🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
رانسوم وير
mins read

ما هو برنامج Redeemer Ransomware وكيف ينتشر: تحليل فني

ما هو برنامج Redeemer Ransomware وكيف ينتشر: تحليل فني

September 2, 2022
Green Alert
Last Update posted on
August 21, 2025
ما وراء المراقبة: الحماية التنبؤية للمخاطر الرقمية باستخدام CloudSek

قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!

Schedule a Demo
Table of Contents
Author(s)
No items found.
  • المؤلف: ميهارديب سينغ ساوهني
  • المحرر: بينيلا سوزان جاكوب

تشير الأبحاث إلى أن هجوم Ransomware يحدث كل 11 ثانية تقريبًا مما يُترجم إلى ما يقرب من 3 ملايين هجوم على مدار العام. لم تعد هجمات برامج الفدية أحداثًا محجوزة. تتعرض الشركات لتهديد مستمر لإيراداتها وبياناتها وعلامتها التجارية وصورتها والإغلاق اللاحق للأعمال.

المخلص تم تحديد برامج الفدية في البداية في يونيو 2021، ومنذ ذلك الحين، تم إصدار أربعة إصدارات عامة (1.0 و 1.5 و 1.7 و 2.0). تحتوي هذه المقالة على التحليل الفني لبرنامج Redeemer ransomware وميزاته المختلفة.

تطور برنامج ريديمر رانسوم وير 2.0

ممثل التهديد، دماغ تعمل على منتدى الجرائم الإلكترونية المسمى فزع يعمل بنشاط على الترويج لبرنامج الفدية Redeemer. لقد بدأوا مؤخرًا العمل في منتدى Brikeed وأصدروا أحدث إصدار (الإصدار 2.0) على نفس المنوال.

خضع Redeemer لأربعة تغييرات في الإصدار منذ سبتمبر 2021. يتضمن الإصدار الأخير ميزات رسومية محسنة مثل واجهة إنشاء واجهة المستخدم الرسومية، وتغيير الرمز للملفات المشفرة، وقائمة التعليمات التفصيلية، وما إلى ذلك، ويدعي ممثل التهديد أيضًا أنه أضاف دعمًا لنظام التشغيل Windows 11 إلى جانب بعض التغييرات المشفرة على أحدث إصدار. تصف الصورة أدناه الميزات المضافة مع كل إصدار من برنامج Redeemer ransomware.

طريقة العمل

باستخدام أداة الإنشاء القابلة للتنفيذ، يقوم المهاجم بإنشاء برنامج فدية قابل للتنفيذ.يحدد المهاجم ملف مفتاح RSA الخاص وعنوان البريد الإلكتروني للاتصال ومبلغ XMR وخيار تعطيل «melt»، في حالة استخدام التشفير لتشفير برنامج الفدية. سيؤدي تمكين «الذوبان» إلى جعل برنامج الفدية القابل للتنفيذ يحذف نفسه وينتقل إلى دليل عشوائي على النظام، ويتم تنفيذه من هناك في حالة مخفية.باستخدام خيار إنشاء زوج المفاتيح، يتم إنشاء مفتاح RSA خاص يتم إرساله إلى مؤلف البرامج الضارة (Cerebrate) جنبًا إلى جنب مع المفتاح العام المشفر الذي تم إنشاؤه بواسطة برنامج الفدية القابل للتنفيذ. يتم استلام المفتاح العام من الضحية.لن يشارك مؤلف البرامج الضارة (Cerebrate) المفتاح الرئيسي إلا بعد تلقي 20٪ من مبلغ الفدية الذي تم جمعه. وبالتالي، لا يمكن للضحية فك تشفير ملفاتها إلا بعد أن يتم دفع 20٪ من مبلغ الفدية من قبل المهاجم التابع.

قراءة ذات صلة التحليل الفني لمجموعة Pandora Ransomware الناشئة والمتطورة

تفاصيل برنامج الفدية

  • تمت كتابة برنامج الفدية هذا بلغة C ++ ويأتي مع أداة إنشاء وفك تشفير قابلة للتنفيذ.
  • يستخدم خوارزميات التشفير التالية:
    • يتم استخدام AES256 لتشفير الملفات على كمبيوتر الضحية
    • يتم استخدام RSA لتشفير المفتاح
  • تقوم برامج الفدية باستنساخ نفسها باسم ملف قابل للتنفيذ في النظام (على سبيل المثال. conhost.exe)، ويقوم بإنشاء مجلد مخفي لنفسه في دليل Windows.
  • ينهي جميع العمليات الجارية والملفات التنفيذية التي قد تشكل تهديدًا لروتين التشفير.
  • يحذف جميع النسخ الاحتياطية من الملفات ويمسح جميع الأحداث وكذلك سجلات التطبيقات باستخدام ويتوتيل، vssadmin، و مشرف الريشة.
  • يستخدم تعدد مؤشرات الترابط من أجل تعداد نظام الملفات وتشفير الملفات. يقوم بإنشاء 35 موضوعًا مختلفًا يشير إلى نفس روتين التشفير.
  • يقوم أيضًا بتعديل قيمة سجل Winlogon وتعيينها لعرض مذكرة الفدية. وبالتالي، عندما يقوم المستخدم بتسجيل الدخول إلى الجهاز، يتم عرض مذكرة الفدية.

التحليل الفني

توقيع رانسوم وير

يوضح لنا توقيع هذا الملف التنفيذي أنه مكتوب بلغة C ++. عند إجراء تحليل السلسلة، تمت ملاحظة العديد من سلاسل Base64 المشفرة، والتي يتم فك تشفير بعضها إلى المفتاح العام المستخدم للتشفير وأوامر powershell. عند فك تشفير إحدى هذه السلاسل، تم الحصول على الترجمة التالية: «Redeemer Ransomware - بياناتك مشفرة».

Signature of the executable file indicating that it is written in C++
توقيع الملف القابل للتنفيذ الذي يشير إلى أنه مكتوب بلغة C ++
An encoded ransomware string
سلسلة برامج الفدية المشفرة

المرحلة الأولى - عمليات ما قبل التشفير

ابتكار موتكس

عند التنفيذ، يخفي Redeemer أولاً نافذة وحدة التحكم الخاصة به باستخدام مكالمة إلى عرض النافذة واجهة برمجة تطبيقات ويندوز. ثم يقوم بإنشاء Mutex، يسمى ريدي إيرموتكس، من أجل التأكد من أن مثيلات متعددة من برامج الفدية لا تعمل على نفس النظام.

Code for hiding the process window and creation of the Mutex
رمز لإخفاء نافذة العملية وإنشاء Mutex

ترميز السلسلة

يتم بعد ذلك تحميل مفتاح RSA العام ومبلغ الفدية ومعرف البريد الإلكتروني لجهة الاتصال كقيم Base64 في الذاكرة وفك تشفيرها لمزيد من الاستخدام. يستخدم برنامج الفدية هذا Base64 بشكل كبير لأغراض ترميز السلسلة.

Code for loading and decoding Base64 values, and storing them for later use
رمز لتحميل وفك تشفير قيم Base64 وتخزينها لاستخدامها لاحقًا

المرحلة الثانية - التحضير للتشفير

يتم تحديد المرحلة الثانية من برنامج الفدية من خلال نقل التحكم إلى قسم منطقي محدد يتم التحكم فيه من خلال قيمة عدد الحجج. يتم ذلك عن طريق نقل نفسها تحت اسم مختلف إلى دليل عالمي قابل للكتابة كما هو موضح في الصورة أدناه.

The list of random executable and directory names
قائمة أسماء الملفات التنفيذية والدلائل العشوائية

تم إنشاء مثيل جديد يقوم بالتشفير. سيتم اختيار اسم العملية التي تم إنتاجها حديثًا بشكل عشوائي من القائمة الموضحة في الصورة أعلاه. يتم تغطية تفاصيل العملية بالكامل في القسم التالي:

  • يختار برنامج الفدية عشوائيًا الدليل والأسماء القابلة للتنفيذ باستخدام المنطق الموضح أدناه. يقوم أيضًا بتعيين سمات الدليل لتكون مخفية باستخدام تعيين سمات الملف واجهة برمجة تطبيقات ويندوز. في هذه الحالة، الدليل المحدد هو C:\Windows\SQL والاسم القابل للتنفيذ هو taskmgr.exe.
Logic for determining the file and folder name combination
منطق تحديد تركيبة اسم الملف والمجلد
  • الآن، يقوم برنامج الفدية بتنفيذ نسخته باستخدام شل تقوم بإعدام W واجهة برمجة تطبيقات Windows، مع أخذ المسار إلى exe القديم كحجة. يتم ذلك من أجل حذف نسخته القديمة والاستمرار في العمل كنظام محتال قابل للتنفيذ، والذي سيبدأ التشفير.
Executing the new executable while accepting the old one as an argument
تنفيذ الملف التنفيذي الجديد مع قبول القديم كوسيطة
  • لن يبدأ روتين تعداد الدليل والتشفير إلا بعد استيفاء شرط الوسيطة أعلاه. يتم تنفيذ التحقق من ذلك من خلال حساب عدد الوسيطات التي تم تمريرها إلى الملف التنفيذي.
Code for checking the arguments and deleting the original executable if criteria is met
رمز للتحقق من الحجج وحذف الملف التنفيذي الأصلي إذا تم استيفاء المعايير
  • ثم يقوم الملف التنفيذي الجديد بتشغيل أداة أحداث Windows (ويتوتيل) الأوامر باستخدام CMD من أجل مسح سجلات الأحداث المهمة. ال vssadmin و مشرف الريشة يتم استخدام الأوامر لحذف جميع النسخ الاحتياطية وكتالوجات النسخ الاحتياطي والنسخ الاحتياطية لحالة النظام من أجل جعل استعادة الملفات مستحيلة.
Commands executed to clear event logs and delete shadow copies
تم تنفيذ الأوامر لمسح سجلات الأحداث وحذف النسخ الاحتياطية
Commands used to terminate executable and services which might hinder encryption
الأوامر المستخدمة لإنهاء الملفات القابلة للتنفيذ والخدمات التي قد تعيق التشفير
  • يقوم برنامج الفدية أيضًا بتحرير البرنامج\\ ميكروسوفت\\ ويندوز NT\\ الإصدار الحالي\\ تسجيل الدخول<strong> مفتاح التسجيل، يعدل التسمية التوضيحية للإشعار القانوني و نص الإشعار القانوني  القيم، ويضعها في مذكرة الفدية. وبالتالي، عندما يقوم المستخدم بتسجيل الدخول، يتم عرض مذكرة الفدية.
  • تقوم برامج الفدية أيضًا بإنشاء قائمة استثناءات بحيث لا تقوم بتشفير ما يلي:
    • أدلة النظام ونظام التشغيل
    • برنامج الفدية Redeemer (أي نفسه)
    • مذكرة الفدية
    • ملفات مشفرة بالفعل
Code highlighting the skipped extensions and files
رمز يبرز الامتدادات والملفات التي تم تخطيها

ذات صلة YourCyanide: تحقيق في برنامج الفدية «Frankenstein» الذي يرسل رسائل حب مليئة بالبرامج الضارة

التشفير

Redeemer قادر على تعداد وتشفير كل من الملفات المحلية ومحركات الأقراص المتصلة بالشبكة.

The encryption loop
حلقة تشفير برامج الفدية

يقوم بتعداد محركات الأقراص المحلية باستخدام ما يلي احصل على محركات أقراص منطقية واجهات برمجة تطبيقات Windows:

  • بالنسبة للملفات المحلية، فإنه يستخدم مسار مجلد SHGET
  • بالنسبة لأصول الشبكة، فإنها تستخدم مورد WNetenum.

يقوم بتنفيذ هذه العمليات باستخدام حلقة مع ابحث عن الملف الأول و ابحث عن الملف التالي.

Enumeration of local and network files and folders
تعداد الملفات والمجلدات المحلية وملفات الشبكة

وتجدر الإشارة إلى أن برنامج الفدية هذا يستخدم تعدد مؤشرات الترابط للتشفير، مما يجعله فعالاً من حيث استخدام وحدة المعالجة المركزية. يقوم بإنشاء 35 موضوعًا مختلفًا، يشير كل منها إلى روتين التشفير.

Screenshot of the threads created by Redeemer
لقطة شاشة للخيوط التي تم إنشاؤها بواسطة Redeemer

يقوم بتهيئة مذكرة الفدية في Base64 ويكتب القيمة التي تم فك تشفيرها إلى ملف يسمى اقرأ ملف Me.TXT. يتم حفظ الملفات المشفرة باستخدام . استبدل تمديد.

Screenshot of encrypted file names
لقطة شاشة لأسماء الملفات المشفرة

مجموعة رانسوم

  • عند النقر فوق ملف مشفر من قبل المستخدم/الضحية، يتم عرض الرسالة التالية.
Screenshot of the message displayed upon opening an encrypted file
لقطة شاشة للرسالة المعروضة عند فتح ملف مشفر
  • يتم عرض ملف ReadMe.TXT الذي يحتوي على مذكرة الفدية في الصورة أدناه.
Screenshot of the ransom note (Read Me.TXT)
لقطة شاشة لمذكرة الفدية (اقرأ Me.TXT)
  • لفك تشفير ملفاتهم، يُطلب من الضحايا دفع مبلغ الفدية المطلوب في Monero.
  • بمجرد التحقق من دفع الفدية، تتلقى الضحية أداة فك التشفير والمفتاح الذي يسمح لها باستعادة ملفاتها.

اقرأ أيضًا تحليل وإسناد برنامج الفدية Eternity: الجدول الزمني وظهور مجموعة Eternity

قائمة الملفات التنفيذية والخدمات التي تم إنهاؤها بواسطة برنامج الفدية

الملفات التنفيذية التي سيتم إنهاؤها 1cv4.exe infoPath.exeocautoupds.exeSteam.exe1cv5.exe هو qlplus svc.exeocomm.exeSynctime.exe1cv8.exemtray.exeOcsd.exeتكوين الطيور. exe1cv7.exeOngode.exe ملاحظة واحدة. exe1cv8.exeaccess.exe برنامج eagntsvc.exemsftesql.exeoutlook.exetunderbird.execntmorg.exepcntmon.exetmlisten.execode. exePostgres.exeVisio.exebeng50.exemspub.exePowerPNT.exe ESQBCoreservice.exeWordPad.exe Evenv.exemysqld-opt.exesqlagent.exexfssvccon.execsvc.exemysqld.execsqld.execl المتصفح ++. exesqlservr.exe تكوين فايرفوكس. exentrtscan.exesqlwriter.exe

الخدمات التي سيتم إنهاؤها خدمة أمان ARSMEP وكيل نقاط MSSQL $tpsmssqlserver ACRSCH25VCE خدمة تحديث CMS Sql$TPSQL$TPA خادم Mssql مساعد أكرونيسيس Xrvmsqlsveeeemsqlserver eamssqlsveeemsqlserver eamssqlsveeemsqlserver eamssqlveeemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlsveeخدمة العملاء بورصة ام اس كيو ال ام اس كيو ال 2012 مكافي خدمة المحرك النسخ الاحتياطي الوكيل التنفيذي مسرّع مسرّع التبادلات VC11710MsqlfdLauncher mCafeFramework النسخ الاحتياطي الوكيل التنفيذي المتصفح sgshkernelmschanger rsmssqlfd$ Profx المشاركة McShield النسخ الاحتياطي الجهاز التنفيذي خدمة وسائل الإعلام_SchedulerMsaPssql_2008 مشغل MSSQLFD$SBS مراقبة مدير المهام النسخ الاحتياطي محرك الوظيفة التنفيذي الثاني هو المسؤول MsLapsSystem_bgcmssqlfd قاذفة $SharePoint خدمة إدارة التنفيذ النسخ الاحتياطي لخادم MSDTS IMP4SVCMSOLAP $tpsmssqlfdمشغل $SQL_2008MSDTS خادم 100 النسخ الاحتياطي Execrpخدمة الكمبيوتر KavesMslap $tpsamssqlfd$ System_bgcmsdts خادم 110 النسخ الاحتياطي المدير التنفيذي مقابل مزود الخدمة kavfsgtmsql$bkupexcmssqlfd مشغل $tpsmsqlfdcوكيل Msql57DC خدمة Msql $bkupExecmssqlfdمشغل $tpsMsql80 netمنشطات MTPSVCQL$ Sqlكاتبات Sql خدمة الصحة العميلة Oracle الخدمة الصحية ذاكرة التخزين المؤقت لعميل أوراكل 80 وكيل الوجبات الخفيفة $SQL_2008 خدمات النسخ الاحتياطي الآمن لـ Sqlsوكيل PDFFS خدمات Ql$bkupExecsqlagent $System_BGCSQLخدمة التصفية الآمنة OphosmCS عميل POP3SVCsqagent $Citrix_metaframe SQL Agent $tpsaFrame Sqlagent $tpsaFs خادم تقارير الخدمة RCSQL$ TPSA وكيل SQL$ECWDB2SQالوكيل $veeamSQL 2008r2sh يراقب خدمات SMC خادم تقرير خدمة حماية النظام Ophos $SQL_2008SQL وكلاء Sql%veamSql$veamSQL 2012 SMCINTSophos خادم تقرير خدمة التحكم على شبكة الإنترنت $System_BGCSQLممارسات العملاء MGTSQLالنسخ الاحتياطية خدمات SNTP تقرير خادم Stpsvc$tp وكيل SSQ$ متصفحات Prodsql وكلاء Sophos خادم تقرير استرداد النظام $tpsaMasqlagent $Profx Engagement Solerver وكلاء Sopho خدمة التحديث التلقائي TMCSFSAVadminservices Qlagent $sbs مراقبة SQL safeolr خدمة SophosClean خدمة TrueKeySaveخدمات وكلاء SQL مشاركة النقاط SQL القياس عن بعد Sophos خدمة التحكم في الجهاز برامج جدولة المفاتيح الحقيقية drsvcsqagent $sophos SQL عن بعد $ECWDB2 Sophos خدمة الماسح الضوئي للملفات مساعد خدمة المفتاح الحقيقي UI @DetectVeeamMountsvcekrnmozyprobackupswi_updateVeeamBackupCatalogDataServiceVeeamNFSSvckayfsslpmsftesql $prodswi_update_64 VeemaBackups Vcveeam Brokers Vcveamrests Vcklnagentntrtscants Ntrtscam الاستماع إلى VCveeam الكتالوجات VCveeam السحابات Vcmnsvcsvrwb محرك Vcz3svcms خدمة نشر wrsvcfmfeeam الاستضافة العامة إدارة المشاريع Vczoolz2 خدمة MfemMss فلتر واي فاي مقابل تكاملات HVCBEDBGMFEVTPSWI_SERVICE

مؤشرات التسوية (IOCs)

قابل للتنفيذDD11587 حقيبة E6E3C2AFB13329D326FB4E4E41 A6236702F498ACCB3401A596075Eتجزئات66A812F307E8 EF9BA0DADA6C30179 D279D 94CC 971 C1521 D1882D8FA3FE98

الملحق

Image of the Redeemer version changelog shared by the actor
صورة سجل التغيير لنسخة Redeemer التي شاركها الممثل
Screenshot of the ransom note displayed on startup
لقطة شاشة لمذكرة الفدية المعروضة عند بدء التشغيل
Screenshot of the Redeemer ransomware builder v1.7
لقطة شاشة لمنشئ برامج الفدية Redeemer v1.7
Screenshot of the Redeemer ransomware builder v2.0.
لقطة شاشة لمنشئ برامج الفدية Redeemer v2.0.

Author

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
Blog Image
رانسوم وير
May 22, 2023

التحليل الفني لبرنامج الفدية ألفاف/بلاك كات

تحليل فني شامل لبرنامج BlackCat ransomware، الذي تسبب في دمار المؤسسات في جميع أنحاء العالم. ALPHV، المعروفة أيضًا باسم BlackCat، هي عائلة برامج الفدية التي شوهدت لأول مرة في أواخر عام 2021 وتستهدف العديد من الشركات عبر الصناعات.

Blog Image
ذكاء البرامج الضارة
September 29, 2022

Technical Analysis of MedusaLocker Ransomware

Technical Analysis of MedusaLocker Ransomware

Blog Image
رانسوم وير
April 4, 2022

[Update]Detailed Analysis of LAPSUS$ Cybercriminal Group that has Compromised Nvidia, Microsoft, Okta, and Globant

[Update]Detailed Analysis of LAPSUS$ Cybercriminal Group that has Compromised Nvidia, Microsoft, Okta, and Globant

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
ذكاء البرامج الضارة

ما هو برنامج Redeemer Ransomware وكيف ينتشر: تحليل فني

ما هو برنامج Redeemer Ransomware وكيف ينتشر: تحليل فني
September 2, 2022
min
Table of Content
Example H2
  • المؤلف: ميهارديب سينغ ساوهني
  • المحرر: بينيلا سوزان جاكوب

تشير الأبحاث إلى أن هجوم Ransomware يحدث كل 11 ثانية تقريبًا مما يُترجم إلى ما يقرب من 3 ملايين هجوم على مدار العام. لم تعد هجمات برامج الفدية أحداثًا محجوزة. تتعرض الشركات لتهديد مستمر لإيراداتها وبياناتها وعلامتها التجارية وصورتها والإغلاق اللاحق للأعمال.

المخلص تم تحديد برامج الفدية في البداية في يونيو 2021، ومنذ ذلك الحين، تم إصدار أربعة إصدارات عامة (1.0 و 1.5 و 1.7 و 2.0). تحتوي هذه المقالة على التحليل الفني لبرنامج Redeemer ransomware وميزاته المختلفة.

تطور برنامج ريديمر رانسوم وير 2.0

ممثل التهديد، دماغ تعمل على منتدى الجرائم الإلكترونية المسمى فزع يعمل بنشاط على الترويج لبرنامج الفدية Redeemer. لقد بدأوا مؤخرًا العمل في منتدى Brikeed وأصدروا أحدث إصدار (الإصدار 2.0) على نفس المنوال.

خضع Redeemer لأربعة تغييرات في الإصدار منذ سبتمبر 2021. يتضمن الإصدار الأخير ميزات رسومية محسنة مثل واجهة إنشاء واجهة المستخدم الرسومية، وتغيير الرمز للملفات المشفرة، وقائمة التعليمات التفصيلية، وما إلى ذلك، ويدعي ممثل التهديد أيضًا أنه أضاف دعمًا لنظام التشغيل Windows 11 إلى جانب بعض التغييرات المشفرة على أحدث إصدار. تصف الصورة أدناه الميزات المضافة مع كل إصدار من برنامج Redeemer ransomware.

طريقة العمل

باستخدام أداة الإنشاء القابلة للتنفيذ، يقوم المهاجم بإنشاء برنامج فدية قابل للتنفيذ.يحدد المهاجم ملف مفتاح RSA الخاص وعنوان البريد الإلكتروني للاتصال ومبلغ XMR وخيار تعطيل «melt»، في حالة استخدام التشفير لتشفير برنامج الفدية. سيؤدي تمكين «الذوبان» إلى جعل برنامج الفدية القابل للتنفيذ يحذف نفسه وينتقل إلى دليل عشوائي على النظام، ويتم تنفيذه من هناك في حالة مخفية.باستخدام خيار إنشاء زوج المفاتيح، يتم إنشاء مفتاح RSA خاص يتم إرساله إلى مؤلف البرامج الضارة (Cerebrate) جنبًا إلى جنب مع المفتاح العام المشفر الذي تم إنشاؤه بواسطة برنامج الفدية القابل للتنفيذ. يتم استلام المفتاح العام من الضحية.لن يشارك مؤلف البرامج الضارة (Cerebrate) المفتاح الرئيسي إلا بعد تلقي 20٪ من مبلغ الفدية الذي تم جمعه. وبالتالي، لا يمكن للضحية فك تشفير ملفاتها إلا بعد أن يتم دفع 20٪ من مبلغ الفدية من قبل المهاجم التابع.

قراءة ذات صلة التحليل الفني لمجموعة Pandora Ransomware الناشئة والمتطورة

تفاصيل برنامج الفدية

  • تمت كتابة برنامج الفدية هذا بلغة C ++ ويأتي مع أداة إنشاء وفك تشفير قابلة للتنفيذ.
  • يستخدم خوارزميات التشفير التالية:
    • يتم استخدام AES256 لتشفير الملفات على كمبيوتر الضحية
    • يتم استخدام RSA لتشفير المفتاح
  • تقوم برامج الفدية باستنساخ نفسها باسم ملف قابل للتنفيذ في النظام (على سبيل المثال. conhost.exe)، ويقوم بإنشاء مجلد مخفي لنفسه في دليل Windows.
  • ينهي جميع العمليات الجارية والملفات التنفيذية التي قد تشكل تهديدًا لروتين التشفير.
  • يحذف جميع النسخ الاحتياطية من الملفات ويمسح جميع الأحداث وكذلك سجلات التطبيقات باستخدام ويتوتيل، vssadmin، و مشرف الريشة.
  • يستخدم تعدد مؤشرات الترابط من أجل تعداد نظام الملفات وتشفير الملفات. يقوم بإنشاء 35 موضوعًا مختلفًا يشير إلى نفس روتين التشفير.
  • يقوم أيضًا بتعديل قيمة سجل Winlogon وتعيينها لعرض مذكرة الفدية. وبالتالي، عندما يقوم المستخدم بتسجيل الدخول إلى الجهاز، يتم عرض مذكرة الفدية.

التحليل الفني

توقيع رانسوم وير

يوضح لنا توقيع هذا الملف التنفيذي أنه مكتوب بلغة C ++. عند إجراء تحليل السلسلة، تمت ملاحظة العديد من سلاسل Base64 المشفرة، والتي يتم فك تشفير بعضها إلى المفتاح العام المستخدم للتشفير وأوامر powershell. عند فك تشفير إحدى هذه السلاسل، تم الحصول على الترجمة التالية: «Redeemer Ransomware - بياناتك مشفرة».

Signature of the executable file indicating that it is written in C++
توقيع الملف القابل للتنفيذ الذي يشير إلى أنه مكتوب بلغة C ++
An encoded ransomware string
سلسلة برامج الفدية المشفرة

المرحلة الأولى - عمليات ما قبل التشفير

ابتكار موتكس

عند التنفيذ، يخفي Redeemer أولاً نافذة وحدة التحكم الخاصة به باستخدام مكالمة إلى عرض النافذة واجهة برمجة تطبيقات ويندوز. ثم يقوم بإنشاء Mutex، يسمى ريدي إيرموتكس، من أجل التأكد من أن مثيلات متعددة من برامج الفدية لا تعمل على نفس النظام.

Code for hiding the process window and creation of the Mutex
رمز لإخفاء نافذة العملية وإنشاء Mutex

ترميز السلسلة

يتم بعد ذلك تحميل مفتاح RSA العام ومبلغ الفدية ومعرف البريد الإلكتروني لجهة الاتصال كقيم Base64 في الذاكرة وفك تشفيرها لمزيد من الاستخدام. يستخدم برنامج الفدية هذا Base64 بشكل كبير لأغراض ترميز السلسلة.

Code for loading and decoding Base64 values, and storing them for later use
رمز لتحميل وفك تشفير قيم Base64 وتخزينها لاستخدامها لاحقًا

المرحلة الثانية - التحضير للتشفير

يتم تحديد المرحلة الثانية من برنامج الفدية من خلال نقل التحكم إلى قسم منطقي محدد يتم التحكم فيه من خلال قيمة عدد الحجج. يتم ذلك عن طريق نقل نفسها تحت اسم مختلف إلى دليل عالمي قابل للكتابة كما هو موضح في الصورة أدناه.

The list of random executable and directory names
قائمة أسماء الملفات التنفيذية والدلائل العشوائية

تم إنشاء مثيل جديد يقوم بالتشفير. سيتم اختيار اسم العملية التي تم إنتاجها حديثًا بشكل عشوائي من القائمة الموضحة في الصورة أعلاه. يتم تغطية تفاصيل العملية بالكامل في القسم التالي:

  • يختار برنامج الفدية عشوائيًا الدليل والأسماء القابلة للتنفيذ باستخدام المنطق الموضح أدناه. يقوم أيضًا بتعيين سمات الدليل لتكون مخفية باستخدام تعيين سمات الملف واجهة برمجة تطبيقات ويندوز. في هذه الحالة، الدليل المحدد هو C:\Windows\SQL والاسم القابل للتنفيذ هو taskmgr.exe.
Logic for determining the file and folder name combination
منطق تحديد تركيبة اسم الملف والمجلد
  • الآن، يقوم برنامج الفدية بتنفيذ نسخته باستخدام شل تقوم بإعدام W واجهة برمجة تطبيقات Windows، مع أخذ المسار إلى exe القديم كحجة. يتم ذلك من أجل حذف نسخته القديمة والاستمرار في العمل كنظام محتال قابل للتنفيذ، والذي سيبدأ التشفير.
Executing the new executable while accepting the old one as an argument
تنفيذ الملف التنفيذي الجديد مع قبول القديم كوسيطة
  • لن يبدأ روتين تعداد الدليل والتشفير إلا بعد استيفاء شرط الوسيطة أعلاه. يتم تنفيذ التحقق من ذلك من خلال حساب عدد الوسيطات التي تم تمريرها إلى الملف التنفيذي.
Code for checking the arguments and deleting the original executable if criteria is met
رمز للتحقق من الحجج وحذف الملف التنفيذي الأصلي إذا تم استيفاء المعايير
  • ثم يقوم الملف التنفيذي الجديد بتشغيل أداة أحداث Windows (ويتوتيل) الأوامر باستخدام CMD من أجل مسح سجلات الأحداث المهمة. ال vssadmin و مشرف الريشة يتم استخدام الأوامر لحذف جميع النسخ الاحتياطية وكتالوجات النسخ الاحتياطي والنسخ الاحتياطية لحالة النظام من أجل جعل استعادة الملفات مستحيلة.
Commands executed to clear event logs and delete shadow copies
تم تنفيذ الأوامر لمسح سجلات الأحداث وحذف النسخ الاحتياطية
Commands used to terminate executable and services which might hinder encryption
الأوامر المستخدمة لإنهاء الملفات القابلة للتنفيذ والخدمات التي قد تعيق التشفير
  • يقوم برنامج الفدية أيضًا بتحرير البرنامج\\ ميكروسوفت\\ ويندوز NT\\ الإصدار الحالي\\ تسجيل الدخول<strong> مفتاح التسجيل، يعدل التسمية التوضيحية للإشعار القانوني و نص الإشعار القانوني  القيم، ويضعها في مذكرة الفدية. وبالتالي، عندما يقوم المستخدم بتسجيل الدخول، يتم عرض مذكرة الفدية.
  • تقوم برامج الفدية أيضًا بإنشاء قائمة استثناءات بحيث لا تقوم بتشفير ما يلي:
    • أدلة النظام ونظام التشغيل
    • برنامج الفدية Redeemer (أي نفسه)
    • مذكرة الفدية
    • ملفات مشفرة بالفعل
Code highlighting the skipped extensions and files
رمز يبرز الامتدادات والملفات التي تم تخطيها

ذات صلة YourCyanide: تحقيق في برنامج الفدية «Frankenstein» الذي يرسل رسائل حب مليئة بالبرامج الضارة

التشفير

Redeemer قادر على تعداد وتشفير كل من الملفات المحلية ومحركات الأقراص المتصلة بالشبكة.

The encryption loop
حلقة تشفير برامج الفدية

يقوم بتعداد محركات الأقراص المحلية باستخدام ما يلي احصل على محركات أقراص منطقية واجهات برمجة تطبيقات Windows:

  • بالنسبة للملفات المحلية، فإنه يستخدم مسار مجلد SHGET
  • بالنسبة لأصول الشبكة، فإنها تستخدم مورد WNetenum.

يقوم بتنفيذ هذه العمليات باستخدام حلقة مع ابحث عن الملف الأول و ابحث عن الملف التالي.

Enumeration of local and network files and folders
تعداد الملفات والمجلدات المحلية وملفات الشبكة

وتجدر الإشارة إلى أن برنامج الفدية هذا يستخدم تعدد مؤشرات الترابط للتشفير، مما يجعله فعالاً من حيث استخدام وحدة المعالجة المركزية. يقوم بإنشاء 35 موضوعًا مختلفًا، يشير كل منها إلى روتين التشفير.

Screenshot of the threads created by Redeemer
لقطة شاشة للخيوط التي تم إنشاؤها بواسطة Redeemer

يقوم بتهيئة مذكرة الفدية في Base64 ويكتب القيمة التي تم فك تشفيرها إلى ملف يسمى اقرأ ملف Me.TXT. يتم حفظ الملفات المشفرة باستخدام . استبدل تمديد.

Screenshot of encrypted file names
لقطة شاشة لأسماء الملفات المشفرة

مجموعة رانسوم

  • عند النقر فوق ملف مشفر من قبل المستخدم/الضحية، يتم عرض الرسالة التالية.
Screenshot of the message displayed upon opening an encrypted file
لقطة شاشة للرسالة المعروضة عند فتح ملف مشفر
  • يتم عرض ملف ReadMe.TXT الذي يحتوي على مذكرة الفدية في الصورة أدناه.
Screenshot of the ransom note (Read Me.TXT)
لقطة شاشة لمذكرة الفدية (اقرأ Me.TXT)
  • لفك تشفير ملفاتهم، يُطلب من الضحايا دفع مبلغ الفدية المطلوب في Monero.
  • بمجرد التحقق من دفع الفدية، تتلقى الضحية أداة فك التشفير والمفتاح الذي يسمح لها باستعادة ملفاتها.

اقرأ أيضًا تحليل وإسناد برنامج الفدية Eternity: الجدول الزمني وظهور مجموعة Eternity

قائمة الملفات التنفيذية والخدمات التي تم إنهاؤها بواسطة برنامج الفدية

الملفات التنفيذية التي سيتم إنهاؤها 1cv4.exe infoPath.exeocautoupds.exeSteam.exe1cv5.exe هو qlplus svc.exeocomm.exeSynctime.exe1cv8.exemtray.exeOcsd.exeتكوين الطيور. exe1cv7.exeOngode.exe ملاحظة واحدة. exe1cv8.exeaccess.exe برنامج eagntsvc.exemsftesql.exeoutlook.exetunderbird.execntmorg.exepcntmon.exetmlisten.execode. exePostgres.exeVisio.exebeng50.exemspub.exePowerPNT.exe ESQBCoreservice.exeWordPad.exe Evenv.exemysqld-opt.exesqlagent.exexfssvccon.execsvc.exemysqld.execsqld.execl المتصفح ++. exesqlservr.exe تكوين فايرفوكس. exentrtscan.exesqlwriter.exe

الخدمات التي سيتم إنهاؤها خدمة أمان ARSMEP وكيل نقاط MSSQL $tpsmssqlserver ACRSCH25VCE خدمة تحديث CMS Sql$TPSQL$TPA خادم Mssql مساعد أكرونيسيس Xrvmsqlsveeeemsqlserver eamssqlsveeemsqlserver eamssqlsveeemsqlserver eamssqlveeemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlserveemsqlsveeخدمة العملاء بورصة ام اس كيو ال ام اس كيو ال 2012 مكافي خدمة المحرك النسخ الاحتياطي الوكيل التنفيذي مسرّع مسرّع التبادلات VC11710MsqlfdLauncher mCafeFramework النسخ الاحتياطي الوكيل التنفيذي المتصفح sgshkernelmschanger rsmssqlfd$ Profx المشاركة McShield النسخ الاحتياطي الجهاز التنفيذي خدمة وسائل الإعلام_SchedulerMsaPssql_2008 مشغل MSSQLFD$SBS مراقبة مدير المهام النسخ الاحتياطي محرك الوظيفة التنفيذي الثاني هو المسؤول MsLapsSystem_bgcmssqlfd قاذفة $SharePoint خدمة إدارة التنفيذ النسخ الاحتياطي لخادم MSDTS IMP4SVCMSOLAP $tpsmssqlfdمشغل $SQL_2008MSDTS خادم 100 النسخ الاحتياطي Execrpخدمة الكمبيوتر KavesMslap $tpsamssqlfd$ System_bgcmsdts خادم 110 النسخ الاحتياطي المدير التنفيذي مقابل مزود الخدمة kavfsgtmsql$bkupexcmssqlfd مشغل $tpsmsqlfdcوكيل Msql57DC خدمة Msql $bkupExecmssqlfdمشغل $tpsMsql80 netمنشطات MTPSVCQL$ Sqlكاتبات Sql خدمة الصحة العميلة Oracle الخدمة الصحية ذاكرة التخزين المؤقت لعميل أوراكل 80 وكيل الوجبات الخفيفة $SQL_2008 خدمات النسخ الاحتياطي الآمن لـ Sqlsوكيل PDFFS خدمات Ql$bkupExecsqlagent $System_BGCSQLخدمة التصفية الآمنة OphosmCS عميل POP3SVCsqagent $Citrix_metaframe SQL Agent $tpsaFrame Sqlagent $tpsaFs خادم تقارير الخدمة RCSQL$ TPSA وكيل SQL$ECWDB2SQالوكيل $veeamSQL 2008r2sh يراقب خدمات SMC خادم تقرير خدمة حماية النظام Ophos $SQL_2008SQL وكلاء Sql%veamSql$veamSQL 2012 SMCINTSophos خادم تقرير خدمة التحكم على شبكة الإنترنت $System_BGCSQLممارسات العملاء MGTSQLالنسخ الاحتياطية خدمات SNTP تقرير خادم Stpsvc$tp وكيل SSQ$ متصفحات Prodsql وكلاء Sophos خادم تقرير استرداد النظام $tpsaMasqlagent $Profx Engagement Solerver وكلاء Sopho خدمة التحديث التلقائي TMCSFSAVadminservices Qlagent $sbs مراقبة SQL safeolr خدمة SophosClean خدمة TrueKeySaveخدمات وكلاء SQL مشاركة النقاط SQL القياس عن بعد Sophos خدمة التحكم في الجهاز برامج جدولة المفاتيح الحقيقية drsvcsqagent $sophos SQL عن بعد $ECWDB2 Sophos خدمة الماسح الضوئي للملفات مساعد خدمة المفتاح الحقيقي UI @DetectVeeamMountsvcekrnmozyprobackupswi_updateVeeamBackupCatalogDataServiceVeeamNFSSvckayfsslpmsftesql $prodswi_update_64 VeemaBackups Vcveeam Brokers Vcveamrests Vcklnagentntrtscants Ntrtscam الاستماع إلى VCveeam الكتالوجات VCveeam السحابات Vcmnsvcsvrwb محرك Vcz3svcms خدمة نشر wrsvcfmfeeam الاستضافة العامة إدارة المشاريع Vczoolz2 خدمة MfemMss فلتر واي فاي مقابل تكاملات HVCBEDBGMFEVTPSWI_SERVICE

مؤشرات التسوية (IOCs)

قابل للتنفيذDD11587 حقيبة E6E3C2AFB13329D326FB4E4E41 A6236702F498ACCB3401A596075Eتجزئات66A812F307E8 EF9BA0DADA6C30179 D279D 94CC 971 C1521 D1882D8FA3FE98

الملحق

Image of the Redeemer version changelog shared by the actor
صورة سجل التغيير لنسخة Redeemer التي شاركها الممثل
Screenshot of the ransom note displayed on startup
لقطة شاشة لمذكرة الفدية المعروضة عند بدء التشغيل
Screenshot of the Redeemer ransomware builder v1.7
لقطة شاشة لمنشئ برامج الفدية Redeemer v1.7
Screenshot of the Redeemer ransomware builder v2.0.
لقطة شاشة لمنشئ برامج الفدية Redeemer v2.0.

Related Blogs

ذكاء البرامج الضارة
March 25, 2025
6
min
منشئو YouTube تحت الحصار مرة أخرى: تقنية Clickflix تغذي هجمات البرامج الضارة
Read more
استخبارات الخصم
September 19, 2024
5
min
كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة
Read more
ذكاء البرامج الضارة
September 16, 2022
min
تحطيم الأرقام القياسية: عودة الراكون
Read more