كيفية التعامل مع Ragnar Locker Ransomware (05.20.24)

تعد برامج الفدية من البرامج الضارة السيئة للغاية لأن المهاجمين يطالبون الضحية بدفع ثمن بياناته المهمة حتى يتم تحريرها من كونها رهينة. تصيب برامج الفدية جهاز الضحية خلسة ، وتقوم بتشفير البيانات المهمة (بما في ذلك ملفات النسخ الاحتياطي) ، ثم تترك تعليمات حول مقدار الفدية التي يجب دفعها وكيفية دفعها. بعد كل هذه المتاعب ، لا يوجد لدى الضحية أي ضمان بأن المهاجم سيطلق بالفعل مفتاح فك التشفير لفتح الملفات. وإذا حدث ذلك ، فقد تكون بعض الملفات تالفة ، مما يجعلها غير مجدية في النهاية.

على مر السنين ، نمت شعبية استخدام برامج الفدية لأنها الطريقة الأكثر مباشرة التي يستخدمها المتسللون لكسب المال. يحتاجون فقط إلى إسقاط البرامج الضارة ، ثم الانتظار حتى يرسل المستخدم الأموال عبر Bitcoin. وفقًا لبيانات Emsisoft ، ارتفع عدد هجمات برامج الفدية في عام 2019 بنسبة 41٪ مقارنة بالعام السابق ، مما أثر على حوالي 1000 مؤسسة أمريكية. حتى أن Cybersecurity Ventures توقعت أن تهاجم برامج الفدية الشركات كل 11 ثانية.

في وقت سابق من هذا العام ، هاجمت Ragnar Locker ، وهي سلالة جديدة من البرامج الضارة ، شركة Energias de Portugal (EDP) ، وهي شركة مرافق كهربائية برتغالية مقرها في لشبونة . طلب المهاجمون 1580 عملة بيتكوين كفدية ، أي ما يعادل حوالي 11 مليون دولار.

ما هو Ragnar Locker Ransomware؟

Ragnar Locker هو نوع من برامج الفدية الضارة تم إنشاؤه ليس فقط لتشفير البيانات ، ولكن أيضًا لقتل التطبيقات المثبتة ، مثل ConnectWise و Kaseya ، والتي يستخدمها عادةً موفرو الخدمات المدارة والعديد من خدمات Windows. يقوم Ragnar Locker بإعادة تسمية الملفات المشفرة عن طريق إلحاق امتداد فريد يتكون من كلمة ragnar متبوعة بسلسلة من الأرقام والأحرف العشوائية. على سبيل المثال ، ستتم إعادة تسمية ملف يحمل الاسم A.jpg إلى A.jpg.ragnar_0DE48AAB.

بعد تشفير الملفات ، يقوم بإنشاء رسالة فدية باستخدام ملف نصي ، بنفس تنسيق الاسم مثل مع المثال أعلاه. يمكن تسمية رسالة الفدية RGNR_0DE48AAB.txt.

تعمل برامج الفدية هذه على أجهزة الكمبيوتر التي تعمل بنظام Windows فقط ، ولكن لم يتم التأكد بعد مما إذا كان مؤلفو هذا البرنامج الضار قد صمموا أيضًا إصدار Mac من Ragnar Locker. عادة ما تستهدف العمليات والتطبيقات التي يشيع استخدامها من قبل مزودي الخدمة المدارة لمنع هجومهم من الكشف عنه وإيقافه. يستهدف Ragnar Locker المستخدمين الناطقين باللغة الإنجليزية فقط.

تم اكتشاف برنامج الفدية Ragnar Locker لأول مرة في نهاية ديسمبر 2019 ، عندما تم استخدامه كجزء من الهجمات ضد الشبكات المخترقة. وفقًا لخبراء الأمن ، كان هجوم Ragnar Locker على عملاق الطاقة الأوروبي هجومًا مدروسًا ومخططًا له بدقة.

فيما يلي مثال على رسالة فدية Ragnar Locker:

> مرحبًا *!

********************

إذا كنت تقرأ هذه الرسالة ، فهذا يعني أن شبكتك قد تم اختراقها وجميع ملفاتك وتم تشفير البيانات

بواسطة RAGNAR_LOCKER!

********************

********* ماذا يحدث لنظامك؟ * ***********

تم اختراق شبكتك وتم قفل جميع ملفاتك ونسخك الاحتياطية! لذلك من الآن فصاعدًا ، لا يوجد أحد يمكنه مساعدتك في استعادة ملفاتك ، باستثناء الولايات المتحدة.

يمكنك البحث في google ، ولا توجد فرص لفك تشفير البيانات بدون مفتاحنا السري.

لكن لا تقلق! ملفاتك ليست تالفة أو مفقودة ، تم تعديلها فقط. يمكنك استعادتها بمجرد الدفع.

نحن نبحث فقط عن المال ، لذلك لا نرغب في حفظ معلوماتك أو حذفها ، إنها مجرد بيزنس دولار -)

ومع ذلك ، يمكنك إتلاف بياناتك بنفسك إذا حاولت إلغاء الحظر بواسطة أي برنامج آخر ، بدون مفتاح التشفير الخاص بنا !!!

أيضًا ، تم جمع جميع معلوماتك الحساسة والخاصة وإذا قررت عدم الدفع ،

فسنقوم بتحميلها للعرض العام!

****

*********** كيف تستعيد ملفاتك؟ ******

To فك تشفير جميع ملفاتك وبياناتك التي يتعين عليك دفعها مقابل مفتاح التشفير:

محفظة BTC للدفع: *

المبلغ المطلوب دفعه (بعملة البيتكوين): 25

****

*********** كم من الوقت عليك أن تدفع؟ **********

* يجب أن تتواصل معنا في غضون يومين بعد ملاحظة التشفير للحصول على سعر أفضل.

* سيتم زيادة السعر بنسبة 100٪ (سعر مضاعف) بعد 14 يومًا إذا لم يتم إجراء اتصال.

* سيتم مسح المفتاح تمامًا خلال 21 يومًا إذا لم يتم إجراء أي اتصال أو لم يتم عقد صفقة.

سيتم تحميل بعض المعلومات الحساسة المسروقة من خوادم الملفات علنًا أو إلى إعادة البائع.

****

*********** ماذا لو تعذر استعادة الملفات؟ ******

لإثبات قدرتنا على فك تشفير بياناتك ، سنقوم بفك تشفير أحد ملفاتك المقفلة!

فقط أرسلها إلينا وستستردها مجانًا.

يعتمد سعر أداة فك التشفير على حجم الشبكة وعدد الموظفين والإيرادات السنوية.

لا تتردد في الاتصال بنا للحصول على مبلغ BTC الذي يجب دفعه.

****

! إذا كنت لا تعرف كيفية الحصول على عملات البيتكوين ، فسنقدم لك النصائح حول كيفية استبدال الأموال.

!!!!!!!!!!!!!!

! إليك الدليل البسيط حول كيفية التواصل معنا!

!!!!!!!!!!!!!

1) انتقل إلى الموقع الرسمي لبرنامج TOX messenger (hxxps: //tox.chat/download.html)

2) قم بتنزيل وتثبيت qTOX على جهاز الكمبيوتر الخاص بك ، واختر النظام الأساسي (Windows ، OS X ، Linux ، إلخ.)

3) افتح برنامج messenger ، وانقر على "ملف تعريف جديد" وأنشئ ملفًا شخصيًا.

4) انقر فوق الزر "إضافة أصدقاء" وابحث عن جهة الاتصال *

5) لتحديد الهوية ، أرسل إلى بيانات الدعم من —RAGNAR SECRET—

هام ! إذا لم تتمكن من الاتصال بنا في qTOX لبعض الأسباب ، فإليك صندوق البريد الاحتياطي (*) الذي يرسل رسالة تحتوي على بيانات من —RAGNAR SECRET—

تحذير!

- لا تحاول فك تشفير الملفات باستخدام أي برنامج تابع لجهة خارجية (سيتعرض للتلف نهائيًا)

- لا تقم بإعادة تثبيت نظام التشغيل الخاص بك ، فقد يؤدي ذلك إلى فقد البيانات والملفات بالكامل لا يمكن فك تشفيرها. أبدا!

- المفتاح السري الخاص بك لفك التشفير موجود على خادمنا ، ولكن لن يتم تخزينه إلى الأبد. لاتهدر الوقت !

********************

—RAGNAR SECRET—

*

—RAGNAR SECRET—

**********************

ماذا تفعل Ragnar Locker؟

عادةً ما يتم تسليم Ragnar Locker عبر أدوات MSP مثل ConnectWise ، حيث يقوم مجرمو الإنترنت بإسقاط ملف تنفيذي لبرنامج الفدية عالي الاستهداف. تم استخدام تقنية الانتشار هذه بواسطة برامج الفدية الخبيثة السابقة ، مثل سودينوكيبي. عندما يحدث هذا النوع من الهجوم ، يتسلل مؤلفو برنامج الفدية إلى المؤسسات أو المرافق عبر اتصالات RDP غير الآمنة أو المؤمنة بشكل سيئ. ثم يستخدم أدوات لإرسال نصوص Powershell إلى جميع نقاط النهاية التي يمكن الوصول إليها. تقوم البرامج النصية بعد ذلك بتنزيل حمولة عبر Pastebin المصممة لتنفيذ برامج الفدية وتشفير نقاط النهاية. في بعض الحالات ، تأتي الحمولة في شكل ملف قابل للتنفيذ يتم تشغيله كجزء من هجوم مستند إلى ملف. هناك أيضًا حالات يتم فيها تنزيل نصوص برمجية إضافية كجزء من هجوم بدون ملفات تمامًا.

تستهدف Ragnar Locker على وجه التحديد البرامج التي يديرها عادةً مقدمو الخدمات المُدارة ، بما في ذلك السلاسل التالية:

  • vss
  • sql
  • mepocs
  • سوفوس
  • > connectwise
  • splashtop
  • kaseya

    • تقوم برامج الفدية أولاً بسرقة ملفات الهدف وتحميلها على خوادمهم. ما يميز Ragnar Locker هو أنهم لا يقومون ببساطة بتشفير الملفات ولكنهم يهددون الضحية أيضًا بأنه سيتم نشر البيانات علنًا إذا لم يتم دفع الفدية ، مثل حالة EDP مع EDP ، هدد المهاجمون بالإفراج عن 10 تيرابايت المفترض من البيانات المسروقة ، والتي يمكن أن تكون واحدة من أكبر تسريبات البيانات في التاريخ. ادعى المهاجمون أنه سيتم إبلاغ جميع الشركاء والعملاء والمنافسين بالخرق وسيتم إرسال بياناتهم المسربة إلى الأخبار ووسائل الإعلام للاستهلاك العام. على الرغم من أن المتحدث باسم EDP قد أعلن أن الهجوم لم يكن له تأثير على خدمة الطاقة والبنية التحتية للمرفق ، فإن خرق البيانات الذي يلوح في الأفق هو أمر يثير قلقهم.

    يعد تعطيل الخدمات وإنهاء العمليات من الأساليب الشائعة التي تستخدمها البرامج الضارة لتعطيل برامج الأمان وأنظمة النسخ الاحتياطي وقواعد البيانات وخوادم البريد. بمجرد إنهاء هذه البرامج ، يمكن بعد ذلك تشفير بياناتها.

    عند إطلاقها لأول مرة ، سيقوم Ragnar Locker بفحص تفضيلات لغة Windows التي تم تكوينها. إذا كانت اللغة المفضلة هي اللغة الإنجليزية ، فسيستمر البرنامج الضار في الخطوة التالية. ولكن إذا اكتشف Ragnar Locker أن اللغة قد تم تعيينها كواحدة من دول الاتحاد السوفيتي السابق ، فإن البرامج الضارة ستنهي العملية ولن تقوم بتشفير الكمبيوتر.

    يقوم Ragnar Locker بخرق أدوات أمان MSP قبل أن يتمكنوا من حظرها رانسومواري من أن يتم إعدامه. بمجرد الدخول ، يبدأ البرنامج الضار عملية التشفير. يستخدم مفتاح RSA-2048 مضمنًا لتشفير الملفات المهمة.

    لا يقوم Ragnar Locker بتشفير جميع الملفات. سيتخطى بعض المجلدات وأسماء الملفات والامتدادات ، مثل:

    • kernel32.dll
    • Windows
    • Windows.old
    • متصفح Tor
    • Internet Explorer
    • Google
    • Opera
    • Opera Software
    • Mozilla
    • Mozilla Firefox
    • $ Recycle.Bin
    • ProgramData
    • كافة المستخدمين
    • autorun.inf
    • boot.ini
    • bootfont.bin
    • bootsect.bak
    • bootmgr
    • bootmgr .efi
    • bootmgfw.efi
    • desktop.ini
    • iconcache.db
    • ntldr
    • ntuser.dat
    • ntuser.dat.log
    • ntuser.ini
    • .lnk
    • .msi
    • .drv
    • .exe

    بصرف النظر عن الإلحاق امتداد ملف جديد للملفات المشفرة ، يضيف Ragnar Locker أيضًا علامة ملف "RAGNAR" في نهاية كل ملف مشفر.

    يسقط Ragnar Locker بعد ذلك رسالة فدية باسم ".RGNR_ [extension] .txt" تحتوي على تفاصيل حول مبلغ الفدية وعنوان دفع البيتكوين ومعرف دردشة TOX لاستخدامه للتواصل مع المهاجمين وعنوان بريد إلكتروني احتياطي إذا كانت هناك مشاكل مع TOX. على عكس برامج الفدية الأخرى ، لا يمتلك Ragnar Locker مبلغًا ثابتًا من الفدية. يختلف حسب الهدف ويتم حسابه بشكل فردي. في بعض التقارير ، يمكن أن يتراوح مبلغ الفدية بين 200000 دولار و 600000 دولار. في حالة EDP ، كانت الفدية المطلوبة 1580 بيتكوين أو 11 مليون دولار.

    How to Remove Ragnar Locker

    إذا كان جهاز الكمبيوتر الخاص بك محظوظًا لإصابته بـ Ragnar Locker ، فإن أول شيء عليك القيام به هو التحقق إذا تم تشفير جميع ملفاتك. تحتاج أيضًا إلى التحقق مما إذا تم تشفير ملفات النسخ الاحتياطي أيضًا. تسلط مثل هذه الهجمات الضوء على أهمية الاحتفاظ بنسخة احتياطية من بياناتك المهمة لأنه على الأقل ، لن تقلق بشأن فقد الوصول إلى ملفاتك.

    لا تحاول دفع الفدية لأنها لن تكون مجدية. ليس هناك ما يضمن أن المهاجم سيرسل لك مفتاح فك التشفير الصحيح وأن ملفاتك لن يتم تسريبها للجمهور أبدًا. في الواقع ، من المحتمل جدًا أن يستمر المهاجمون في ابتزاز الأموال منك لأنهم يعلمون أنك على استعداد للدفع.

    ما يمكنك فعله هو حذف برنامج الفدية أولاً من جهاز الكمبيوتر الخاص بك قبل محاولة فك تشفير هو - هي. يمكنك استخدام تطبيق مكافحة الفيروسات أو مكافحة البرامج الضارة لفحص جهاز الكمبيوتر الخاص بك بحثًا عن البرامج الضارة واتباع التعليمات لحذف جميع التهديدات المكتشفة. بعد ذلك ، قم بإلغاء تثبيت أي تطبيقات أو ملحقات مريبة قد تكون مرتبطة بالبرامج الضارة.

    أخيرًا ، ابحث عن أداة فك تشفير تطابق Ragnar Locker. هناك العديد من برامج فك التشفير التي تم تصميمها للملفات المشفرة بواسطة برامج الفدية ، ولكن يجب عليك التحقق من الشركة المصنعة لبرامج الأمان أولاً إذا كانت متوفرة لديك. على سبيل المثال ، يمتلك كل من Avast و Kaspersky أداة فك التشفير الخاصة بهما والتي يمكن للمستخدمين استخدامها. فيما يلي قائمة بأدوات فك التشفير الأخرى التي يمكنك تجربتها.

    كيفية حماية نفسك من Ragnar Locker

    قد تكون برامج الفدية مزعجة للغاية ، خاصةً إذا لم تكن هناك أداة فك تشفير حالية قادرة على التراجع عن التشفير الذي تقوم به البرامج الضارة . لحماية جهازك من برامج الفدية ، خاصةً Ragnar Locker ، إليك بعض النصائح التي يجب أن تضعها في اعتبارك:

    • تطبيق سياسة كلمات مرور قوية ، باستخدام مصادقة ثنائية أو متعددة العوامل (MFA) إن أمكن. إذا لم يكن ذلك ممكنًا ، فقم بإنشاء كلمات مرور عشوائية وفريدة يصعب تخمينها.
    • تأكد من قفل الكمبيوتر عند مغادرة مكتبك. سواء كنت تخرج لتناول الغداء أو تأخذ استراحة قصيرة أو مجرد الذهاب إلى الحمام ، أغلق جهاز الكمبيوتر الخاص بك لمنع الوصول غير المصرح به.
    • قم بإنشاء نسخة احتياطية للبيانات وخطة استرداد ، خاصة للمعلومات الهامة حول الحاسوب. قم بتخزين أهم المعلومات المخزنة خارج الشبكة أو على جهاز خارجي إن أمكن. اختبر هذه النسخ الاحتياطية بانتظام للتأكد من أنها تعمل بشكل صحيح في حالة حدوث أزمة حقيقية.
    • تأكد من تحديث أنظمتك وتثبيتها بأحدث تصحيحات الأمان. تستغل برامج الفدية عادةً الثغرات الأمنية في نظامك ، لذا تأكد من أن أمان جهازك محكم الإغلاق.
    • كن حذرًا من العوامل الشائعة للتصيد الاحتيالي ، وهو أكثر طرق توزيع برامج الفدية شيوعًا. لا تنقر على روابط عشوائية وافحص دائمًا مرفقات البريد الإلكتروني قبل تنزيلها على جهاز الكمبيوتر.
    • قم بتثبيت برنامج أمان قوي على جهازك وحافظ على تحديث قاعدة البيانات بأحدث التهديدات.

    فيديو يوتيوب: كيفية التعامل مع Ragnar Locker Ransomware

    05, 2024