برامج نبتون الفئ

برامج نبتون الفئ


يعد نبتون رات من بين أذكى تهديدات البرامج الضارة التي تستهدف أجهزة Windows. يستغل مواقع مثل YouTube و Telegram لتجاوز Defender Windows وغيرها من أدوات مكافحة الفيروسات. تتضمن تأثيراتها ملفات قفل الفدية ، وسرقة كلمات المرور ، ومحو سجل Boot Master Windows 11 (MBR). على الرغم من شدته ، فإن حماية جهاز Windows الخاص بك من Neptune Rat سهلة بشكل مدهش.

ما الذي يجعل نبتون فأر خطيرًا جدًا

تم اكتشاف برامج نبتون الفئران لأول مرة من قبل شركة الأمن Cyfirma. “الفئران” في ذلك يرمز إلى أحصنة طروادة عن بُعد. إنه ملف ، عند فتحه ، يتيح للمهاجم التحكم في جهاز الكمبيوتر الخاص بك من بعيد. عادة ، يحجب Windows هذه المحاولات. هذا ما هي برامج مكافحة الفيروسات بعد كل شيء.

ومع ذلك ، فإن Neptune Rat متسلل للغاية ، حيث كان يخفي رمزه الضار بالكلمات العربية والرموز التعبيرية ، وتجاوز جدار الحماية الخاص بك ، ومدافع Windows ، وغيرها من أدوات مكافحة الفيروسات. حتى أنه يعرف ما إذا كنت تستخدم جهاز افتراضي (VM). في نهاية المستخدم ، يستدعي اثنين من أوامر PowerShell بسيطة لإصابة جهاز الكمبيوتر الخاص بك:.

  • IRM (Invoke-Restmethod): يسحب المحتوى مثل البرامج من مواقع الويب ، مثل Github.
  • IEX (تعبير الاحتجاج): يدير الأشياء التي تم تنزيلها كبرنامج نصوص.

في مرحلة ما ، يهبط البرنامج النصي الدُفعات على مجلدات Windows. بعد ذلك ، يتصل جهاز الكمبيوتر الخاص بك بخادم المهاجم.

لم يتم رؤية مثل هذه البرامج الضارة الخطرة والمستمرة في Windows منذ فترة طويلة جدًا. يستخدم العديد من ملفات DLL لإفساد نظامك. يمكنهم قفل بيانات الكمبيوتر (Ransomware) ، وسرقة كلمات المرور من أكثر من 270 برنامجًا مثل Chrome و Brave Browsers ، والاستيلاء على كل ما تقوم بنسخه ولصقه ، وتغيير إعدادات التسجيل الخاصة بك ، وحتى مسح سجل التمهيد الرئيسي (MBR).

أسوأ جزء؟ ينتشر نبتون رات حاليًا عبر وسائل التواصل الاجتماعي: يوتيوب ، جيثب ، برقية ، وروابط أخرى. يثق معظم الناس بطبيعتهم على YouTube ، ولأول مرة على الإطلاق ، تم خرق تلك الثقة. من السهل جدًا الآن أن ينشر المتسللون مقطع فيديو يقول: “انقر على الرابط أدناه وصف الفيديو لتلقي 500 دولار نقدًا” ، ثم توفير فأر نبتون قابل للتنليق في نص عادي.

حلول لبرامج نبتون الفئران

مخاطر فأر نبتون كثيرة. يتسلل إلى الماضي كل أداة تحليل البرامج الضارة ، ولا تتطلب حتى أي تنزيلات ملفات. على الرغم من الضعف الهائل ، فإن حلول مستخدمي Windows بسيطة للغاية.

لمستخدمي Windows الذين يعرفون PowerShell

يستخدم PowerShell ميزة تسمى “وضع اللغة المقيدة” ، والتي تقيد التطبيق على أداء المهام الأساسية فقط. بمجرد توجيهها ، لم يعد بإمكانه الوصول إلى موارد الويب باستخدام irm و iex، وبالتالي منع فأر نبتون.

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

لفرض إعداد اللغة المقيدة على جميع مستخدمي جهاز الكمبيوتر الخاص بك ، قم بتطبيق ما يلي:

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
تغيير PowerShell إلى إعداد لغة مقيد لتجنب أوامر الويب.

للتراجع عن الإعداد أعلاه ، ما عليك سوى العودة إلى وضع “اللغة الكاملة” ، ويمكنك البدء في تنزيل CMDlets IRM و IEX مرة أخرى. 

$ExecutionContext.SessionState.LanguageMode = "FullLanguage"

حتى الوقت الذي يحرر فيه Windows حلًا مناسبًا ، من الأفضل إبقائها معطلة.

هناك خيار آخر. إذا لم تستخدم PowerShell كثيرًا ، فيمكنك تعطيل وصول PowerShell تمامًا إلى الإنترنت. بعد ذلك ، عندما تحاول تشغيل أوامر IRM/IEX ، فإنه سيؤدي إلى خطأ في PowerShell.

New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block
منع جميع اتصالات الشبكة الصادرة في PowerShell.

لإزالة قاعدة كتلة مستوى الشبكة ، استخدم الأمر التالي:

Remove-NetFirewallRule -Name "BlockPowerShellOutbound"

في حين أن عدم القدرة على استخدام PowerShell للنشاط عبر الإنترنت يعد إزعاجًا بسيطًا ، بالنظر إلى شدة تهديد الفئران في نبتون ، إلا أنني أرى أن هذا هو الحل الأفضل.

للمستخدمين غير التقنيين

إذا كنت تستخدم YouTube أو Telegram على جهاز كمبيوتر يعمل بنظام Windows ، فيمكنك البقاء في مأمن من Neptune Rat من خلال تجنب النقر على الروابط في أوصاف الفيديو – حتى لو طلبك منشئو الفيديو. قد يقدمون خصومات أو وعدوا بإصلاح مشاكل الأمان. إنها تظهر الكثير في مقاطع الفيديو للألعاب أو الاختراق الأخلاقية ، ولكن يمكن أن تكون أيضًا في مقاطع الأفلام أو غيرها من الموضوعات. يجب أن تتوقف عن النقر على روابط غير معروفة ، حتى لو شاركها الأصدقاء أو العائلة في وسائل التواصل الاجتماعي.

توصيات أخرى لدينا لمستخدمي Windows غير الرسمي الذين يتعاملون مع Neptune Rat:

  • استخدم تطبيق المصادقة: على جهاز Windows ، يعد تطبيق المصادقة هو أفضل طريقة للحماية من المتسللين الذين يحاولون الوصول إلى حسابات حساسة.
  • استخدم حلول أمان نقطة النهاية: الطريقة الوحيدة التي يمكن اكتشاف البرامج الضارة غير المصابة مثل Neptune Rat هي استخدام برنامج أمان نقطة النهاية مثل Microsoft Defender ، وهو مختلف عن Windows Security. إنهم يقومون بعمل أفضل بكثير في الاستجابة للنشاط المشبوه في PowerShell.
الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى