حماية برامج الفدية

يتضمن PRX-SD محرك RansomwareDetector مخصصاً يُحدِّد سلوك برامج الفدية في الوقت الفعلي. على عكس الكشف المستند إلى التوقيعات الذي يتطلب عينات معروفة، يستخدم كاشف برامج الفدية الاكتشافيات السلوكية للكشف عن برامج الفدية صفرية اليوم قبل أن تُنهي تشفير ملفاتك.

كيف يعمل

يعمل كاشف برامج الفدية كجزء من شاشة الوقت الفعلي ويُحلِّل أحداث نظام الملفات بحثاً عن أنماط تدل على تشفير نشط. يعمل على ثلاثة محاور كشف:

1. الكشف عن التشفير الدفعي

يتتبع الكاشف معدلات تعديل الملفات لكل عملية ولكل دليل. عندما تُعدِّل عملية واحدة عدداً كبيراً بشكل غير طبيعي من الملفات في نافذة زمنية قصيرة، يُشغِّل تنبيهاً.

المعامل	الافتراضي	الوصف
batch_threshold	20	عدد تعديلات الملفات لتشغيل الكشف
batch_window_secs	10	النافذة الزمنية بالثواني لعد الدُّفعات
min_files_affected	5	الحد الأدنى للملفات المتميزة قبل التنبيه

[ransomware]
enabled = true
batch_threshold = 20
batch_window_secs = 10
min_files_affected = 5

2. مراقبة تغيير الامتدادات

تقوم برامج الفدية عادةً بإعادة تسمية الملفات بامتداد جديد بعد التشفير. يراقب الكاشف تغييرات الامتدادات الجماعية، وخاصةً الامتدادات المعروفة لبرامج الفدية:

.encrypted, .enc, .locked, .crypto, .crypt, .crypted,
.ransomware, .ransom, .rans, .pay, .pay2key,
.locky, .zepto, .cerber, .cerber3, .dharma, .wallet,
.onion, .wncry, .wcry, .wannacry, .petya, .notpetya,
.ryuk, .conti, .lockbit, .revil, .sodinokibi,
.maze, .egregor, .darkside, .blackmatter, .hive,
.deadbolt, .akira, .alphv, .blackcat, .royal,
.rhysida, .medusa, .bianlian, .clop, .8base

WARNING

مراقبة الامتدادات وحدها ليست كافية -- قد تستخدم برامج الفدية المتطورة امتدادات عشوائية أو ذات مظهر شرعي. يجمع PRX-SD بين تغييرات الامتداد وتحليل الإنتروبيا للكشف الموثوق.

3. كشف الإنتروبيا العالية

الملفات المشفرة لها إنتروبيا Shannon قريبة من الحد الأقصى (قريبة من 8.0 لتحليل مستوى البايت). يقارن الكاشف إنتروبيا الملف قبل التعديل وبعده:

المقياس	العتبة	المعنى
إنتروبيا الملف	> 7.8	محتوى الملف مشفَّر على الأرجح أو مضغوط
دلتا الإنتروبيا	> 3.0	الملف تغيَّر من إنتروبيا منخفضة إلى عالية (تشفير)
إنتروبيا الترويسة	> 7.5	أول 4 كيلوبايت ذات إنتروبيا عالية (بايتات السحر الأصلية مُدمَّرة)

عندما تقفز إنتروبيا ملف بشكل ملحوظ بعد التعديل، وكان الملف سابقاً نوعاً معروفاً من المستندات (PDF، DOCX، صورة)، فهذا مؤشر قوي على التشفير.

تسجيل درجة الكشف

كل محور كشف يُسهم في درجة برامج الفدية المركبة:

الإشارة	الوزن	الوصف
تعديل ملفات دفعي	40	تعديل ملفات كثيرة بسرعة من قِبل عملية واحدة
تغيير الامتداد إلى امتداد فدية معروف	30	إعادة تسمية الملف بامتداد برامج الفدية
تغيير الامتداد إلى امتداد غير معروف	15	إعادة تسمية الملف بامتداد جديد غير عادي
دلتا إنتروبيا عالية	25	ازدادت إنتروبيا الملف بشكل كبير
إنتروبيا مطلقة عالية	10	الملف ذو إنتروبيا قريبة من الحد الأقصى
إنشاء مذكرة فدية	35	اكتشاف ملفات تطابق أنماط مذكرات الفدية
حذف نسخ الظل	50	محاولة حذف نسخ ظل وحدة التخزين

درجة مركبة فوق 60 تُشغِّل حكم MALICIOUS. الدرجات بين 30-59 تُنتج تنبيه SUSPICIOUS.

الكشف عن مذكرات الفدية

يراقب الكاشف إنشاء الملفات التي تطابق أنماط مذكرات الفدية الشائعة:

README_RESTORE_FILES.txt, HOW_TO_DECRYPT.txt,
DECRYPT_INSTRUCTIONS.html, YOUR_FILES_ARE_ENCRYPTED.txt,
RECOVER_YOUR_FILES.txt, !README!.txt, _readme.txt,
HELP_DECRYPT.html, RANSOM_NOTE.txt, #DECRYPT#.txt

TIP

الكشف عن مذكرات الفدية مستند إلى الأنماط ولا يتطلب أن يكون ملف المذكرة ضاراً في حد ذاته. مجرد إنشاء ملف يطابق هذه الأنماط، مقترناً بإشارات أخرى، يُسهم في درجة برامج الفدية.

الاستجابة التلقائية

عند اكتشاف برامج الفدية، تعتمد الاستجابة على السياسة المُهيَّأة:

الإجراء	الوصف
التنبيه	تسجيل الحدث وإرسال الإشعارات (webhook، بريد إلكتروني)
الحظر	رفض عملية الملف (وضع حظر Linux fanotify فقط)
الإنهاء	إنهاء العملية المخالفة
العزل	نقل الملفات المتأثرة إلى قبو العزل المشفر
العزل الكامل	حظر جميع وصول الشبكة للجهاز (طارئ)

تهيئة الاستجابة في config.toml:

[ransomware.response]
on_detection = "kill"           # alert | block | kill | quarantine | isolate
quarantine_affected = true      # quarantine modified files as evidence
notify_webhook = true           # send webhook notification
notify_email = true             # send email alert
snapshot_process_tree = true    # capture process tree for forensics

الإعدادات

إعدادات كاشف برامج الفدية الكاملة:

[ransomware]
enabled = true
batch_threshold = 20
batch_window_secs = 10
min_files_affected = 5
entropy_threshold = 7.8
entropy_delta_threshold = 3.0
score_threshold_malicious = 60
score_threshold_suspicious = 30

# Directories to protect with higher sensitivity
protected_dirs = [
    "~/Documents",
    "~/Pictures",
    "~/Desktop",
    "/var/www",
]

# Processes exempt from monitoring (e.g., backup software)
exempt_processes = [
    "borgbackup",
    "restic",
    "rsync",
]

[ransomware.response]
on_detection = "kill"
quarantine_affected = true
notify_webhook = true
notify_email = false

أمثلة

# بدء المراقبة مع حماية برامج الفدية
sd monitor --auto-quarantine /home

# كاشف برامج الفدية مُمكَّن افتراضياً في وضع daemon
sd daemon start

# فحص حالة كاشف برامج الفدية
sd status --verbose

الخطوات التالية

• مراقبة الملفات -- تهيئة المراقبة في الوقت الفعلي
• الـ Daemon -- التشغيل كخدمة خلفية
• الاستجابة للتهديدات -- تهيئة سياسة المعالجة الكاملة
• تنبيهات Webhook -- الحصول على إشعارات فورية