🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

نصائح إنتل لمكافحة خطر رانسوم وير

استشارة CloudSek للمعلومات المتعلقة بالتهديدات بشأن برنامج Conti Ransomware: يُدار بواسطة الإنسان ويحتمل أن يكون خليفة Ryuk، مع إمكانات متقدمة.
Updated on
August 19, 2025
Published on
September 23, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Conti عبارة عن برنامج فدية يديره الإنسان وتم اكتشافه لأول مرة في ديسمبر 2019، في هجمات غير ذات صلة. يعتبر الباحثون أن كونتي بديل لبرامج Ryuk المشفرة الضارة. يتميز البرنامج الضار الجديد بقدراته المتقدمة مثل التشفير السريع ومكافحة التحليل والتنفيذ المباشر.على غرار سلالات برامج الفدية الأخرى، تتمتع Conti بإمكانيات تعدد مؤشرات الترابط - 32 خيطًا متزامنًا لوحدة المعالجة المركزية للتشفير - مما يجعلها أسرع. ينتهك برنامج الفدية هذا وظيفة Windows Restart Manager عن طريق إغلاق التطبيقات التي تقفل ملفات معينة. يقوم Conti بعد ذلك بتعطيل خدمات Windows المسؤولة عن الأمان والنسخ الاحتياطي وقاعدة البيانات وحلول البريد الإلكتروني، مما يسمح لها بتشفير هذه الملفات. يسمح Conti أيضًا بتنفيذ حجج سطر الأوامر لتشفير محركات الأقراص الثابتة المحلية والبيانات ومشاركات الشبكة مباشرةً وحتى عناوين IP المحددة التي يختارها ممثلو التهديد. بمجرد أن يتولى برنامج الفدية المسؤولية، فإنه يحذف نسخ Windows Shadow Volume لمنع استرداد الملفات على النظام المحلي. يقوم Conti بإلحاق ملحق «.CONTI» بالملفات المشفرة ويترك ملاحظة فدية في كل مجلد. لتشفير البيانات، يستخدم برنامج الفدية مفتاح تشفير AES-256 لكل ملف، والذي يتم تشفيره مرة أخرى باستخدام مفتاح تشفير عام RSA-4096 مجمّع يكون فريدًا لكل ضحية.استهدفت شركة Conti ransomware الصناعات التالية:
  • المؤسسات المالية والتعليمية
  • المنظمات الخاصة
  • الوكالات الحكومية
  • الرعاية الصحية
  • أعمال المؤسسة
  • الشركات الصغيرة والمتوسطة
حتى أن شركة Conti قادرة على الوصول إلى البيانات من الأنظمة التي تم توصيله/تم توصيلها بالجهاز المخترق. يمكنه الوصول إلى الأجهزة البعيدة وتشفير الملفات الموجودة على هذه الأجهزة أيضًا.

إطار عمل ميتري AT&CK

T1204 - تنفيذ المستخدم: ارتباط ضار
يدفع الخصم المستخدمين إلى النقر على رابط ضار، مما يؤدي بدوره إلى استغلال الثغرات الأمنية في المتصفح/التطبيق. وبالمثل، تُستخدم الروابط التي تعيد التوجيه إلى الملفات الضارة القابلة للتنزيل أيضًا لنشر Conti.
T1486 - البيانات المشفرة للتأثير
يمكن للخصم أن يقطع إمكانية الوصول إلى نظام الضحية عن طريق تشفير بياناته. ويمكنهم محاولة جعل البيانات المخزنة غير قابلة للاختراق عن طريق تشفير الملفات أو البيانات على محركات الأقراص المحلية والبعيدة، عن طريق حجب الوصول إلى مفتاح فك التشفير.[/vc_wp_text] [vc_wp_text]

مؤشرات التسوية

أسماء الملفات المرتبطة
CONTI_README.txt
نص مذكرة الفدية

Conti ransomware note

عناوين البريد الإلكتروني المرتبطة
[email protected] [email protected]
تجزئات
  • 596 f1 fdb5a3 de40 cccfe1d8183692928b94b8afb [شا1]
  • B7b5e1253710 د8927 سي بي إي07د52د2د2إي10 [MD5]
  • الإمارات العربية المتحدة 876886 إف 19 بي إيه 384 إف 55778634A351 A1 دي 975414E83 إف 22 إف 6111 إي 3 إي 792 إف 706301 إف [شا256]
  • دا 778748 إي أف 41 أ 4482 دا 767 دي 90 إي 7أ أ 8 بيفا 41 إي [شا1]
  • 61653b3cd1a290 بي سي 531181 دي سي 807b20e 263599aa6aa6a2908 دي سي 259b867 ec98297 [شا256]
  • 67f9404 df22c6b1e82807f5c527805083f40f40b9dac6b27c2583d70de17390 [شا256]
  • 6b1b4bff59456 dfaa3307a20171fd7394 f49a5f6d1b3cd59392 ba41e4881878 [شا256]
  • 749c4c343978b9f9f236838034f868 dac937fd9af9af31a6e5d05b993a87d51276 [شا256]
  • 895007b045448 dfa8f6c9e22f76f416 f3f18095a063f5e73a4137bcc0dc0dc9a [شا256]
  • 196B1E6992650C003 F550404 F6B1109F [مد5]
  • FF177 BD454 A19 د 15 ب 9050448 دا 3298 سي 4 [ام دي 5]

البيانات الوصفية لعينة برنامج الفدية الخاص بـ Conti

Contimetadata[/vc_wp_text] [vc_wp_text]

التدابير المضادة وأفضل الممارسات للوقاية:

  • يُنصح المستخدمون بتعطيل بروتوكول سطح المكتب البعيد (RDP) إذا لم يكن قيد الاستخدام. علاوة على ذلك، إذا كان ذلك مطلوبًا، فيجب إعداد اتصال RDP آمن خلف جدار الحماية مع سياسات الربط والتحكم في الوصول المناسبة.
  • يجب تحديث جميع أنظمة التشغيل والتطبيقات على أساس منتظم. يمكن إجراء التصحيح الافتراضي لحماية الأنظمة والشبكات القديمة. هذا يمنع مجرمي الإنترنت من الوصول بسهولة إلى أي نظام من خلال الثغرات الموجودة في التطبيقات والبرامج القديمة. تجنب تثبيت التحديثات/التصحيحات من مصادر غير مصرح بها.
  • قم بتقييد تنفيذ PowerShell /WSCRIPT في بيئة المؤسسة. تأكد من تثبيت أحدث إصدار من PowerShell واستخدامه، مع تمكين التسجيل المحسن. يجب أيضًا السماح بتسجيل كتلة البرنامج النصي ونسخها. يجب إرسال السجلات المرتبطة بهذا إلى مستودع سجلات مركزي للمراقبة والتحليل.
  • قم بإنشاء إطار سياسة المرسل (SPF) لنطاقك لمنع البريد العشوائي من خلال اكتشاف انتحال البريد الإلكتروني الذي يمنع بدوره هجمات برامج الفدية.
  • يؤدي إدراج التطبيقات/التنفيذ الصارم لسياسات تقييد البرامج (SRP) إلى حظر الثنائيات التي تعمل من مسارات %APPDATA% و%TEMP%. بشكل عام، يتم إسقاط عينات برامج الفدية وتنفيذها من هذه المواقع.
  • لا تفتح المرفقات أو تنقر على عناوين URL في رسائل البريد الإلكتروني غير المرغوب فيها، حتى لو كانت من شخص ما في قائمة جهات الاتصال الخاصة بك وتبدو حميدة. إذا بدا عنوان URL أصليًا، فبدلاً من النقر عليه، استخدم متصفحك للوصول إلى تلك الصفحة المحددة.
  • قم بحظر مرفقات أنواع الملفات التالية: exe|pif|tmp|url|vb|vbe|scr|reg|cer|pst|cmd|com|bat|dll|dat|hta|js|wsf
  • ضع في اعتبارك تشفير البيانات السرية، نظرًا لأن برامج الفدية تستهدف عمومًا أنواع الملفات الشائعة.
  • قم بعمل نسخة احتياطية من المعلومات الهامة بانتظام، للحد من تأثير فقدان البيانات أو النظام وللمساعدة في تسريع عملية الاسترداد. من الناحية المثالية، يجب الاحتفاظ بالبيانات الحساسة على جهاز منفصل، ويجب تخزين النسخ الاحتياطية في وضع عدم الاتصال.
  • تقسيم الشبكة وفصلها إلى مناطق أمان للمساعدة في حماية المعلومات الحساسة والخدمات الهامة. يجب على المرء فصل الشبكات الإدارية عن العمليات التجارية باستخدام عناصر التحكم المادية وشبكات المنطقة المحلية الافتراضية.
  • قم بتثبيت أدوات حظر الإعلانات لمكافحة مجموعات الاستغلال مثل Fallout التي يتم توزيعها عبر الإعلانات الضارة.

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations