Ransom32 هو اكتشاف جديد لبرامج الفدية العائلية قام به باحثون من شركة الأمن Emsisoft. تم وصفه بأنه الأول من نوعه الذي يستخدم JavaScript في كود المصدر الخاص به.
[dropcap] R [/ dropcap] ansom32 هو اكتشاف جديد لبرامج الفدية العائلية بواسطة باحثين من شركة الأمن Emsisoft. تم وصفه باعتباره الأول من نوعه الذي يستخدم JavaScript في كود المصدر الخاص به ، وتم ترميز طالب الفدية عبر إطار عمل NW.js ، المعروف سابقًا باسم Node-WebKit. يسمح NW.js للمطورين بإنشاء تطبيقات سطح المكتب لأنظمة Windows و Linux و Mac OS X باستخدام JavaScript. يعتمد على مشروع Node.js و Chromium ويستخدم إصدارًا خفيف الوزن من WebKit ، محرك العرض المستخدم في Chrome و Safari و Opera.
إذا كانت المتصفحات تحد من تفاعل كود JavaScript مع نظام التشغيل الأساسي ، فإن إحدى خصائص NW.js النظام الأساسي هو أنه يزيل تلك الحدود وبالتالي يمنح المطورين مزيدًا من التحكم والتفاعل مع التشغيل النظام. إذا كان التطبيق يحتوي على NW.js ، يلزم كتابته مرة واحدة ليتم استخدامه على الفور على أنظمة التشغيل Windows و Linux و Mac OS X ، في الوقت الحالي ، يبدو أن أجهزة الكمبيوتر الشخصية التي تعمل بنظام Windows فقط قد أصيبت ببرنامج الفدية. مثل العديد من التهديدات ، يتم توزيع Ransom32 بشكل عام عبر حملات البريد العشوائي.
لذلك يتم إرفاق الملف الضار برسائل البريد الإلكتروني التي تشير إلى الفواتير غير المدفوعة أو إخطارات التسليم وغيرها. تعمل البرامج الضارة كبرنامج Ransomware كخدمة (RAAS) ويتم توزيعها من خلال وسطاء يقوموا بالاشتراك على نظام أساسي يتم إدارته في شبكة Tor. تسمح هذه الخدمة لأي هواة بتوزيع التهديد بعد إعداد نسخته المخصصة من برامج الفدية الضارة.
اقرأ أيضا: كيفية اختراق شبكة Wifi على Android
كل ما تحتاجه للتسجيل وتصبح موزعًا هو توفير عنوان Bitcoin الذي سيتم دفع الأموال المتولدة منه. بعد كل دفعة يدفعها الضحية ، يتم تحويل الأموال إلى حساب مؤلفي البرامج الضارة. وبالتالي ، فإنهم يستردون عمولة بنسبة 25 ٪ قبل سداد باقي الأموال إلى الموزعين. عند التسجيل ، يصل الموزعون المستقبليون إلى صفحة الإدارة حيث يمكنهم إجراء بعض التكوينات. تقوم هذه الصفحة بتسجيل إحصائيات مختلفة مثل عدد الأشخاص الذين دفعوا بالفعل أو عدد الأنظمة التي أصيبت.
هناك ، يمكنهم تكوين البرامج الضارة (قفل الكمبيوتر تمامًا ، وانخفاض استخدام وحدة المعالجة المركزية ، وما إلى ذلك) ، ولكن أيضًا تعيين عدد عملات البيتكوين التي يتعين على الضحية دفعها. بمجرد الانتهاء من هذه المرحلة ، يمكنهم بعد ذلك تحميل برامج الفدية الخاصة بهم والتي يبلغ حجمها 22 ميجا بايت
إذا كان حجم البرنامج الضار بشكل عام لا يتجاوز 1 ميغا بايت ، فإن هذه الحالة غير العادية هنا لا تعني أن هذا من عمل أحد الهواة ، كما تقول شركة الأمن Fabian Wosar. لقد أشاد هذا بدلاً من ذلك بالتشفير الذي يستخدمه Ransom32 ، فهو يقارن تشفير التشفير الأصلي. إذا كان فابيان قادرًا على "كسر" العديد من عائلات برامج الفدية في الماضي ، فقد قال إن هذا البديل الجديد أصبح الآن غير قابل للفك. فيما يتعلق بحمولة برنامج الفدية ، فهو أرشيف WinRAR ذاتي الاستخراج يحتوي على ما يبدو على كل ما يتطلبه الأمر لمساعدة البرامج الضارة على اختراق جهاز الكمبيوتر الخاص بالمستخدم.
يحتوي الأرشيف على نسخة من اتفاقية ترخيص GPL ، ولكن أيضًا ملف "chrome.exe" هو في الواقع تطبيق NW.js معبأ. يحتوي هذا التطبيق على تعليمات برمجية ضارة والإطار اللازم لتشغيل البرامج الضارة. هذا يعني أن Ransom32 لا يعتمد على أي إطار عمل موجود على كمبيوتر المستخدم. من بين الملفات الأخرى ، يوجد في الأرشيف برنامج نصي صغير يقوم بتعريف وإزالة جميع الملفات والمجلدات في دليل معين. يتضمن ملف WinRAR أيضًا معلومات حول تكوين البرامج الضارة.
بمجرد تنفيذ Ransom32 ، فإنه يستخرج جميع الملفات الموجودة في مجلد الملفات المؤقتة وينشئ اختصارًا في مجلد بدء التشغيل الخاص بالمستخدم لضمان تشغيل البرامج الضارة في كل مرة. يمكن بعد ذلك البدء في تشفير ملفات المستخدم وطلب من الضحية دفع فدية في حدود خطر زيادة الفدية أو إتلاف مفتاح فك التشفير.