ما هو فيرس Snatch Ransomware وكيفية إزالته

ما هو فيرس Snatch Ransomware وكيفية إزالته
شارك هذه المقالة مع أصدقائك!

ما هو فيرس Snatch Ransomware وكيفية إزالته

يبدو أن مطوري برامج الاختراق لا ينامون أبدًا مع ارتفاع الحماية . يبحثون دائمًا عن طرق مختلفة لشحذ أسلحتهم الهجومية. ما هو فيرس Snatch Ransomware وكيفية إزالته ؟  واحدة من أحدث التقنيات هي سلالة برامج الفدية التي يمكن أن تجبر جهاز Windows على إعادة التشغيل في الوضع الآمن مباشرة قبل بدء التشفير ، وتعتزم الالتفاف حول حماية نقطة النهاية.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

تُعرف هذه السلالة بالتحديد باسم Snatch بسبب مؤلفيها ، الذين يشيرون إلى أنفسهم باسم Snatch Team. هل كان اكتشافها من قبل الباحثين سوفوس مختبرات ، الذي قدم عرضا موجزا اكتشافهم جنبا إلى جنب مع فكرة عن كيفية كسر هذه العصابات إلى مؤسسات وكيانات أخرى على قائمة المستهدفين بها.

سنقوم بشرح ماهية Snatch ransomware وكيف تعمل وكيف يمكنك إزالته من أجهزتك.

ما هو فيرس رانسومواري

Snatch هو متغير جديد لفدية الفدية ، حيث يُجبر تنفيذه أجهزة Windows على إعادة التشغيل إلى “الوضع الآمن” حتى قبل أن تبدأ عملية التشفير في محاولة لتجاوز حماية نقطة النهاية التي لا تعمل غالبًا في هذا الوضع.

اكتشف الباحثون في SophosLabs وفريق الاستجابة للتهديدات المدارة من Sophos ، فدية الخطف هي من بين مجموعة من مكونات كوكبة البرمجيات الخبيثة المتعددة التي يتم استخدامها في سلسلة مستمرة من الهجمات المدبرة بعناية والتي تضم مجموعة واسعة من البيانات.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

تستخدم السلالة الجديدة من فيرس رانسومواري طريقة عدوى فريدة تطبق تشفير AES المتطور حتى لا يتمكن المستخدمون الذين لديهم أجهزة مصابة من الوصول إلى ملفاتهم.

كان Snatch Ransomware نشطًا بشكل ملحوظ في أبريل 2019 ، ولكن تم إصداره في نهاية عام 2018. ومع ذلك ، أدى الارتفاع الكبير في الملفات المشفرة وملاحظات الفدية إلى اكتشافها ومتابعتها بواسطة فريق من الباحثين في Sophos.

يهاجم نموذج تشفير الفيروسات الخاص به أهدافًا بارزة ، لكن هذه السلالة الجديدة ، التي تم إنشاؤها باستخدام برنامج Google Go ، تضم مجموعة من الأدوات بما في ذلك أداة لسرقة البيانات وميزة الفدية. بالإضافة إلى ذلك ، يحتوي على صدفة عكسية Cobalt Strike وأدوات أخرى يستخدمها اختبار الاختراق ومسؤولو النظام.

ملاحظة: يمكن تشغيل Sophos المكتشف البديل فقط على Windows في إصدارات 32 بت و 64 بت من الإصدار 7 إلى 10.

كيف يعمل فيرس الفدية

باعتباره فيروس قفل للملفات ، لا يوجد لدى Snatch ransomware أي اتصالات مع سلالات أخرى. ومع ذلك ، أصدر مطوروها تسعة أنواع من التهديد ، والتي تلحق امتدادات مختلفة بعد تشفير البيانات باستخدام تشفير AES.

الحيلة هي إعادة تشغيل الأجهزة في الوضع الآمن ، ثم تقييد رانسومواري الوصول إلى البيانات الخاصة بك عن طريق تشفير الملفات الخاصة بك. بعد ذلك ، يحاول المتسللون الابتزاز منكم عن طريق التماس الفدية في شكل Bitcoin في مقابل فتح ملفاتك وإعادة الوصول إلى البيانات.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

هناك سبب يعمل خدعتهم. لا تبدأ بعض برامج مكافحة الفيروسات في “الوضع الآمن” ، واكتشف المطورون أنهم يستطيعون بسهولة تعديل مفتاح تسجيل Windows ويقومون فقط بتشغيل جهازك في “الوضع الآمن”. وبالتالي يتم تشغيل رانسومواري من قبل برنامج الأمان الخاص بك.

في المرة الأولى التي يتم فيها تثبيتها على جهازك ، تأتي من خلال SuperBackupMan ، وهي خدمة Windows ، ويتم إعدادها مباشرة قبل أن يبدأ الكمبيوتر في إعادة التشغيل حتى لا تتمكن من إيقافها في الوقت المناسب.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

بمجرد التثبيت ، يستخدم المهاجمون وصول المسؤول لتشغيل BCDEDIT ، أداة سطر أوامر Windows ، لإجبار الكمبيوتر على إعادة التشغيل في “الوضع الآمن” على الفور.

يقوم بعد ذلك بإنشاء عشوائي مسمى قابل للتنفيذ في مجلد٪ AppData٪ أو٪ LocalAppData٪ ، والذي سيتم إطلاقه ويبدأ في فحص أحرف محركات الأقراص في جهاز الكمبيوتر الخاص بك بحثًا عن ملفات لتشفيرها.

الملفات المستهدفة بواسطة SNATCH RANSOMWARE

هناك امتدادات ملفات محددة يقوم بتشفيرها ، بما في ذلك .doc و .docx و .pdf و .xls وغيرها الكثير ، والتي تصيب وتغيير امتداداتها إلى Snatch حتى لا تتمكن من فتحها مرة أخرى.

تترك الفدية مذكرة ملف نصي Readme_Restore_Files.txt ، تطالب بأي شيء بين واحد وخمسة Bitcoin في مقابل مفتاح فك التشفير ، مع معلومات حول كيفية التواصل مع المتسللين لاستعادة ملفات البيانات الخاصة بك مرة أخرى.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

بعد أن يقوم برنامج Ransomware بفحص جهاز الكمبيوتر الخاص بك بشكل كامل ، فإنه يستخدم vssadmin.exe ، وهو أمر Windows لحذف كافة Shadow Volume Copies عليه حتى لا تتمكن من استردادها واستخدامها لاستعادة ملفات البيانات المشفرة. الخطوة الأخيرة هي تشفير أي ملفات بيانات على القرص الصلب.

في الوقت الحالي ، لا يمكن فك تشفير الملفات المصابة بسبب الطبيعة المعقدة لتشفير AES المستخدم. ومع ذلك ، لا يزال لديك شريان الحياة إذا كان جهاز الكمبيوتر الخاص بك مصابًا عن طريق استعادة ملفاتك من أحدث نسخة احتياطية.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

Snatch Ransomware تم استهداف المستخدمين العاديين عبر رسائل البريد الإلكتروني العشوائي. لكن اليوم ، الأهداف الرئيسية هي الشركات. من خلال دفع هؤلاء المجرمين ، لا تخسر المال فقط وليس لديك أي ضمان بأنهم سيرسلون مفتاح فك التشفير إليك ، ولكنه يشجعهم أيضًا على مواصلة جرائمهم الإلكترونية.

إذا لم يكن لديك نسخة احتياطية محدثة ، فليس هناك الكثير مما يمكنك فعله بخلاف الانتظار حتى يأتي خبراء الأمن إلى برنامج فك تشفير Snatch ransomware. قد يستغرق ذلك وقتًا طويلاً ، ولكن هناك طرقًا أخرى يمكنك من خلالها حماية نفسك من مثل هذه الهجمات.

كيفية إزالة SNATCH RANSOMWARE من جهاز الكمبيوتر الخاص بك

واحدة من أفضل الطرق لإزالة Snatch ransomware والبرامج الضارة الأخرى هي تثبيت برنامج أمان جيد لمكافحة الفيروسات مثل Malwarebytes أو SpyHunter يمكنه مسح التهديد واكتشافه والقضاء عليه. لا تستطيع جميع محركات مكافحة الفيروسات التقاطها لأنها برمجيات خبيثة جديدة تمامًا ، لذلك من الجيد إجراء المسح الضوئي باستخدام عدة برامج.

يمكنك حماية نفسك وأجهزتك من هجمات الفدية عن طريق اتخاذ خطوات بسيطة مثل تنزيل البرامج من مصادر موثوقة ، وتجنب فتح مرفقات البريد الإلكتروني من مصادر غير موثوق بها.

ما هو  فيرس Snatch Ransomware وكيفية إزالته

تشمل الطرق الأخرى التي يمكنك من خلالها حماية نفسك ومنظمتك من Snatch وأنواع أخرى من برامج الفدية ما يلي:

  • الحفاظ على نظام التشغيل المحدث والحفاظ على النسخ الاحتياطي للبيانات الخاصة بك.
  • أداء مراجعة كلمة المرور العادية.
  • قم بنشر برامج أمنية شاملة متعددة الطبقات لحماية جميع نقاط الدخول ضد أي هجوم بفدية.
  • تأمين أدوات الوصول عن بعد وغيرها من البرامج الضعيفة لأن مهاجمين Snatch يستأجرون مجرمين آخرين لديهم خبرة في استخدام قذائف الويب أو القدرة على اختراق خوادم SQL عبر هجمات الحقن.
  • قم بحماية واجهة Remote Desktop عن طريق وضعها خلف VPN على شبكتك حتى لا يتمكن الأشخاص من الوصول إليها دون بيانات اعتماد VPN.
  • قم بإجراء فحوصات منتظمة وشاملة على جميع الأجهزة في منزلك أو مؤسستك للتأكد من أنها محمية ومراقبتها أثناء الاستفادة من Snatch مثل نقاط الوصول والموطئ للحصول على الدخول.
  • قم بإعداد مصادقة متعددة العوامل واستخدمها لأي مدراء في مؤسستك حتى لا يتمكن المهاجمون من استخدام بيانات الاعتماد الخاصة بك.
  • قم بإجراء تعقب كامل للتهديد على شبكتك لتحديد أي نشاط من هذا القبيل قبل الإصابة.

حماية النظام الخاص بك

قد يبدو Snatch ransomware مهددًا للحياة تقريبًا في كيفية عمله لشل الملفات والأجهزة. قبل التفكير في دفع هذه الفدية ، جرب الخطوات المذكورة أعلاه لإزالة التهديد واتخاذ تدابير وقائية دائمًا لضمان عدم ظهور هذه التهديدات على جهاز الكمبيوتر أو الشبكة.

‫0 تعليق

اترك تعليقاً