برامج الفدية “Big Head” تقوم بتزوير تحديثات الويندوز Windows Update لخداع المستخدمين
لا تزال برامج الفدية احد أخطر انواع الهجمات الالكترونية التي يمكن ان يتعرض لها مستخدمي اجهزة الكمبيوتر حول العالم فهي هجمات مزعجة تجعلك لا تستطيع التحكم بجهازك ويتم تشفير ملفاتك بشكل كامل او جزئي من قبل برامج ضارة ، بالتأكيد دائماً مانؤكد ان الوقاية خير من العلاج وان تتجنب النقر علي اي روابط مشبوهة وغير معروفة او الدخول الي اي مواقع غير موثوقة ، ولكن يمكن ان يتم الايقاع بك بطريقة اخري من خلال خدمات شهيرة في الويندوز مثل تحديث الويندوز .
شاهد ايضاً :
– فيروسات الفدية Ransomware كيفية الوقاية منها وإزالتها إذا اصيب جهازك بها
اكتشف باحثو الأمن في FortiGuard Labs نوعًا جديدًا من برامج الفدية التي تستهدف مستخدمي الكمبيوتر المنزلي. يقوم برنامج الفدية ، الذي يطلق عليه اسم Big Head ، بتزوير تحديثات الويندوز Windows Update للإيقاع بالمستخدمين لتجنب الكشف عنه.
لاحظ الباحثون أن هناك سلالتين رئيسيتين من رانسومواري برامج الفدية ومتغيرات متعددة. الهجوم يستهدف مستخدمي الويندوز. عند الإصابة بنجاح ، سيقوم برنامج الفدية بتشفير الملفات على الأنظمة التي تم اختراقها للمطالبة بفدية مقابل فك تشفير الملفات.
متغير واحد على الأقل من Big Head يتنكر على أنه تحديث لنظام ويندوز Microsoft Windows. بمجرد تنفيذه ، فإنه يعرض شاشة “تكوين تحديثات الويندوز الهامة” للمستخدم الذي يزيف الخدمة القانونية من ميكروسوفت بشكل مطابق.
يلاحظ Fortinet أن شاشة التحديث المزيفة هذه تستمر لمدة 30 ثانية تقريبًا وتصل إلى 100٪ في هذه العملية. يتم إغلاقه تلقائيًا بعد أن يقوم برنامج الفدية بتشفير عدد كبير من الملفات على نظام المستخدم. يتم تعديل أسماء الملفات بشكل عشوائي حسب الباحثين.
يتم فتح مذكرة الفدية ، والتي تبدأ بـ README_ متبوعة برقم عشوائي مكون من سبعة أرقام. يطلب منشئ برامج الفدية من المستخدم إنشاء اتصال عبر البريد الإلكتروني أو Telegram لدفع فدية واستعادة الوصول إلى الملفات المشفرة باستخدام إرشادات فك تشفير الملفات.
شاهد أيضاً :
– برنامج مجاني من Bitdefender لفك تشفير ملفات فيروسات الفدية REvil Ransomware
يقدم الباحثون في Trend Micro تفاصيل فنية إضافية حول عائلة فيروسات الفدية الجديدة Big Head ransomware. يسقط برنامج الفدية ثلاثة ملفات قابلة للتنفيذ على الجهاز المهاجم ، 1.exe ، و archive.exe و Xarch.exe ، والتي تخدم أغراضًا مختلفة.
1.يُنشئ 1.exe ، على سبيل المثال ، مفتاح تسجيل التشغيل التلقائي بحيث يتم تنفيذه عند كل بدء تشغيل للنظام. يقوم بإخفاء نافذة وحدة التحكم علاوة على ذلك ويقوم بإنشاء نسخة من نفسه ، والتي تحفظها كـ discord.exe في المجلد <٪ localappdata٪>.
سيقوم الملف أيضًا بإسقاط ملاحظة فيروس الفدية التي تظهر علي شاشتك بعد ان يتم اختراقك ، وقد يغير خلفية الشاشة على جهاز الضحية وقد يفتح حساب تليجرام Telegram الخاص بالمشغل في المتصفح .
أشارت Trend Micro إلى أن البرامج الضارة تنهي عددًا من العمليات عند التنفيذ ، بما في ذلك إدارة المهام والمزيد.
مثل العديد من سلالات برامج الفدية الأخرى ، يستهدف فيروس Big Head مناطق محددة فقط. وتشمل هذه ألمانيا والولايات المتحدة وإيطاليا وفرنسا وبلجيكا وإسبانيا والسويد وتركيا وعشرات الدول الأخرى.
ليس من الواضح في هذه المرحلة كيف يتم توزيع برنامج الفدية. وجد الباحثون متغيرًا واحدًا بأيقونة وورد ، والتي يمكن أن تشير إلى التوزيع كتطبيق مزيف.
التركيز الواضح لبرامج الفدية على المستخدمين المنزليين بمعني المستخدم العادي وليس المؤسسات والشركات . يعد استخدام شاشة تحديثات الويندوز Windows Update المزيفة مؤشرًا واضحًا على ذلك.
لاحظ الباحثون أن فيروس Big Head ليست منتشرة على نطاق واسع في هذه المرحلة. تعمل بعض حلول مكافحة الفيروسات والأمان على حماية الأجهزة من هجمات Big Head بالفعل. تقوم تطبيقات Fortinet و Trend Micro الأمنية باكتشاف ومنع برامج الفدية على أجهزة المستخدم بالفعل.
