Cortizol Ransomware
تتزايد إصابات البرامج الضارة باستمرار من حيث النطاق والتعقيد، مما يجعل من الضروري للأفراد والمؤسسات الحفاظ على دفاعات قوية على جميع الأجهزة. وتشكل برامج الفدية، على وجه الخصوص، خطرًا جسيمًا لأنها لا تُعرّض سرية البيانات للخطر فحسب، بل تُعطّل أيضًا إمكانية الوصول إليها من خلال منع المستخدمين من الوصول إلى ملفاتهم. ومن التهديدات التي تم تحليلها مؤخرًا والتي تُجسّد هذه المخاطر، برنامج الفدية "كورتيزول"، وهو نوع متطور من البرامج الضارة التي تُشفّر الملفات، والمصممة لابتزاز الضحايا من خلال الترهيب والتلاعب التقني.
جدول المحتويات
برنامج الفدية كورتيزول: مخطط تشفير محسوب
تم اكتشاف برنامج الفدية Cortizol خلال تحقيقات معمقة في البرمجيات الخبيثة أجراها باحثون في أمن المعلومات. بمجرد تشغيله على النظام، يقوم هذا البرنامج بتشفير الملفات وتغيير أسمائها وفق نمط مميز. يُضاف إلى كل ملف مُشفّر مُعرّف للضحية، وعنوان بريد إلكتروني للتواصل، واللاحقة ".Cortizol". على سبيل المثال، يُعاد تسمية ملف اسمه الأصلي "1.png" إلى "1.png-id-6640599815[cortizol@atomicmail.io].Cortizol"، بينما يُصبح اسم الملف "2.pdf" هو "2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol".
يخدم هذا الأسلوب في إعادة تسمية الملفات غرضين: فهو يُشير بوضوح إلى أن الملفات قد تم الاستيلاء عليها، ويُضمّن بيانات تعريفية يستخدمها المهاجمون لتتبع الضحايا. إضافةً إلى تشفير الملفات، يقوم برنامج كورتيزول بتعديل خلفية سطح المكتب لتعزيز وضوح الهجوم، ويُسقط رسالة فدية بعنوان "HOW_TO_RECOVER.txt"، مما يضمن عدم تجاهل الضحية للحادث.
رسالة الفدية والضغط النفسي
تزعم رسالة الفدية أن جميع الملفات على النظام المخترق قد تم تشفيرها، وتؤكد أن فك التشفير مستحيل بدون مفتاح خاص فريد بحوزة المهاجمين. ويتم تحذير الضحايا من أن أي محاولة لاستخدام أدوات فك تشفير خارجية أو إعادة تسمية الملفات المشفرة ستؤدي إلى تلف البيانات بشكل دائم. تُعد هذه التحذيرات أسلوبًا نفسيًا شائعًا يهدف إلى تثبيط محاولات الاستعادة المستقلة.
تُوجّه رسالة كورتيزول الضحايا إلى تحديد موقع ملف باسم "key.Cortizol"، يُزعم أنه موجود في المجلد "C:\ProgramData\" أو على محركات أقراص أخرى، وإرساله إلى المهاجمين. كما تُحذّر الرسالة من إعادة تثبيت نظام التشغيل ويندوز أو تعديله دون الاحتفاظ بهذا الملف، مما يُهدد بفقدان البيانات بشكل لا رجعة فيه في حال عدم اتباع التعليمات بدقة. تشمل قنوات التواصل عنوان البريد الإلكتروني cortizol@atomicmail.io
وحساب على تطبيق تيليجرام يُعرف باسم Cortizol2025. يزيد هذا النهج متعدد القنوات للتواصل من احتمالية امتثال الضحايا.
رغم إصرار المهاجمين على أن شراء المفتاح الخاص هو السبيل الوحيد لاستعادة الوصول، إلا أن الخبرة في مجال الأمن السيبراني تُظهر باستمرار أن دفع الفدية لا يضمن استعادة الملفات. فقد يفشل مجرمو الإنترنت في تسليم أداة فك تشفير فعّالة، أو قد يتوقفون عن التواصل ببساطة بعد الدفع.
نواقل العدوى وتقنيات التوصيل
ينتشر برنامج الفدية كورتيزول باستخدام مجموعة متنوعة من أساليب التوزيع المعروفة. ولا تزال رسائل البريد الإلكتروني التصيدية من أكثر آليات التوزيع فعالية، إذ غالبًا ما تحتوي على مرفقات خبيثة أو روابط مضمنة تُفعّل عملية تنزيل البرنامج الخبيث. كما تزيد عمليات الاحتيال في تقديم الدعم الفني وأساليب الهندسة الاجتماعية من احتمالية تفاعل المستخدمين مع البرنامج.
ينشر المهاجمون أيضًا برامج الفدية الخبيثة عبر برامج مقرصنة، وبرامج اختراق، ومولدات مفاتيح يتم الحصول عليها من شبكات مشاركة الملفات غير الرسمية أو شبكات الند للند. كما توفر المواقع الإلكترونية المخترقة، والإعلانات الخادعة، ووحدات تخزين USB المصابة، واستغلال الثغرات الأمنية في البرامج القديمة، نقاط دخول إضافية. عادةً ما تُخفى الحمولة الخبيثة داخل ملفات تنفيذية، أو نصوص برمجية، أو ملفات مضغوطة مثل ZIP أو RAR، أو حتى داخل مستندات تبدو شرعية، بما في ذلك ملفات Word وExcel وPDF. هذا المزج بين الشيفرة الخبيثة والتنسيقات المألوفة يزيد من فرص نجاح الإصابة.
التأثير والمخاطر اللاحقة للعدوى
بمجرد تفعيله، لا يكتفي برنامج كورتيزول بتشفير الملفات التي يمكن الوصول إليها، بل قد يستمر في البحث عن بيانات إضافية لاختراقها. وإذا تُرك دون إزالة، يمكن لبرامج الفدية أن تنتشر أفقيًا عبر الأنظمة المتصلة ضمن الشبكة نفسها، مما يزيد من اضطراب العمليات والخسائر المالية. وكلما طالت مدة بقاء البرمجية الخبيثة على الجهاز، ازداد خطر توسيع نطاق التشفير واحتمالية نشر حمولات خبيثة ثانوية.
عادةً ما يكون استعادة البيانات بدون المفتاح الخاص للمهاجمين أمراً مستحيلاً ما لم تكن هناك نسخ احتياطية آمنة وغير متأثرة. لهذا السبب، تتمتع المؤسسات والمستخدمون الأفراد الذين يمتلكون نسخاً احتياطية موثوقة، سواءً كانت غير متصلة بالإنترنت أو موجودة على السحابة، بوضع أفضل بكثير لاستعادة العمليات دون الخضوع لمطالب الابتزاز.
تعزيز الدفاعات ضد برامج الفدية
يتطلب الدفاع الفعال ضد تهديدات مثل كورتيزول نهجًا أمنيًا متعدد الطبقات يجمع بين الضمانات التقنية وتوعية المستخدمين. تقلل الممارسات التالية بشكل كبير من التعرض لهجمات برامج الفدية:
- حافظ على نسخ احتياطية منتظمة وتلقائية مخزنة دون اتصال بالإنترنت أو في بيئات سحابية آمنة معزولة عن النظام الأساسي.
- حافظ على تحديث أنظمة التشغيل والتطبيقات وبرامج الأمان لسد الثغرات الأمنية المعروفة.
- استخدم حلول حماية نقاط النهاية ذات السمعة الطيبة والقادرة على اكتشاف أنماط سلوك برامج الفدية.
- تجنب تنزيل البرامج أو الملفات المقرصنة من مصادر غير رسمية وشبكات الند للند.
- توخ الحذر عند التعامل مع مرفقات البريد الإلكتروني أو النقر على الروابط، وخاصة من مرسلين مجهولين أو غير متوقعين.
- قم بتعطيل وحدات الماكرو في مستندات Office إلا إذا كان ذلك ضروريًا للغاية وتم التحقق من أنها آمنة.
إضافةً إلى هذه الإجراءات، يُعدّ الإزالة الفورية لبرامج الفدية المكتشفة أمرًا بالغ الأهمية لمنع المزيد من تشفير الملفات أو انتشارها عبر الشبكة. يجب أن تتضمن إجراءات الاستجابة للحوادث عزل النظام المتأثر عن الشبكة، وإجراء فحص شامل للبرامج الضارة، واستعادة البيانات السليمة من النسخ الاحتياطية إن وُجدت.
يُظهر برنامج الفدية كورتيزول كيف يمزج برنامج الفدية الحديث بين آليات التشفير التقنية والهندسة الاجتماعية والضغط النفسي. وتبقى ممارسات الأمن الاستباقية، إلى جانب استراتيجيات النسخ الاحتياطي الموثوقة للبيانات، أكثر التدابير فعالية لمواجهة هذه التهديدات الإلكترونية المتطورة.
System Messages
The following system messages may be associated with Cortizol Ransomware:
All Your Files Has Been Encrypted |
Ransom note desiplayed as desktop background: |
