🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
تم اكتشاف برنامج الفدية SunCrypt في أكتوبر 2019 وفي أغسطس 2020 تمت إضافته إلى كارتل Maze ransomware. كما أنه يتبع بعض تكتيكات وتقنيات وإجراءات Maze. يتم تشغيل SunCrypt وتثبيته باستخدام برنامج نصي PowerShell غامض (الشكل 1) يشبه Netwalker.
[معرف التسمية التوضيحية = «المرفق _8278" aligncenter «العرض ="624"]
الشكل 1: برنامج PowerShell النصي المبهم [/caption]
أناتعمل مرفقات البريد الإلكتروني المصابة (وحدات الماكرو) ومواقع التورنت والإعلانات الضارة كناقلات لبرنامج الفدية هذا. بمجرد تثبيت SunCrypt، فإنه يتصل بعنوان IP 91.218.114.31 وينقل معلومات حول الهجوم والضحية. يمنع برنامج الفدية هذا الضحايا من الوصول إلى الملفات عن طريق تشفيرها باستخدام خوارزمية التشفير ChaCha20. يقوم بإعادة تسمية جميع الملفات المشفرة وإنشاء مذكرة فدية (الشكل 2). كما أنه يعيد تسمية الملفات المشفرة عن طريق إلحاق سلسلة من الأحرف العشوائية كامتداد جديد. على سبيل المثال، ستقوم صن كريبت بإعادة تسمية ملف باسم "1.jpg" إلى «1.jpg.f3f2420c68439b451670486b17EF6d1b0188A -7982E7A9DBD9327E7F967C15767.» بمجرد اكتمال الإصابة، سيتم تشفير جميع الملفات الموجودة على الجهاز ويطلب مشغلو SunCrypt فدية لفك التشفير. يتم أيضًا تثبيت أحصنة طروادة إضافية لسرقة كلمات المرور وإصابات البرامج الضارة جنبًا إلى جنب مع برنامج الفدية، في بعض الأحيان، لتسجيل أنشطة المستخدم.
[معرف التسمية التوضيحية = «المرفق _8279" aligncenter «العرض ="599"]
الشكل 2: مذكرة الفدية الخاصة بشركة SunCrypt [/caption]
الشكل 1: برنامج PowerShell النصي المبهم [/caption]
أناتعمل مرفقات البريد الإلكتروني المصابة (وحدات الماكرو) ومواقع التورنت والإعلانات الضارة كناقلات لبرنامج الفدية هذا. بمجرد تثبيت SunCrypt، فإنه يتصل بعنوان IP 91.218.114.31 وينقل معلومات حول الهجوم والضحية. يمنع برنامج الفدية هذا الضحايا من الوصول إلى الملفات عن طريق تشفيرها باستخدام خوارزمية التشفير ChaCha20. يقوم بإعادة تسمية جميع الملفات المشفرة وإنشاء مذكرة فدية (الشكل 2). كما أنه يعيد تسمية الملفات المشفرة عن طريق إلحاق سلسلة من الأحرف العشوائية كامتداد جديد. على سبيل المثال، ستقوم صن كريبت بإعادة تسمية ملف باسم "1.jpg" إلى «1.jpg.f3f2420c68439b451670486b17EF6d1b0188A -7982E7A9DBD9327E7F967C15767.» بمجرد اكتمال الإصابة، سيتم تشفير جميع الملفات الموجودة على الجهاز ويطلب مشغلو SunCrypt فدية لفك التشفير. يتم أيضًا تثبيت أحصنة طروادة إضافية لسرقة كلمات المرور وإصابات البرامج الضارة جنبًا إلى جنب مع برنامج الفدية، في بعض الأحيان، لتسجيل أنشطة المستخدم.
[معرف التسمية التوضيحية = «المرفق _8279" aligncenter «العرض ="599"] الشكل 2: مذكرة الفدية الخاصة بشركة SunCrypt [/caption]
مؤشرات التسوية
-
- 91.218.114.30
- http://91.218.114.30
- http://91.218.114.31
- 91.218.114.31
- إبيكسي mbsib4rmw. البصل
- nbzzb6sa 6xuura 2 أوقية. البصل
- SHA 256: E3DEA10844 AEBC7D60AE330 F2730B7ED9D18B5EE02EF9FD4A394660E82E2219
- محمل بوويرشيل
-
- إم دي 5: دي 87 إف سي دي 8 دي 2 بي إف 450 بي0056a151e9a116f72
- شا1:48 سي بي 6 ديسيبل بي دي بي092e5a90c778114b2dda 43ce3221c9f
- شا256:3090 بي في 3 دي 16 بي 0ب 150444 سم 3 ب 1962 ب 0AB0AB0B 6B826 FA306803 DE0192 سرير DB80
التأثير
- النتيجة الرئيسية لهجوم الفدية هي عدم توفر البيانات بسبب التشفير.
- الفدية المطلوبة ضخمة في كثير من الأحيان. يبني المشغلون مطالبهم على قيمة المنظمة المستهدفة.
- تؤدي دعاوى العملاء وغرامات الامتثال إلى فقدان السمعة والنوايا الحسنة للشركة.
- سيؤثر تعطل الخدمة على الشركة ماليًا ويقلل العلاقات مع العملاء.
التخفيف
- لا تفتح رسائل البريد الإلكتروني المشبوهة وغير ذات الصلة، خاصة تلك الواردة من مرسلين مجهولين ومشبوهين.
- حظر تثبيت البرامج من مصادر غير معروفة.
- قم بالتنزيل من مصادر ذات صلة وموثوقة.
- قم بعمل نسخة احتياطية منتظمة من بياناتك.
- استخدم ماسحًا موثوقًا لاكتشاف البرامج الضارة.
- قم بتعطيل نظام التشغيل Windows PowerShell، وهو إطار التشغيل الآلي للمهام.
