أدوات للتخلص من نوعين من أنواع برمجيات تشفير الملفات مقابل الفدية

أصدرت مجموعة من الباحثين العاملين في مجال الأمن هذا الاسبوع أدوات يمكنها أن تساعد المستخدمين على استعادة ملفاتهم المشفرة من قبل نوعين من انواع البرمجيات التي تقوم بتشفير الملفات للحصول على فدية مالية هما Bart وPowerWare.

وتعرف برمجية PowerWare ايضا باسم PoshCoder، وظهرت لأول مرة في شهر مارس/آذار، عندما تم استخدامها في هجمات ضد مؤسسات الرعاية الصحية،

وتعمل برمجية PowerWare ضمن بيئة ويندوز باورشيل Windows PowerShell، وهي بيئة برمجية موجودة ضمن أنظمة مايكروسوفت مصممة لأتمتة النظام وإدارة تطبيق المهام.

وقد وجد الباحثون العاملون في شركة بالو ألتو الأمنية مؤخرا نسخة جديدة من هذه البرمجية تقوم بتقليد طريقة عمل برمجية الفدية المتطورة والمنتشرة على نطاق واسع المسماة Locky.

وتستخدم البرمجية المكتشفة حديثا اللاحقة .locky لإظهار الملفات المشفرة، وتقوم بعرض نفس الملاحظة المستخدمة من قبل برمجية الفدية Locky الحقيقية.

ويعمل مصممو برمجية PowerWare/PoshCoder على تقليد برمجيات التشفير مقابل الفدية المشهورة، حيث عمدوا سابقا إلى تقليد برمجيات CryptoWall وTeslaCrypt، وذلك في محاولة منهم لإقناع المستخدمين بعدم وجود فرصة لاستعادة الملفات بدون القيام بعملية الدفع.

وتستخدم برمجية PowerWare خوارزمية التشفير AES-128، مما سمح للباحثين في شركة بالو ألتو بإمكانية خلق أداة لفك التشفير يمكنها العمل مع هذه النوعية من البرمجيات.

كما تمكنت مجموعة من الباحثين العاملين في شركة مكافحة الفيروسات AVG هذا الاسبوع من القضاء على برمجية فدية تدعى “بارت” Bart، والتي ظهرت للمرة الأولى في شهر يونيو/حزيران.

وتعمل برمجية بارت على تشفير الملفات وقفلها ضمن ملف مضغوط من نوع zip محمي بكلمة مرور، وذلك بدلا من استخدام خوارزميات تشفير متطورة، مما سمح للباحثين بإصدار أداة تقوم باكتشاف كلمة المرور عبر طريقة brute-force.

ويمكن بسهولة تمييز الملفات المشفرة بواسطة برمجية بارت، حيث تعمد البرمجية إلى استخدام اللاحقة .bart.zip مع إظهار اسماء الملفات الأصلية ولاحقتهم مثل قيامها بتشفير ملف document.docx بحيث يصبح اسمه document.docx.bart.zip.