🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
رانسوم وير

نصائح إنتل حول تهديدات برامج الفدية المتطورة من ProLock

استشارات CloudSek للمعلومات المتعلقة بالتهديدات بشأن برامج ProLock Ransomware والبرامج الضارة التي كانت تُعرف سابقًا باسم Pwndlocker وMitre ATT&CK وIOCs والتدابير الوقائية.
Updated on
August 19, 2025
Published on
September 16, 2020
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
تم إصدار برنامج ProLock Ransomware، المعروف سابقًا باسم Pwndlocker، في مارس 2020 بقدرات متقدمة. بدأ برنامج الفدية المتطور هذا العمل في الجزء الأخير من عام 2019 وكان مسؤولاً بشكل أساسي عن الهجوم الذي استهدف شركة تصنيع أجهزة الصراف الآلي Diebold Nixdorf وولاية إلينوي الأمريكية. يقوم أولاً بتشفير الملفات باستخدام خوارزمية RSA-2048، وتعديل أسماء الملفات، ثم إنشاء رسالة فدية. يقوم برنامج الفدية بعد ذلك بإلحاق ملحق «.ProLock» بأسماء ملفات جميع الملفات المشفرة.يمكن لمشغلي برامج الفدية ProLock الوصول إلى الشبكات المخترقة عبر شبكة Qakbot (Qbot) لسرقة المعلومات، والتي بدورها قادرة على الانتشار عبر الشبكات. تعمل خوادم RDP غير المحمية أيضًا على تسهيل الاختراق. في الماضي، استهدفت ProLock قطاعات متعددة بما في ذلك البناء والتمويل والرعاية الصحية والقانونية. تم استخدام البرامج الضارة أيضًا في الهجمات التي تستهدف الوكالات الحكومية الأمريكية والكيانات الصناعية. للتسلل، يستخدم مشغلو ProLock برنامج كمبيوتر شرعي - ريكلون - أداة سطر أوامر قادرة على نسخ الملفات ومزامنتها من وإلى موفري التخزين السحابي المختلفين، مثل OneDrive و Google Drive و Mega وما إلى ذلك، تتم إعادة تسمية الملف التنفيذي دائمًا ليشبه ثنائيات النظام الشرعية. تتراوح طلبات الفدية الخاصة بالمشغل من 175,000 دولار إلى أكثر من 660,000 دولار من عملات البيتكوين (الشكل 1). [معرف التسمية التوضيحية = «المرفق _8136" aligncenter «العرض ="486"]Ransom Note from ProLock ransomware الشكل 1 ملاحظة الفدية [/caption]

التأثير

يتم استخدام إطار PowerShell لأتمتة المهام وإدارة التكوين من Microsoft لاستخراج الملف الثنائي من ملف PNG أو JPG وحقنه في الذاكرة. يقوم ProLock بقتل العمليات من القائمة المضمنة وإيقاف الخدمات، بما في ذلك الخدمات المتعلقة بالأمان مثل CSFalconService، باستخدام الأمر net stop. ثم يستخدم عملية Vssadmin Windows لإزالة النسخ الاحتياطية لوحدة التخزين والحد من حجمها، للتأكد من عدم إنشاء نسخ جديدة (الشكل 2). [معرف التسمية التوضيحية = «المرفق _8138" aligncenter «العرض ="426"]Removing Volume Shadow Copies ProLock ransomware الشكل 2. إزالة النسخ الاحتياطية لوحدة التخزين [/caption]

رسم خرائط ميتري ATT&CK

تكتيك
تقنية
الوصول الأوليالخدمات الخارجية عن بُعد (T1133) ومرفق التصيد الاحتيالي (T1193) ورابط التصيد الاحتيالي (T1192)التنفيذ بوويرشيل (T1086)، البرمجة النصية (T1064)، تنفيذ المستخدم (T1204)، أجهزة إدارة ويندوز (T1047)إصرار مفاتيح تشغيل السجل/مجلد بدء التشغيل (T1060)، المهمة المجدولة (T1053)، الحسابات الصالحة (T1078)التهرب الدفاعيتوقيع الكود (T1116)، إزالة التشويش/فك تشفير الملفات أو المعلومات (T1140)، تعطيل أدوات الأمان (T1089)، حذف الملفات (T1107)، التنكر (T1036)، حقن العملية (T1055)الوصول إلى بيانات الاعتماد تفريغ بيانات الاعتماد (T1003)، القوة الغاشمة (T1110)، التقاط المدخلات (T1056)اكتشاف اكتشاف الحساب (T1087)، اكتشاف ثقة المجال (T1482)، اكتشاف الملفات والدليل (T1083)، فحص خدمة الشبكة (T1046)، اكتشاف مشاركة الشبكة (T1135)، اكتشاف النظام عن بُعد (T1018)حركة جانبية بروتوكول سطح المكتب البعيد (T1076)، نسخ الملفات عن بُعد (T1105)، مشاركات مسؤول Windows (T1077)مجموعة البيانات من النظام المحلي (T1005)، البيانات من محرك الأقراص المشترك بالشبكة (T1039)، البيانات المرحلية (T1074)القيادة والتحكم المنفذ الشائع الاستخدام (T1043)، خدمة الويب (T1102)استخراج البيانات المضغوطة (T1002)، نقل البيانات إلى الحساب السحابي (T1537)التأثير البيانات المشفرة للتأثير (T1486)، تمنع استعادة النظام (T1490)

عناوين IOC/التجزئة/عناوين URL

  1. http://185.212.128.8/j078.exe
  2. http://185.212.128.8/j080.exe
  3. http://185.212.128.8/q109.exe
  4. http://185.212.128.8/B/
  5. b262b1b82e5db337 d367 e1d4119 cadb928963896 f1 ff940b763a00d45f305
  6. 2f0e4b178311 a260601 e054b0b405999715084227e49 ff18a19e1a59f7b2f309
  7. a6ed68af5a6e5c8c1ade029347 ec72da3b10a439 d98f79f4b15801abd7af0
  8. 18661f8c245 d26be1 ec4d48a9e186569 a77237 f424 f322 f00ef94652b9d5f35
  9. dfbd62a3d1b239601e17a5533e5 cef53036647901 f3fb72be76d92063e279178
  10. e2a961 c9a78d4c8bf118a0387dc1564efc8f9
  11. 4 بوصة 125 درجة مئوية 890 بوصة 8 درجة مئوية 98 درجة مئوية 7069 بوصة 0bb2b 5625 درجة مئوية 7754 بوصة fad6
  12. 81d5888b8b8d43d88315 c040be1f51db6b5c64c
  13. 0ce3614560e7c1dbc3b8f56f3e45278de473d3b
  14. 9 حقيبة 5 قدم مكعب 8 ديسيبل 9b748b4 b16549e789e27 ae816 df
  15. a037439 ad7e79 ديسيبل f4a 20664 cf10126c93429e350
  16. 3355 إيس 345e 98406 برميل في دي بي 331 سي سي دي 568386
  17. c579341 f86f7e962719 c7113943b6e4

تدابير وقائية

  1. قم بإنشاء نسخة احتياطية لملفاتك الأكثر أهمية، على أساس منتظم
  2. تخصيص إعدادات مكافحة البريد العشوائي
  3. قم بتصحيح وتحديث البرنامج والنظام الخاص بك
  4. تأكد من تشغيل جدار حماية Windows وتكوينه بشكل صحيح
  5. تعطيل مضيف البرنامج النصي لـ Windows
  6. قم بتعطيل نظام التشغيل Windows PowerShell، وهو إطار التشغيل الآلي للمهام
  7. تعطيل وحدات الماكرو وActiveX
  8. استخدم كلمات مرور قوية لتجنب هجمات القوة الغاشمة
  9. حظر عناوين IP المعروفة والخبيثة
  10. استخدم برنامج مكافحة الفيروسات المناسب، الذي لا يسمح بالتنفيذ غير المرغوب فيه
  11. لا تنقر على الروابط المشبوهة
  12. نشر الوعي حول هذه التهديدات بين المستخدمين
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more