كل ما تريد أن تعرفه عن فيروس الفدية ransomware والحماية منه

الرانسوم وير (Ransomware):

وهو نوع من انواع الاختراق لجهاز شخص او مؤسسة بهدف تشفير الملفات بداخل هذا الجهاز (والاجهزة المتصلة معه في الشبكة المحلية) او قفل (block) نظام التشغيل في ذلك الجهاز ثم ابتزاز صاحبه (الشخص او الشركة) لدفع فدية مقابل اعادة فك تشفير الملفات او ازالة القفل عن الجهاز ونظام تشغيله. يعتبر الرانسوم وير احد انواع الابتزاز الالكتروني (cyber extortion) ولكن ما هو الابتزاز الالكتروني؟

 

الابتزاز الالكتروني (cyber extortion):

 وهو جريمة تحصل اونلاين وتتضمن هجوم منظم من قبل المخترقين على جهاز معين او مؤسسة معينة بهدف الحصول على المال في مقابل ايقاف الهجوم. ويتخذ الابتزاز الالكتروني عدة اشكال ومنها تشفير الملفات وحجزها (كرهينة) او سرقة البيانات والتهديد بكشفها ونشرها او منع المستخدم من الوصول الى بياناته في حاسوبه الخاص.

 

ما هو الهدف من الرانسوم وير؟

ببساطة الحصول على بياناتك او اموالك.

كيف يعمل الرانسوم وير؟

• يقوم المستخدم بأستلام رسالة عبر البريد الالكتروني او اعلان في موقع مجاني لمشاهدة شيء مثير او غريب فبمجرد النقر على الرابط او المرفق لتلك الرسالة او الاعلان (والتي تكون عادة بأمتداد تنفيذي .exe) يبدأ الهجوم.
• بمجرد النقر على الرابط او المرفق يتم تنزيل البرمجيات الخبيثة (malware) في جهاز الضحية والان اصبح برنامج ال (crypto-ransomware) في جهاز الضحية.
• يحصل كل ذلك بشكل خفي والمستخدم لا يعلم بشيء ويتم تشفير الملفات وبعد الانتهاء من ذلك تظهر للمستخدم رسالة في المتصفح او على سطح المكتب تطلب منه استخدام متصفح التور (tor browser) للدفع بعملة البتكوين او غيرها وتحدد المهلة الممنوحة للضحية قبل حذف الملفات للأبد او نشرها للعلن (ان كانت سرية).

 

إقرأ أيضا:هليكوبتر ناسا تنجح في الرحلة 43 لها على المريخ.. اعرف تفاصيلها

ما الذي يستطيع الرانسوم وير عمله؟

• قفل الجهاز ومنع المستخدم من الدخول للجهاز حتى دفع الفدية (التي تكون عادة عبارة عن اموال الكترونية مثل البتكوين او ما يسمى (monkeyPak)).
• التحكم بجهاز الضحية عن بعد وجعله جهاز زومبي (zombie computer) بحيث يمكن ان يستخدم للهجوم على اجهزة اخرى بواسطة المهاجمين الذين يتحكمون به عن بعد.
• يستهدف هذا الهجوم (الرانسوم وير) الافراد والشركات والمؤسسات على حد سواء ولذا فالكل معرضون له.
• لا فرق بين اجهزة ويندوز او ماك واندرويد او ابل من ناحية خطر التعرض للأصابة بهذا الهجوم فكل الاجهزة العاملة بهذه الانظمة يمكن الهجوم عليها بأستخدام ادوات مختلفة تؤدي نفس الغرض المذكور اعلاه.
• يقوم المخترقون بتشفير البيانات بأفتراض انها ثمينة وان صاحبها مستعد لدفع الاموال في سبيل استردادها (فأن لم تكن كذلك فنصيحتي هي ان تقوم بعمل (scan virus) ليقوم بحذف الملفات التجسسية المستخدمة بالهجوم ثم قم بمسح الملفات المشفرة (ان لم تكن ذات اهمية كبيرة لك) ثم قم بتنصيب (Malwarebytes Anti-Malware) ان لم يكن منصباً اصلاً وقم بعمل (scan) كامل للجهاز لأن هذا البرنامج ممتاز في كشف ملفات التجسس المستخدمة في هجوم الرانسوم وير.
• يجب الانتباه الى انه ليس هناك ضمان ان ترجع الملفات او النظام حتى لو قمنا بالدفع للمبتزين فقد يأخذون الاموال ثم يقومون بحذف الملفات او نشرها وينفذون تهديدهم في الكثير من الاحيان بغض النظر عن الدفع او عدم الدفع.

من الامور المهمة التي يجب معرفتها عن الرانسوم وير ايضاً هي:

إقرأ أيضا:يعني إيه Starlink Roam للإنترنت الفضائي.. وما هي مميزاتها؟

• انه يتم اكتشافه من قبل برنامج ال(Malwarebytes Anti-Malware) بأسم (Troj/Ransom-ACP).
• يمتلك المهاجمون مفتاح فك التشفير الوحيد مما يجعل عملية الاستعانة بمفاتيح اخرى غير مجدية في اغلب الاحيان لفك تشفير الملفات.
• من الامور الجيدة في هذا المجال ان الرانسوم وير لا يشابه الفيروسات في قابلية استنتساخ نفسه في كل مكان ولكنه يستمر في البحث عن الملفات في الحاسوب ليشفرها ولذلك فأن اي ملفات في الشبكة المحلية سبق ان تم مشاركتها مع هذا الحاسوب (shared) ستكون عرضة للتشفير ايضاً.
• ظهر اول رانسوم وير عام 1989 بأسم (AIDS Trojan) وسمى في وقته ايضاً (PC cyborg).
• يمنح المخترقون مهلة تتراوح بين يومين او 3 بدفع الفدية وعادة يرفقون رابط طريقة الدفع مع رسالة طلب الفدية (التي سنرى نماذج منها في الفقرة التالية. وتتراوح قيمة الفدية بين 30 دولار في بعض الاحيان الى الاف الدولارات في احيان اخرى وتعتمد على اهمية المعلومات والملفات التي تم الوصول اليها وتشفيرها.
• من الشركات التي تعرضت للأبتزاز بهذه الطريقة هي شركة نوكيا ودومينوز بيتزا وغيرها الكثير.

الوقاية:

للوقاية من هذا النوع من الهجوم يمكن اتخاذ الاجراءات الاحترازية التالية وبشكل مستمر:

إقرأ أيضا:سناب شات يقدم عناصر التحكم فى المحتوى.. اعرف التفاصيل

• المحافظة على نظام التشغيل وكل البرمجيات الاخرى محدثة (updated) بشكل مستمر.
• جعل عملية التحديث تلقائية (automatic updates) لكل البرمجيات والاضافات الخاصة بالمتصفحات مثل الجافا والادوبي فلاش وغيرها.
• ابقاء الجدار الناري يعمل بشكل مستمر.
• عدم فتح الايميلات التي تأتي في مجلد السبام (spam) وحتى التي تأتي في ال (inbox) اذا لم نكن نعرف المرسل او كنا غير متأكدين من امتداد المرفقات.
• جعل برنامج تشغيل ملفات الجافا سكربت والفجول بيسك هو ال(note pad) لتجنب تشغيل سكربتات مشبوهة.
• استخدام مضاد فيروسات محترم (وقد تحدثنا سابقاً عن عدة خيارات مجانية يمكن الاستعانة بها في المنشورات السابقة) وجدار ناري محترم.
• عمل نسخ احتياطي للملفات بشكل مستمر (back up) وحفظ النسخ الاحتياطية في اقراص هارد او فلاش درايف خارجي.
• فصل الاتصال بالانترنت اذا لم تكن تستخدمه في اي وقت.
• ابلاغ السلطات المعينة في حالة حصول امور مشبوهة في جهازك والاتصال بالدعم الفني للأبلاغ عن اية حالة غريبة في جهازك ان كنت تعمل في شركة او مؤسسة.
• الحرص على تحديث برمجيات الحماية بأستمرار.
• عدم مشاركة اي ملفات مع اي حاسوب في الشبكة المحلية الا في حالة الاضطرار وبشكل موقت حتى تزول الحاجة الى ذلك وعدم منح صلاحيات التحكم في حاسوبك لأي شخص اخر في الشبكة المحلية او الانترنت.
• عدم اعطاء صلاحيات مدير (Administrator) لأي مستخدم اخر لحاسوبك واذا كنت مدير شبكة فلا تعطي لأي مستخدم في شبكتك صلاحيات مدير حتى في حواسيبهم الشخصية وبالتالي ستضمن ان اي منهم لن يقوم بالخطأ (او بالعمد) بتشغيل برمجيات خبيثة غير مرغوب بها.

العلاج (بعد الاصابة بالهجوم والوصول الى مرحلة الملفات المشفرة او الحاسوب المقفل):

• الخطوة الاولى هي الاستعانة ببرنامج ال (Malwarebytes) كما ذكرنا سابقاً وهناك برامج اخرى ممتازة ايضاً تقوم بنفس العمل ومنها الظاهرة في الصورة التالية:

 

• في حالة عدم تنصيب احد البرامج اعلاه سابقاً فالافضل اتباع الخطوات التالية:
• الدخول الى الطور الامن (safe zone).
• حذف الملفات المؤقتة (temp files).
• تنزيل احد البرامج اعلاه.
• تشغيل البحث عن الفيروسات والبرمجيات الخبيثة وكما في الصور ادناه:

 

 

• تشغيل ال(scan) وعمل (update) للمتصفح.
• قم بأسترجاع ملفاتك بألاستعانة بالاداة المجانية التي توفرها شركة كاسبرسكاي والتي يمكن تنزيلها من الرابط التالي (انقر هنا لزيارة موقع الاداة No more Ransom).
• طبعاً الاداة في الرابط اعلاه قد تعمل وقد لا تعمل لأنه معروف عن المهاجمين بهذه الطريقة انهم يغيرون من اساليبهم بأستمرار.

واخيراً ولمزيد من المعلومات عن هذا الهجوم وطرق الوقاية منه يمكن زيارة الرابط التالي (انقر هنا).