فيروسات الفدية Ransomware هي نوع من الفيروسات التي تصيب أجهزة الكمبيوتر حيث تمنع المستخدم من الوصول
إلى نظام التشغيل أو تشفر جميع البيانات المخزنة على جهاز الكمبيوتر، وتطلب من المستخدم
“فدية” مقابل فك تشفير الملفات اذا هو نوع خبيث من البرامج يقفل أجهزة الحاسوب الشخصي
أو اللوحي أو الهواتف الذكية – أو يضع تشفيراً على ملفاتك ثم يطلب منك فدية مقابل إعادتها
إليك في حالة سليمة؛ هناك نوعان أساسيان من فيروسات الفدية.
النوع الأول هو فيروسات التشفير، أي: التي
تضع شفرة على الملفات بحيث لا يمكن الوصول إليها؛ ويتطلب فك تشفير الملفات امتلاك المفتاح
الذي تم استخدامه في تشفيرها – وهذا هو ما تدفع مبلغ الفدية للحصول عليه.
النوع الثاني هو فيروسات الحجب، التي ببساطة
تحجب الكمبيوتر أو الأجهزة الأخرى مما يجعلها غير صالحة للعمل؛ وفي الواقع، تُعد حالات
فيروسات الحجب أفضل من فيروسات التشفير، ففرص الضحايا في إزالة الحجب واستعادة إمكانية
الوصول أفضل من فك الملفات المشفرة
في الواقع، لا توجد قيمة “”معتادة””؛ ولكن
المبتزون يطلبون من ضحاياهم سداد 300 دولار أمريكي في المتوسط مقابل استعادة إمكانية
الوصول للملفات المشفرة أو الكمبيوترات المحجوبة. ولكن تطلب بعض برامج الفدية 30 دولاراً
أمريكياً، ويطلب بعضها الآخر عشرات الآلاف من الدولارات. وعادة ما تكون الشركات والمنظمات
الكبيرة الأخرى التي تصاب بالفيروس عبر أسلوب التصيد الاحتيالي بالرمح “”Spear phishing”” هي الأكثر عرضة لتلقي طلبات
فدية مرتفعة القيمة.
ولكن يتعين عليك ألا تنسى أن دفع الفدية
لا يضمن العودة الآمنة والسليمة للملفات
في بعض الأحيان، يمكن فعل ذلك. فمعظم برامج
الفدية تستخدم خوارزميات تشفير مرنة، ما يعني أن عملية فك التشفير قد تستغرق سنوات
بدون مفتاح فك التشفير.
وفي أحيان أخرى، يخطئ المجرمون الواقفون
خلف هجمات فيروسات الفدية، مما يمكن عناصر تطبيق القانون من مصادرة خوادم الهجوم التي
تحتوي على مفاتيح التشفير. وعندما يحدث هذا، يصبح بإمكان الأخيار تطوير برنامج لفك
التشفير
عادة ما تُطلب الفدية بالعملة المشفرة المعروفة
باسم البيتكوين. وتتميز هذه العملة بعدم إمكانية تزويرها. يستطيع أي شخص رؤية تاريخ
المعاملات المالية الخاصة بالمحفظة المالية ولكن ليس من السهل تعقب مالك هذه المحفظة.
ولهذا السبب يفضل المجرمون السيبرانيون عملة البيتكوين، فهي تزيد من احتمال عدم القبض
عليهم
وتستخدم بعض أنواع فيروسات الفدية محافظ
مالية إلكترونية مجهولة الهوية أو حتى تطبيقات الدفع في الهاتف المتحرك. وأكثر طرق
الدفع إثارة للدهشة لنا حتى الآن هي بطاقات آي تونز بقيمة 50 دولاراً
لطريقة الأكثر شيوعاً هي البريد الإلكتروني؛
قد يظهر فيروس الفدية في شكل مرفق مهم أو مفيد (فاتورة عاجلة، أو مقالة مثيرة للاهتمام،
أو تطبيق مجاني). وبمجرد فتحك للمرفق، يصبح الكمبيوتر الخاص بك مصاباً بالفيروس.
يستطيع فيروس الفدية التسلل إلى نظامك وأنت
تتصفح الإنترنت. وللسيطرة على نظامك، يستخدم المبتزون نقاط الضعف في نظام التشغيل أو
المتصفح أو التطبيق. لهذا السبب يمثل الاحتفاظ بالبرمجيات ونظام التشغيل محدثة أهمية
حيوية (بالمناسبة، يمكنك تفويض هذه المهمة لبرنامج “”Kaspersky
Internet Security”” أو برنامج “”Kaspersky Total Security”” حيث تنفذ النسخة الأحدث
من كلٍّ منهما هذه العملية بصورة آلية).
تستطيع بعض برامج فيروسات الفدية الانتشار
ذاتياً عبر الشبكات المحلية. على سبيل المثال، إذا أصاب فيروس حصان طروادة ماكينة أو
جهازاً واحداً في شبكة منزلك أو شركتك فسوف تصاب جميع نقاط النهاية الأخرى في النهاية
بالفيروس. ولكن هذه حالة نادرة.
بالطبع توجد سيناريوهات إصابة أكثر قابلية
للتنبؤ. على سبيل المثال، تقوم بتنزيل ملف تورنت، ثم تقوم بتثبيت مكون إضافي… وهكذا
“الملفات الأكثر إثارة للشبهة هي الملفات
التنفيذية (مثل ملفات “”EXE””
أو ملفات “”SCR””) ثم نصوص البرمجة المكتوبة
بلغة “”فيجوال بيسك”” أو “”جافا سكريبت”” (بامتدادات “”.VBS””
أو “”.JS””). وعادة ما يتم جمعها في
ملف مضغوط “”ZIP”” أو “”RAR”” بهدف إخفاء طبيعتها الخبيثة
الضارة.
ومن الفئات الأخرى الخطيرة ملفات “”مايكروسوفت
أوفيس”” بتمديداتها (“”DOC””
و””DOCX”” و””XLS”” و””XLSX”” و””PPT””، إلخ). فقد تحتوي على وحدات
ماكرو ضعيفة، وإذا تمت مطالبتك بتمكين وحدات الماكرو في مستند “”وورد”” ففكر جيداً
قبل أن تفعل ذلك.
وكن واعياً أيضاً بملفات الاختصار (التي
لها الامتداد “”.LNK””).
ويمكن أن يعرضها نظام التشغيل “”ويندوز”” في شكل أي أيقونة -مع اسم ملف عادي لا يثير
الشكوك- مما يمكنها من إيقاعك في مشاكل ومتاعب.
ملحوظة مهمة: يفتح نظام التشغيل “”ويندوز””
الملفات ذات الامتدادات المعروفة لديه بدون مطالبة المستخدم، وبالتالي تختبئ تلك الامتدادات
بصورة افتراضية في متصفح “”ويندوز إكسبلورر””. وبالتالي، إذا رأيت اسم ملف يبدو عادياً
مثل معلومات مهمة “”Important_info.txt””
فقد يكون برنامج تثبيت لبرنامج خبيث بالامتداد “”Important_info.txt.exe””.
فاضبط نظام التشغيل “”ويندوز”” على عرض الامتدادات لتحقيق مستوى أعلى من الأمان
هل يمكنني تجنب العدوى إذا ابتعدت عن المواقع
الإلكترونية المخادعة أو المرفقات المشبوهة؟
“لسوء الحظ، قد يصاب حتى المستخدمين الحذرين
بفيروس الفدية. على سبيل المثال، من الممكن أن يصاب الكمبيوتر الخاص بك وأنت تقرأ الأخبار
على موقع إلكتروني لصحيفة كبيرة ذات سمعة رفيعة.
بالطبع لن ينشر الموقع الإلكتروني البرنامج
الخبيث على الزوار من تلقاء نفسه – ما لم يتم اختراقه، وهذه قصة أخرى. فبدلاً من ذلك،
تعمل شبكات الإعلان التي اخترقها المجرمون السيبرانيون كموزع، وامتلاك نقطة ضعف غير
محمية يفسح المجال لتحميل البرنامج الخبيث. ومرة أخرى، مفتاح الحماية هو امتلاك برمجيات
محدثة ونظام تشغيل محمي بالكامل
أنا أعمل بنظام التشغيل “ماك”، فهل يعني
هذا أنه لا يتعين عليَّ القلق من فيروسات الفدية؟
يمكن أن يتعرض نظام التشغيل “”ماك”” للإصابة،
وقد حدث هذا بالفعل. على سبيل المثال، استطاع البرنامج الخبيث “”KeRanger”” التسلل إلى أكثر العملاء
استخداماً لبرنامج “”تورنت””، ألا وهم مستخدمو نظام التشغيل “”ماك””.
برامج فيروسات الفدية التي تستهدف نظم “”آبل”” سوف
تزداد تدريجياً. ومع ارتفاع تكلفة أجهزة آبل ارتفاعاً نسبياً، ربما يجد المبتزون مستخدمي
نظام التشغيل “”ماك”” هدفاً رائعاً لطلبات الفدية المرتفعة التكلفة.
تستطيع بعض أنواع فيروسات الفدية استهداف
حتى نظام التشغيل “”لينوكس””؛ فلا توجد نظم تشغيل آمنة من هذا التهديد
إذاً، حتى هواتف آي فون معرضة للخطر؟
“حتى الآن لا توجد برامج فيروسات فدية مُخصصة
لهواتف iPhone وأجهزة
iPad. يشير هذا البيان إلى أن
هواتف iPhone لا يمكن
اختراقها بسهولة. يمكن للفيروسات الضارة التسلل إلى الأجهزة التي لا تكون مقيدة بالقيود
الأمنية التي يفرضها نظام التشغيل iOS
والحماية التي توفرها Apple
على App Store.
قد تكون هواتف iPhone
وشيكة الإصابة بفيروسات الفدية على الرغم من أنها ليست سهلة الاختراق.
وقد نرى أيضاً ظهور فيروسات الفدية IoT.
قد يطلب مرتكبو الجرائم الإلكترونية فدية كبيرة بعد الاستيلاء على التليفزيون أو الثلاجة
الذكية
أي نوع من أنواع فيروسات الفدية أكثر انتشاراً؟
تجيب شركة Kaspersky :
تظهر أنواع جديدة من فيروسات الفدية يومياً،
لذلك يصعب القول أي الأنواع أكثر انتشاراً. فيمكننا أن نحصي العديد من الأمثلة مثل:
Petya الذي يشفر
جميع البيانات على القرص الصلب. وأيضاً يوجد СryptXXX:
الذي ما زال قوياً والذي قضينا عليه مرتين سابقاً. وبالطبع يوجد TeslaCrypt: كان الأكثر شيوعاً وانتشاراً
بين فيروسات الفدية في الأشهر الأربعة الأولى من عام 2016، وبشكل غير متوقع كان مخترعو
البرنامج هم من نشروا المفتاح الرئيسي للقضاء على البرنامج
إذا تعرضت أجهزتي للإصابة بفيروسات الفدية
فكيف يمكنني إزالة هذه الفيروسات؟
“إذا وجدت الكمبيوتر محجوباً — فلن يتم
تحميل نظام التشغيل — استخدم أداة Kaspersky WindowsUnlocker،
هي أداة مساعدة يمكنها إزالة الحجب وتعيد تشغيل نظام التشغيل (الويندوز).
فيروسات الحجب هي النوع الأصعب للقضاء عليها.
أولاً، عليك أن تتخلص من البرامج الخبيثة من خلال إجراء الفحص المضاد للفيروسات (antivirus scan). إذا لم يكن لديك برنامج
مضاد للفيروسات مناسب على جهاز الكمبيوتر يمكنك تنزيل من موقع kaspersky
الخطوة التالية هي استرجاع ملفاتك.
إذا كان لديك نسخة احتياطية من ملفاتك يمكنك
استرجاع ملفاتك بسهولة من النسخة الاحتياطية. فإن ذلك هو أفضل ما لديك.
إذ لم تكن لديك نسخة احتياطية من ملفاتك
فيمكنك محاولة فك تشفير الملفات باستخدام أدوات مساعدة خاصة تسمى أدوات فك التشفير
(decryptors). يمكنك إيجاد جميع أداوت
فك التشفير التي أُنشئت بواسطة كاسبرسكي لاب على الموقع الإلكتروني Noransom.kaspersky.com.
تطور شركات مكافحة الفيروسات الأخرى أدوات
فك التشفير. يبقى شيء واحد: تأكد من أنك قمت بتنزيل هذه البرامج من موقع موثوق حسن
السمعة وإلا فإنك تجري نشطات مليئة بمخاطر محتملة عالية للإصابة ببعض البرامج الخبيثة
الأخرى.
إذ لم تتمكن من إيجاد أدوات فك التشفير
المناسبة فيمكنك دفع الفدية أو تفقد ملفاتك للأبد. وهذا يعني أننا لا نوصي بدفع الفدية
لما لا ندفع الفدية ببساطة؟
“بالنسبة للمبتدئين لا يوجد ما يضمن استرجاع
ملفاتك مرة أخرى. فلا يمكنك الوثوق بالمبتزين. وأبسط الأمثلة على اللصوص غير الجديرين
بالثقة هو مخترع برنامج Ranscam،
وهو برنامج من برامج فيروسات الفدية ولكن اللص لم يكلف نفسه عناء فك تشفير الملفات
بل حذفها مباشرة (على الرغم من أنه قطع وعداً بفك تشفير الملفات مقابل المال).
ووفقاً للأبحاث فإن 20% من ضحايا فيروسات
الفدية الذين يدفعون المال لا يحصلون على ملفاتهم مرة أخرى.”
ثانياً بدفع الفدية فأنت تدعم هذه النوع
من أعمال الجرائم الإلكترونية وبالتالي تساعد على ازدهارها.
لقد عثرت على برنامج فك تشفير فيروس الفدية
الذي أبحث عنه؛ لماذا لا يعمل هذا البرنامج؟
إن مطوري فيروس الفدية سريعو الاستجابة
عند ظهور برنامج فك تشفير جديد، وتتمثل استجابتهم في إجراء تعديلات على البرامج الخبيثة
الخاصة بهم لتتغلب على برامج فك التشفير المتوفرة. الأمر مثل لعبة الغميضة. ولسوء الحظ،
فإن برامج فك التشفير لا تأتي بض إذا اكتشفت وجود عملية ضارة، فهل هناك أي إجراء يتعين
عليَّ القيام به لإيقاف الإصابة بهذا البرنامج؟
من الناحية النظرية، إذا تمكنت من اكتشافه
في الوقت المناسب يُمكنك إيقاف تشغيل الكمبيوتر الشخصي، قم بإزالة القرص الصلب، ثم
قم بتوصيله بجهاز كمبيوتر آخر، واستخدم برنامج مكافحة الفيروسات للتخلص منها. ومع ذلك،
ففي واقع الأمر يصعب أو يستحيل على أحد المستخدمين كشف الإصابة؛ يعمل فيروس الفدية
بجودة عالية حتى تتم عملية الاكتشاف الكبير: رسالة الفديةمانات
إذا قمت بنسخ ملفاتي نسخاً احتياطياً بصورة
منتظمة فهل سأصبح في أمان؟
عملية النسخ الاحتياطي مفيدة للغاية، دون
أدنى شك، إلا أنها غير مضمونة بنسبة 100%. فيما يلي إحدى الحالات: إذا قمت بضبط النسخ
الاحتياطي في جهاز الكمبيوتر الشخصي زوجك/ زوجتك ليعمل كل ثلاثة أيام. يقوم أحد المشفرين
باختراق النظام، ويقوم بتشفير جميع المستندات والصور وهكذا، ولكنه لا يستفيد من خطورة
الموقف مرة واحدة. لذا فعندما تقوم بالتحقق في الأسبوع التالي، تجد جميع النسخ الاحتياطية
مشفرة أيضاً. إن النسخ الاحتياطية مهمة للغاية، ولكن يتعين على وسائل الدفاع لديك فعل
المزيد
هل برامج مكافحة الفيروسات كافية لتجنب
الإصابة؟
“نعم، في أغلب الحالات. تحل برامج مكافحة
الفيروسات هذه المشكلات. وفقاً للمعايير المستقلة المقدمة الموضحة بواسطة المختبرات
الشهيرة (والتي تُعد المعايير الوحيدة التي يُمكن الوثوق بها)، تُقدم منتجات شركة Kaspersky حماية أفضلا
يُمكن منافستها. ومع ذلك، لا يوجد برنامج فعال 100% في مكافحة الفيروسات.
وفي حالات كثيرة،
يعتمد الكشف التلقائي على نوعية أحدث البرامج الضارة. إذا لم تتم إضافة توقيعات البرنامج
الضار إلى قاعدة بيانات برامج مكافحة الفيروسات يُمكن الكشف عن فيروس حصان طروادة عن
طريق التحليل السلوكي. عند محاولته إلحاق ضرر يتم حجبه على الفور.
يشتمل برنامجنا
على وحدة يُطلق عليها اسم System
Watcher؛
إذا كشف النظام عن محاولة تشفير ضخمة للملفات فإنه يعمل على حجب العمليات الضارة ويلغي
جميع التغييرات. يُرجى عدم تعطيل هذا المكون.”
وبالإضافة إلى
ذلك، يعمل برنامج Kaspersky
Total Security
على النسخ الاحتياطي للعمليات. وحتى عند سير الأمور في طريق خاطئ
للغاية يُمكنك استعادة جميع الأحداث الرئيسية من النسخ الاحتياطية
مصدر : موقع كاسبرسكي
اما في خبرتنا المتواضعة عندما تعرضنا لهذا النوع من الفيروسات فقد حاولنا فك التشفير باستعانة ببرامج مجانية من مواقع شركات الامن السيبيراني من كاسبرسكي وافاست لكن بصراحة دون جدوة لان التشفير متربط ببنك المعلومات التي انشاها اتحاد الشركات المختصة في الامن المعلوماتي لان فك تشفير ملف يحتاج الى ساعات او ايام او شهور. و لهذا اذا كانت العدو كلية فهنا لا يسعك الا إعادة تهيئة القرص الصلب من جديد وإعادة تقسيمه وتنصيب الوينداوز ثم برنامج مكافحة الفيروسات مثل كاسبرسكي او أي برنامج صادق مثل avast ,norton ,avira بعد ذلك قم بتحديث كل البرامج بعد الانتهاء من هذا كله نصب برنامج إعادة الملفات EaseUS Data Recovery Wizard واعمل بحث عميق deep على الجهاز ثم تعامل مع الملفات ملف ملف فجميع الملفات التي امتداداتها تغيرت لا تحاول استرجاعها فقط التي حافظت على امتدادها الطبيعي
مصدر : موقع كاسبرسكي
اما في خبرتنا المتواضعة عندما تعرضنا لهذا النوع من الفيروسات فقد حاولنا فك التشفير باستعانة ببرامج مجانية من مواقع شركات الامن السيبيراني من كاسبرسكي وافاست لكن بصراحة دون جدوة لان التشفير متربط ببنك المعلومات التي انشاها اتحاد الشركات المختصة في الامن المعلوماتي لان فك تشفير ملف يحتاج الى ساعات او ايام او شهور. و لهذا اذا كانت العدو كلية فهنا لا يسعك الا إعادة تهيئة القرص الصلب من جديد وإعادة تقسيمه وتنصيب الوينداوز ثم برنامج مكافحة الفيروسات مثل كاسبرسكي او أي برنامج صادق مثل avast ,norton ,avira بعد ذلك قم بتحديث كل البرامج بعد الانتهاء من هذا كله نصب برنامج إعادة الملفات EaseUS Data Recovery Wizard واعمل بحث عميق deep على الجهاز ثم تعامل مع الملفات ملف ملف فجميع الملفات التي امتداداتها تغيرت لا تحاول استرجاعها فقط التي حافظت على امتدادها الطبيعي
ويبقى في الأخير عمل
نسخة احتياطية للملفات كحل جيد لأي طارئ .
تعليقات
إرسال تعليق