برامج ضارة لم يسبق لها مثيل تدمر البيانات في المحاكم الروسية ومكاتب رؤساء البلديات
برامج ضارة لم يسبق لها مثيل تدمر البيانات في المحاكم الروسية ومكاتب رؤساء البلديات
توسيع
تتعرض مكاتب رؤساء البلديات والمحاكم في روسيا للهجوم من البرامج الضارة التي لم يسبق لها مثيل والتي تتنكر في شكل برامج فدية ، ولكنها في الواقع عبارة عن ممسحة للزجاج الأمامي تعمل على تدمير البيانات بشكل دائم على نظام مصاب ، وفقًا لشركة الأمان Kaspersky و خدمة أخبار Izvestia.
أطلق باحثو كاسبرسكي اسم الممسحة على CryWiper ، وهي إشارة إلى امتداد .cry الذي يتم إلحاقه بالملفات المدمرة. تقول Kaspersky إن فريقها رأى أن البرامج الضارة تطلق "هجمات نقطية" على أهداف في روسيا. في غضون ذلك ، قالت إزفستيا إن الأهداف كانت بلديات ومحاكم روسية. لم تُعرف على الفور التفاصيل الإضافية ، بما في ذلك عدد المؤسسات المتأثرة وما إذا كانت البرامج الضارة قد نجحت في محو البيانات.
أصبحت البرمجيات الخبيثة للممسحة شائعة بشكل متزايد خلال العقد الماضي. في عام 2012 ، أحدثت ممسحة الزجاج الأمامي المعروفة باسم شمعون الخراب في أرامكو السعودية في المملكة العربية السعودية ورأس غاز في قطر. بعد أربع سنوات ، عادت نسخة جديدة من شمعون وضربت عدة منظمات في المملكة العربية السعودية. في عام 2017 ، انتشرت برامج ضارة ذاتية التكرار تسمى NotPetya في جميع أنحاء العالم في غضون ساعات وتسببت في أضرار تقدر بنحو 10 مليارات دولار. خلال العام الماضي ، ظهرت مجموعة كبيرة من مساحات الزجاج الأمامي الجديدة. وهي تشمل DoubleZero و IsaacWiper و HermeticWiper و CaddyWiper و WhisperGate و AcidRain و Industroyer2 و RuRansom.
قالت Kaspersky إنها اكتشفت محاولات هجوم CryWiper خلال الأشهر القليلة الماضية. بعد إصابة الهدف ، ترك البرنامج الضار ملاحظة تطالب ، وفقًا لـ Izvestia ، بـ 0.5 bitcoin بما في ذلك عنوان المحفظة حيث يمكن إجراء الدفع.
تكبير
كاسبيرسكي
"بعد فحص عينة من البرامج الضارة ، اكتشفنا أن حصان طروادة هذا ، على الرغم من أنه يمثل برنامج فدية ويبتز الأموال من الضحية" لفك تشفير "البيانات ، لا يقوم في الواقع بتشفير البيانات ، ولكنه يدمر البيانات عمدًا في "النظام المتأثر" ، كما يشير تقرير Kaspersky. علاوة على ذلك ، أظهر تحليل رمز برنامج حصان طروادة أنه لم يكن خطأ من المطور ، ولكن نيته الأصلية.
يشبه CryWiper إلى حد ما IsaacWiper ، الذي استهدف المنظمات في أوكرانيا. يستخدم كلا الممسحين نفس الخوارزمية لتوليد أرقام شبه عشوائية تفسد الملفات المستهدفة عن طريق الكتابة فوق البيانات التي تحتوي عليها. اسم الخوارزمية هو Mersenne Vortex PRNG. نادرًا ما يتم استخدام الخوارزمية ، لذلك تبرز القواسم المشتركة.
تكبير
كاسبيرسكي
تشترك CryWiper في قواسم مشتركة مميزة مع عائلات برامج الفدية تسمى Trojan-Ransom.Win32.Xorist و Trojan-Ransom.MSIL.Agent. على وجه التحديد ، عنوان البريد الإلكتروني في مذكرة الفدية لجميع الثلاثة هو نفسه.
نموذج CryWiper الذي تم تحليله بواسطة Kaspersky هو ملف 64 بت قابل للتنفيذ لنظام التشغيل Windows. تمت كتابته بلغة C ++ وتم تجميعه باستخدام MinGW-w64 ...
تتعرض مكاتب رؤساء البلديات والمحاكم في روسيا للهجوم من البرامج الضارة التي لم يسبق لها مثيل والتي تتنكر في شكل برامج فدية ، ولكنها في الواقع عبارة عن ممسحة للزجاج الأمامي تعمل على تدمير البيانات بشكل دائم على نظام مصاب ، وفقًا لشركة الأمان Kaspersky و خدمة أخبار Izvestia.
أطلق باحثو كاسبرسكي اسم الممسحة على CryWiper ، وهي إشارة إلى امتداد .cry الذي يتم إلحاقه بالملفات المدمرة. تقول Kaspersky إن فريقها رأى أن البرامج الضارة تطلق "هجمات نقطية" على أهداف في روسيا. في غضون ذلك ، قالت إزفستيا إن الأهداف كانت بلديات ومحاكم روسية. لم تُعرف على الفور التفاصيل الإضافية ، بما في ذلك عدد المؤسسات المتأثرة وما إذا كانت البرامج الضارة قد نجحت في محو البيانات.
أصبحت البرمجيات الخبيثة للممسحة شائعة بشكل متزايد خلال العقد الماضي. في عام 2012 ، أحدثت ممسحة الزجاج الأمامي المعروفة باسم شمعون الخراب في أرامكو السعودية في المملكة العربية السعودية ورأس غاز في قطر. بعد أربع سنوات ، عادت نسخة جديدة من شمعون وضربت عدة منظمات في المملكة العربية السعودية. في عام 2017 ، انتشرت برامج ضارة ذاتية التكرار تسمى NotPetya في جميع أنحاء العالم في غضون ساعات وتسببت في أضرار تقدر بنحو 10 مليارات دولار. خلال العام الماضي ، ظهرت مجموعة كبيرة من مساحات الزجاج الأمامي الجديدة. وهي تشمل DoubleZero و IsaacWiper و HermeticWiper و CaddyWiper و WhisperGate و AcidRain و Industroyer2 و RuRansom.
قالت Kaspersky إنها اكتشفت محاولات هجوم CryWiper خلال الأشهر القليلة الماضية. بعد إصابة الهدف ، ترك البرنامج الضار ملاحظة تطالب ، وفقًا لـ Izvestia ، بـ 0.5 bitcoin بما في ذلك عنوان المحفظة حيث يمكن إجراء الدفع.
تكبير
كاسبيرسكي
"بعد فحص عينة من البرامج الضارة ، اكتشفنا أن حصان طروادة هذا ، على الرغم من أنه يمثل برنامج فدية ويبتز الأموال من الضحية" لفك تشفير "البيانات ، لا يقوم في الواقع بتشفير البيانات ، ولكنه يدمر البيانات عمدًا في "النظام المتأثر" ، كما يشير تقرير Kaspersky. علاوة على ذلك ، أظهر تحليل رمز برنامج حصان طروادة أنه لم يكن خطأ من المطور ، ولكن نيته الأصلية.
يشبه CryWiper إلى حد ما IsaacWiper ، الذي استهدف المنظمات في أوكرانيا. يستخدم كلا الممسحين نفس الخوارزمية لتوليد أرقام شبه عشوائية تفسد الملفات المستهدفة عن طريق الكتابة فوق البيانات التي تحتوي عليها. اسم الخوارزمية هو Mersenne Vortex PRNG. نادرًا ما يتم استخدام الخوارزمية ، لذلك تبرز القواسم المشتركة.
تكبير
كاسبيرسكي
تشترك CryWiper في قواسم مشتركة مميزة مع عائلات برامج الفدية تسمى Trojan-Ransom.Win32.Xorist و Trojan-Ransom.MSIL.Agent. على وجه التحديد ، عنوان البريد الإلكتروني في مذكرة الفدية لجميع الثلاثة هو نفسه.
نموذج CryWiper الذي تم تحليله بواسطة Kaspersky هو ملف 64 بت قابل للتنفيذ لنظام التشغيل Windows. تمت كتابته بلغة C ++ وتم تجميعه باستخدام MinGW-w64 ...
توسيع
تكبير
كاسبيرسكي
تكبير
كاسبيرسكي
