يعد Bad Rabbit Ransomware أكثر فيروسات الكمبيوتر خطورة وخطورة في الوقت الحالي
WannaCry و Petya ليستا الفيروسات الوحيدة التي اكتسبت شهرة خلال الهجمات الإلكترونية العالمية. رانسومواري سيئة الأرنب، والذي يشتبه في أنه نوع جديد من بيتيا/NotPetya/ ExPetr ، ضرب بشدة روسيا وأوكرانيا وألمانيا وتركيا ودول أخرى في جميع أنحاء العالم في 24 أكتوبر.
تقوم برامج الفدية بتشفير جميع البيانات الموجودة على الكمبيوتر وإعادة كتابة Master Boot Record. وبالتالي ، يقوم البرنامج الضار بإعادة تشغيل النظام ثم يعرض ملاحظة فدية على الشاشة. لقد أثر متغير البرامج الضارة الجديد بالفعل على عدد من البلدان المختلفة في جميع أنحاء العالم ، وبالنظر إلى مدى سرعة انتشاره ، فمن الضروري معرفة الحقائق الرئيسية عنه.
يتسارع تدفق المعلومات ، ويمكن أن يضيع مستخدمو الكمبيوتر بسرعة حيث يوفر كل موقع إخباري المزيد والمزيد من التفاصيل حول الفيروس. أعد خبراء من فريق VirusActivity ورقة حقائق حول هجوم سيبر الأرنب السيبر، ما هو وماذا يحتاج مستخدمو الكمبيوتر إلى معرفته.
أهم 5 أشياء يجب معرفتها حول الهجوم الإلكتروني على BadRabbit
1. ينتشر برنامج الفدية عبر تحديثات وهمية لبرنامج Adobe Flash Player.
وفقًا للخبراء ، استخدم مطورو برامج الفدية طريقة توزيع قديمة وفعالة لبرامج الفدية تعتمد على تحديثات Flash Player المزيفة.[1] يبدو أن المتسللين قاموا بحقن أكواد JavaScript ضارة في HTML لمواقع الويب المختلفة (معظمها الروسية أو البلغارية أو التركية) وأجبرتهم بهذه الطريقة على تقديم نوافذ منبثقة مزيفة تقترح تحديث فلاش قديم لاعب.
في حالة قيام الضحية بالنقر فوق الزر "تثبيت" ، يقوم البرنامج النصي الضار بإعادة توجيه الضحية إلى المجالات المحملة بالبرامج الضارة وتنزيل ملف install_flash_player.exe. في هذه المرحلة ، لا يزال بإمكان الضحية التراجع وحذف الملف الذي تم تنزيله لتجنب تلف البيانات بالكامل. لسوء الحظ ، يبدأ تنفيذ الملف المذكور عملية تشفير البيانات على الفور.
لا ينتشر برنامج الفدية باستخدام ثغرة EternalBlue كما فعل فيروس NotPetya. بدلاً من ذلك ، فإن Bad Rabbit قادرة على الانتشار بشكل أكبر عبر أسهم SMB.[2]
2. يُشتبه في أن Bad Rabbit هو متغير محسّن من Petya / NotPetya ransomware
بالحديث عن أصول Bad Rabbit ، يجب أن نذكر برامج الفدية الشائنة المعروفة باسم Petya / NotPetya / ExPetr[3]. كلا الفيروسين لهما أوجه تشابه واختلاف ، لكن التفاصيل الأكثر وضوحًا هي أن كلاهما يعدل Master Boot Record (MBR) ويعرض رسالة مخيفة على شاشة الكمبيوتر.
3. الفيروس الجديد ليس ممسحة ويعمل كبرنامج تشفير حقيقي للفدية يجعل الملفات عديمة الفائدة للمطالبة بفدية.
BadRabbit ، ومع ذلك ، ليس ممسحة. بينما تم تحديد NotPetya في البداية على أنه برنامج فدية ، كشف المزيد من التحليل أنه يفسد البيانات الموجودة على النظام الهدف بشكل دائم. لا يمكن عكس الضرر الذي تحمله الحمولة الضارة بأي شكل من الأشكال.
ومع ذلك ، فإن المتغير الجديد يقوم بتشفير الملفات باستخدام الأداة المساعدة DiskCryptor. الملفات التي تم ترميزها بواسطة Bad Rabbit سيكون لها امتداد ملف مشفر ملحق بأسمائها.
4. يطلب برنامج الفدية دفع 0.05 بيتكوين
بعد تشفير الملفات على النظام الهدف ، يعدل البرنامج الضار MBR ويعيد تشغيل الكمبيوتر. ونتيجة لذلك ، واجه الضحايا رسالة تبدو مخيفة مكتوبة باللون الأحمر على خلفية سوداء. يقترح برنامج الفدية زيارة عنوان URL مشبوه لا يمكن الوصول إليه عبر متصفحات الويب العادية.
يتعين على الضحية تنزيل متصفح Tor وتثبيته للوصول إلى موقع الدفع الإلكتروني. ثم يطلب الموقع إدخال مفتاح التعريف الشخصي. يسمح توفير المفتاح المحدد للضحية برؤية عنوان Bitcoin الخاص بالمجرمين حيث يجب تحويل الدفعة. يمنح برنامج الفدية 40 ساعة لإكمال المعاملة. يرتفع سعر الفدية بمجرد مرور 40 ساعة.
5. لا توجد طريقة لفك تشفير الملفات المشفرة بواسطة Bad Rabbit
لسوء الحظ ، بغض النظر عن مدى صعوبة المحاولة ، لا توجد طريقة لاستعادة الملفات التالفة بواسطة البرامج الضارة Bad Rabbit. لا يزال هناك بعض الأمل في أن محللي البرامج الضارة قد يجدون عيبًا في رمز برنامج الفدية قد يكون كذلك السماح لهم بإنشاء أداة فك تشفير عاملة ، ومع ذلك ، في الوقت الحالي تبدو مثل هذه التوقعات غير واقعية.
حاليًا ، الطريقة الوحيدة الممكنة لاستعادة الملفات التالفة بسبب متغير برنامج الفدية الجديد هذا هي استخدام نسخة احتياطية من البيانات.[4] ومع ذلك ، ستحتاج أولاً إلى إزالة البرامج الضارة Bad Rabbit. إذا لم تكن على دراية بأفضل أدوات إزالة البرامج الضارة في الوقت الحاضر ، فإننا ننصح بشدة بقراءة المراجعات على المواقع المتعلقة بالأمان مثل 2-Spyware.com.