تعريف الفيروس

نوع الفيروس: برنامج ضار / برنامج فدية

ما هو TorrentLocker؟

TorrentLocker (Trojan-Ransom.Win32.Rack في تصنيف Kaspersky Lab) هو نوع من برامج الفدية المشفَّرة يحظى بشهرة متزايدة في الوقت الراهن.

تمت ملاحظة أولى التعديلات على هذه الفئة في فبراير 2014، ومنذ ديسمبر 2014 تم اكتشاف خمسة إصدارات رئيسية على الأقل من برنامج الفدية هذا.

يستخدم Trojan-Ransom.Win32.Rack مفتاح AES للتشفير الكتلي المتماثل لتشفير ملفات الضحية ومفتاح RSA للتشفير غير المتماثل لتشفير مفتاح AES. تحتوي الإصدارات من الأول إلى الثالث على عيب يتيح تشفير ملفات الضحية، وقم تم تنفيذ هذا في أداة المساعدة RannohDecryptor الخاصة بنا.

وأصلحوه، مما يجعل طريقة التشفير هذه مستحيلة. تطلب الإصدارات الحالية من هذا البرنامج الضار دفع فدية من خلال نظام Bitcoin وتستضيف صفحات ويب الدفع في شبكة Tor.

الإجراءات المضادة

تستطيع مجموعة كبيرة من تقنيات Kaspersky Lab اكتشاف جميع إصدارات TorrentLocker بنجاح: السلوكية (تقارير فحص PDM:Trojan.Win32.Generic، ‏HEUR:Trojan.Win32.Generic)، والقائمة على التوقيع (تقارير فحص Trojan-Ransom.Win32.Rack.*)، والقائمة على السحابة عبر KSN (تقرير فحص UDS:DangerousObject.Multi.Generic).

محتوى الملف القابل للتنفيذ، ولكنه يُصدر حكمه بناءً على الإجراء الذي يقوم به الملف، الأمر الذي يتيح لنا اكتشاف أي محاولات للتشفير بصرف النظر عما إذا كانت العينة الضارة جديدة أو لوحظت من قبل. وعلاوة على ذلك، تتضمن منتجاتنا نظامًا فرعيًا جديدًا للإجراءات المضادة لبرامج التشفير الضارة يستطيع التراجع تلقائيًا عن التغييرات الضارة في ملفات المستخدمين. تتوافر المزيد من المعلومات عن هذا النظام في المستند التقني الخاص بنا.

الوقاية

النسخ الاحتياطية

الطريقة المثلى لضمان سلامة البيانات الحساسة هي إيجاد جدول زمني متسق للنسخ الاحتياطي. يجب إجراء النسخ الاحتياطي بانتظام، وينبغي إنشاء النُسخ على جهاز تخزين يمكن الوصول إليه أثناء هذه العملية فقط (على سبيل المثال، جهاز تخزين قابل للإزالة يتم فصله على الفور بعد النسخ الاحتياطي). وسيؤدي عدم الالتزام بهذه التوصيات إلى مهاجمة الملفات المنسوخة احتياطيًا وحذفها أو تشفيرها بواسطة برامج الفدية بالطريقة نفسها التي تتم فيها مهاجمة الملفات الأصلية.

حلّ للحماية من البرامج الضارة

حتى مع اتباع جدول زمني منتظم للنسخ الاحتياطي، قد تكون أحدث الملفات غير محمية وقد تُفقد بسبب هجوم برامج الفدية. لا تقتصر أهمية وجود حلّ للحماية من البرامج الضارة يحتوي على قاعدة محدَّثة ومكوِّنات نشطة على ضمان سلامة البيانات فحسب، لا بل حماية النظام من أنواع الهجمات الإلكترونية الأخرى أيضًا.

التوعية حول الأمان على الإنترنت

غالبًا ما تنتشر البرامج الضارة الحديثة بواسطة الهندسة الاجتماعية، ولذا من الضروري الإلمام بالخدع الشائعة الاستخدام، مثل إعلامات البريد الإلكتروني الزائفة من خدمات ومؤسسات معروفة. وعادةً تحتوي رسائل البريد الإلكتروني المزيفة هذه على برامج ضارة، وغالبًا ما يصعب تمييزها من المراسلات الشرعية. ولهذا ينبغي على المستخدمين الانتباه للتفاصيل كافة، وتوخي الحذر باستمرار، وعدم فتح أي مرفقات إلا تلك الواردة من مصادر موثوقة للحماية من خطورة الإصابة.