نوافذ تحديث فيروسات الفدية الجديدة. فيروس التشفير - ما هو، لماذا هو خطير؟

07.10.2022

هجمات فيروسات التشفير، وتسريبات أدوات القرصنة من وكالات الاستخبارات الأمريكية، واختبار قوة منشآت الطاقة، والهجمات على ICOs وأول سرقة ناجحة للأموال من بنك روسي بنظام SWIFT - كان عام 2017 مليئًا بالمفاجآت غير السارة. لم يكن الجميع على استعداد لهم. بل على العكس تماما. أصبحت الجرائم الإلكترونية أسرع وأكبر. لم يعد المتسللون المؤيدون للحكومة مجرد جواسيس، بل يسرقون الأموال ويقومون بالتخريب السيبراني.
إن أي رد فعل مضاد للتهديدات السيبرانية هو دائمًا منافسة بين الدروع والقذائف. وقد أظهرت أحداث هذا العام أن العديد من الشركات وحتى الدول تستسلم لمجرمي الإنترنت. لأنهم لا يعرفون من هو العدو وكيف يتصرف وأين ينتظر الضربة التالية. يجب منع معظم الهجمات في مرحلة الإعداد لها باستخدام تقنيات الإنذار المبكر لمعلومات التهديدات. البقاء على بعد خطوات قليلة من مجرمي الإنترنت يعني توفير أموالك ومعلوماتك وسمعتك.

فيروسات برامج الفدية

وكانت الهجمات الإلكترونية الأكثر انتشارًا، سواء من حيث التوزيع أو الضرر، في عام 2017 هي الهجمات السيبرانية التي تستخدم فيروسات برامج الفدية. وخلفهم قراصنة موالون للحكومة. دعونا نتذكرهم بالاسم.

عواقب هجوم WonnaCry: سوبر ماركت روست، خاركوف، أوكرانيا.

لازاروس (المعروف أيضًا باسم عصابة سيول المظلمة) هو اسم مجموعة من المتسللين الكوريين الشماليين الذين يُعتقد أنهم يقفون وراء المكتب 121، أحد أقسام مديرية الاستخبارات التابعة لهيئة الأركان العامة للجيش الشعبي الكوري (كوريا الديمقراطية)، المسؤول عن إدارة العمليات السيبرانية. عمليات. لسنوات عديدة، تجسس قراصنة من مجموعة لازاروس الكورية الشمالية على الأعداء الأيديولوجيين للنظام - الوكالات الحكومية والشركات الخاصة في الولايات المتحدة وكوريا الجنوبية. الآن يهاجم لازاروس البنوك والمؤسسات المالية في جميع أنحاء العالم: إنهم مسؤولون عن محاولة سرقة ما يقرب من مليار دولار من البنك المركزي لبنغلاديش في فبراير 2016، والهجمات على البنوك في بولندا، وكذلك موظفي البنك المركزي الروسي. الاتحاد والبنك المركزي الفنزويلي والبنك المركزي البرازيلي والبنك المركزي التشيلي ومحاولة سحب 60 مليون دولار من بنك الشرق الأقصى الدولي (انظر قسم "الهجمات المستهدفة على البنوك"). وفي نهاية عام 2017، تمت ملاحظة قراصنة من كوريا الشمالية في هجمات على خدمات العملات المشفرة وهجمات باستخدام أحصنة طروادة المحمولة.

اتجاه العام

في 24 أكتوبر، وقع هجوم إلكتروني واسع النطاق باستخدام فيروس طلب الفدية BadRabbit في أوكرانيا وروسيا. هاجم الفيروس أجهزة الكمبيوتر والخوادم الخاصة بمترو كييف، ووزارة البنية التحتية، ومطار أوديسا الدولي. وانتهى الأمر بالعديد من الضحايا أيضًا في روسيا - نتيجة للهجوم، تضررت مكاتب التحرير لوسائل الإعلام الفيدرالية، كما تم تسجيل محاولات لإصابة البنى التحتية المصرفية. وكما أثبتت Group-IB، فإن مجموعة Black Energy تقف وراء الهجوم.

الهجمات المستهدفة على البنوك

حولت الجماعات الإجرامية التي هاجمت البنوك الروسية في ربيع وصيف عام 2017 انتباهها إلى بلدان ومناطق أخرى: الولايات المتحدة الأمريكية وأوروبا وأمريكا اللاتينية وآسيا والشرق الأوسط. وفي نهاية العام بدأوا العمل مرة أخرى في روسيا.

وفي عام 2017، غيّر المتسللون المؤيدون للحكومة أهدافهم، فبدأوا في تنفيذ عمليات تخريب إلكترونية ضد القطاع المالي. للتجسس أو سرقة الأموال، يحاول المتسللون الوصول إلى SWIFT ومعالجة البطاقة. وفي ربيع هذا العام، اخترقت مجموعة BlackEnergy أحد شركات التكامل في أوكرانيا وتمكنت من الوصول إلى شبكة من البنوك الأوكرانية. بعد شهرين، بدأ وباء WannyCry وNotPetya، الذي وقفت خلفه مجموعتا Lazarus وBlackEnergy.

ومع ذلك، بحلول بداية شهر أكتوبر، عندما قدم فريق Group-IB تقريره السنوي، كنا مليئين بالتفاؤل الحذر: انخفضت الهجمات المستهدفة على البنوك في روسيا بنسبة 33٪. جميع الجماعات الإجرامية التي هاجمت البنوك الروسية حولت انتباهها تدريجيًا إلى بلدان ومناطق أخرى: الولايات المتحدة الأمريكية وأوروبا وأمريكا اللاتينية وآسيا والشرق الأوسط. لقد أفسدت نهاية العام الإحصائيات - فقد سجلنا عددًا من الهجمات الإلكترونية على البنوك، وفي ديسمبر، وقع أول هجوم ناجح على بنك روسي باستخدام SWIFT، نفذته مجموعة Cobalt.

الهجمات على سويفت

وفي أكتوبر/تشرين الأول، تعرض بنك الشرق الأقصى الدولي في تايوان للسرقة. وبعد الوصول إلى نظام التحويلات الدولية بين البنوك (SWIFT)، الذي كان البنك متصلاً به، تمكن المتسللون من سحب ما يقرب من 60 مليون دولار إلى حسابات في سريلانكا وكمبوديا والولايات المتحدة. ويعتقد أن جماعة لازاروس هي التي تقف وراء الهجوم. وفي نوفمبر/تشرين الثاني، تم استهداف أكبر بنك غير حكومي في نيبال، NIC Asia Bank، من قبل مجرمي الإنترنت الذين تمكنوا من الوصول إلى نظام SWIFT وسحبوا 4.4 مليون دولار إلى حسابات في الولايات المتحدة والمملكة المتحدة واليابان وسنغافورة.

في منتصف ديسمبر، أصبح معروفًا عن هجوم ناجح على بنك روسي باستخدام SWIFT (النظام الدولي لنقل المعلومات المالية). دعونا نتذكر أنه في السابق في روسيا، حدثت هجمات مستهدفة باستخدام أنظمة معالجة البطاقات وأجهزة الصراف الآلي وأماكن العمل الآلية لـ KBR (محطة العمل الآلية لعميل بنك روسي).

ومن المرجح أن تكون مجموعة كوبالت متورطة في الهجوم. حدث الاختراق إلى البنك من خلال برامج ضارة وزعتها المجموعة على البنوك منذ عدة أسابيع - وهذا النوع من الهجوم نموذجي بالنسبة لشركة Cobalt. وذكرت وسائل إعلام أن المجرمين حاولوا سرقة نحو مليون دولار، لكنهم تمكنوا من سحب نحو 10%. ووصفت FinCERT، وهي القسم الهيكلي للبنك المركزي لأمن المعلومات، في تقريرها مجموعة الكوبالت بأنها التهديد الرئيسي للمؤسسات الائتمانية.

وفقًا لـ Group-IB، نفذت المجموعة ما لا يقل عن 50 هجومًا ناجحًا على البنوك في جميع أنحاء العالم: في روسيا وبريطانيا العظمى وهولندا وإسبانيا ورومانيا وبيلاروسيا وبولندا وإستونيا وبلغاريا وجورجيا ومولدوفا وقيرغيزستان وأرمينيا. وتايوان وماليزيا. طوال الصيف والخريف، هاجموا البنوك في جميع أنحاء العالم، واختبروا أدوات ومخططات جديدة، وفي نهاية العام لم يتباطأوا - كل أسبوع تقريبًا نسجل رسائلهم البريدية التي تحتوي على برامج ضارة بداخلها.

يعد اللاجسدية والنصوص الضارة مبدأً جديدًا (وأساسيًا الآن) للهجمات. يحاول المتسللون البقاء غير مكتشفين، وللقيام بذلك يستخدمون برامج "غير مجسدة" تعمل فقط في ذاكرة الوصول العشوائي (RAM) ويتم تدميرها بعد إعادة التشغيل. بالإضافة إلى ذلك، تساعدهم البرامج النصية في PowerShell وVBS وPHP على ضمان الثبات (التثبيت) في النظام، بالإضافة إلى أتمتة بعض مراحل الهجوم. نلاحظ أيضًا أن المتسللين لا يهاجمون البنوك بشكل مباشر، ولكن من خلال شركاء موثوقين - متكاملين ومقاولين. إنهم يهاجمون الموظفين عندما يكونون في المنزل، ويتحققون من البريد الإلكتروني الشخصي والشبكات الاجتماعية

اتجاه العام

اكتشاف السنة: MoneyTaker

10 حقائق مثيرة للاهتمام حول MoneyTaker

  • وكان ضحاياها البنوك الصغيرة - الإقليمية في روسيا، والبنوك المجتمعية ذات مستوى الحماية المنخفض في الولايات المتحدة الأمريكية. اخترق قراصنة أحد البنوك الروسية من خلال الكمبيوتر المنزلي لمسؤول النظام.
  • تم اختراق أحد البنوك الأمريكية مرتين.
  • وبعد تنفيذ هجوم ناجح، استمروا في التجسس على موظفي البنك من خلال إعادة توجيه الرسائل الواردة إلى عناوين Yandex وMail.ru.
  • تقوم هذه المجموعة دائمًا بتدمير الآثار بعد الهجوم.
  • لقد حاولوا سحب الأموال من أحد البنوك الروسية عبر أجهزة الصراف الآلي، لكنهم لم ينجحوا، وقبل وقت قصير من ذلك، قام البنك المركزي بسحب الترخيص من مالكهم. سحب الأموال من خلال مكان العمل الآلي لاتفاقية التنوع البيولوجي.
  • لم تتم سرقة الأموال فحسب، بل تم أيضًا سرقة المستندات الداخلية والتعليمات واللوائح وسجلات المعاملات. انطلاقا من الوثائق المسروقة المتعلقة بعمل سويفت، يستعد المتسللون لشن هجمات على أهداف في أمريكا اللاتينية.
  • في بعض الحالات، قام المتسللون بإجراء تغييرات على رمز البرنامج بسرعة - مباشرة أثناء الهجوم.
  • استخدم المتسللون الملف SLRSideChannelAttack.exe، والذي تم إتاحته للجمهور من قبل الباحثين.
  • استخدم MoneyTaker الأدوات المتاحة للجمهور وأخفى عن عمد أي عناصر إسناد، مفضلاً البقاء في الظل. تحتوي البرامج على مؤلف واحد فقط - ويمكن ملاحظة ذلك من خلال الأخطاء النموذجية التي تنتقل من برنامج مكتوب ذاتيًا إلى آخر.

تسريبات أدوات القرصنة الاستخباراتية

وقد بدأ استخدام الثغرات الناتجة عن تسريبات وكالة الأمن القومي ووكالة المخابرات المركزية بشكل نشط لتنفيذ هجمات مستهدفة. لقد تم تضمينها بالفعل في الأدوات الرئيسية لإجراء اختبارات الاختراق ضد المتسللين ذوي الدوافع المالية وبعض الموالين للحكومة.

ويكيليكس وVault7

طوال العام، كشفت ويكيليكس بشكل منهجي عن أسرار وكالة المخابرات المركزية، ونشرت معلومات حول أدوات القرصنة الخاصة بأجهزة المخابرات كجزء من مشروع Vault 7. واحد منهم، CherryBlossom، يسمح لك بتتبع الموقع ونشاط الإنترنت للمستخدمين المتصلين بجهاز توجيه Wi-Fi لاسلكي. تُستخدم هذه الأجهزة على نطاق واسع في المنازل والمكاتب والمطاعم والحانات والفنادق والمطارات والوكالات الحكومية. حتى أن ويكيليكس كشفت عن تكنولوجيا وكالة المخابرات المركزية للتجسس على زملاء من مكتب التحقيقات الفيدرالي، ووزارة الأمن الداخلي، ووكالة الأمن القومي. قام مكتب الخدمات الفنية التابع لوكالة المخابرات المركزية (OTS) بتطوير برنامج تجسس ExpressLane لاستخراج البيانات سرًا من نظام استخبارات بيومتري توزعه وكالة المخابرات المركزية على نظيراتها في مجتمع الاستخبارات الأمريكي. وقبل ذلك بقليل، كشفت ويكيليكس عن معلومات حول البرمجيات الخبيثة Pandemic، المصممة لاختراق أجهزة الكمبيوتر ذات المجلدات المشتركة، وحول برنامج ELSA، الذي يتتبع أيضًا الموقع الجغرافي للأجهزة التي تدعم شبكة Wi-Fi ويسمح لك بتتبع عادات المستخدم. بدأت ويكيليكس سلسلة منشورات Vault-7 في فبراير 2017. وتضمنت التسريبات معلومات تصف نقاط الضعف في البرامج، وعينات من البرامج الضارة، وتقنيات الهجوم على الكمبيوتر.

أدوات القرصنة من مصدر آخر بنفس القدر من الشعبية - تسريبات وكالة الأمن القومي التي نشرتها مجموعة Shadow Brokers، لم تكن مطلوبة بشدة فحسب، بل تم تحسينها وصقلها أيضًا. ظهر نص في المنتديات السرية لأتمتة البحث عن الأجهزة التي بها ثغرات أمنية في بروتوكول الشركات الصغيرة والمتوسطة، استنادًا إلى أدوات مساعدة من وكالات الاستخبارات الأمريكية نشرتها مجموعة Shadow Brokers في أبريل من هذا العام. ونتيجة لهذا التسرب، أصبحت الأداة المساعدة fuzzbunch وأداة استغلال ETERNALBLUE في المجال العام، ولكن بعد التحسينات، أصبح المنتج النهائي بالكامل يسهل على المهاجمين الهجوم.

دعونا نتذكر أن بروتوكول SMB هو الذي استخدمه برنامج الفدية WannaCry لإصابة مئات الآلاف من أجهزة الكمبيوتر في 150 دولة. قبل شهر، قال مبتكر محرك بحث Shodan، جون ماثرلي، إنه تم العثور على 2,306,820 جهازًا بمنافذ مفتوحة للوصول عبر بروتوكول SMB على الإنترنت. 42% (حوالي 970 ألفًا) منها توفر وصول الضيف، أي أن أي شخص يستخدم بروتوكول SMB يمكنه الوصول إلى البيانات دون تصريح.

في الصيف، وعدت مجموعة Shadow Brokers بنشر ثغرات جديدة لمشتركيها كل شهر، بما في ذلك أجهزة التوجيه والمتصفحات والأجهزة المحمولة والبيانات المخترقة من الشبكات المصرفية وSWIFT ومعلومات حول البرامج النووية والصاروخية. مستوحاة من هذا الاهتمام، رفعت Shadow Brokers سعر الاشتراك الأولي من 100 عملة Zcash (حوالي 30,000 دولار) إلى 200 عملة Zcash (حوالي 60,000 دولار). تبلغ تكلفة حالة مشترك VIP 400 عملة Zcash وتسمح لك بتلقي عمليات استغلال مخصصة.

الهجمات على البنية التحتية الحيوية

لقد أصبح قطاع الطاقة ساحة اختبار للبحث عن أسلحة سيبرانية جديدة. تواصل المجموعة الإجرامية BlackEnergy مهاجمة الشركات المالية وشركات الطاقة. الأدوات المتاحة لهم تسمح لهم بالتحكم عن بعد في الوحدة الطرفية البعيدة (RTU)، المسؤولة عن فتح/إغلاق شبكة الطاقة فعليًا.

كان الفيروس الأول الذي يمكنه بالفعل تعطيل المعدات هو فيروس Stuxnet، الذي استخدمته مجموعة المعادلات (Five Eyes/Tilded Team). وفي عام 2010، اخترق الفيروس نظام مصنع تخصيب اليورانيوم الإيراني في ناثان وأصاب وحدات التحكم Siemens SIMATIC S7 التي قامت بتدوير أجهزة الطرد المركزي باليورانيوم بتردد 1000 دورة في الثانية. قام فيروس ستوكسنت بتسريع دوارات أجهزة الطرد المركزي إلى 1400 دورة في الدقيقة، لدرجة أنها بدأت في الاهتزاز والانهيار. ومن بين 5000 جهاز طرد مركزي تم تركيبها في القاعة، تم تعطيل حوالي 1000 منها. لقد تراجع البرنامج النووي الإيراني بضع سنوات إلى الوراء.

بعد هذا الهجوم ساد الهدوء لعدة سنوات. اتضح أن المتسللين طوال هذا الوقت كانوا يبحثون عن فرصة للتأثير على ICS وتعطيلها عند الضرورة. المجموعة التي تحركت أكثر في هذا الاتجاه هي Black Energy، والمعروفة أيضًا باسم Sandworm.

أظهر هجومهم التجريبي على محطة فرعية أوكرانية في أواخر العام الماضي ما يمكن لمجموعة جديدة من الأدوات، يطلق عليها اسم Industroyer أو CRASHOVERRIDE، أن تفعله. في مؤتمر Black Hat، تم وصف برنامج Industroyer بأنه "أكبر تهديد لأنظمة التحكم الصناعية منذ Stuxnet". على سبيل المثال، تسمح لك أدوات BlackEnergy بالتحكم عن بعد في الوحدات الطرفية البعيدة (RTUs)، المسؤولة عن فتح/إغلاق شبكة الطاقة فعليًا. وباستخدام مثل هذه الأدوات، يستطيع المتسللون تحويلها إلى سلاح إلكتروني هائل يسمح لهم بمغادرة مدن بأكملها بدون ضوء أو ماء.

وقد تنشأ المشاكل ليس فقط في أوكرانيا: فقد تم تسجيل هجمات جديدة على أنظمة الطاقة في المملكة المتحدة وإيرلندا في يوليو/تموز. ولم تكن هناك أي اضطرابات في شبكة الكهرباء، لكن الخبراء يعتقدون أن المتسللين ربما سرقوا كلمات المرور لأنظمة الأمن. وفي الولايات المتحدة، بعد إرسال رسائل بريد إلكتروني ضارة إلى موظفي شركات الطاقة، حذر مكتب التحقيقات الفيدرالي الشركات من هجمات إلكترونية محتملة.

الهجمات على ICOs

لفترة طويلة، كانت البنوك وعملائها الهدف الرئيسي لمجرمي الإنترنت. ولكن الآن لديهم منافسون أقوياء في شكل عروض أولية للعملات (ICO) وشركات ناشئة تعمل بتقنية blockchain - كل ما يتعلق بالعملات المشفرة يجذب انتباه المتسللين.

ICO (الطرح الأولي للعملة - إجراء الوضع الأولي للرموز) هو حلم أي متسلل. يؤدي الهجوم السريع والبسيط في كثير من الأحيان على خدمات العملات المشفرة والشركات الناشئة في مجال blockchain إلى تحقيق أرباح بملايين الدولارات مع الحد الأدنى من المخاطر التي يتعرض لها المجرمون. وفقًا لـ Chaina Analysis، تمكن المتسللون من سرقة 10٪ من جميع الأموال المستثمرة في مشاريع ICO في عام 2017 على Ethereum. وبلغ إجمالي الخسائر ما يقرب من 225 مليون دولار، حيث خسر 30 ألف مستثمر ما متوسطه 7500 دولار.

لقد قمنا بتحليل حوالي مائة هجوم على مشاريع blockchain (البورصات والمبادلات والمحافظ والأموال) وتوصلنا إلى استنتاج مفاده أن الجزء الأكبر من المشاكل يكمن في ضعف خدمات التشفير نفسها التي تستخدم تقنية blockchain. في حالة Ethereum، لم تتم ملاحظة المشكلات في النظام الأساسي نفسه، ولكن مع خدمات التشفير: واجهوا نقاط ضعف في عقودهم الذكية الخاصة، والتشويه، واختراق حسابات الإدارة (Slack، Telegram)، ومواقع التصيد الاحتيالي التي تنسخ محتوى مواقع الويب الشركات التي تدخل ICO

هناك عدة نقاط ضعف:

  • مواقع التصيد الاحتيالي - نسخ من المورد الرسمي
  • نقاط الضعف في الموقع/تطبيق الويب
  • الهجمات من خلال موظفي الشركة
  • الهجمات على البنية التحتية لتكنولوجيا المعلومات
كثيرا ما نسأل ما الذي يجب الانتباه إليه، ما الذي يجب التحقق منه أولا؟ هناك ثلاث كتل كبيرة يجب الاهتمام بها: حماية الأشخاص، وحماية العمليات، وحماية البنية التحتية.

سرقة الأموال باستخدام أحصنة طروادة لنظام Android

تبين أن سوق أحصنة طروادة المصرفية التي تعمل بنظام Android هي الأكثر ديناميكية ونموًا سريعًا. ارتفعت الأضرار الناجمة عن أحصنة طروادة المصرفية لنظام Android في روسيا بنسبة 136% - حيث بلغت 13.7 مليون دولار - وغطت الأضرار الناجمة عن أحصنة طروادة لأجهزة الكمبيوتر الشخصية بنسبة 30%.

لقد توقعنا هذا النمو في العام الماضي حيث أصبحت إصابات البرامج الضارة غير قابلة للاكتشاف وأصبحت السرقات آلية باستخدام طريقة الملء التلقائي. وبحسب تقديراتنا، بلغت الأضرار الناجمة عن هذا النوع من الهجمات في روسيا خلال العام الماضي 13.7 مليون دولار.

اعتقال أعضاء جماعة كرون الإجرامية

لن تهددك فيروسات WannaCry وPetya وMischa وغيرها من فيروسات برامج الفدية إذا اتبعت توصيات بسيطة لمنع الإصابة بجهاز الكمبيوتر!

في الأسبوع الماضي، هزت شبكة الإنترنت بأكملها أخبار حول فيروس تشفير جديد. لقد أثار وباءً أكبر بكثير في العديد من البلدان حول العالم من وباء WannaCry سيئ السمعة، الذي حدثت موجة منه في شهر مايو من هذا العام. يحمل الفيروس الجديد أسماء عديدة: Petya.A، وExPetr، وNotPetya، وGoldenEye، وTrojan.Ransom.Petya، وPetrWrap، وDiskCoder.C، ومع ذلك، في أغلب الأحيان يظهر ببساطة باسم Petya.

وتستمر الهجمات هذا الأسبوع. حتى مكتبنا تلقى رسالة مقنعة بشكل ماكر في صورة تحديث برنامج أسطوري! لحسن الحظ، لم يفكر أحد في فتح الأرشيف المرسل بدوني :) لذلك، أود أن أخصص مقال اليوم لمسألة كيفية حماية جهاز الكمبيوتر الخاص بك من فيروسات برامج الفدية وعدم الوقوع ضحية لـ Petya أو أي برنامج تشفير آخر.

ماذا تفعل فيروسات برامج الفدية؟

ظهرت فيروسات برامج الفدية الأولى في أوائل العقد الأول من القرن الحادي والعشرين. من المحتمل أن العديد ممن استخدموا الإنترنت على مر السنين يتذكرون Trojan.WinLock. لقد منعت الكمبيوتر من التشغيل، ومن أجل الحصول على رمز إلغاء القفل، تطلب الأمر تحويل مبلغ معين إلى محفظة WebMoney أو حساب الهاتف المحمول:

كانت أدوات حظر Windows الأولى غير ضارة تمامًا. يمكن ببساطة "تسمير" نافذتهم التي تحتوي على نص حول الحاجة إلى تحويل الأموال في البداية من خلال مدير المهام. ثم ظهرت إصدارات أكثر تعقيدا من حصان طروادة، مما أدى إلى تغييرات على مستوى التسجيل وحتى MBR. ولكن حتى هذا يمكن "علاجه" إذا كنت تعرف ما يجب عليك فعله.

أصبحت فيروسات برامج الفدية الحديثة أشياء خطيرة للغاية. فهي لا تمنع تشغيل النظام فحسب، بل تقوم أيضًا بتشفير محتويات القرص الصلب (بما في ذلك سجل التمهيد الرئيسي لـ MBR). ولفتح النظام وفك تشفير الملفات، يتقاضى المهاجمون الآن رسومًا بعملة البيتكوين، أي ما يعادل مبلغًا يتراوح بين 200 إلى 1000 دولار أمريكي، علاوة على ذلك، حتى لو قمت بتحويل الأموال المتفق عليها إلى المحفظة المحددة، فإن هذا لا يضمن على الإطلاق قيام المتسللين بذلك نرسل لك مفتاح فتح.

النقطة المهمة هي أنه لا توجد اليوم طرق عمل للتخلص من الفيروس واستعادة ملفاتك. لذلك، في رأيي، من الأفضل عدم الوقوع في البداية لجميع أنواع الحيل وحماية جهاز الكمبيوتر الخاص بك بشكل أو بآخر من الهجمات المحتملة.

كيفية تجنب الوقوع ضحية للفيروس

عادةً ما تنتشر فيروسات برامج الفدية بطريقتين. الأول يستغل مختلف الثغرات التقنية في نظام التشغيل Windows.على سبيل المثال، استخدم WannaCry ثغرة EternalBlue، التي سمحت بالوصول إلى جهاز كمبيوتر عبر بروتوكول SMB. ويمكن لتشفير Petya الجديد اختراق النظام من خلال منافذ TCP المفتوحة 1024-1035 و135 و445. والطريقة الأكثر شيوعًا للإصابة هي التصيد. ببساطة، يقوم المستخدمون أنفسهم بإصابة أجهزة الكمبيوتر الخاصة بهم عن طريق فتح ملفات ضارة مرسلة عبر البريد!

الحماية التقنية ضد فيروسات الفدية

على الرغم من أن العدوى المباشرة بالفيروسات ليست متكررة جدًا، إلا أنها تحدث. لذلك، من الأفضل معالجة الثغرات الأمنية المحتملة المعروفة بشكل استباقي. أولاً، تحتاج إلى تحديث برنامج مكافحة الفيروسات لديك أو تثبيته (على سبيل المثال، يقوم برنامج 360 Total Security المجاني بعمل جيد في التعرف على فيروسات برامج الفدية). ثانيًا، تأكد من تثبيت آخر تحديثات Windows.

لذلك، للتخلص من خطأ يحتمل أن يكون خطيرًا في بروتوكول الشركات الصغيرة والمتوسطة، أصدرت Microsoft تحديثات غير عادية لجميع الأنظمة، بدءًا من نظام التشغيل Windows XP. يمكنك تنزيلها لإصدار نظام التشغيل الخاص بك.

للحماية من بيتيا، يوصى بإغلاق عدد من المنافذ على جهاز الكمبيوتر الخاص بك. أسهل طريقة للقيام بذلك هي استخدام المعيار جدار الحماية. افتحه في لوحة التحكم وحدد القسم في الشريط الجانبي "خيارات اضافية". سيتم فتح نافذة إدارة قواعد التصفية. يختار "قواعد الاتصالات الواردة"وعلى الجانب الأيمن انقر "إنشاء قاعدة". سيتم فتح معالج خاص تحتاج فيه إلى إنشاء قاعدة "من أجل الميناء"، ثم حدد الخيار "منافذ محلية محددة"واكتب ما يلي: 1024-1035, 135, 445 :

بعد إضافة قائمة المنافذ، قم بضبط الخيار على الشاشة التالية "حظر الاتصال"لجميع الملفات الشخصية وقم بتعيين اسم (وصف اختياري) للقاعدة الجديدة. إذا كنت تصدق التوصيات الموجودة على الإنترنت، فسيمنع الفيروس من تنزيل الملفات التي يحتاجها حتى لو وصل إلى جهاز الكمبيوتر الخاص بك.

بالإضافة إلى ذلك، إذا كنت من أوكرانيا واستخدمت برنامج المحاسبة Me.Doc، فيمكنك تثبيت التحديثات التي تحتوي على أبواب خلفية. تم استخدام هذه الأبواب الخلفية لإصابة أجهزة الكمبيوتر على نطاق واسع بفيروس Petya.A. من بين تلك التي تم تحليلها اليوم، هناك ثلاثة تحديثات على الأقل بها ثغرات أمنية معروفة:

  • 10.01.175-10.01.176 من 14 أبريل؛
  • 10.01.180-10.01.181 من 15 مايو؛
  • 10.01.188-10.01.189 من 22 يونيو.

إذا قمت بتثبيت هذه التحديثات، فأنت في خطر!

الحماية من التصيد الاحتيالي

كما ذكرنا سابقًا، لا يزال العامل البشري هو المسؤول عن معظم حالات العدوى. أطلق المتسللون ومرسلي البريد العشوائي حملة تصيد واسعة النطاق حول العالم. وفي إطاره، تم إرسال رسائل بريد إلكتروني، يُزعم أنها من جهات رسمية، تحتوي على مرفقات مختلفة تم تقديمها على شكل فواتير أو تحديثات برامج أو بيانات "مهمة" أخرى. وكان يكفي أن يفتح المستخدم ملفًا خبيثًا مقنعًا، ويقوم بتثبيت فيروس على الكمبيوتر يقوم بتشفير جميع البيانات!

كيفية التمييز بين البريد الإلكتروني التصيدي والبريد الحقيقي. من السهل جدًا القيام بذلك إذا اتبعت الفطرة السليمة والتوصيات التالية:

  1. من هو الخطاب؟بادئ ذي بدء، نحن نولي اهتماما للمرسل. يمكن للمتسللين التوقيع على خطاب حتى باسم جدتك! ومع ذلك، هناك نقطة مهمة. يجب أن تعرف البريد الإلكتروني "للجدة"، وسيكون عنوان مرسل البريد الإلكتروني التصيدي، كقاعدة عامة، عبارة عن مجموعة غير محددة من الأحرف. شيء مثل: " [البريد الإلكتروني محمي]". وفارق بسيط آخر: اسم المرسل وعنوانه، إذا كانت هذه رسالة رسمية، عادة ما يرتبطان ببعضهما البعض. على سبيل المثال، قد يبدو البريد الإلكتروني من شركة معينة "Pupkin and Co" هكذا " [البريد الإلكتروني محمي]"، ولكن من غير المرجح أن يبدو مثل" [البريد الإلكتروني محمي]" :)
  2. ما هو محتوى الرسالة؟عادةً ما تحتوي رسائل البريد الإلكتروني التصيدية على نوع من العبارات التي تحث المستخدم على اتخاذ إجراء أو تلميح لاتخاذ إجراء في سطر الموضوع. في هذه الحالة، عادةً لا يذكر نص الرسالة أي شيء على الإطلاق، أو يقدم بعض الدوافع الإضافية لفتح الملفات المرفقة. يمكن أن تكون الكلمات "عاجل!" أو "فاتورة الخدمات" أو "التحديث المهم" في الرسائل الواردة من مرسلين غير معروفين مثالًا واضحًا على أنهم يحاولون اختراقك. فكر بمنطقيه! إذا لم تطلب أي فواتير أو تحديثات أو مستندات أخرى من هذه الشركة أو تلك، فمن المحتمل أن يكون هذا تصيدًا بنسبة 99%...
  3. ماذا يوجد في الرسالة؟العنصر الرئيسي لرسالة البريد الإلكتروني التصيدية هو مرفقاتها. النوع الأكثر وضوحًا من المرفقات هو ملف EXE الذي يحتوي على "تحديث" أو "برنامج" مزيف. تعتبر مثل هذه الاستثمارات تزويرًا خامًا إلى حد ما، لكنها تحدث بالفعل.

    تتضمن الطرق الأكثر "أناقة" لخداع المستخدم إخفاء البرنامج النصي الذي يقوم بتنزيل الفيروس كمستند Excel أو Word. يمكن أن يكون الإخفاء من نوعين. في الخيار الأول، يتم تقديم البرنامج النصي نفسه كمستند مكتبي ويمكن التعرف عليه من خلال ملحق الاسم "المزدوج"، على سبيل المثال، "الفاتورة" .xls.js" أو "استئناف .doc.vbs". في الحالة الثانية، قد يتكون المرفق من ملفين: مستند حقيقي وملف به برنامج نصي يتم استدعاؤه كماكرو من مستند Office Word أو Excel.

    وفي كل الأحوال، لا ينبغي عليك فتح مثل هذه المستندات، حتى لو طلب منك "المرسل" ذلك بشدة! حتى لو كان هناك فجأة بين عملائك شخص يمكنه من الناحية النظرية أن يرسل إليك خطابًا بمحتوى مماثل، فمن الأفضل أن تتحمل عناء الاتصال به مباشرة ومعرفة ما إذا كان قد أرسل إليك أي مستندات. حركة الجسم الإضافية في هذه الحالة يمكن أن تنقذك من المتاعب غير الضرورية!

أعتقد أنه إذا قمت بإغلاق جميع الثغرات التقنية في جهاز الكمبيوتر الخاص بك ولم تستسلم لاستفزازات مرسلي البريد العشوائي، فلن تخاف من أي فيروسات!

كيفية استعادة الملفات بعد الإصابة

ومع ذلك، فقد تمكنت من إصابة جهاز الكمبيوتر الخاص بك بفيروس تشفير... لا تقم أبدًا بإيقاف تشغيل جهاز الكمبيوتر الخاص بك بعد ظهور رسالة التشفير!!!

الحقيقة هي أنه بسبب عدد من الأخطاء في كود الفيروسات نفسها، قبل إعادة تشغيل الكمبيوتر، هناك فرصة لإزالة المفتاح المطلوب لفك تشفير الملفات من الذاكرة! على سبيل المثال، للحصول على مفتاح فك تشفير WannaCry، تكون الأداة المساعدة Wantakiwi مناسبة. للأسف، لا توجد مثل هذه الحلول لاستعادة الملفات بعد هجوم Petya، ولكن يمكنك محاولة استخراجها من النسخ الاحتياطية من البيانات (إذا قمت بتنشيط خيار إنشائها على قسم القرص الصلب) باستخدام برنامج ShadowExplorer المصغر:

إذا قمت بالفعل بإعادة تشغيل جهاز الكمبيوتر الخاص بك أو لم تساعدك النصائح المذكورة أعلاه، فلا يمكنك استرداد الملفات إلا باستخدام برامج استعادة البيانات. كقاعدة عامة، تعمل فيروسات التشفير وفقًا للمخطط التالي: تقوم بإنشاء نسخة مشفرة من الملف وحذف النسخة الأصلية دون الكتابة فوقها. أي أنه يتم بالفعل حذف تسمية الملف فقط، ويتم حفظ البيانات نفسها ويمكن استعادتها. يوجد برنامجان على موقعنا: أكثر ملاءمة لإنعاش ملفات الوسائط والصور، بينما يتعامل R.Saver بشكل جيد مع المستندات والمحفوظات.

وبطبيعة الحال، تحتاج إلى إزالة الفيروس نفسه من النظام. إذا تم تشغيل نظام التشغيل Windows، فإن برنامج Malwarebytes Anti-Malware يعد أداة جيدة للقيام بذلك. إذا قام فيروس بحظر التنزيل، فإن قرص التمهيد Dr.Web LiveCD المزود بأداة مساعدة مثبتة لمكافحة البرامج الضارة المختلفة Dr.Web CureIt سيساعدك على ذلك. في الحالة الأخيرة، سيتعين عليك أيضًا البدء في استعادة MBR. نظرًا لأن LiveCD من Dr.Web يعتمد على Linux، أعتقد أنك ستجد تعليمات Habr حول هذا الموضوع مفيدة.

الاستنتاجات

كانت مشكلة الفيروسات على نظام التشغيل Windows ذات صلة لسنوات عديدة. وفي كل عام نرى أن مؤلفي الفيروسات يخترعون أشكالًا أكثر تعقيدًا لإلحاق الضرر بأجهزة الكمبيوتر الخاصة بالمستخدمين. تظهر لنا أحدث أوبئة فيروسات التشفير أن المهاجمين يتجهون تدريجيًا إلى الابتزاز النشط!

لسوء الحظ، حتى لو دفعت المال، فمن غير المرجح أن تتلقى أي رد. على الأرجح، سيتعين عليك استعادة بياناتك بنفسك. لذلك، من الأفضل أن تكون يقظًا في الوقت المناسب وتمنع العدوى بدلاً من قضاء وقت طويل في محاولة التخلص من عواقبها!

ملاحظة. يُمنح الإذن بنسخ هذه المقالة واقتباسها بحرية، بشرط الإشارة إلى رابط نشط مفتوح للمصدر والحفاظ على تأليف رسلان تيرتيشني.

تسمح التقنيات الحديثة للمتسللين بتحسين أساليب الاحتيال الخاصة بهم باستمرار ضد المستخدمين العاديين. وكقاعدة عامة، يتم استخدام برامج الفيروسات التي تخترق الكمبيوتر لهذه الأغراض. تعتبر فيروسات التشفير خطيرة بشكل خاص. التهديد هو أن الفيروس ينتشر بسرعة كبيرة، ويقوم بتشفير الملفات (لن يتمكن المستخدم ببساطة من فتح مستند واحد). وإذا كان الأمر بسيطًا جدًا، فسيكون فك تشفير البيانات أكثر صعوبة.

ماذا تفعل إذا كان هناك فيروس يحتوي على ملفات مشفرة على جهاز الكمبيوتر الخاص بك

يمكن أن يتعرض أي شخص للهجوم بواسطة برامج الفدية؛ حتى المستخدمين الذين لديهم برامج قوية لمكافحة الفيروسات ليسوا محصنين. تأتي أحصنة طروادة التي تقوم بتشفير الملفات في مجموعة متنوعة من الرموز التي قد تتجاوز قدرات برامج مكافحة الفيروسات. حتى أن المتسللين تمكنوا من مهاجمة الشركات الكبيرة بطريقة مماثلة والتي لم تهتم بالحماية اللازمة لمعلوماتها. لذلك، بعد أن التقطت برنامج الفدية عبر الإنترنت، تحتاج إلى اتخاذ عدد من التدابير.

العلامات الرئيسية للإصابة هي بطء تشغيل الكمبيوتر والتغييرات في أسماء المستندات (يمكن رؤيتها على سطح المكتب).

  1. أعد تشغيل جهاز الكمبيوتر الخاص بك لإيقاف التشفير. عند التشغيل، لا تؤكد إطلاق البرامج غير المعروفة.
  2. قم بتشغيل برنامج مكافحة الفيروسات الخاص بك إذا لم يتم مهاجمته بواسطة برامج الفدية.
  3. في بعض الحالات، ستساعد النسخ الاحتياطية في استعادة المعلومات. للعثور عليهم، افتح "خصائص" المستند المشفر. تعمل هذه الطريقة مع البيانات المشفرة من ملحق Vault، والتي توجد معلومات حولها على البوابة.
  4. قم بتنزيل أحدث إصدار من الأداة المساعدة لمكافحة فيروسات برامج الفدية. يتم تقديم أكثرها فعالية بواسطة Kaspersky Lab.

فيروسات برامج الفدية في عام 2016: أمثلة

عند مكافحة أي هجوم فيروسي، من المهم أن نفهم أن الكود يتغير كثيرًا، بالإضافة إلى الحماية الجديدة من الفيروسات. وبطبيعة الحال، تحتاج برامج الأمان إلى بعض الوقت حتى يقوم المطور بتحديث قواعد البيانات. لقد اخترنا أخطر فيروسات التشفير في الآونة الأخيرة.

عشتار الفدية

عشتار هو برنامج فدية يبتز المال من المستخدم. ولوحظ الفيروس في خريف عام 2016، حيث أصاب عددا كبيرا من أجهزة الكمبيوتر الخاصة بالمستخدمين من روسيا وعدد من البلدان الأخرى. يتم توزيعها عبر النشرة الإخبارية عبر البريد الإلكتروني، والتي تحتوي على المستندات المرفقة (المثبتون، المستندات، وما إلى ذلك). البيانات المصابة بواسطة برنامج تشفير عشتار تحمل البادئة "عشتار" في اسمها. تقوم العملية بإنشاء مستند اختبار يشير إلى المكان الذي يجب الذهاب إليه للحصول على كلمة المرور. ويطلب المهاجمون ما بين 3000 إلى 15000 روبل مقابل ذلك.

يكمن خطر فيروس عشتار في أنه لا يوجد اليوم برنامج فك تشفير من شأنه أن يساعد المستخدمين. تحتاج شركات برامج مكافحة الفيروسات إلى الوقت لفك جميع الرموز. الآن يمكنك فقط عزل المعلومات المهمة (إذا كانت ذات أهمية خاصة) على وسيط منفصل، في انتظار إصدار أداة مساعدة قادرة على فك تشفير المستندات. يوصى بإعادة تثبيت نظام التشغيل.

نيترينو

ظهر برنامج تشفير Neitrino على الإنترنت في عام 2015. مبدأ الهجوم مشابه للفيروسات الأخرى من نفس الفئة. - تغيير أسماء المجلدات والملفات بإضافة "Neitrino" أو "Neutrino". يصعب فك تشفير الفيروس؛ ولا يقوم جميع ممثلي شركات مكافحة الفيروسات بذلك، مستشهدين برمز معقد للغاية. قد يستفيد بعض المستخدمين من استعادة نسخة الظل. للقيام بذلك، انقر بزر الماوس الأيمن على المستند المشفر، وانتقل إلى "خصائص"، وعلامة التبويب "الإصدارات السابقة"، ثم انقر فوق "استعادة". سيكون من الجيد استخدام أداة مساعدة مجانية من Kaspersky Lab.

المحفظة أو .wallet.

ظهر فيروس تشفير Wallet في نهاية عام 2016. أثناء عملية الإصابة، يقوم بتغيير اسم البيانات إلى “Name..wallet” أو شيء مشابه. مثل معظم فيروسات برامج الفدية، فإنها تدخل النظام من خلال المرفقات في رسائل البريد الإلكتروني التي يرسلها المهاجمون. نظرًا لأن التهديد ظهر مؤخرًا، فإن برامج مكافحة الفيروسات لا تلاحظه. بعد التشفير، يقوم بإنشاء مستند يشير فيه المحتال إلى البريد الإلكتروني للتواصل. حاليًا، يعمل مطورو برامج مكافحة الفيروسات على فك رموز فيروس الفدية. [البريد الإلكتروني محمي]. يمكن للمستخدمين الذين تعرضوا للهجوم الانتظار فقط. إذا كانت البيانات مهمة، فمن المستحسن حفظها على محرك أقراص خارجي عن طريق مسح النظام.

لغز

بدأ فيروس Enigma Ransomware في إصابة أجهزة الكمبيوتر الخاصة بالمستخدمين الروس في نهاية أبريل 2016. يتم استخدام نموذج التشفير AES-RSA، الموجود في معظم فيروسات برامج الفدية اليوم. يخترق الفيروس جهاز الكمبيوتر باستخدام برنامج نصي يقوم المستخدم بتشغيله عن طريق فتح الملفات من بريد إلكتروني مشبوه. لا توجد حتى الآن وسيلة عالمية لمكافحة برنامج Enigma Ransomware. يمكن للمستخدمين الذين لديهم ترخيص مكافحة فيروسات طلب المساعدة على الموقع الرسمي للمطور. تم العثور أيضًا على "ثغرة" صغيرة - Windows UAC. إذا قام المستخدم بالنقر فوق "لا" في النافذة التي تظهر أثناء عملية الإصابة بالفيروس، فسيكون قادرًا على استعادة المعلومات لاحقًا باستخدام النسخ الاحتياطية.

الجرانيت

ظهر فيروس طلب الفدية الجديد، Granit، على الإنترنت في خريف عام 2016. تحدث العدوى وفقًا للسيناريو التالي: يقوم المستخدم بتشغيل برنامج التثبيت، الذي يصيب جميع البيانات الموجودة على جهاز الكمبيوتر ويقوم بتشفيرها، بالإضافة إلى محركات الأقراص المتصلة. مكافحة الفيروس أمر صعب. لإزالته، يمكنك استخدام أدوات مساعدة خاصة من Kaspersky، لكننا لم نتمكن بعد من فك الشفرة. ربما تكون استعادة الإصدارات السابقة من البيانات مفيدة. بالإضافة إلى ذلك، يمكن للمتخصص الذي يتمتع بخبرة واسعة فك التشفير، لكن الخدمة باهظة الثمن.

تايسون

تم رصدها مؤخرا. وهو امتداد لبرنامج الفدية no_more_ransom المعروف بالفعل، والذي يمكنك التعرف عليه على موقعنا الإلكتروني. يصل إلى أجهزة الكمبيوتر الشخصية من البريد الإلكتروني. تعرضت العديد من أجهزة الكمبيوتر الشخصية للشركات للهجوم. يقوم الفيروس بإنشاء مستند نصي يحتوي على تعليمات فتح القفل، ويعرض دفع "فدية". ظهر برنامج Tyson Ransomware مؤخرًا، لذلك لا يوجد مفتاح إلغاء القفل حتى الآن. الطريقة الوحيدة لاستعادة المعلومات هي إرجاع الإصدارات السابقة إذا لم يتم حذفها بواسطة فيروس. يمكنك، بالطبع، المخاطرة عن طريق تحويل الأموال إلى الحساب المحدد من قبل المهاجمين، ولكن ليس هناك ما يضمن حصولك على كلمة المرور.

سبورا

في بداية عام 2017، وقع عدد من المستخدمين ضحايا لبرنامج Spora Ransomware الجديد. من حيث مبدأ التشغيل، فهو لا يختلف كثيرًا عن نظيراته، لكنه يتميز بتصميم أكثر احترافية: تعليمات الحصول على كلمة المرور مكتوبة بشكل أفضل، ويبدو الموقع أكثر جمالاً. تم إنشاء فيروس Spora Ransomware بلغة C ويستخدم مزيجًا من RSA وAES لتشفير بيانات الضحية. كقاعدة عامة، تعرضت أجهزة الكمبيوتر التي تم استخدام برنامج المحاسبة 1C عليها بشكل نشط للهجوم. الفيروس، المختبئ تحت ستار فاتورة بسيطة بتنسيق .pdf، يجبر موظفي الشركة على إطلاقه. لم يتم العثور على علاج حتى الآن.

1C.Drop.1

ظهر فيروس التشفير 1C هذا في صيف عام 2016، مما أدى إلى تعطيل عمل العديد من أقسام المحاسبة. تم تطويره خصيصًا لأجهزة الكمبيوتر التي تستخدم برنامج 1C. بمجرد وصوله إلى جهاز الكمبيوتر عبر ملف في رسالة بريد إلكتروني، فإنه يطالب المالك بتحديث البرنامج. مهما كان الزر الذي يضغط عليه المستخدم، سيبدأ الفيروس في تشفير الملفات. يعمل المتخصصون في Dr.Web على أدوات فك التشفير، ولكن لم يتم العثور على حل حتى الآن. ويرجع ذلك إلى الكود المعقد، والذي قد يكون له عدة تعديلات. الحماية الوحيدة ضد 1C.Drop.1 هي يقظة المستخدم والأرشفة المنتظمة للمستندات المهمة.

شيفرة دافنشي

برنامج فدية جديد باسم غير عادي. ظهر الفيروس في ربيع عام 2016. إنه يختلف عن سابقاته في الكود المحسن ووضع التشفير القوي. يصيب da_vinci_code جهاز الكمبيوتر بفضل تطبيق التنفيذ (المرفق عادةً برسالة بريد إلكتروني)، والذي يقوم المستخدم بتشغيله بشكل مستقل. تقوم أداة تشفير Da Vinci بنسخ النص إلى دليل النظام والتسجيل، مما يضمن التشغيل التلقائي عند تشغيل Windows. يتم تعيين معرف فريد لكل كمبيوتر خاص بالضحية (يساعد في الحصول على كلمة مرور). يكاد يكون من المستحيل فك تشفير البيانات. يمكنك دفع المال للمهاجمين، ولكن لا أحد يضمن أنك سوف تتلقى كلمة المرور.

[البريد الإلكتروني محمي] / [البريد الإلكتروني محمي]

عنوانا بريد إلكتروني كانا مصحوبين غالبًا بفيروسات برامج الفدية في عام 2016. أنها تعمل على ربط الضحية بالمهاجم. تم إرفاق عناوين لمجموعة متنوعة من أنواع الفيروسات: da_vinci_code، no_more_ransom، وما إلى ذلك. يوصى بشدة بعدم الاتصال أو تحويل الأموال إلى المحتالين. يتم ترك المستخدمين في معظم الحالات بدون كلمات مرور. وبالتالي، فإن إظهار أن برامج الفدية التي يستخدمها المهاجمون تعمل على توليد الدخل.

سيئة للغاية

ظهر في بداية عام 2015، لكنه انتشر بنشاط بعد عام واحد فقط. مبدأ العدوى مطابق لبرامج الفدية الأخرى: تثبيت ملف من بريد إلكتروني، وتشفير البيانات. برامج مكافحة الفيروسات التقليدية، كقاعدة عامة، لا تلاحظ فيروس Breaking Bad. لا يمكن لبعض التعليمات البرمجية تجاوز Windows UAC، مما يترك للمستخدم خيار استعادة الإصدارات السابقة من المستندات. لم تقم أي شركة تعمل على تطوير برامج مكافحة الفيروسات بتقديم برنامج فك التشفير حتى الآن.

XTBL

أحد برامج الفدية الشائعة جدًا والتي تسببت في حدوث مشكلات للعديد من المستخدمين. وبمجرد دخوله إلى جهاز الكمبيوتر، يقوم الفيروس بتغيير امتداد الملف إلى .xtbl في غضون دقائق. يتم إنشاء مستند يبتز فيه المهاجم الأموال. لا تستطيع بعض متغيرات فيروس XTBL تدمير الملفات لاستعادة النظام، مما يسمح لك باستعادة المستندات المهمة. يمكن إزالة الفيروس نفسه بواسطة العديد من البرامج، لكن فك تشفير المستندات أمر صعب للغاية. إذا كنت مالك برنامج مكافحة فيروسات مرخص، فاستخدم الدعم الفني عن طريق إرفاق عينات من البيانات المصابة.

كوكاراتشا

تم اكتشاف برنامج الفدية Cucaracha في ديسمبر 2016. يخفي الفيروس الذي يحمل اسمًا مثيرًا للاهتمام ملفات المستخدم باستخدام خوارزمية RSA-2048 شديدة المقاومة. وقد صنفه برنامج مكافحة الفيروسات Kaspersky على أنه Trojan-Ransom.Win32.Scatter.lb. يمكن إزالة Kukaracha من الكمبيوتر حتى لا تصاب المستندات الأخرى. ومع ذلك، يكاد يكون من المستحيل حاليًا فك تشفير المصابين (خوارزمية قوية جدًا).

كيف يعمل فيروس الفدية؟

هناك عدد كبير من برامج الفدية، لكنها جميعًا تعمل وفقًا لمبدأ مماثل.

  1. الوصول إلى جهاز كمبيوتر شخصي. عادة، وذلك بفضل ملف مرفق بالبريد الإلكتروني. يبدأ التثبيت بواسطة المستخدم نفسه عن طريق فتح المستند.
  2. عدوى الملف. يتم تشفير جميع أنواع الملفات تقريبًا (اعتمادًا على الفيروس). يتم إنشاء مستند نصي يحتوي على جهات اتصال للتواصل مع المهاجمين.
  3. الجميع. لا يمكن للمستخدم الوصول إلى أي وثيقة.

عوامل التحكم من المختبرات الشعبية

أصبح الاستخدام الواسع النطاق لبرامج الفدية، والذي يُعرف بأنه أخطر تهديد لبيانات المستخدم، حافزًا للعديد من مختبرات مكافحة الفيروسات. توفر كل شركة مشهورة لمستخدميها برامج تساعدهم في مكافحة برامج الفدية. بالإضافة إلى ذلك، يساعد الكثير منهم في فك تشفير المستندات وحماية النظام.

فيروسات كاسبيرسكي وبرامج الفدية

يقدم أحد أشهر مختبرات مكافحة الفيروسات في روسيا والعالم اليوم الأدوات الأكثر فعالية لمكافحة فيروسات برامج الفدية. سيكون العائق الأول أمام فيروس برامج الفدية هو Kaspersky Endpoint Security 10 مع آخر التحديثات. لن يسمح برنامج مكافحة الفيروسات ببساطة للتهديد بالدخول إلى جهاز الكمبيوتر الخاص بك (على الرغم من أنه قد لا يوقف الإصدارات الجديدة). لفك تشفير المعلومات، يقدم المطور العديد من الأدوات المساعدة المجانية: XoristDecryptor، وRakhniDecryptor، وRansomware Decryptor. أنها تساعد في العثور على الفيروس واختيار كلمة المرور.

دكتور. الويب وبرامج الفدية

يوصي هذا المختبر باستخدام برنامج مكافحة الفيروسات الخاص به، والذي تتمثل ميزته الرئيسية في النسخ الاحتياطي للملفات. يتم أيضًا حماية التخزين مع نسخ المستندات من الوصول غير المصرح به من قبل المتسللين. أصحاب المنتج المرخص د. وظيفة الويب متاحة لطلب المساعدة من الدعم الفني. صحيح أنه حتى المتخصصين ذوي الخبرة لا يمكنهم دائمًا مقاومة هذا النوع من التهديد.

ESET Nod 32 وبرامج الفدية

ولم تقف هذه الشركة جانبًا أيضًا، حيث توفر لمستخدميها حماية جيدة ضد الفيروسات التي تدخل أجهزة الكمبيوتر الخاصة بهم. بالإضافة إلى ذلك، أصدر المختبر مؤخرًا أداة مساعدة مجانية تحتوي على قواعد بيانات محدثة - Eset Crysis Decryptor. يقول المطورون إنه سيساعد في مكافحة حتى أحدث برامج الفدية.

ويواصل مسيرته القمعية عبر الإنترنت، حيث يصيب أجهزة الكمبيوتر ويشفر البيانات المهمة. كيف تحمي نفسك من برامج الفدية، وتحمي Windows من برامج الفدية - هل تم إصدار تصحيحات لفك تشفير الملفات وتطهيرها؟

فيروس الفدية الجديد 2017 Wanna Cryيستمر في إصابة أجهزة الكمبيوتر الخاصة بالشركات والخاصة. ش يبلغ إجمالي الأضرار الناجمة عن هجوم الفيروس مليار دولار. في غضون أسبوعين، أصيب فيروس الفدية على الأقل 300 ألف جهاز كمبيوتررغم التحذيرات والإجراءات الأمنية.

فيروس الفدية 2017، ما هو؟- كقاعدة عامة، يمكنك "التقاط" المواقع الأكثر ضررًا على ما يبدو، على سبيل المثال، خوادم البنك التي تتمتع بإمكانية وصول المستخدم. وبمجرد وصوله إلى القرص الصلب الخاص بالضحية، "يستقر" برنامج الفدية في مجلد النظام System32. ومن هناك يقوم البرنامج على الفور بتعطيل برنامج مكافحة الفيروسات و يذهب إلى "التشغيل التلقائي"" بعد كل عملية إعادة تشغيل، تظهر برامج الفدية يعمل في التسجيل، يبدأ عمله القذر. يبدأ برنامج الفدية بتنزيل نسخ مماثلة من برامج مثل Ransom وTrojan. كما يحدث في كثير من الأحيان النسخ المتماثل الذاتي لبرامج الفدية. يمكن أن تكون هذه العملية مؤقتة، أو يمكن أن تستغرق أسابيع حتى يلاحظ الضحية وجود خطأ ما.

غالبًا ما تتنكر برامج الفدية في صورة صور عادية أو ملفات نصيةلكن الجوهر هو نفسه دائمًا - هذا ملف قابل للتنفيذ بامتداد .exe، .drv، .xvd; أحيانا - Library.dll. في أغلب الأحيان، يكون للملف اسم غير ضار تمامًا، على سبيل المثال " وثيقة. وثيقة"، أو " الصورة.jpg"، حيث تتم كتابة الامتداد يدويًا، و نوع الملف الحقيقي مخفي.

بعد اكتمال التشفير، يرى المستخدم، بدلاً من الملفات المألوفة، مجموعة من الأحرف "العشوائية" في الاسم والداخل، ويتغير الامتداد إلى حرف غير معروف حتى الآن - .NO_MORE_RANSOM، .xdataو اخرين.

فيروس Wanna Cry Ransomware 2017 – كيف تحمي نفسك. أود أن أشير على الفور إلى أن Wanna Cry هو بالأحرى مصطلح جماعي لجميع فيروسات التشفير وبرامج الفدية، حيث إنها أصابت أجهزة الكمبيوتر مؤخرًا في أغلب الأحيان. لذلك، سوف نتحدث عن احمِ نفسك من Ransom Ware Ransomware، والتي يوجد عدد كبير منها: Breaking.dad، NO_MORE_RANSOM، Xdata، XTBL، Wanna Cry.

كيفية حماية الويندوز من برامج الفدية.EternalBlue عبر بروتوكول منفذ SMB.

حماية الويندوز من برامج الفدية 2017 – القواعد الأساسية:

  • تحديث Windows، الانتقال في الوقت المناسب إلى نظام تشغيل مرخص (ملاحظة: لم يتم تحديث إصدار XP)
  • تحديث قواعد بيانات مكافحة الفيروسات وجدران الحماية عند الطلب
  • الحذر الشديد عند تنزيل أي ملفات (القطط اللطيفة يمكن أن تؤدي إلى فقدان جميع البيانات)
  • النسخ الاحتياطي للمعلومات الهامة إلى الوسائط القابلة للإزالة.

فيروس Ransomware 2017: كيفية تطهير الملفات وفك تشفيرها.

بالاعتماد على برامج مكافحة الفيروسات، يمكنك نسيان برنامج فك التشفير لفترة من الوقت. في المختبرات كاسبيرسكي، د. الويب، أفاست!وغيرها من برامج مكافحة الفيروسات في الوقت الحالي ولم يتم العثور على حل لمعالجة الملفات المصابة. في الوقت الحالي، من الممكن إزالة الفيروس باستخدام أحد برامج مكافحة الفيروسات، ولكن لا توجد خوارزميات لإعادة كل شيء "إلى طبيعته" حتى الآن.

يحاول البعض استخدام برامج فك التشفير مثل الأداة المساعدة RectorDecryptor، ولكن هذا لن يساعد: لم يتم بعد تجميع خوارزمية فك تشفير الفيروسات الجديدة. كما أنه من غير المعروف تمامًا كيف سيتصرف الفيروس إذا لم تتم إزالته بعد استخدام مثل هذه البرامج. في كثير من الأحيان قد يؤدي هذا إلى محو جميع الملفات - كتحذير لأولئك الذين لا يريدون الدفع للمهاجمين، مؤلفي الفيروس.

في الوقت الحالي، الطريقة الأكثر فعالية لاستعادة البيانات المفقودة هي الاتصال بالدعم الفني. الدعم من بائع برنامج مكافحة الفيروسات الذي تستخدمه. للقيام بذلك، يجب عليك إرسال خطاب أو استخدام نموذج الملاحظات على موقع الشركة المصنعة. تأكد من إضافة الملف المشفر إلى المرفق، وإذا كان ذلك متاحًا، نسخة من الأصل. وهذا سوف يساعد المبرمجين في تكوين الخوارزمية. لسوء الحظ، بالنسبة للكثيرين، يأتي هجوم الفيروس بمثابة مفاجأة كاملة، ولا يتم العثور على نسخ، مما يعقد الوضع بشكل كبير.

الطرق القلبية لعلاج Windows من برامج الفدية. لسوء الحظ، في بعض الأحيان يتعين عليك اللجوء إلى التنسيق الكامل للقرص الصلب، الأمر الذي يستلزم تغييرا كاملا لنظام التشغيل. سيفكر الكثيرون في استعادة النظام، لكن هذا ليس خيارًا - حتى "التراجع" سيتخلص من الفيروس، لكن الملفات ستظل مشفرة.

15.05.2017، الإثنين، الساعة 13:33 بتوقيت موسكو النص: بافيل بريتولا

قبل بضعة أيام، وقعت في روسيا واحدة من أكبر الهجمات السيبرانية وأكثرها "ضجيجًا"، وفقًا للصحافة: تعرضت شبكات العديد من الإدارات والمنظمات الكبرى، بما في ذلك وزارة الداخلية، لهجوم من قبل مهاجمين. وقام الفيروس بتشفير البيانات الموجودة على أجهزة الكمبيوتر الخاصة بالموظفين وابتزاز مبلغ كبير من المال حتى يتمكنوا من مواصلة عملهم. وهذا مثال واضح على أنه لا يوجد أحد محصن ضد برامج الفدية. ومع ذلك، يمكن التعامل مع هذا التهديد - سنعرض العديد من الطرق التي تقدمها Microsoft.

ماذا نعرف عن برامج الفدية؟ يبدو أن هؤلاء مجرمون يطلبون منك المال أو الأشياء تحت التهديد بعواقب وخيمة. يحدث هذا في العمل من وقت لآخر، وكل شخص لديه فكرة تقريبية عما يجب فعله في مثل هذه المواقف. ولكن ماذا تفعل إذا استقر فيروس برامج الفدية على أجهزة الكمبيوتر في عملك، وحظر الوصول إلى بياناتك وطالبك بتحويل الأموال إلى أشخاص معينين مقابل رمز إلغاء القفل؟ تحتاج إلى الاتصال بالمتخصصين في أمن المعلومات. ومن الأفضل القيام بذلك مسبقًا لتجنب المشاكل.

لقد زاد عدد الجرائم الإلكترونية بشكل كبير في السنوات الأخيرة. تعرضت نصف الشركات في الدول الأوروبية الكبرى لهجمات الفدية، وتم استهداف أكثر من 80% منها ثلاث مرات أو أكثر، وفقًا لأبحاث SentinelOne. ولوحظت صورة مماثلة في جميع أنحاء العالم. قامت شركة Clearswift، وهي شركة متخصصة في أمن المعلومات، بتسمية نوع من "أعلى" البلدان الأكثر تضرراً من برامج الفدية - برامج الفدية: الولايات المتحدة الأمريكية وروسيا وألمانيا واليابان والمملكة المتحدة وإيطاليا. تحظى الشركات الصغيرة والمتوسطة الحجم باهتمام خاص من قبل المهاجمين لأنها تمتلك أموالاً أكثر وبيانات أكثر حساسية من الأفراد، ولا تتمتع بالخدمات الأمنية القوية التي تتمتع بها الشركات الكبيرة.

ما يجب القيام به، والأهم من ذلك، كيفية منع هجوم الفدية؟ أولا، دعونا نقيم التهديد نفسه. يمكن تنفيذ الهجوم بعدة طرق. أحد أكثرها شيوعًا هو البريد الإلكتروني. يستخدم المجرمون بشكل نشط أساليب الهندسة الاجتماعية، التي لم تنخفض فعاليتها على الإطلاق منذ أيام الهاكر الشهير في القرن العشرين، كيفن ميتنيك. يمكنهم الاتصال بموظف في الشركة الضحية نيابة عن الطرف المقابل في الحياة الواقعية، وبعد المحادثة، إرسال بريد إلكتروني يحتوي على مرفق يحتوي على ملف ضار. سيقوم الموظف بالطبع بفتحه لأنه تحدث للتو مع المرسل عبر الهاتف. أو قد يتلقى المحاسب خطابًا يُزعم أنه من خدمة المحضرين أو من البنك الذي يخدم شركته. لا أحد محصن، وهذه ليست المرة الأولى التي تعاني فيها وزارة الداخلية أيضًا: قبل بضعة أشهر، أرسل المتسللون فاتورة مزيفة من Rostelecom إلى قسم المحاسبة في مديرية خط كازان بوزارة الداخلية مع فيروس التشفير الذي منع عمل النظام المحاسبي.

يمكن أن يكون مصدر العدوى موقعًا للتصيد الاحتيالي قام المستخدم بالوصول إليه عبر رابط احتيالي، أو محرك أقراص محمول "نسيه أحد زوار المكتب عن طريق الخطأ". في كثير من الأحيان، تحدث العدوى من خلال الأجهزة المحمولة غير المحمية للموظفين، والتي يمكنهم من خلالها الوصول إلى موارد الشركة. وقد لا يعمل برنامج مكافحة الفيروسات: فمن المعروف أن المئات من البرامج الضارة التي تتجاوز برامج مكافحة الفيروسات، ناهيك عن "هجمات اليوم الصفر" التي تستغل "الثغرات" المكتشفة حديثًا في البرنامج.

ما هي "برامج الفدية السيبرانية"؟

يقوم البرنامج، المعروف باسم برامج الفدية أو برامج الفدية أو برامج الفدية، بمنع وصول المستخدم إلى نظام التشغيل وعادةً ما يقوم بتشفير جميع البيانات الموجودة على القرص الصلب. يتم عرض رسالة على الشاشة تفيد بأن الكمبيوتر مقفل وأن المالك ملزم بتحويل مبلغ كبير من المال إلى المهاجم إذا أراد استعادة السيطرة على البيانات. في أغلب الأحيان، يتم عرض العد التنازلي لمدة 2-3 أيام على الشاشة بحيث يجب على المستخدم الإسراع، وإلا سيتم إتلاف محتويات القرص. اعتمادًا على شهية المجرمين وحجم الشركة، تتراوح مبالغ الفدية في روسيا من عدة عشرات إلى عدة مئات الآلاف من الروبلات.

أنواع برامج الفدية

المصدر: مايكروسوفت، 2017

لقد كانت هذه البرامج الضارة معروفة منذ سنوات عديدة، لكنها شهدت طفرة حقيقية في العامين أو الثلاثة أعوام الماضية. لماذا؟ أولاً، لأن الناس يدفعون للمهاجمين. وفقًا لشركة Kaspersky Lab، فإن 15% من الشركات الروسية التي تعرضت للهجوم بهذه الطريقة اختارت دفع الفدية، كما أن ثلثي الشركات في العالم التي تعرضت لمثل هذا الهجوم فقدت كل أو جزء من بياناتها المؤسسية.

ثانيًا، أصبحت أدوات مجرمي الإنترنت أكثر تعقيدًا ويمكن الوصول إليها. وثالثا، لا تنتهي المحاولات المستقلة للضحية "لتخمين كلمة المرور" بشكل جيد، ونادرا ما تتمكن الشرطة من العثور على المجرمين، خاصة خلال فترة العد التنازلي.

بالمناسبة. لا يقضي جميع المتسللين وقتهم في إعطاء كلمة المرور للضحية التي نقلت لهم المبلغ المطلوب.

ما هي مشكلة العمل

المشكلة الرئيسية في مجال أمن المعلومات للشركات الصغيرة والمتوسطة في روسيا هي أنهم لا يملكون المال لشراء أدوات أمن معلومات متخصصة قوية، ولكن هناك ما يكفي من أنظمة تكنولوجيا المعلومات والموظفين الذين يمكن أن تحدث معهم أنواع مختلفة من الحوادث . لمكافحة برامج الفدية، لا يكفي أن يكون لديك فقط جدار حماية مهيأ وسياسات مكافحة فيروسات وأمان. تحتاج إلى استخدام جميع الأدوات المتاحة، وفي المقام الأول تلك التي يوفرها بائع نظام التشغيل، لأنها غير مكلفة (أو متضمنة في تكلفة نظام التشغيل) ومتوافقة بنسبة 100% مع برامجها الخاصة.

الغالبية العظمى من أجهزة الكمبيوتر العميلة وجزء كبير من الخوادم تعمل بنظام التشغيل Microsoft Windows. يعرف الجميع أدوات الأمان المضمنة، مثل Windows Defender وWindows Firewall، والتي، إلى جانب تحديثات نظام التشغيل الأخيرة وقيود حقوق المستخدم، توفر مستوى من الأمان كافٍ تمامًا للموظف العادي في حالة عدم وجود أدوات متخصصة.

لكن خصوصية العلاقة بين الأعمال التجارية ومجرمي الإنترنت هي أن الأول في كثير من الأحيان لا يعرف أنه يتعرض للهجوم من قبل الأخير. إنهم يعتقدون أنهم محميون، ولكن في الواقع، اخترقت البرامج الضارة بالفعل محيط الشبكة وتقوم بعملها بهدوء - ففي نهاية المطاف، لا تتصرف جميعها بوقاحة مثل أحصنة طروادة الخاصة ببرامج الفدية.

لقد غيرت مايكروسوفت نهجها في التعامل مع الأمن: فقد قامت الآن بتوسيع خط منتجات أمن المعلومات الخاص بها، كما أنها لا تركز فقط على تعظيم حماية الشركات من الهجمات الحديثة، ولكن أيضًا على تمكين التحقيق فيها في حالة حدوث إصابة.

حماية البريد

يحتاج نظام البريد، باعتباره القناة الرئيسية للتهديدات لاختراق شبكة الشركة، إلى مزيد من الحماية. وللقيام بذلك، قامت Microsoft بتطوير نظام Exchange ATP (الحماية المتقدمة من المعاملات)، الذي يقوم بتحليل مرفقات البريد الإلكتروني أو روابط الإنترنت ويستجيب بسرعة للهجمات المكتشفة. يعد هذا منتجًا منفصلاً، فهو يتكامل مع Microsoft Exchange ولا يتطلب النشر على كل جهاز عميل.

يمكن لـ Exchange ATP اكتشاف هجمات اليوم صفر لأنه يقوم بتشغيل كافة المرفقات في وضع الحماية دون إطلاقها إلى نظام التشغيل وتحليل سلوكها. إذا لم يكن يحتوي على علامات هجوم، فإن المرفق يعتبر آمنًا ويمكن للمستخدم فتحه. يتم إرسال ملف يحتمل أن يكون ضارًا إلى الحجر الصحي ويتم إخطار المسؤول به.

أما بالنسبة للروابط الموجودة في الحروف، فيتم فحصها أيضًا. يستبدل Exchange ATP كافة الارتباطات بروابط وسيطة. ينقر المستخدم على الرابط الموجود في الرسالة، ويصل إلى رابط وسيط، وفي هذه اللحظة يتحقق النظام من العنوان بحثًا عن الأمان. يتم التحقق بسرعة كبيرة بحيث لا يلاحظ المستخدم التأخير. إذا أدى الرابط إلى موقع أو ملف مصاب، يُحظر النقر عليه.

كيف يعمل تبادل ATP

المصدر: مايكروسوفت، 2017

لماذا يحدث التحقق في وقت النقر، وليس عند تلقي خطاب - لأنه بعد ذلك سيكون هناك المزيد من الوقت للبحث، وبالتالي ستكون هناك حاجة إلى قوة حاسوبية أقل؟ تم القيام بذلك خصيصًا للحماية من خدعة المتسللين لاستبدال المحتوى عبر رابط. مثال نموذجي: تصل رسالة إلى صندوق البريد ليلاً، ويقوم النظام بفحصها ولا يجد شيئًا، وبحلول الصباح يتم بالفعل نشر ملف به حصان طروادة، على سبيل المثال، على الموقع عبر هذا الرابط، والذي قام المستخدم بتنزيله بنجاح.

والجزء الثالث من خدمة Exchange ATP هو نظام التقارير المدمج. فهو يسمح لك بالتحقيق في الحوادث التي وقعت ويوفر البيانات للإجابة على الأسئلة: متى حدثت العدوى وكيف وأين حدثت. يتيح لك ذلك العثور على المصدر وتحديد الضرر وفهم ما إذا كانت إصابة عرضية أم هجومًا متعمدًا ومستهدفًا ضد هذه الشركة.

هذا النظام مفيد أيضًا للوقاية. على سبيل المثال، يمكن للمسؤول رفع إحصائيات حول عدد النقرات التي تم إجراؤها على الروابط التي تم وضع علامة عليها باعتبارها خطيرة، ومن هم المستخدمين الذين قاموا بذلك. وحتى لو لم تحدث أي إصابة، فلا يزال يتعين القيام بأعمال التوعية مع هؤلاء الموظفين.

صحيح أن هناك فئات من الموظفين تجبرهم مسؤولياتهم الوظيفية على زيارة مجموعة متنوعة من المواقع - مثل المسوقين الذين يبحثون في السوق، على سبيل المثال. بالنسبة لهم، تتيح لك تقنيات Microsoft تكوين سياسة بحيث يتم فحص أي ملفات تم تنزيلها في وضع الحماية قبل حفظها على الكمبيوتر. علاوة على ذلك، يتم وضع القواعد حرفيًا ببضع نقرات.

حماية بيانات الاعتماد

أحد أهداف هجمات مجرمي الإنترنت هو بيانات اعتماد المستخدم. هناك الكثير من التقنيات لسرقة معلومات تسجيل الدخول وكلمات المرور الخاصة بالمستخدمين، ويجب مواجهتها بحماية قوية. هناك أمل ضئيل بالنسبة للموظفين أنفسهم: فهم يتوصلون إلى كلمات مرور بسيطة، ويستخدمون كلمة مرور واحدة للوصول إلى جميع الموارد، ويدونونها على ورقة لاصقة يلصقونها على الشاشة. يمكن مكافحة ذلك من خلال الإجراءات الإدارية ومن خلال تعيين متطلبات كلمة المرور برمجيًا، ولكن لن يكون هناك أي تأثير مضمون.

إذا كانت الشركة تهتم بالأمان، فإنها تفرق حقوق الوصول، وعلى سبيل المثال، لا يستطيع المهندس أو مدير المبيعات الوصول إلى خادم المحاسبة. لكن المتسللين لديهم خدعة أخرى في جعبتهم: يمكنهم إرسال خطاب من الحساب الذي تم الاستيلاء عليه لموظف عادي إلى متخصص مستهدف لديه المعلومات اللازمة (البيانات المالية أو الأسرار التجارية). بعد تلقي رسالة من "زميل"، سيفتحها المستلم تمامًا ويطلق المرفق. وستتمكن برامج الفدية من الوصول إلى البيانات القيمة للشركة، والتي يمكن للشركة أن تدفع الكثير من المال مقابل إعادتها.

للتأكد من أن الحساب الذي تم الاستيلاء عليه لا يمنح المهاجمين الفرصة لاختراق نظام الشركة، تعرض Microsoft حمايته باستخدام مصادقة Azure Multifactor. أي أنه لتسجيل الدخول، لا يلزمك إدخال زوج تسجيل الدخول/كلمة المرور فحسب، بل أيضًا رمز PIN الذي يتم إرساله عبر الرسائل القصيرة أو إشعار الدفع الذي تم إنشاؤه بواسطة تطبيق الهاتف المحمول أو الرد على مكالمة هاتفية من الروبوت. تعد المصادقة متعددة العوامل مفيدة بشكل خاص عند العمل مع الموظفين عن بعد الذين يمكنهم تسجيل الدخول إلى نظام الشركة من أجزاء مختلفة من العالم.

مصادقة Azure متعددة العوامل



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة