحجم 1024 بايت أو أكثر. لاستعادة الملفات التي حجمها يزيد عن 3 جيجابايت، يلزم وجود ملفات أصلية بالحجم المناسب. ومع ذلك، إذا وجدت ملفًا نظيفًا أكبر من 3 جيجابايت، فسيكون من الممكن عمومًا استرداد جميع المعلومات المتأثرة.
ما هو Yanluowang ولماذا هو خطير؟
Yanluowang هو برنامج فدية جديد نسبيًا، يستخدمه المهاجمون المجهولون لاستهداف الشركات الكبيرة. تم الإبلاغ عنه لأول مرة في أواخر العام الماضي. لبدء عملية التشفير، يجب أن يتلقى البرنامج الضار الشروط المقابلة، مما يشير إلى أن المشغل يتحكم في الهجوم يدويًا. وحتى الآن، يشمل ضحايا Yanluowang شركات في الولايات المتحدة والبرازيل وتركيا.
للحصول على التفاصيل الفنية الخاصة بـ Yanluowang، بالإضافة إلى مؤشرات التسوية، يرجى الاطلاع على منشور قائمتنا الأمنية.
كيفية الحماية من Yanluowang
للحماية الأساسية من برامج الفدية، اتبع مجموعتنا القياسية من النصائح: حافظ دائمًا على تحديث البرامج؛ واحفظ النسخ الاحتياطية للبيانات في التخزين غير المتصل بالإنترنت؛ وقم بتزويد الموظفين بالتدريب الأساسي الخاص بالأمن السيبراني وقم بتزويد جميع الأجهزة المتصلة بحماية كافية ضد برامج الفدية
ومع ذلك، نظرًا للهجمات المستهدفة — وحتى الهجمات التي يتم التحكم فيها يدويًا — فأنت بحاجة إلى نهج أمني شامل. وإضافة إلى ذلك، يوصي خبراؤنا بما يلي:
- مراقبة حركة المرور الصادرة للكشف عن الاتصالات المشبوهة في الوقت المناسب؛
- إجراء عمليات تدقيق منتظمة للأمن السيبراني؛
- تزويد موظفي مركز العمليات الأمنية بالبيانات الحالية للتهديدات السيبرانية
- إشراك [MDR placeholder] خبراء الجهات الخارجية [/ MDR placeholder]..