انقاذ بيانات ضحايات فيروس التشفير Cryakl/Fantomas

فبراير 12, 2018

مشروع لا لدفع الفدية الذي يساعد ضحايا فيروس الفدية الخبيثة لديه أخبار ممتازة!

الشرطة البلجيكية بمساعدة كاسبرسكي لاب توصلوا الي مفتاح فك تشفير فيروس الفدية Cryakl/Fantomas  والذي يعرف أيضاً باسم Fantomas مفتاح فك التشفير متاح الآن على موقع المشروع!

 

 

ما هو Cryakl؟

هو برمجية فدية خبيثة على شكل فيروس طروادة (Trojan-Ransom.Win32.Cryakl)  في البداية كان ينتشر عن طريق رسائل البريد الالكتروني. وكانت هذه الرسائل تثير الشك بالطبع ولكن كان هناك من يقع في الفخ. ومن ثم تطور شكل الرسائل لتبدو مثل اي رسالة عادية من منظمة تبدو حقيقة.

وعندما يشفر الفيروس احد اجهزة الضحايا فانه يصنع مفتاح فك تشفير ويتم ارساله لمركز التحكم. فبدون هذا المفتاح يكون فك التشفير شبه مستحيل. بعد تشفير ملفات الضحية يتم استبدال ورق الحائط على الجهاز برسالة دفع الفدية. كما يستخدم الفيروس صورة قناع الفيلم الفرنسي الشهير villain Fantomas الذي تم انتاجه سنة ١٩٦٤ ولهذا يتم استخدام الاسم ايضاً للإشارة لهذا الفيروس. معظم هجمات هذا الفيروس انشرت بروسيا ولهذا معظم المعلومات حوله مصدرها روسيا.

Ransomware’s history and evolution in facts and figures

قصة النجاح

كما اوضحنا من قبل، مجهودات الشرطة البلجيكية وخبراء كاسبرسكي لاب المشتركة نجحت في الحصول على مفتاح فك تشفير الفيروس.

بدأ التحقيق عن طريق وحدة جرائم أجهزة الكمبيوتر عندما وصل اليها معلومات باصابة أجهزة ببلجيكا وقد تم اكتشاف خادم C&C باحد الدول المجاورة.

والعديد من خوادم C&C تحصل على مفتاح فك التشفير الرئيسي من الأجهزة المصابة. في هذه اللحظة تدخل خبراء كاسبرسكي لاب لمساعدة قوى الشرطة وهذه بالطبع ليست أول مرة نفعل فيها هذا.  وبالطبع كانت النتائج ممتازة: خبرائنا قامو بالمساعدة في تحليل البيانات واستخراج مفتاح فك التشفير.

تم اضافة المفتاح الي اداة RakhniDecryptor  على موقع لا لدفع الفدية. كما اصبحت الشرطة البلجيكية شريك رسمي في المشروع والذي بدأ في يوليو ٢٠١٦ وقام بمساعدة عشرات الألاف من الضحايا لاعادة بياناتهم المشفرة.  وقم تم انقاذ العديد من ضحايا الابتزاز من دفع ما بلغ ١٠ مليون يورو اجمالي من الفدية المحتمل دفعها.

No More Ransom: A very productive year

كيف يمكنك اعادة ملفاتك التي تم تشفيرها عن طريق فيروس

Cryakl

موقع لا لدفع الفدية يتيح اداتين لفك تشفير الملفات المشفرة من قبل Cryakl احداهما تسمى RannohDecryptor والتي تم طرحها سنة ٢٠١٦. وهي تعمل على النسخة القديمة من فيروس Cryakl والتي يمكنك تحميلها من موقع المشروع  NoMoreRansom.org ويمكنك معرفة طريقة فك التشفير من هنا

كما قد تم طرح الأداة الثانية RakhniDecryptor والتي تحتوي على المفتاح الرئيسي الذي اوضحنا كيف تحصلت عليه الشرطة البلجيكية. ويمكنك تحميل الأداة عن طريق الموقع ذاته وايضاً تعليمات التحميل موجودة هنا.

 

كيف تحمي نفسك في المستقبل

بالطبع الحماية خير من فك التشفير!  ولهذا عند التعامل مع برمجيات التشفير فإن الحماية ارخص واسهل من محاولة فك تشفير البيانات.

ولهذا نطرح عليك بعض النصائح الأساسية لحماية بياناتك وملفاتك:

  1. قم دائماً بنسخ نسخة احتياطية من جميع ملفاتك الهامة في مكان آخر، يمكن ان يكون تخزين سحابي او قرص خارجي او جهاز آخر. ويمكنك التعرف على طرق النسخ المتاحة من خلال التدوينة هذه.
  2. قم بإستخدام احد الحلول الأمنية الموثوق بها! مثلا  Kaspersky Total Security  والذي يمكنه مساعدتك في القيام بنسخ احتياطية من ملفاتك.
  3. لا تقم بتحميل اي برامج من مصادر غير موثوق بيها، لان مثبت البرنامج يمكن ان يحتوى على احد البرمجيات الخبيثة.
  4. لا تقم بفتح المرفقات من اي رسالة بريد الكتروني مصدرها غير معروف، حتى لو تبدو هامة. اذا كنت في حالة شك فالأفضل ان تبحث عن رقم المؤسسة التي ارسلت لك الرسالة وتواصل معهم لمعرفة حقيقة الأمر.