تحذير من فيروسات فدية وتشفير جديدة تسمى AvosLocker

تحذير من فيروسات فدية وتشفير جديدة تسمى AvosLocker ، اكتشف Sophos باعتباره رائدًا عالميًا في مجال الأمن السيبراني فيروسات فدية وتشفير جديدة تسمى AvosLocker ، حيث في هذا الهجوم يستخدم المتسللون الوضع الآمن Safe Mode لـ Windows وأداة الإدارة عن بُعد AnyDesk remote administration tool.
الصورة الرئيسية
حيث يعد Windows Safe Mode طريقة شائعة جدًا لتشغيل جهاز كمبيوتر دون استخدام كلمة مرور ، وفي الوضع الآمن لا يمكننا الوصول إلى كل شيء ولكن اكتشف المتسللون أنه يمكنهم الوصول إلى AnyDesk ، ومع AnyDesk حصل المتسللون على وصول مستمر عن بعد لأجهزة الكمبيوتر ، وكشف Sophos أن مهاجمي AvosLocker قاموا بتثبيت فيروس AnyDesk لذلك فهو يعمل في الوضع الآمن ، لقد قاموا بتعطيل خدمات الأمان التي تعمل في الوضع الآمن ثم قاموا بتشغيل برنامج الفدية في الوضع الآمن.
 
 وفي بيان قال مدير الاستجابة للحوادث في سوفوس Sophos بيتر ماكنزي Peter Mackenzie : اكتشف Sophos أن مهاجمي AvosLocker قاموا بتثبيت AnyDesk لذلك فهو يعمل في الوضع الآمن وحاولوا تعطيل مكونات حلول الأمان التي تعمل في الوضع الآمن ثم قاموا بتشغيل برنامج الفدية في الوضع الآمن ، ويؤدي هذا إلى إنشاء سيناريو يتمتع فيه المهاجمون بالتحكم الكامل عن بُعد في كل جهاز قاموا بإعداده باستخدام AnyDesk بينما يُحتمل أن تكون المؤسسة المستهدفة محجوبة من الوصول عن بُعد إلى أجهزة الكمبيوتر هذه ، ولم تر Sophos مطلقًا بعض هذه المكونات المستخدمة مع برامج الفدية وبالتأكيد ليست معًا ".

وتم تأسيس AvosLocker لأول مرة في يونيو 2021 وهي خدمة فدية جديدة ، وشهد فريق الاستجابة السريعة من Sophos هجمات AvosLocker في أمريكا والشرق الأوسط ومناطق آسيا والمحيط الهادئ التي تستهدف أنظمة Windows و Linux ، حيث وجد الباحثون الذين قاموا بالتحقيق في برنامج الفدية أن المهاجمين يستخدمون PDQ Deploy على الأجهزة المستهدفة لتشغيل وتنفيذ البرنامج النصي الدفعي المسمى "love.bat" أو "update.bat" أو "lock.bat" ، ويوفر البرنامج النصي سلسلة من الأوامر المتتالية التي تجعل الأجهزة جاهزة لتحرير برامج الفدية وإعادة التشغيل في الوضع الآمن.

وقال Peter Mackenzie : "إن التقنيات التي تستخدمها AvosLocker بسيطة ولكنها ذكية جدًا ، إنهم يضمنون أن برنامج الفدية لديه أفضل فرصة للتشغيل في الوضع الآمن ويسمح للمهاجمين بالاحتفاظ بالوصول عن بُعد إلى الأجهزة طوال فترة الهجوم " ، ويستغرق تسلسل الأوامر حوالي خمس ثوانٍ للتنفيذ ويعطل خدمات تحديث Windows و Windows Defender ، ثم يقوم بتعطيل مكونات حلول برامج الأمان التي تعمل في الوضع الآمن ، قم بتثبيت أداة AnyDesk القانونية وقم بتعيينها للتشغيل في الوضع الآمن أثناء الاتصال بالشبكة ، ويتأكد المهاجمون من الاستمرار في تشغيل الأمر والتحكم فيه ، ثم يقومون بإعداد حساب جديد بتفاصيل تسجيل الدخول التلقائي والاتصال بوحدات التحكم في المجال الهدف للوصول عن بُعد وتشغيل برنامج الفدية المسمى update.exe.

 الطريقة الأفضل لاستعادة الملفات المصابة ببرمجية دفع الفدية Ransomware الخبيثة

 

كان معكم المدون سامح الخرّاز ، ويمكنك الإنضمام إلى جروب الكمبيوتر ومتابعتي على يوتيوب ، والإنضمام إلى صفحات مشروح على الفيسبوك 1 و 2 ليصلك كل جديد.

أترك تعليقا

تفضّل بترك تعليق أو سؤال نحن في خدمتكم.

أحدث أقدم