فهرس الموضوع
فيروس الفديه رانسوم وير بعد من اخطر البرامج التي تؤذي اجهزة الحاسوب و انظمة ويندوز و اخطرها فيروس Wannacry , خاصة الاجهزة التي لا تدعمها ويندوز و الاجهزة الغير محدثة, يتمثل الفيروس بتشفير البيانات و الملفات , و طلب مبالغ من المال مقابل كود فك التشفير , يعتبر من اخطر الفيروسات التي تؤدي الى اختراق الكمبيوتر و تستهدف بالاساس الشركات والمقاولات التي تحتوي انظمتها على معلومات هامة, و مؤخرا تعرضت الكثير من الدول و المؤسسات و المستشفيات الى هجمات الكترونية من فيروس Ransomware و إن الهجوم استهدف آلاف المنظمات الحكومية وغير الحكومية وبلغت الهجمات 75 ألف هجوم في يوم واحد وكانت اغلبها على روسيا أوكرانيا وتايوان , وأشار المصدر إلى أن الهجمات تمت عن طريق فيروس كمبيوتر Wannacry وهو يستهدف السيطرة على ملفات الكومبيوتر الذي ينجح بالتسلل له , تعرف من خلال هذا الموضوع من كيف تقني على فيروس رانسوم وير Ransomware و شرح طريقة حذفه والتخلص منه .
حذف فايروس الفديه رانسوم وير Ransomware
ما هو فيروس ransomware ؟
فيروس الفديه بالانجليزي Ransomware من الفيروسات التي كان لها الحظ الأوفر في الانتشار خلال هذا العام وفي تقرير لشركة مكافي حول الفيرس توكد وجود أكثر من 250،000 ,نوع مختلف من هذا الفيروس تتمثل الخطورة في تشفير كامل الهارد ديسك بالتالي لن تستطيع الوصول الي اي من البيانات المخزنة مثل الصور والملفات النصية وغيرها إلا بإتباع خطوات معينة يفرضها الفيرس علي المستخدم تتضمن دفع مبلغ من المال للحصول علي كود فك التشفير .
المشكلة الأكبر في تطور هذا النوع من فيروسات الفدية بشكل معقد واستخدام الكثير من الطرق لتشفير البيانات بالتالي لايمكنك الوقوف على حل قطعي لمشكلة الاصابة كما يعتمد علي استخدام برنامج Tor بالتالي يتمتع بالحماية الكاملة ولايمكن رصد مصدر الفيرس.
طرق هجوم فيروس رانسوم وير السري
رانسوم وير عبارة عن هجوم إلكتروني يبتز من خلاله المستخدم وتحريضه على دفع المال . كان المجرمون في البداية يستخدمون فيروس الفديه كوسيلة ابتزاز لجني الأموال من الأفراد الذين يريدون استرداد معلوماتهم الشخصية. واليوم يستخدم المجرمون رانسوم وير كوسيلة ابتزاز لجني الأموال من الشركات التي تريد استرداد معلوماتها الحساسة.
لا يوجد جهاز محصّن من رانسوم وير. فقد ابتز المجرمون الأفراد لتحريضهم على دفع الأموال مقابل استرداد معلوماتهم الشخصية أو الطبية من مزوّدي الرعاية الصحية ومنعوا الضيوف من الدخول إلى غرفهم في الفنادق. حتى أن الأنظمة الصناعية أثبتت حساسيّتها اتجاه فيروس رانسوم وير.
في السابق كان فيروس رانسوم وير يمنع الضحية من الوصول إلى سطح مكتبه أو متصفّح الإنترنت الخاص به. ثم بدأ مهاجمو الإنترنت يستخدمون برنامج رانسوم وير – السرّي الأكثر تعقيدًا لتشفير المعلومات على أجهزة الحاسوب أو الهواتف المحمولة. ويرسل كلا البرنامجين إشعار ابتزاز إلى المستخدم: اشتري برنامج فك التشفير أو مفتاح فك التشفير أو ستخسر بياناتك للأبد.
وكما ذكرنا اصبح الفايروس يستهدف بالتحديدي الشركات و المستشفيات والمقاولات التي تحتوي انظمتها على معلومات هامة إلا ان هذا لايعني انه لايمكن ان تكون ضحية هذا النوع من البرامج الضارة التي تشبه فيروس رانستورم وير في دورها لكنها تختلف عنه من حيث طريقة الإنتشار وكذلك العمل , كون ان إنتشاره في العالم يكون عشوائيا وقد يصل حاسوبك في اي وقت عن طريق إستغلال ثغرات امنية في الشبكة من اجل ولوج شبكات اخرى وبالتالي الإحتقان بحواسيب اخرى في الشبكة ، كذلك الإنتشار عن طريق الاقراص المرنة CD /DVD و مفاتيح usb . غير ذلك فإن Ransomware قد يستغل كذلك hoaxs من اجل الإنتشار وهي عبارة عن تقنية تعتمد على إرسال رسائل الاكترونية إلى علبة الواردات مفادها ان حاسوبك اصيب ببرنامج ضار خطير ويجب عليك تحميل مضاد الڤيروسات من رابط يكون في الحقيقة هو رابط تحميل Ransomware عوض مضاد الڤيروس او إظهار بعض الإعلانات المنبثقة عند زيارة الموقع تفيد بان حاسوبك به برامج ضارة .
يحصل كل ذلك بشكل خفي دون علم المستخدم , ويتم تشفير البيانات و الملفات وبعد الانتهاء من ذلك , تظهر للمستخدم رسالة في المتصفح او على سطح المكتب تطلب منه استخدام متصفح التور (tor browser) للدفع بعملة البتكوين او غيرها وتحدد المهلة الممنوحة للضحية قبل حذف الملفات للأبد او نشرها للعلن ان كانت حساسة و تهم المؤسسة .
بعد قراءة هذه الرسالة ، لا يوجد حل بالنسبة للضحية إلا إتباع ما جاء فيها حرفيا و ذلك من شدة حرصه على استرجاع معلوماته الشخصية فيقوم بفتح متصفح التور tor ثم يتوجه إلى رابط الموقع المشار إليه ، فتظهر له هذا الطلب
لكن لا تقم بدفع المبلغ اة تعبئة الطلبات و ذلك لانه في معظم الاحسان يكون مفتاح فك التشفير لا يعمل لذلك يعتبر من اخبث الفيروسات التي قد تخترق اجهزة الكمبيوتر .
ما هو فيروس الفديه WannaCry
يعتبر من اخطر فيروسات رانسوم وير التي انتشرت في العالم بشكل مرعب في هذه الفترة , و يستغل فيروس واناكراي WannaCry ثغرة فى الويندوز ويقوم بتشفير ملفات الهارد بشكل كامل ويطلب الهاكرز بعدها من الضحية 300 دولار للإفراج عن الملفات الخاصة به، ووقعت العديد من الشركات المشهورة مثل شركة “زي فيدكس” ضحية لهذا الفيروس بالإضافة إلى هيئة الصحة فى بريطانيا، وفى ألمانيا هيئة قطارات ألمانيا، ووزارة الدفاع الروسية والعديد من الجامعات فى إيطاليا والولايات المتحدة الأمريكية وتعتبر مصر من أكثر الدول التى انتشر بها الفيروس، ويقوم الهاكرز بتحذير ضحاياهم أنه فى حالة عدم إرسال مبلغ 300$ سوف يتم مسح البيانات الخاصة بهم فى مدة لا تتجاوز سبعة أيام، وعندما يتم اختراق جهاز تظهر رسالة محتواها أنه تم تشفير جميع بيانات الجهاز وحجبها عن صاحبها حتى يقوم بإرسال الأموال، وسوف نعرض عليكم صورة من الرسالة الخاصة التي ظهرت على الأجهزة المصابة.
يهدد العديد من مهاجمي رانسوم وير او اي نوع من فيروسات الفديه الضحايا بأنهم سيخسرون جميع ملفاتهم الشخصية بشكل دائم إن لم تُدفع الفدية خلال 24 ساعة. كما يجسّد المهاجم في بعض الأحيان دور الجهات الحكومية وجهات تنفيذ القوانين لخداع الضحايا، حيث يطالب المستخدم بدفع غرامة.
Wannacry يضرب 99 دولة في يوم واحد
الامر الذي احدث ضجة في امن و حماية المعلومات يوم الحمعة 12 مايو 2017 حيث انتشر خبر فيروسات تضرب 99 دولة في يوم واحد , و ذلك بعد ان اعلنت شركة الأمن الإلكترونية الأمريكية أفاست Avast أن 99 دولة تعرضت لهوم هاكرز كبير يوم الجمعة وكانت الهجمات من فيروسات “رانسوم وير”.
وبحسب موقع “سبوتنيك” فإن الهجوم استهدف آلاف المنظمات الحكومية وغير الحكومية وبلغت الهجمات 75 ألف هجوم في يوم واحد ويعتبر اكبر عدد هجماتت على المواقع الروسية , ولكن تركزت أغلب الهجمات على روسيا أوكرانيا وتايوان , وأشار الموقع إلى أن الهجمات تمت عن طريق فيروس كومبيوتر واناكري wannacry وهو يستهدف السيطرة على ملفات الكومبيوتر الذي ينجح بالتسلل له.
ظهر الفيروس فى صورة رسالة نصية على أجهزة الحاسبات الشخصية تمهل الضحايا مهلة 3 أيام لتسليم مبلغ 300 دولار للإفراج عن بياناتهم الشخصية التى تمت سرقتها، محذرة إياهم من عدم القدرة على استرداد الملفات حال عدم الدفع فى خلال 7 ايام.
استخدم القراصنة أدوات فيروس Wanna-Cry سرقت على ما يبدو من وكالة الأمن القومى الأمريكية لتشل المستشفيات فى انجلترا يوم الجمعة مما اضطر الاطباء الى الابتعاد عن المرضى فيما تقوله.
وقالت الشرطة الأمريكية إن الفيروس من فئة “رانسوم وير” وهي فيروسات تتسلل للأجهزة وتنشر رسالة لأصحاب الملفات بأن عليهم دفع مبالغ مالية مقابل استعادة السيطرة على أجهزتهم.
كيفية الحماية من فيروس الفديه Ransomware
بعد ان ذكرنا خبر هجوم فايروس رانسوم وير على الكثير من الكبر الشركات و الفنادق في عدد من الدول و مدى الخسارة التي تسبب فيها من خلال فيرس واناكراي Wannacry , يتطلب ذلك الحديث عن طريقة حماية اجهزة الحاسوب و انطمة ويندوز من هذه الفيروسات ولذلك لحماية جهازك وملفاتك يمكنك اما ان تقوم بتحديث النظام وذلك يحتاج لبعض الوقت ، او تحميل ادوات التخلص او الحماية من الفيروسات الخبيثة التي من اخطرها فيروسات رانسوم وير والتي تقوم بتعطيل الثغره التي يتم من خلالها الوصول لجهازك.
فعليا لا توجد طرق او برامج تضمن لك حذف الفايروس بعد اختراق جهازك , يمكنك تحميل بعض الادوات التي ورها محترفين امن وحماية المعلومات تتيح لك فك تشفير الملفات
تحميل اداة فك التشفير Ransomware Decrypter :
تحميل اداة Ransomware Decrypter
تحميل اداة Ransomware RemovalKit :
الحماية من فيروس Wannacry
فى حالة أن جهازك لم يصبه الفيروس حتى الآن ننصح بعدم تحميل أي شئ غير موثوق به من على الانترنت، وعدم الضغط على أي لينكات إلكترونية مجهولة المصدر أو الولوج إلى مواقع التحميل الغير موثوق بها، يجب عليك أخذ نسخة احتياطية من بياناتك على هارد ديسك خارجي أو فلاش ميموري ويتم حفظها بعيد عن الجهاز الخاص بك، لو تم اختراق الجهاز الخاص بك وظهرت لك رسالة الفدية اترك الهارد ديسك الخاص بك وقم بشراء هارد جديد حتى يظهر حل لهذا الفيروس.
يجب القيام بهذه الخطوة حتى نتمكن من غلق الثغرة مؤقتا و حماية حاسوبك من فيروس واناكراي بدون تحميل اي اداة ، فى البداية نذهب إلى Control Panel، ثم بعد ذلك إلى Programs، ونختار منها Turn Windows features on or off، ثم نختار Clear the SMB1.0/CIFS File Sharing، وبعدها نقوم بعدم تفعيل هذا الخيار ولو كان مفعل نقوم بإلغاء تفعيله ونقوم بإعادة تشغيل الجهاز.
يمكنك ايضا تحميل اداة symantec لحماية حاسوبك من فيروس واناكراي wannacry من خلال الرابط و سوف يتم تشغيلها بعد ان تقوم بتحميلها و اعادى تشغيل جهاز الكمبيوتر , مع ملاحظة ان برامج مكافحة الفيروسات على اجهزة الكمبيوتر قد تجد الاداة على انها فيروس لا تقلق و اكمل الخطوات و اضغط على موافق و ابدا باستخدامها
يجب ان تكون SMB2 متوقفه كما بالصورة يجب ان يظهر لك SMB2 is currently disabled وبعد انتهاء الهجوم يمكنك اعادة تشغيلها مرة اخري، عن طريق تشغيل نفس الاداه مرة اخري، اذا قمت بعمل ريستارت ووجدت رساله كما هي تفيد بأن SMB2 is currently enabled قم بالضغط كليك يمين واختيار run as administrator.
اذا لم يعمل الرابط السابق يمكنك تجربة رابط المباشر من هنا :
طرق تجنب الإصابة بفيروس رانسوم وير
- قم بحفظ نسخة إحتياطية من ملفاتك خارج جهازك مثلا على USB drive .
- حاول بتحديث نظام التشغيل الويندوز العامل على جهازك بصفة دورية وقم بتبديل جهاز الكمبيوتر اذا تاكدت انه من الاجهزة التي رفعت ويندوز عنها الدعم و الامن
- تأكد من تشغيل الوضع الأوتوماتيكي لتحديثاث الأمان في ويندوز.
- قم بتشغيل مضاد الفيروسات من البرامج الامنة او اي برنامج قوي مثل الكاسبر , افيرا و أحرص على تحديث قاعدة بياناته .
- تأكد من تشغيل الجدار الناري .
- لا تقدم على فتح الرسائل الإلكترونية مجهولة المصدر لأن هذا الفيروس كثير الإنتشار عبر السخام Spam و يكون في شكل مرفقة من صيغة zip .
- لا تضغط على أي رابط إلا إذا تأكدت من مصدره و وجهته .