«إسيت» تطلق مفكك رموز الشفرة الجديد لصالح الضحايا السوريين من هجمات رانسومواري جاندكراب

الأربعاء 31 أكتوبر 2018
أوندري كيبوفيك

بقلم أوندري كيبوفيك ، متخصص في توعية أمن المعلومات لدى شركة «إسيت»

نشرت «إسيت» أداة فك تشفير جديدة لصالح الضحايا السوريين من هجمات رانسومواري جاندكراب GandCrab Ransomware. وقام مطورو هذه العائلة الخبيثة الشائنة بنشر مفاتيح التشفير في منتدى للقراصنة بعد تغريدة من أحد الضحايا السوريين الذي فقد صوراً لأطفاله المتوفين وحولت إلى كود شفرة خبيثة .

وفي رسالتهما العامة، اقتبس مشغِّلو جاندكراب جملة "الوضع السياسي والاقتصادي وكذلك العلاقات مع بلدان رابطة الدول المستقلة" كأسباب لقرارهم. وقد أكدت المجموعة أيضًا على أن هذا كان استثناءًا وأن المفاتيح للبلدان الأخرى أو الضحايا لن يتم نشرها حتى لو عمليات جاندكراب تم ضبطها في المستقبل.

كما ذكر موقع BleepingComputer.com ، فإن الدفعة التي تم نشرها تشمل فقط مفاتيح الضحايا السوريين. وذكر مشغلو البرامج الضارة أيضا أنه إبقاء سوريا على قائمة البلدان المستهدفة  كان خطئًا. ومن غير الواضح ما إذا كان هذا سيتغير في الحملات المستقبلية لجاندكراب أم لا، حيث أن أحدث نسخة (5.0.4) لا يسرد اللغة المستخدمة في سوريا من ضمن الإعفاءات (انظر الشكل 1).

تم تصميم أداة فك تشفير جاندكراب من «إسيت» من أجل فك تشفير 979 ضحية من سوريا بغض النظر عن إصدار البرامج الضارة التي تأثرت بها (من 1.0 إلى 5.0). ويمكن للمستخدمين تحميل أداة فك تشفير هنا. ولمزيد من التعليمات والمعلومات، يرجى الرجوع إلى مقال معرفتنا لقاعدة بيانات فك شفرات جاندكراب.

وهذه ليست المرة الأولى التي يطلق مؤلفو البرمجيات الخبيثة مفاتيح لعائلة الفدية "رانسومواري" المنتشرة (أو المتغيرات منها)، مما يسمح لشركات الأمن السيبراني لإنشاء أدوات فك التشفير. وفي السابق ، قامت «إسيت» بإصدار مثل هذه الأدوات لـ TeslaCrypt، و العديد من المتغيرات من Crysis ، بالإضافة إلى المتغيرات السابقة من "AESNI  رانسومواري".

كيفية تجنب الإصابات من هجمات الفدية رانسومواري ؟

الوقاية ضرورية للحفاظ على سلامة المستخدمين من هذا التهديد المعروف منذ فترة طويلة. ونوصي جميع المستخدمين بالاحتفاظ بأنظمة التشغيل والبرامج الخاصة بهم محدثة، واستخدام حلول أمنية موثوق بها مع طبقات متعددة من الحماية، والاحتفاظ بنسخة احتياطية من جميع البيانات المهمة والقيمة بانتظام في موقع غير متصل (مثل اقراص التخزين الخارجية).

وننصح الشركات بما يلي:

• تقليل مساحة الهجوم عن طريق تعطيل أو إلغاء تثبيت أي خدمات وبرامج غير ضرورية.

• مسح الشبكات للحسابات الخطرة التي تستخدم كلمات مرور ضعيفة وضمان تحسينها.

• تقييد أو حظر استخدام بروتوكول سطح المكتب البعيد (RDP) من خارج الشبكة، أو تفعيل المصادقة لمستوى الشبكة.

• استخدام شبكة افتراضية خاصة (VPN) للموظفين الذين يصلون إلى أنظمة الشركة عن بعد.

• القيام بمراجعة إعدادات جدار الحماية وإغلاق أي منافذ غير أساسية قد تؤدي إلى حدوث إصابة.

• مراجعة قواعد وسياسات حركة المرور بين أنظمة الشركة الداخلية وأي شبكة (شبكات) خارجية.

• ضبط حماية كلمة المرور في حلول الأمن الخاصة بك لمنعهم من التعطيل بواسطة مهاجم.

• القيام ﺑﺗﻘﺳﯾم اﻟﺷﺑﮐﺔ اﻟﻣﺣﻟﯾﺔ إﻟﯽ اﻟﺷﺑﮐﺎت اﻟﻔرﻋﯾﺔ وﺗوﺻﯾﻟﮭﺎ ﺑﺟدران اﻟﺣﻣﺎﯾﺔ ﻟﻟﺣد ﻣن اﻟﺗﺣرك اﻟﺟﺎﻧﺑﻲ واﻷﺛر اﻟﻣﺣﺗﻣل لرانسومواري أو ﻏﯾرھﺎ ﻣن اﻟﮭﺟﻣﺎت داﺧل اﻟﺷﺑﮐﺔ.

• حماية النسخ الاحتياطي مع مصادقة ثنائية أو متعددة العوامل.

• تدريب الموظفين بانتظام للتعرف على التهديدات الإلكترونية وكيفية التعامل مع الهجمات الهندسة الاجتماعية.

• السماح للملفات والمجلدات المشتركة بالوصول فقط إلى أولئك الذين يحتاجون إليها، بما في ذلك جعل المحتوى للقراءة فقط، وتغيير هذا الإعداد فقط للموظفين الذين يجب أن يكون لديهم حق الوصول للكتابة.

• توصي «إسيت» عملاءها أيضًا بالكشف عن التطبيقات التي من المحتمل أن تكون غير آمنة أو غير مرغوب فيها (PUSA / PUA) لاكتشاف و منع الأدوات التي يمكن إساءة استخدامها من قِبل المهاجمين من أجل تعطيل الحل الأمني.

Search form