يعد Thanos أول برنامج فدية يستغل ثغرة أمنية في أنظمة التشغيل Windows 10 و7 و8.1 تُعرف باسم RIPlace. هذا الأخير يسمح له بالهروب من جميع برامج مكافحة الفيروسات الموجودة في السوق تقريبًا، بما في ذلك Windows Defender.
اسمها المختار بعناية يثير الرعب وطريقة عملها تجعلها لعبةبرامج الفديةتضاعف.ثانوسلقد ابتليت أنظمة التشغيل Windows 7 و 8.1 و 10 منذ أكتوبر 2019 تحت أسماء مختلفة، ولكن في يناير 2020 فقط كان موضوع تقرير مفصل نشرته شركة Inskit Group. هذه عائلة من برامج الفدية التي تمتلك أداة واحدة تم تطويرها بواسطة متسلل يُدعى Nosophoros.
هذه الأداة قادرة على إنشاء برامج فدية مخصصة بناءً على 43 خيار تكوين مختلف. الحل متاح على الويب المظلم وعلى منتديات الهاكر الروسية بشكل خاص كبرنامج من النوع “برامج الفدية كخدمة". وبعبارة أخرى، يقوم Nosophorus بتجنيد قراصنة آخرين لنشر البرامج الضارة. يحصل الأخير على حصة من الإيرادات تبلغ حوالي 60-70% مقابل أي دفع فدية.
Thanos: أول برنامج فدية يستغل ثغرة RIPlace مما يجعله غير قابل للاكتشاف
ريبليسهي تقنية تمويه تم الكشف عنها كدليل على المفهوم في نهاية عام 2019 من قبل الباحثين في Nyotron. يتم استخدامه لتعديل الملفات بطريقة لا يمكن اكتشافها بواسطة Windows وبواسطة Windowsمضادات الفيروسات. يمكن للمهاجمين بذلكتجاوز تدابير الحماية المختلفة لمكافحة برامج الفديةلتشفير الملفات على الأجهزة المستهدفة.
إقرأ أيضاً-Ransomware: المتسللون يعتذرون عن الضرر الذي سببوه لضحاياهم!
أبلغت Nyotron عن اكتشافها لموردي برامج مكافحة الفيروسات وMicrosoft. ورأى أغلبهم حينها أنه لا ينبغي التعامل مع هذه التقنية على أنها ثغرة أمنية، خاصة أنه لم يتم إثبات استغلالها الفعلي. فقط Kaspersky وCarbon Black (المملوكان لشركة VMware) قاما بتعديل برامجهما لمنع تنفيذ هذه التقنية.
وفي تقرير جديد نُشر في 10 يونيو 2020، توضح مجموعة Inskit Group كيفية استخدام ثغرة RIPlace بواسطة Thanos، وهو أول برنامج فدية يستخدمه. ويعتقد الباحثون أن البرمجيات الخبيثة سوف يستمر استغلالها، سواء بشكل فردي أو جماعي كجزء من البرنامج التابع لمنشئها. يجب أن يطالب هذا المنشور الجديد Microsoft وموردي الأمان الآخرين باتخاذ الإجراء اللازم.
المصدر: المستقبل المشفر
![[البرنامج التعليمي] كيفية استخدام شاشة التوقف](https://sanne.work/statics/image/placeholder.png)
