وفقا لمجلة بلوق نشرت من قبل نايانا، شركة استضافة المواقع، حدث هذا الحدث المؤسف في 10 يونيو عندما ضرب رانسوموار البرمجيات الخبيثة استضافة ملقمات والمهاجم طالب 550 بيتسوانز (أكثر من 1.6 مليون $) لفتح الملفات المشفرة.
ومع ذلك، تفاوضت الشركة في وقت لاحق مع مجرمي الإنترنت ووافقت على دفع 397.6 بيتسوانز (حوالي 1.01 مليون دولار) على ثلاث دفعات للحصول على ملفاتهم فك تشفيرها.
وقد دفعت الشركة المضيفة بالفعل دفعتين في وقت كتابة هذا التقرير وستدفع القسط الأخير من الفدية بعد استرداد البيانات من ثلث خوادمها المصابة.
وفقا لشركة الأمن تريند مايكرو، رانسومواري المستخدمة في الهجوم كان إريبوس التي رصدت لأول مرة في سبتمبر من العام الماضي، وكان ينظر في فبراير من هذا العام مع قدرات المستخدم تجاوز حساب التحكم ويندوز.
لينكس-الفدية
منذ تشغيل خوادم استضافة على نواة لينكس 2.6.24.2، ويعتقد الباحثون أن إريبوس لينكس رانسوموار قد استخدمت نقاط الضعف المعروفة، مثل ديرتي كو. أو عمليات استغلال لينكس المحلية لتولي وصول الجذر للنظام.
وقال الباحثون: "يتم تشغيل إصدار أباتشي نايانا المستخدم كمستخدم لا أحد ، مما يشير إلى أن استغلال المحلي قد استخدمت أيضا في الهجوم".
"بالإضافة إلى ذلك، يستخدم موقع نايانا أباتشي الإصدار 1.3.36 و فب الإصدار 5.1.4، وكلاهما صدر في عام 2006."
إريبوس، رانسوموار تستهدف في المقام الأول المستخدمين في كوريا الجنوبية، بتشفير الوثائق المكتبية وقواعد البيانات والمحفوظات وملفات الوسائط المتعددة باستخدام خوارزمية رسا-2048 ثم إلحاق لهم ملحق .ecrypt قبل عرض مذكرة فدية.
وقال الباحثون: "يتم سحق الملف أولا بتشفير RC4 في كتل 500 كيلوبايت مع مفاتيح تم إنشاؤها عشوائيا". "ثم يتم ترميز المفتاح RC4 مع خوارزمية التشفير إس، التي يتم تخزينها في الملف. يتم تشفير المفتاح إس مرة أخرى باستخدام خوارزمية رسا-2018 التي يتم تخزينها أيضا في الملف. "
يتم تقاسم المفتاح العمومي الذي يتم إنشاؤه محليا، في حين يتم تشفير المفتاح الخاص باستخدام التشفير إس ومفتاح آخر عشوائيا.
وفقا للتحليل الذي أجراه الباحثون تريند مايكرو، فك التشفير من الملفات المصابة غير ممكن دون الحصول على عقد من مفاتيح رسا.
لذلك، فإن الطريقة الآمنة الوحيدة للتعامل مع الهجمات رانسومواري هو الوقاية. كما أوصينا سابقا، أفضل دفاع ضد رانسوموار هو خلق الوعي داخل المنظمات، وكذلك للحفاظ على النسخ الاحتياطية التي يتم تدويرها بانتظام.
يتم عرض معظم الفيروسات عن طريق فتح المرفقات المصابة أو النقر على وصلات إلى البرامج الضارة عادة في رسائل البريد المزعج. لذلك، لا تنقر على الروابط المقدمة في رسائل البريد الإلكتروني والمرفقات من مصادر غير معروفة.
وعلاوة على ذلك، تأكد من أن الأنظمة الخاصة بك تشغيل أحدث إصدار من التطبيقات المثبتة.
0 التعليقات
إرسال تعليق