وماذا بعد الهجوم الإلكتروني: كل ماتريد معرفته عن الرانسوم وير أو هجوم الفدية

28 sec read

ربما أتي هذا المقال متأخراً بعض الشئ ولكن كنتيجة حتمية لشدة الهجمات التى حدثت بداية من يوم الجمعة الماضية فإن الحديث عن هذا الهجوم الإلكتروني لم يتوقف، كما أنني لم أعتد على مسألة الترند التى تملأ سماء مواقع التواصل الاجتماعي ومابين التهويل والتهوين تضيع الحقائق وقد يرتكب المستخدم أخطاء تودى به إلي التهلكة نتيجة هذه الآراء … ومن الأفضل أن تبقي مراقباً للحدث حتي تستطيع الإلمام به من جميع الزوايا والبحث فى أراء الخبراء من أنحاء العالم للوصول لما يفيد المستخدم حقاً بعيداً عن الترهات والهراء … فإذا كنت تريد الحقيقة وكل ما يخص هذا الهجوم الإلكتروني والبرمجية الخبيثة التى أصابت العالم كله بالشلل فهيا بنا نقرأ هذا المقال عن فيروس الرانسوم وير والمسمى Wannacrypt0r

ماهي برمجية الرانسوم وير

هي برمجية خبيثة تقوم بتشفير جميع البيانات الموجودة على الحاسوب، فيما تظهر رسالة متوفرة بـ 28 لغة تفيد بأن عليك دفع مبلغ من 300 إلى 600 دولار لحساب محدد وبالعملة الإلكترونية “بيتكوين” ويوجد بالرسالة مؤقت عد تنازلي يحدد مدة زمنية يتضاعف بعدها المبلغ ومدة أخرى يتم بعدها فقد الملفات والبيانات نهائيًا، والمبلغ المطلوب دفعه يكون مقابل إرسال مفتاح فك التشفير لك للإفراج عن بياناتك المشفرة.

طريقة عمل برمجية الرانسوم وير

تنتشر البرمجية من خلال إرسالها للمستخدم فى رابط مرفق عن طريق البريد الإلكتروني، وبعد إصابة جهاز المستخدم فإنه يستغل الثغرة المعروفة باسم «MS17-010» والموجودة بنظام ويندوز لتصيب أجهزة أخرى على نفس الشبكة وذلك من أجل تحقيق انتشار سريع للفيروس الإلكتروني، ويمكن لهذا الفيروس أن يصيب الأجهزة التى تعمل بنظام تشغيل ويندوز من XP إلى R2008، وكما ذكرنا سابقاً أنه في حالة إصابة جهاز المستخدم بهذه االبرمجية الخبيثة فإنه يتم تشفير جميع الملفات الموجودة على جهاز الحاسب ويطلب من المستخدم دفع فدية كشرط لاسترداد الملفات الخاصة به.

تسلسل الهجمات وبدايتها

بداية ظهور هذه البرمجية الخبيثة أو الفيروس على الإنترنت كان في بدايات عام 2017 من خلال مجموعة تطلق على نفسها اسم “Shadow Brokers”، وهي نفس المجموعة التي أعلنت العام الماضي 2016 عن الاستحواذ على أدوات وثغرات من وكالة الأمن القومي الأمريكية NSA والتي تستخدمها الوكالة في اختراق أجهزة المستخدمين، وكان من بين هذه الثغرات ثغرة أمنية تسمح للمهاجمين بإصابة الأجهزة بفيروس WannaCry، ولا توجد حتى الآن تأكيدات حول مسئولية المجموعة عن الهجوم الأخير.

وقد انتقد إدوارد سنودن عبر حسابه في تويتر وكالة الأمن القومي الأمريكية وحملها مسئولية هذا الهجوم الأمني الأخير على العديد من المؤسسات والأشخاص في العديد من الدول حول العالم، وقال أنه لو كانت الوكالة أعلنت عن الثغرة عند الوصول إليها لكان تم سدها وما كانت العديد من المستشفيات قد تعرضت لمثل هذا الهجوم.

https://twitter.com/NSAGov

تأثير الهجوم الإلكتروني على العالم

طبقاً لما تم إعلانه تعرضت أكثر من 99 دولة في أوروبا وآسيا لهذا الفيروس ووصلت الهجمات لأكثر من 122 ألف حاسب مصاب مما تسبب في تعطيل عمل مؤسسات حيوية، وقد أقرت كلاً من بريطانيا والولايات المتحدة والصين وروسيا وإسبانيا وإيطاليا وألمانيا وفيتنام وتايوان وبعض الدول العربية كمصر والسعودية بالتعرض لتلك الهجمات وناشدت في الوقت ذاته ضحايا تلك الهجمات عدم الدفع للقراصنة، وذكرت العديد من المصادر أن هذا الهجوم يعد هو الأكبر فى عالم الإنترنت حتي الآن.

وطالت الهجمات المؤسسات الإستراتيجية الحكومية منها والخاصة أيضًا، كالهجوم على شركة الاتصالات الأسبانية “Telefonica”، وشركة الغاز الطبيعي والعديد من الجامعات الصينية، ومطار ومحطة قطار فرانكفورت في ألمانيا.

ومن أبرز تلك الاستهدافات الهجوم الذي تعرضت له خدمة الصحة العامة في بريطانيا، ما تسبب في شل عمل أجهزة الحاسوب في العديد من مؤسساتها في البلاد، وإحداث بلبلة في عشرات المستشفيات التي اضطرت إلى إلغاء إجراءات طبية وإرسال سيارات إسعاف إلى مستشفيات أخرى.

أيضاً أكدت وزارة الطاقة والسياحة والأجندة الرقمية الإسبانية أن هجوماً إلكترونياً واسع النطاق استهدف عدداً من كبرى الشركات الإسبانية، مطالباً بدفع فدية لاستعادة الملفات المخترقة.

وذكرت شركة “فيديكس” الأمريكية للبريد السريع أنها تعاني من مشاكل في بعض أنظمة “مايكروسوفت ويندوز” فيما يتعلق بالهجوم الإلكتروني العالمي، كما نقلت وسائل إعلام، عن تعرض شركة الاتصالات الإسبانية تيليفونيكا، ومشغل الشبكات الخلوية الروسية “ميجا فون”.

وقالت الوكالة البريطانية للأمن المعلوماتي في بيان لها “اليوم شهدنا سلسلة هجمات إلكترونية استهدفت آلاف المؤسسات والأفراد في عشرات الدول”. وأوصت الوكالة بتحديث برامج أمن المعلومات وبرامج مكافحة الفيروسات الإلكترونية، كما قالت وزارة الأمن الداخلي الأمريكي في بيان لها : “لقد وردتنا تقارير عديدة عن إصابة أجهزة حاسوب ببرنامج معلوماتي بغرض الحصول على فدية.

كما أعلنت شركة “مايكروسوفت” في بيان لها يوم الجمعة الماضية بأن مهندسيها أضافوا خاصية الكشف والحماية على ضوء هذا الهجوم الذي عطل أنظمة المستشفيات في إنجلترا وتأثرت به أجهزة الكمبيوتر في العديد من الدول في أنحاء العالم، وقال متحدث باسم مايكروسوفت إن المهندسين أضافوا أنظمة الكشف والحماية ضد برامج ضارة جديدة معروفة باسم Win32.WannaCrypt

كما رصد العديد من الخبراء خلال الأيام الماضية تدفق عملات البيتكوين على الحساب الموجود برسالة التعطيل الخاصة ببرمجية رانسوم وير وبالرغم من ذلك فإن بعض الجهات والمستشفيات المصابة بالفيروس والتى قامت بدفع الفدية لم يتم إعادة تشغيل أنظمتها مرة أخرى.

وتظهر الصورة التالية قائمة الـ Top 20 لأكثر الدول المصابة جراء الهجوم الأكتروني والتى توضح أن روسيا هي أكثر الدول المتضررة من هجوم برمجية الرانسوم وير بينما تأتي مصر فى المركز التاسع عشر فى هذه القائمة

تأثير الهجوم الإلكتروني على مصر

يذكر أن مصر من ضمن أكثر 20 دولة تعرضت لهذا الهجوم الإلكتروني وهناك بعض الحالات التى أعلنت على حساباتها الشخصية على مواقع التواصل الاجتماعي عن إصابتها بتلك البرمجية الخبيثة

وأصدرت وزارة الاتصالات المصرية بيانا للمستخدمين عن تلك الهجمات وكيفية التعامل معها يمكنك الاطلاع عليه من خلال هذا الرابط كما أعلنت عن بريد إلكتروني يمكنك مراسلته في حالة الطوارئ 

وهو incident@egcert.eg

كيف تقوم بحماية نفسك وبياناتك

حتى الآن لا يوجد مضادات أو Antiviruses لتلك الهجمات الناتجة من برمجيات الرانسوم وير الخبيثة، والمقصود هنا أن إصابة جهازك بهذا الفيروس لا يوجد له حل حتى الآن سوى الخضوع للابتزاز، وأهم ما يمكنك فعله هو زيادة الوعي الأمني الخاص بك تجاه الحفاظ على بياناتك من التلف أو الضياع والوقوع تحت طائلة الابتزاز من مبرمجي هذه التطبيقات الخبيثة. أما فى حالة عدم إصابتك فسوف نسرد لك بعض الخطوات التى تحميك مستقبلاً

1- أهم الخطوات وأفضلها هو حفاظك على أخذ نسخ احتياطية من بياناتك فى مواعيد دورية يجب الحفاظ عليها وجعلها من المقدسات لديك والمقصود هنا هو عمل نسخ احتياطية من بياناتك الكاملة على وسائل تخزين خارجية (External Hard drives) بعيدة تماما عن الاتصال بالإنترنت ومؤمنة بشكل سليم، ولا تعتمد على التخزين السحابي (Cloud) فإذا ماحدث لجهازك تشفير بأى نوع من برمجيات الـ ransomwares سوف تكون مستعداً ببياناتك الاحتياطية المؤمنة.

2- عند أخذ نسخ احتياطىية من بياناتك يجب أن تقوم بتشفيرها Full Disk Encryption حتى إذا ما فقدت مصدر نسخك الاحتياطية نتيجة السرقة أو الضياع فكل البيانات تكون غير قابله لإعادة الاستخدام الغير مصرح به.

3- قامت شركة سيمانتك Symantec ببرمجة وإطلاق أداه Tool تمكنك من إغلاق منفذ رقم 445 وهو الخاص ببروتوكول SAMBA أو SMB الخاص بويندوز، يمكنك الاطلاع على التقرير الخاص بهذه الأداة من خلال هذا الرابط، كما يمكنك تحميلها من خلال هذا الرابط.

4- أو يمكنك تحميل هذه الأداة التى قامت ببرمجتها شركة Bitdefender من خلال هذا الرابط.
.

5- أو تحميل أداة KasperskyLab Anti-Ransomware tool من خلال هذا الرابط.
.

6- إذا كنت غير متأكد من استطاعتك تحميل تلك الأدوات يمكنك تعطيل الثغرة يدوياً عن طريق تلك الخطوات:

Ø قم بفتح Control Panel

Ø قم باختيار Programmes and Features

Ø ثم اختر Turn Windows features on or off

Ø ثم تقوم بالبحث عن الخيار SMB 1.0/CIFS File Sharing Support ونزيل العلامة الموجودة بجانبه.

وبعد انتهاء تلك الخطوات تقوم بإعادة تشغيل الحاسب الخاص بك لتكون قد قمت بتعطيل المنفذ الخاص بالثغرة والتى تستغل من قبل برمجية الرانسوم وير.

7- الحرص على التحديثات الأمنية لنظام التشغيل الخاص بك فقد أصدرت شركة مايكروسوفت تحديثا أمنيا لسد الثغرة الخاصة ببرمجية رانسوم وير منذ شهر مارس الماضي مع العلم أنّ مايكروسوفت أعدت تحديث أمني لنظام ويندوز XP الذي تم إيقاف دعمه منذ ما يقرب من ثلاثة أعوام، وكذلك أرسلت تحديث لويندوز 8 وويندوز سيرفر 2003، ويمكنك تحميل التحديث بشكل منفرد لأي نظام من خلال هذا الرابط
.

8- عليك أن تكون حذراً من فتح رسائل البريد الإلكتروني الغير موثوقة والمشبوهة، وتأكد من عنوان الرسائل الواردة إليك جيدًا.

9- تجنب تحميل أي ملفات من مصادر غير موثوقة وخاصة ملفات “Microsoft Office”.

10- حدّث تطبيقات مضادات الفيروسات لديك باستمرار. قم بتحديث تطبيق الجدار الناري Firewall الخاص بك.

إحصائيات 

– أكثر الدول التي تعرضت للضربة فى امريكا الجنوبية هيا بالترتيب البرازيل، الاكوادور، المكسيك، كولومبيا، شيلى واخيرا الارجنتين،.

– فى مصر فى الوقت الحالى الاحصائية مش واضحة ولكن فى حوالى ٤٨١٤ بورت مفتوح ومعرض للاختراق بواسطة ال ransomware دى، انا ليه قولت port مقولتش جهاز؟ لان البورت الواحد بيمثل احتمال خطر كبير جدا لانتشار ال ransomware على كل الشبكة المحلية الموجود فيها البورت المصاب، دا معناه ان بمجرد ما ينضرب جهاز واحد بس من الاجهزة المعرضة لل public هيتم ضرب جميع الاجهزة الوجوده فى نفس النطاق (طبعا يستثنى من الاحصائية دى الاجهزة العامله ب لينيكس وماك واى اجهزة ويندوز تم سد الثغرة بها).

– احصائيات البورتات على حسب اعلى ٥ مدن فى جمهورية مصر العربية كالتالى: القاهرة ٢٥٣٤ بورت يليهم الجيزه ٣٢٦ بورت، يليهم الاسكندرية ٢٩٨ بورت، مدينة نصر ١٣٧ واخيرا الزقازيق ٣٣ بورت، الاحصائية نفسها على حسب موزعين الخدمة: المصرية لخدمات نقل البيانات TEData فى المركز الاول ب ٣٧٣١ بورت تليها Link Egypt ب ٥٥٣ بورت يليهم RAYA بعدد ١٣٥ بورت يليهم اتصالات مصر ب ١٢٨ واخيرا EUN ب ٥٤ بورت.

اللي حابب يعرف تفاصيل اكتر عن الفيروس نفسه فده لينك فيه عملية تحليل الفيروس من اول ما بينزل علي جهاز الكمبيوتر لغاية ما يشفر الملفات وايه البروسيز اللي بيستخدمها والملفات اللي بينزلها والايبيهات اللي بيكلمها يمكن زيارة الرابط التالي.
 

كيف تمت عملية الإيقاف المؤقت لأكبر هجوم إلكتروني عن طريق الصدفة

أوضحت صحيفة “الديلي ميل” البريطانية أن دارين هوس، العامل في شركة الأمن “Proofpoint” اكتشف أن هناك حزم بيانات ترسل طلبات لاسم نطاق غير مسجل لدى شركات تعيين وتسجيل أسماء النطاقات، وكان مشفرا (اسم النطاق غير الموجود) في “كود” البرمجية الخبيثة.

https://twitter.com/hashtag/WannaCry?src=hash

وذكرت الصحيفة أن هوس بالاشتراك مع صاحب حساب تويتر “MalwareTechBlog” قررا شراء اسم النطاق المشفر في كود الفيروس والذي يسمى ” iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”، مشيرة إلى أن العملية كلفتهما أقل من 11 دولار فقط.

ورصد هوس وصديقه  بعد ذلك آلاف الطلبات التي ترسل إلى النطاق المسجل في الثانية الواحدة.

https://t.co/zs5Td4ovvL

مصادر مفيدة للمزيد عن الهجوم الإلكتروني 

1- CNN

2- The Telegraph

3- BBC

4- The Guardian

5- The Hacker News

6- حساب إدوارد سنودن على منصة تويتر

Journas

Never miss a story from us, get a weekly update to your inbox