واحدة من أخطر البرمجيات الخبيثة التى ظهرت فى الفترة الأخيرة هى برمجيات إنتزاع الفدية الخبيثة (Ransomware ).
وتكمن خطورتها فى أنها تستهدف تشفير كل المستندات والصور والفيديوهات وغيرها من الملفات الهامة على جهاز الضحية وتمنعه من فتحها مرة أخرى والوصول لمحتواها إلا بعد دفع فدية مالية بعملة بيتكوين (Bitcoin) الرقمية للهاكر وإلا قد يخسر الضحية ملفاته للابد.
وأشهر حادث ارتبط بها فى الفترة الأخيرة هو حادث توقف العمل أسبوع كامل فى أحد المستشفيات الأمريكية بسبب نجاح هاكر فى تشفير ملفات المرضى من خلالها واضطرت إدارة المستشفى لدفع 17 ألف دولار أمريكي للهاكر لفك تشفير ملفات المرضى واستعادة العمل مرة أخرى .
وظهر مؤخراً نوع جديد منها قد يقوم بغلق جهاز المستخدم تماماً ومنعه من الدخول إليه مرة أخرى إلا بعد دفع فدية مالية قد تصل ل 5000 دولار بالعملة الرقمية .
وأشهر حادث ارتبط بها فى الفترة الأخيرة هو حادث توقف العمل أسبوع كامل فى أحد المستشفيات الأمريكية بسبب نجاح هاكر فى تشفير ملفات المرضى من خلالها واضطرت إدارة المستشفى لدفع 17 ألف دولار أمريكي للهاكر لفك تشفير ملفات المرضى واستعادة العمل مرة أخرى .
وظهر مؤخراً نوع جديد منها قد يقوم بغلق جهاز المستخدم تماماً ومنعه من الدخول إليه مرة أخرى إلا بعد دفع فدية مالية قد تصل ل 5000 دولار بالعملة الرقمية .
وتصاب عادة الأجهزة بها من خلال رسائل بريد إلكترونى مثيرة للفضول تخفى داخلها البرنامج الخبيث فى مرفق أو رابط أو إعلان مثير للفضول على أحد المواقع أو النوافذ التى تظهر فجأة على بعض المواقع تطلب منك تحديث المتصفح أو تنزيل تطبيق وأحياناً بمجرد الدخول لبعض المواقع المخترقة من قبل الهاكرز .
وينصح بفصل الجهاز المصاب بمجرد إكتشاف الإصابة إذا كان جزء من شبكة حاسب لأن بعضها ينتقل عبر الشبكة وينتشر مثل الأمراض المعدية .
وينصح بفصل الجهاز المصاب بمجرد إكتشاف الإصابة إذا كان جزء من شبكة حاسب لأن بعضها ينتقل عبر الشبكة وينتشر مثل الأمراض المعدية .
فى الصورة نموذج لمثل هكذا رسائل
وهذا نموذج لنافذة خبيثة تخفى برمجية انتزاع فدية تظهر فجأة على مواقع تطلب منك تحديث متصفح كروم لإضافة خطوط جديدة كى تتمكن من قراءة محتوى الموقع
لذا ينصح بالحرص أثناء التعامل مع الروابط والمرفقات والإعلانات المثيرة للفضول وفحصها قبل فتحها إذا كان فتحها ضرورة من خلال موقع https://www.virustotal.com/ لفحص الروابط والملفات المشبوهه .
وينصح أيضاً بالحرص على تحديث أنظمة التشغيل والتطبيقات بشكل دورى فقد ظهر فى 2016 نوع جديد من برمجيات إنتزاع الفدية الخبيثة يستغل الثغرات الأمنية فى كما حدث فى عملية قرصنة مؤسسة الرعاية الصحية الأمريكية Medstar والتى استغل فيها الهاكرز ثغرة أمنية فى خدمة JBoss على خوادم لينكس Red Hat لتعطيل عدد من فروع المؤسسة بشكل كامل لأيام ببرمجية إنتزاع الفدية الخبيثة Samsam.
تحديث فى يناير2017 : ظهر نوع جديد من برمجيات إنتزاع الفدية يصيب الأجهزة عبر وسائل التخزين النقالة USB لذا ينصح أيضاً بالحذر أثناء استخدامها خاصة فى الشركات.
ولمساعدة ضحايا هذا النوع الهجمات الإلكترونية بدأت شركات الحماية وأمن المعلومات وعدد من الباحثين بتوفير أدوات مجانية لفك تشفير الملفات المشفرة ببرمجيات إنتزاع الفدية الخبيثة تجد قائمة بالعديد منها فى هذا الرابط https://t.co/GXAG7thlHn
وتجد فى هذا الرابط العديد من مفاتيح شفرة الملفات المصابة https://miriamxyra.com/2016/03/17/ransomware-decryption-keys-released/
لذا ينصح بالحرص أثناء التعامل مع الروابط والمرفقات والإعلانات المثيرة للفضول وفحصها قبل فتحها إذا كان فتحها ضرورة من خلال موقع https://www.virustotal.com/ لفحص الروابط والملفات المشبوهه .
وينصح أيضاً بالحرص على تحديث أنظمة التشغيل والتطبيقات بشكل دورى فقد ظهر فى 2016 نوع جديد من برمجيات إنتزاع الفدية الخبيثة يستغل الثغرات الأمنية فى كما حدث فى عملية قرصنة مؤسسة الرعاية الصحية الأمريكية Medstar والتى استغل فيها الهاكرز ثغرة أمنية فى خدمة JBoss على خوادم لينكس Red Hat لتعطيل عدد من فروع المؤسسة بشكل كامل لأيام ببرمجية إنتزاع الفدية الخبيثة Samsam.
تحديث فى يناير2017 : ظهر نوع جديد من برمجيات إنتزاع الفدية يصيب الأجهزة عبر وسائل التخزين النقالة USB لذا ينصح أيضاً بالحذر أثناء استخدامها خاصة فى الشركات.
ولمساعدة ضحايا هذا النوع الهجمات الإلكترونية بدأت شركات الحماية وأمن المعلومات وعدد من الباحثين بتوفير أدوات مجانية لفك تشفير الملفات المشفرة ببرمجيات إنتزاع الفدية الخبيثة تجد قائمة بالعديد منها فى هذا الرابط https://t.co/GXAG7thlHn
وتجد فى هذا الرابط العديد من مفاتيح شفرة الملفات المصابة https://miriamxyra.com/2016/03/17/ransomware-decryption-keys-released/
وهنا خدمة Emsisoft لفك تشفير الملفات المشفرة ببرمجيات انتزاع الفدية الخبيثة https://decrypter.emsisoft.com/
ومؤخراً قامت الشرطة الأوروبية وعدد من شركات حماية نظم تكنولوجيا المعلومات بإطلاق موقع لا برمجيات إنتزاع فدية خبيثة بعد اليوم https://www.nomoreransom.org/ لمساعدة الضحايا عن طريق توفير كل الأدوات اللازمة لفك تشفير الملفات المصابة
وفى حال فشل وسائل فك تشفير الملفات وعلاجها من الإصابة ينصح بمحاولة إستعادة نسخة سليمة من الملف قبل التشفير من خلال برامج إستعادة الملفات المحذوفة
مثل http://www.rarefile.net/hkh5u84oxdi1/StellarPhoenix.WindowsRecovery.6.0.0.1.rar
وكما قالوا الوقاية خير من العلاج لذا ينصح الخبراء بعدد من الإجراءات لتأمين ملفاتك المهمة خشية تعرضها للإصابة بهذا البرنامج الخبيث وفقدها .لذا ينصح الخبراء المستخدمين هذه الأيام بأخذ نسخة إحتياطية بشكل دورى من ملفاتهم المهمة وهناك طريقتين لذلك للمستخدم العادى على جهازه الشخصى
ومؤخراً قامت الشرطة الأوروبية وعدد من شركات حماية نظم تكنولوجيا المعلومات بإطلاق موقع لا برمجيات إنتزاع فدية خبيثة بعد اليوم https://www.nomoreransom.org/ لمساعدة الضحايا عن طريق توفير كل الأدوات اللازمة لفك تشفير الملفات المصابة
وفى حال فشل وسائل فك تشفير الملفات وعلاجها من الإصابة ينصح بمحاولة إستعادة نسخة سليمة من الملف قبل التشفير من خلال برامج إستعادة الملفات المحذوفة
مثل http://www.rarefile.net/hkh5u84oxdi1/StellarPhoenix.WindowsRecovery.6.0.0.1.rar
وكما قالوا الوقاية خير من العلاج لذا ينصح الخبراء بعدد من الإجراءات لتأمين ملفاتك المهمة خشية تعرضها للإصابة بهذا البرنامج الخبيث وفقدها .لذا ينصح الخبراء المستخدمين هذه الأيام بأخذ نسخة إحتياطية بشكل دورى من ملفاتهم المهمة وهناك طريقتين لذلك للمستخدم العادى على جهازه الشخصى
الأولى وهى الأسهل الإعتماد على أحد خدمات التخزين السحابى على الإنترنت وبذلك تسطيع الوصول لملفاتك المهمة مرة أخرى حتى لو فقدت جهازك نفسه ويجب تأمين حسابك جيداً بتفعيل خاصية التحقق من هوية المستخدم بأكثر من وسيلة مثلاً إذا كنت تستخدم خدمة https://drive.google.com/drive للتخزين السحابى
تجد هنا طريقة إضافة التحقق بخطوتين https://www.google.com/intl/ar/landing/2step/
و تجد فى هذا المقال قائمة بعدد من خدمات التخزين السحابى الأخرى غير جوجل دريف http://www.sasapost.com/best-cloud-services/
تجد هنا طريقة إضافة التحقق بخطوتين https://www.google.com/intl/ar/landing/2step/
و تجد فى هذا المقال قائمة بعدد من خدمات التخزين السحابى الأخرى غير جوجل دريف http://www.sasapost.com/best-cloud-services/
الثانية حفظ نسخة من ملفاتك المهمة على وسيلة تخزين خارجية مثل USB H.D أو USB F.D ولا تقوم بتوصيلها بجهازك الا عند أخذ نسخة إحتياطية أو لإستعادة ملفاتك بعد التخلص من البرنامج الخبيث .
الثالثة يمكن لمستخدمى ويندوز استخدام خاصية volume shadow copies لأخذ نسخة إحتياطية بشكل دورى من الملفات الهامة بشكل آلى كإجراء إحتياطى لتفادى خسارة الملفات فى حال الإصابة بأحد برمجيات انتزاع الفدية الخبيثة.
تحديث 2018 إذا كنت تستخدم ويندوز10 (النسخة الأصلية ) سارع بتفعيل الخاصية المشار اليها فى الصور لحماية ملفاتك المهمة من فيروسات الفدية الخبيثة التى تشفر أى ملفات تبدو مهمة على جهازك خاصة ملفات العمل
الثالثة يمكن لمستخدمى ويندوز استخدام خاصية volume shadow copies لأخذ نسخة إحتياطية بشكل دورى من الملفات الهامة بشكل آلى كإجراء إحتياطى لتفادى خسارة الملفات فى حال الإصابة بأحد برمجيات انتزاع الفدية الخبيثة.
تحديث 2018 إذا كنت تستخدم ويندوز10 (النسخة الأصلية ) سارع بتفعيل الخاصية المشار اليها فى الصور لحماية ملفاتك المهمة من فيروسات الفدية الخبيثة التى تشفر أى ملفات تبدو مهمة على جهازك خاصة ملفات العمل
***ملحوظة إذا كنت تستخدم نسخة غير أصلية فلن تنفعك هذه الخاصية لأن الكراك فى حد ذاته فيروس
ملحوظة المقال يتم تجديده مع ظهور وسائل قرصنة جديدة وأدوات حماية وعلاج جديدة
مهندس/ محمود أحمد سليمان
- إستشارى تعليمى ومدرب ومهندس معتمد من مايكروسوفت فى نظم شبكات الحاسب وأمن المعلومات.
- هاكر أخلاقى.
- محقق جنائي في جرائم الكمبيوتر .
البريد الالكترونى eng_msoliman50@hotmail.com
فيسبوك : https://www.facebook.com/eng.m.soliman
لينكد إن : https://www.linkedin.com/pub/mahmoud-soliman/18/30b/711
تويتر : https://twitter.com/EMahmoudSoliman
شكرا جزيلا على هذا المجهود المفيد.
ردحذفشكرا جزيلا
ردحذفمشكووور جدا على تعبك من أجل الناس إخلاصا لله أحسبك كذلك
ردحذف