الرانسوم وير (Ransomware) وطرق الوقاية والعلاج؟


الرانسوم وير (Ransomware):

وهو نوع من انواع الاختراق لجهاز شخص او مؤسسة بهدف تشفير الملفات بداخل هذا الجهاز (والاجهزة المتصلة معه في الشبكة المحلية) او قفل (block) نظام التشغيل في ذلك الجهاز ثم ابتزاز صاحبه (الشخص او الشركة) لدفع فدية مقابل اعادة فك تشفير الملفات او ازالة القفل عن الجهاز ونظام تشغيله. يعتبر الرانسوم وير احد انواع الابتزاز الالكتروني (cyber extortion) ولكن ما هو الابتزاز الالكتروني؟

ransomware-expert-tips-featured

الابتزاز الالكتروني (cyber extortion):

 وهو جريمة تحصل اونلاين وتتضمن هجوم منظم من قبل المخترقين على جهاز معين او مؤسسة معينة بهدف الحصول على المال في مقابل ايقاف الهجوم. ويتخذ الابتزاز الالكتروني عدة اشكال ومنها تشفير الملفات وحجزها (كرهينة) او سرقة البيانات والتهديد بكشفها ونشرها او منع المستخدم من الوصول الى بياناته في حاسوبه الخاص.

1

ما هو الهدف من الرانسوم وير؟

ببساطة الحصول على بياناتك او اموالك.

2.png

كيف يعمل الرانسوم وير؟

  • يقوم المستخدم بأستلام رسالة عبر البريد الالكتروني او اعلان في موقع مجاني لمشاهدة شيء مثير او غريب فبمجرد النقر على الرابط او المرفق لتلك الرسالة او الاعلان (والتي تكون عادة بأمتداد تنفيذي .exe) يبدأ الهجوم.
  • بمجرد النقر على الرابط او المرفق يتم تنزيل البرمجيات الخبيثة (malware) في جهاز الضحية والان اصبح برنامج ال (crypto-ransomware) في جهاز الضحية.
  • يحصل كل ذلك بشكل خفي والمستخدم لا يعلم بشيء ويتم تشفير الملفات وبعد الانتهاء من ذلك تظهر للمستخدم رسالة في المتصفح او على سطح المكتب تطلب منه استخدام متصفح التور (tor browser) للدفع بعملة البتكوين او غيرها وتحدد المهلة الممنوحة للضحية قبل حذف الملفات للأبد او نشرها للعلن (ان كانت سرية).

3

ما الذي يستطيع الرانسوم وير عمله؟

  • قفل الجهاز ومنع المستخدم من الدخول للجهاز حتى دفع الفدية (التي تكون عادة عبارة عن اموال الكترونية مثل البتكوين او ما يسمى (monkeyPak)).
  • التحكم بجهاز الضحية عن بعد وجعله جهاز زومبي (zombie computer) بحيث يمكن ان يستخدم للهجوم على اجهزة اخرى بواسطة المهاجمين الذين يتحكمون به عن بعد.
  • يستهدف هذا الهجوم (الرانسوم وير) الافراد والشركات والمؤسسات على حد سواء ولذا فالكل معرضون له.
  • لا فرق بين اجهزة ويندوز او ماك واندرويد او ابل من ناحية خطر التعرض للأصابة بهذا الهجوم فكل الاجهزة العاملة بهذه الانظمة يمكن الهجوم عليها بأستخدام ادوات مختلفة تؤدي نفس الغرض المذكور اعلاه.
  • يقوم المخترقون بتشفير البيانات بأفتراض انها ثمينة وان صاحبها مستعد لدفع الاموال في سبيل استردادها (فأن لم تكن كذلك فنصيحتي هي ان تقوم بعمل (scan virus) ليقوم بحذف الملفات التجسسية المستخدمة بالهجوم ثم قم بمسح الملفات المشفرة (ان لم تكن ذات اهمية كبيرة لك) ثم قم بتنصيب (Malwarebytes Anti-Malware) ان لم يكن منصباً اصلاً وقم بعمل (scan) كامل للجهاز لأن هذا البرنامج ممتاز في كشف ملفات التجسس المستخدمة في هجوم الرانسوم وير.
  • يجب الانتباه الى انه ليس هناك ضمان ان ترجع الملفات او النظام حتى لو قمنا بالدفع للمبتزين فقد يأخذون الاموال ثم يقومون بحذف الملفات او نشرها وينفذون تهديدهم في الكثير من الاحيان بغض النظر عن الدفع او عدم الدفع.

من الامور المهمة التي يجب معرفتها عن الرانسوم وير ايضاً هي:

  • انه يتم اكتشافه من قبل برنامج ال(Malwarebytes Anti-Malware) بأسم (Troj/Ransom-ACP).
  • يمتلك المهاجمون مفتاح فك التشفير الوحيد مما يجعل عملية الاستعانة بمفاتيح اخرى غير مجدية في اغلب الاحيان لفك تشفير الملفات.
  • من الامور الجيدة في هذا المجال ان الرانسوم وير لا يشابه الفيروسات في قابلية استنتساخ نفسه في كل مكان ولكنه يستمر في البحث عن الملفات في الحاسوب ليشفرها ولذلك فأن اي ملفات في الشبكة المحلية سبق ان تم مشاركتها مع هذا الحاسوب (shared) ستكون عرضة للتشفير ايضاً.
  • ظهر اول رانسوم وير عام 1989 بأسم (AIDS Trojan) وسمى في وقته ايضاً (PC cyborg).
  • يمنح المخترقون مهلة تتراوح بين يومين او 3 بدفع الفدية وعادة يرفقون رابط طريقة الدفع مع رسالة طلب الفدية (التي سنرى نماذج منها في الفقرة التالية. وتتراوح قيمة الفدية بين 30 دولار في بعض الاحيان الى الاف الدولارات في احيان اخرى وتعتمد على اهمية المعلومات والملفات التي تم الوصول اليها وتشفيرها.
  • من الشركات التي تعرضت للأبتزاز بهذه الطريقة هي شركة نوكيا ودومينوز بيتزا وغيرها الكثير.

نماذج من رسائل طلب الفدية (الاموال):

456

teslacrypt-screen-2

rfaq-dedcryptor-screen-2

eda2-screenshot-2

الوقاية:

للوقاية من هذا النوع من الهجوم يمكن اتخاذ الاجراءات الاحترازية التالية وبشكل مستمر:

  • المحافظة على نظام التشغيل وكل البرمجيات الاخرى محدثة (updated) بشكل مستمر.
  • جعل عملية التحديث تلقائية (automatic updates) لكل البرمجيات والاضافات الخاصة بالمتصفحات مثل الجافا والادوبي فلاش وغيرها.
  • ابقاء الجدار الناري يعمل بشكل مستمر.
  • عدم فتح الايميلات التي تأتي في مجلد السبام (spam) وحتى التي تأتي في ال (inbox) اذا لم نكن نعرف المرسل او كنا غير متأكدين من امتداد المرفقات.
  • جعل برنامج تشغيل ملفات الجافا سكربت والفجول بيسك هو ال(note pad) لتجنب تشغيل سكربتات مشبوهة.
  • استخدام مضاد فيروسات محترم (وقد تحدثنا سابقاً عن عدة خيارات مجانية يمكن الاستعانة بها في المنشورات السابقة) وجدار ناري محترم.
  • عمل نسخ احتياطي للملفات بشكل مستمر (back up) وحفظ النسخ الاحتياطية في اقراص هارد او فلاش درايف خارجي.
  • فصل الاتصال بالانترنت اذا لم تكن تستخدمه في اي وقت.
  • ابلاغ السلطات المعينة في حالة حصول امور مشبوهة في جهازك والاتصال بالدعم الفني للأبلاغ عن اية حالة غريبة في جهازك ان كنت تعمل في شركة او مؤسسة.
  • الحرص على تحديث برمجيات الحماية بأستمرار.
  • عدم مشاركة اي ملفات مع اي حاسوب في الشبكة المحلية الا في حالة الاضطرار وبشكل موقت حتى تزول الحاجة الى ذلك وعدم منح صلاحيات التحكم في حاسوبك لأي شخص اخر في الشبكة المحلية او الانترنت.
  • عدم اعطاء صلاحيات مدير (Administrator) لأي مستخدم اخر لحاسوبك واذا كنت مدير شبكة فلا تعطي لأي مستخدم في شبكتك صلاحيات مدير حتى في حواسيبهم الشخصية وبالتالي ستضمن ان اي منهم لن يقوم بالخطأ (او بالعمد) بتشغيل برمجيات خبيثة غير مرغوب بها.

العلاج (بعد الاصابة بالهجوم والوصول الى مرحلة الملفات المشفرة او الحاسوب المقفل):

  • الخطوة الاولى هي الاستعانة ببرنامج ال (Malwarebytes) كما ذكرنا سابقاً وهناك برامج اخرى ممتازة ايضاً تقوم بنفس العمل ومنها الظاهرة في الصورة التالية:

6

  • في حالة عدم تنصيب احد البرامج اعلاه سابقاً فالافضل اتباع الخطوات التالية:
  • الدخول الى الطور الامن (safe zone).
  • حذف الملفات المؤقتة (temp files).
  • تنزيل احد البرامج اعلاه.
  • تشغيل البحث عن الفيروسات والبرمجيات الخبيثة وكما في الصور ادناه:

Picture1.png

ثم

Picture2

  • تشغيل ال(scan) وعمل (update) للمتصفح.
  • قم بأسترجاع ملفاتك بألاستعانة بالاداة المجانية التي توفرها شركة كاسبرسكاي والتي يمكن تنزيلها من الرابط التالي (انقر هنا لزيارة موقع الاداة No more Ransom).
  • طبعاً الاداة في الرابط اعلاه قد تعمل وقد لا تعمل لأنه معروف عن المهاجمين بهذه الطريقة انهم يغيرون من اساليبهم بأستمرار.

واخيراً ولمزيد من المعلومات عن هذا الهجوم وطرق الوقاية منه يمكن زيارة الرابط التالي (انقر هنا).

الى هنا ينتهي درسنا اليوم على امل ان يكون مفيداً للجميع وتثقيفياً للمستخدمين من كافة المستويات للمخاطر المحدقة بمستخدمي الانترنت وسيتم التطرق في دروس قادمة ان شاء الله الى بعض المصطلحات التي ذكرناها هنا بدون تفصيل (مثل البتكوين) ومن الله التوفيق.

2 comments

  1. السلام عليكم ورحمة الله وبركاته.
    دائما مع المقالات النافعة والممتعة.
    متعك الله بالصحة والعافية أخي مصطفى.

    إعجاب

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s