برمجية الفدية الخبيثة CryptXXX

طور خبراء شركة كاسبرسكي لاب أداة لفك التشفير لمساعدة ضحايا برمجية الفدية الخبيثة CryptXXX على استعادة الملفات المشفرة، وذلك كجزء مما قالت إنه التزامها المستمر لحماية المستخدمين من أحدث برمجيات الفدية الخبيثة.

وأوضحت الشركة الروسية المتخصصة في أمن المعلومات أن برمجية الفدية الخبيثة CryptXXX تستهدف بصفة خاصة أجهزة ويندوز بغرض غلق الملفات ونسخ البيانات وسرقة العملات الرقمية بيتكوين.

وأضافت كاسبرسكي لاب أنه يتم توزيع البرمجية الفدية الخبيثة  CryptXXXعلى مستخدمي الإنترنت عبر رسائل البريد الإلكتروني غير المرغوب فيها والتي تحتوي على المرفقات المصابة بالبرمجية الخبيثة أو روابط لمواقع خبيثة، ثم إن صفحات الويب التي تستضيف أداة التصيد EK تقوم بتوزيع البرمجية الخبيثة.

وعند تثبتها تقوم CryptXXX بتشفير ملفات النظام المصاب وتضيف امتداد دوت كريبت  .cryptإلى اسم الملف، ثم يتم إبلاغ الضحايا أنه جرى تشفير الملفات (من خلال عملية التشفير الأقوى SA-4096) وأنه مطلوب دفع فدية بالعملات الرقمية إذا رغب الضحايا في استعادة البيانات الخاصة بهم.

وأشارت كاسبرسكي لاب إلى أنه مع أكثر من 50 مجموعة من برمجيات الفدية الخبيثة المنتشرة حاليًا على شبكة الانترنت، لا يوجد نظام عالمي واحد للتصدي لتهديد أو تأثير تلك الهجمات. ومع ذلك، في حالة البرمجية الخبيثة CryptXXX تحولت مطالبات المجرمين بشأن عملية RSA-4096 إلى أن تكون بغرض التباهي فقط.

وقالت الشركة إنه بفضل الجهود التي بذلها فيدور سينيتسان، محلل أول البرامج الخبيثة في كاسبرسكي لاب، الذي طور تلك الأداة، يمكن للضحايا أن يتأكدوا من أنه إذا وجدت برمجية الفدية الخبيثة CryptXXX طريقها إلى حواسبهم، فإنه لا يزال من الممكن استعادة الملفات من دون دفع الفدية.

ومن أجل فك تشفير الملفات المتضررة، فإن أداة كاسبرسكي لاب في حاجة إلى النسخة الأصلية (غير المشفرة) من ملف واحد على الأقل، مصاب بالبرمجية الخبيثة CryptXXX.

وأوضحت كاسبرسكي لاب أن مستخدمي حلولها يتمتعون بحماية تزيد عن ذلك حيث تم اكتشاف أداة التصيد (EK) التي تستخدمها برمجية الفدية الخبيثة CryptXXX في المراحل المبكرة من العدوى عن طريق تقنية الحماية الأوتوماتيكية من الاستغلال التي توفرها حلول كاسبرسكي لاب.

وتكتشف منتجات كاسبرسكي لاب أداة التصيد هذه بموجب النتائج التالية HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic..

ولكي يحمي المستخدمون أنفسهم من العدوى، قالت الشركة إنه يتعين عليهم الاحتفاظ بنسخ احتياطية من ملفاتك بشكل منتظم، إضافة إلى تحديث أجهزتهم بكافة التحديثات الهامة لنظام التشغيل وأدوات التصفح، إذ إن أداة التصيد التي تستخدم في البرامج الخبيثة CryptXXX، تستغل نقاط ضعف البرامج لتحميل وتثبيت برامج الفدية الخبيثة.

وأوصت الشركة المستخدمين أيضًا بتثبيت أحد الحلول الأمنية، مثل الحل الخاص بها لأمن الإنترنت Kaspersky Internet Security  حماية متعددة الطبقات ضد برمجيات الفدية الخبيثة.

ويمكن للشركات استخدام حلول كاسبرسكي الأمنية لحماية تطبيق خادم ويندوز لأن هذه الحلول تتضمن تقنية مكافحة التشفير Cryptor التي تم تصميمها لحماية البنية التحتية لتكنولوجيا المعلومات من برامج التشفير الخبيثة cryptomalware.