كيفية التغلب على التشفير المتقطع

رئيس مجلس الإدارة:محمود علىرئيس التحرير: شريف سليمان
الفنانة الجزائرية مريم حليم تتهم مساعدتها عملتلي سحر لتعطيل اعمالي القبض على جزارين متهمين ببيع لحوم أحصنة الولايات المتحدة تعرض 10 ملايين دولار مكافئة مقابل معلومات عن “القطة السوداء” الصحة العالمية تطلق شبكة لرصد فيروسات كورونا الجديدة وزارة الزراعة تطرح اللحوم  بسعر 270 جنيه عبر منافذها وزير الخارحية يستقبل وزير الدولة البريطاني لشئون الشرق الاوسط وشمال أفريقيا محافظة الجيزة: قطع المياه 10 ساعات عن قرى ابو النمرس.. غدًا بروتوكول تعاون بين هيئة المستشفيات التعليمية والمؤسسة العلاجية لتبادل الخبرات وزير الشباب والرياضة يناقش أليات الحد من أمراض القلب والموت المفاجئ في الملاعب وزيرة التعاون الدولي تستقبل السفير الفرنسي الجديد بالقاهرة رئيس الوزراء يتابع موقف منظومة رد الأعباء التصديرية وزير التعليم العالي يستضيف السفير اليمني بالقاهرة لمناقشة عدة ملفات

تقارير وتحقيقات

كيفية التغلب على التشفير المتقطع

كيفية التغلب على التشفير المتقطع
كيفية التغلب على التشفير المتقطع

يناقش آري نوفيك ، محلل البرمجيات الخبيثة في CyberArk ، الاتجاه الجديد في عالم برامج الفدية والحل ، White Phoenix ، وهو أداة جديدة يمكنها إنقاذ بعض المحتوى من الأجزاء غير المشفرة من الملفات.

في الآونة الأخيرة ، ظهر اتجاه جديد في عالم برامج الفدية: التشفير المتقطع ، والتشفير الجزئي للملفات المستهدفة. اعتمدت العديد من مجموعات برامج الفدية ، مثل BlackCat و Play ، هذا النهج. ومع ذلك ، فإن التشفير المتقطع معيب.

يحدث التشفير المتقطع عندما تتجاهل برامج الفدية تشفير كل ملف بالكامل ، وبدلاً من ذلك تقوم فقط بتشفير جزء من كل ملف ، وغالبًا ما تكون كتل ذات حجم ثابت أو بداية الملفات المستهدفة فقط.

هناك العديد من الأسباب التي تجعل المهاجمين يختارون التشفير المتقطع بدلاً من التشفير الكامل. الأكثر وضوحا هي السرعة. نظرًا لأن الملفات يتم تشفيرها جزئيًا فقط ، فإن التشفير المتقطع يتطلب وقتًا أقل يتم إنفاقه على كل ملف ، مما يسمح لبرامج الفدية بالتأثير على المزيد من الملفات في وقت أقل. هذا يعني أنه حتى إذا تم إيقاف برنامج الفدية قبل التشغيل حتى الاكتمال ، فسيتم تشفير المزيد من الملفات ، مما يؤدي إلى إحداث تأثير أكبر ويزيد من احتمالية أن ينتهي الأمر ببرامج الفدية إلى إتلاف الملفات الهامة.

علاوة على ذلك ، يمكن أيضًا استخدام سرعة التشفير كنقطة بيع. يمكن لموفري برامج الفدية أن يدعيوا أن لديهم تشفيرًا أسرع لإقناع الشركات التابعة باختيارها بدلاً من مقدمي الخدمات الآخرين.

بالإضافة إلى ذلك ، تستفيد بعض حلول الأمان من مقدار المحتوى الذي تتم كتابته على القرص من خلال عملية في الاستدلال لتحديد برامج الفدية. مع التشفير المتقطع ، تتم كتابة محتوى أقل ، وبالتالي ، هناك فرصة أقل أن تؤدي برامج الفدية إلى مثل هذه الاكتشافات.

اعتمدت العديد من مجموعات برامج الفدية المختلفة تشفيرًا متقطعًا. إجمالاً ، يبلغ عدد ضحايا مجموعات برامج الفدية هذه المئات (بناءً على الأرقام الموجودة في مواقع التسريب الخاصة بهم). والضحايا ينتمون إلى منظمات مختلفة ، مثل البنوك والجامعات والمستشفيات.

يمكن القول إن مجموعة برامج الفدية الأكثر شهرة هي BlackCat (المعروف أيضًا باسم ALPHV). يعتبر الكثيرون فيروسات الفدية هذه الأكثر تطورًا في السوق. يمكن أن تترك جميع أوضاع التشفير التي تستخدمها BlackCat تقريبًا قدرًا كبيرًا من المحتوى في الملفات دون تأثر. على وجه التحديد ، في حالة ملفات PDF ، هذا يعني أن العديد من الكائنات ستبقى سليمة تمامًا. يمكننا استخراج هذه الكائنات التي لم يتم لمسها من ملفات PDF وحفظ أي بيانات قيمة نجدها.

لسوء الحظ ، تتطلب استعادة النص مزيدًا من العمل. في حالات أبسط ، يتم تقسيم النص إلى أجزاء داخل الدفق. في هذه الحالات ، نحتاج إلى تحديد جميع الأجزاء وتسلسل محتوى كل جزء معًا. الصورة التالية هي مثال لجزء من تدفق PDF يحتوي على النص "هذا مثال على كائن نص بسيط في ملف PDF." كما ترى ، يتم تقسيم النص إلى أجزاء مختلفة محاطة بأقواس:

تتيح المعرفة الكافية حول تنسيقات الملفات المختلفة إمكانية استرداد البيانات من المستندات المشفرة بشكل متقطع. للمساعدة في أتمتة العملية ، قمنا ببناء White Phoenix ، وهو برنامج نصي من Python يمكنه أتمتة عملية الاسترداد.

اخترنا كلمة "أبيض" لمقارنة العديد من مجموعات برامج الفدية التي تستخدم كلمة "أسود" في أسمائها ، مثل BlackCat و BlackByte و Lockbit Black. تم اختيار "Phoenix" لأننا نأمل أن تساعد هذه الأداة في "إحياء" الشركات (مثل طائر الفينيق) بعد تعرضها لهجوم برامج الفدية.

يدعم White Phoenix ملفات PDF ومستندات Microsoft Office وملفات zip. نحن نشجع المجتمع على المساهمة في هذه الأداة والمساعدة في تحسين الأمور بشكل أكبر.

غالبًا ما نفكر في الجهات المهددة التي تستغل الأخطاء في البرامج لأداء أنشطة ضارة ، مثل الحصول على وصول غير مصرح به إلى الشبكات أو تصعيد الامتيازات. لكن البرمجيات الخبيثة هي في نهاية المطاف جزء من البرنامج يكتبه الناس أيضًا. ومثل أخطاء البرامج التي يستغلها ممثلو التهديد ، يمكننا الاستفادة من الأخطاء الموجودة في البرامج الضارة.

يبدأ التشفير المتقطع في طمس الخط الفاصل بين تلف الملفات وجعل الملفات غير قابلة للاستخدام حقًا. يمكن القول إن فكرة التشفير المتقطع كانت خطأ. تمامًا مثل العديد من الأدوات للمساعدة في استعادة البيانات من الملفات التالفة ، يمكن أن تكون هناك أدوات لاستعادة البيانات من الملفات التي خضعت للتشفير المتقطع.