ظهورهجوم رانسوموار جديد ال Bad-Rabbit" الأرنب السيئ- موقع التعليم الحر

الBad-Rabbit هجوم رانسوموار جديد ينتشر بسرعة – وهنا كل ما تحتاج معرفته حوله

فيروس الرانسموار Bad-Rabbit

أشهر فقط بعد بعد ان زعزع فيروس الفدية، “Wannacry” أو “WannaCrypt” العالم, حيث أظهر نقاط ضعف على المستوى الامني، للكثير من كبريات الشركات حول العالم, ندكر منها شركتي فيديكس و تيليفونيكا….، وبعد إطلاق تحديثات أمنية لتجنبه أو حتى لإزالته. يظهر فيروس فدية جديد يدعى “Bad Rabbit” الأرنب السيئ، ينتشر بسرعة في جميع أنحاء أوروبا و بعض الأماكن الأخرى.

كيف يعمل هذا الرانسموار ؟؟

ضحايا  فيروس الBad-Rabbit، يتم اعادة توجيههم إلى موقع على الدارك-نت DarkNet، اتناء تصفحهم لمواقع اخبارية شرعية، حيث تنبثق نافدة تطلب من المستخدمين، تثبيت برنامج أدوبي فلاش بلاير Adobe Flash Player، بينما في الحقيقة هي عبارة عن برمجيات خبيثة, بمجرد تتبيتها يتم تشفير جميع الملفات الخاصة بالضحية، ويُطلب منه دفع مبلغ 0.05 بيتكوين، (276.85 $ في وقت كتابة هدا المقال)، لفك تشفير هده الملفات. وقد قامت مختبرات شركة كاسبرسكي، المتخصصة في الحماية، برصد ما يقرب من 200 ضحية في تركيا وألمانيا.

عند تثبيت البرنامج الذي يوهمك بأنه برنامج شرعي، (فلاش بلاير)، يتم حفظ الDLL الخاص بالبرمجية الضارة، في المسار التالي C:\Windows\infpub.dat, الذي بدوره يثبت الملف القابل للتنفيذ للفيروس الخبيث. البرامج يقوم أيضا بتثبيت BootLoader معدل، بحيث ييفقد المستخدمين الوصول بشكل كامل إلى جهاز الكمبيوتر الخاص بهم.

ملاحضة : الBootLoader-البوت لودر هو عباره عن كود برمجي صغير، إن صح التعبير، يكون هو اول كود يمر بالمعالج، و يقوم بعمل فحص سريع لاجزاء النظام، و ويقوم بعدها باطلاق الكيرنل، والذي بدوره يقوم باطلاق سلسله من تعريفات القطع على البورد، لتشغيل النظام الأساسي، أو نظام التشغيل، و هو الWindows 7 مثلا بالنسبة للحواسيب،  و نستطيع تقريبا ان نعبر عن ذلك بشكل بسيط مثل :
الضغط على زر التشغيل يطلق شحنه كهربائيه >>> الشحنه تؤدي الي اطلاق البوت لودر >>> البوت لودر يطلق الكيرنل…
كل ذللك يتم بسرعه طبعا.

في نفس السياق قال باحثون في كاسبيرسكي Kaspersky : “الفيروس يعمل بشكل نموذجي، حيث يجد البيانات الخاصة بالضحية، باستخدام إضافة مدمجة، ثم يقوم بتشفير هذه الملفات، باستخدام المفتاح العام لمبرمجي الفيروس الذي بطول Bit-2048 “.

كما قالت  مجموعة Group-IB، في تغريدة لها على تويتر، أن الفيروس يعرض عد تنازلي، جنبا إلى جنب مع الرسالة التي تظهر على شاشة الضحية. الضحايا لديهم حوالي 40 ساعة لتسديد الفدية، وبمجرد أن تنقضي المدة، فإن الفدية تتضاعف.

ما قالته مجموعة IB-Groupe حول رانسموار الأرنب السيئ

وكتبت شركة انترفاكس-Interfax، وهي شركة اخبارية كبرى في روسيا، ان انظمتها قد أصيبت. وفي أوكرانيا رصدت
إصابة لمطار أوديسا Odessa Airport. وهناك أيضا تقارير عن هجوم الأرنب السيء في كل من ألمانيا، تركيا، بولندا، بلغاريا، وكوريا الجنوبية.

ولم يتم التعرف على مرتكبي هذا الهجوم بعد، ولم يتم العثور على أي حل للحواسيب المصابة، لحدود الساعة. و يبقى من المستحسن عدم دفع أي أموال، للحصول على البيانات مرة أخرى، لأنه لا يوجد ضمان أن القراصنة سوف يلتزمون بوعدهم و يفكون التشفير.

مصادر Kaspersky،Securelist

You may also like...

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *