Ranscam التشفير Ransomware ببساطة حذف الملفات ، وتشفير أي شيء

برامج التشفير Ransomware في كل مكان. البرامج التي تقوم بتشفير ملفات المستخدم ثم تتطلب فدية لفك تشفير البيانات تجلب الكثير من المال لمنشئيها. من بين هذا النوع من البرامج هناك برامج رائعة حقا. في كثير من الحالات ، يفي مطورو هذه البرامج الضارة بوعدهم: إذا دفع المستخدم ، يتلقى مفتاحًا لفك تشفير الملفات. ولكن هذا ليس هو الحال دائمًا - في بعض الأحيان لا يأتي المفتاح بعد الدفع.

يحدث أيضًا أنه لا يوجد مفتاح فقط ، ولكن أيضًا ملفات. Ranscam هو برنامج ضار يتظاهر فقط بأنه برنامج فدية تشفير. يتظاهر البرنامج بأن الملفات مشفرة ، على الرغم من أن كل ما يراه المستخدم على الشاشة هو في الواقع سطر أوامر يحتوي على قائمة بالملفات المحذوفة. بمجرد حذف الملفات ، يعرض البرنامج نافذة منبثقة تطلب منك دفع المال لاستلام مفتاح التشفير.



في نافذة المعلومات التي تظهر ، يرى المستخدم رسالة تنص على أنه تم نقل جميع الملفات إلى قسم مخفي من القرص وتم تشفيرها ؛ يتم حظر جميع البرامج الهامة ؛ لا يمكن للكمبيوتر العمل بشكل طبيعي. يشار أيضًا إلى أنه عند إجراء الدفع بعملة بيتكوين ، سيعود كل شيء إلى مكانه - سيستلم المستخدم ملفاته مرة أخرى.

أقل قليلاً في النافذة هو حقل حيث تحتاج إلى إدخال بياناتك بعد إجراء الدفع. من المفترض أن تقوم البرامج الضارة "بالتحقق" من بيانات الدفع الخاصة بالضحية. ويقال أيضًا أن الضغط على زر دون إجراء دفعة أمر محفوف بالحذف الكامل لجميع الملفات. كل ما يفعله هذا البرنامج هو تنفيذ طلب HTTP GET لاستلام صور PNG التي توضح عملية التحقق للمستخدم. في الواقع ، لا يتحقق البرنامج من أي شيء.

بالإضافة إلى ذلك ، لن يساعد الدفع - يتم حذف جميع الملفات باستخدام برنامج crypto-ransomware عند إصابة جهاز الكمبيوتر. يحاول كاتب البرمجيات الخبيثة خداع الضحية لدفع المال. البرنامج نفسه بسيط للغاية - من الواضح أن المهاجمين المتمرسين لم يعملوا عليه.

يدخل الفيروس إلى جهاز الكمبيوتر الخاص بالمستخدم في شكل ملف .NET قابل للتنفيذ. تم توقيع الملف بشهادة رقمية صادرة عن reca [.] Net. تاريخ إصدار الشهادة هو 6 يوليو 2016.



عندما يفتح الضحية الملف ، يقوم البرنامج بإجراء عدة إجراءات. أولاً ، يقوم البرنامج بنسخ نفسه إلى٪ APPDATA٪ \ ، ويسجل أيضًا عند بدء التشغيل. بالإضافة إلى ذلك ، يتم تفريغها في٪ TEMP٪ \.





يقوم البرنامج بإنشاء وتشغيل ملف قابل للتنفيذ يعثر على عدد من المجلدات في نظام الضحية ويتظاهر بـ "تشفير" هذه الملفات. في الواقع ، يتم حذف كل شيء نهائيًا.



تبرر البرامج الضارة في هذه الحالة اسمها بالكامل ، حيث إنها تقوم بعدد من الإجراءات الأخرى التي تقتل نظام المستخدم:

• حذف جميع ملفات Windows المسؤولة عن النسخ الاحتياطي للبيانات (System Restore) ؛
• حذف النسخ الاحتياطية ؛
• حذف عدد من مفاتيح التسجيل المسؤولة عن بدء تشغيل النظام في الوضع الآمن.

بعد كل هذا ، يطلب النظام ملف JPEG لتوضيح رسالة حول الحاجة إلى الدفع مقابل فك تشفير الملفات.



بمجرد الانتهاء من كل هذا ، يقوم البرنامج النصي بإيقاف تشغيل الكمبيوتر. سيتم تنفيذ جميع الخطوات الموضحة أعلاه في كل مرة تقوم فيها بتشغيل جهاز الكمبيوتر. وفي كل مرة تقوم البرامج الضارة بحذف المزيد والمزيد من الملفات الجديدة وتعرض رسالة حول الحاجة إلى الدفع. فيما



يلي قائمة بالملفات التي يتم تنزيلها عند تشغيل Ranscam من خادم المهاجم. حتى أنه لم يكلف نفسه عناء تشويش البيانات.

أرسل خبراء أمن المعلومات الذين يدرسون البرامج الضارة عنوان بريد إلكتروني إلى الفيروس المحدد في الرسالة. طلبت "الضحية" المساعدة من مبتكر الفيروس ، قائلة إنها لم تستطع إتمام المعاملة باستخدام Bitcoin بشكل صحيح. مباشرة بعد الطلب ، جاء الرد.



كان هناك طلب آخر للمساعدة: "أنا لا أفهم أي شيء عن هذه الأشياء. لا أفهم ما يعنيه كل ذلك أو كم تكلفته ، لكني أريد استعادة الكمبيوتر. لدي الكثير من الصور لعائلتي ولا يمكنني حتى التصفح. هل هناك مكان يمكنني إرسال بياناتي فيه ، أو ربما يوجد رقم هاتف يمكنك من خلاله مساعدتي؟ لا أعرف ماذا فعلت ، لكن كمبيوتر ابنتي لا يُظهر هذه الرسالة السيئة ، فماذا أفعل؟ الرجاء المساعدة في إعادة صوري ، فهي مهمة! "

بعد ساعتين من الطلب ، أرسل المهاجم إجابة ، حيث أعطى تعليمات مفصلة بشأن الدفع. بعد ذلك ، لم يستمر مؤلف الفيروس في التواصل. ومع ذلك ، قدم نفس عنوان محفظة Bitcoin الذي تم إدراجه في نافذة المعلومات التي يعرضها الفيروس. هذا العنوان هو 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. قام الخبراء الذين يدرسون المشكلة بفحص المعاملات لهذه المحفظة ورأوا أن المبلغ الإجمالي للأموال المحولة قد وصل بالفعل إلى 277.61 دولارًا. صحيح أن هذه الأموال جاءت إلى المحفظة في وقت سابق ، حتى 20 يونيو. لا توجد صفقة بعد هذا التاريخ.

حتى الآن ، لم تنتشر هذه البرامج الضارة كثيرًا. قد تكون Ranscam واحدة من البرامج الضارة الأولى ، التي لا يريد منشئوها القيام بعمل إضافي ، ولكنهم يريدون المال فقط. لماذا إنشاء فدية تشفير معقدة ، وقضاء الوقت والمال لإنشائه ، إذا كان بإمكانك إخفاءه باعتباره فيروسًا عاديًا يحذف الملفات ويتطلب المال؟ السؤال بلاغي.

Source: https://habr.com/ru/post/ar396123/