مشروع No More Ransom يوفر الوقت

فبراير 8, 2017

في أحد أيام شهر مايو 2016، قامت ماريون -التي تحمل الجنسية الألمانية- بفتح جهاز الكمبيوتر الشخصي الخاص بها، ولم يكن لديها أدنى فكرة عما قد يكون مُخَبَّأً لها، كانت أولى الإشارات على وجود متاعب أن جهاز الكمبيوتر الخاص بها لا يعمل بشكل طبيعي ولا تستطيع الوصول إلى سطح المكتب حتى بعد إعادة تشغيله يظل الوضع كما هو، ومن ثَمَّ رأت على شاشة الكمبيوتر الخاص بها رسالة برنامج رانسوم وير ((ransomware الخبيث، ولم تكن تدري ماذا أصابه، ولم تلاحظ أي شيء مريب في آخر مرة استخدمت فيها جهاز الكمبيوتر، ولم يستخدمه أي فرد آخر من أفراد العائلة.

ولكن ما حدث هو:

ظهور برنامج رانسوم وير (ransomware)

يمثل برنامج رانسوم وير (ransomware) مشكلة زاد خطرها خلال الأعوام القليلة الماضية ولا تظهر معه أي إشارة إلى بطء السرعة. نعلم جميعاً أنه من المهم دائماً عمل نسخة احتياطية وعدم فتح رسائل البريد الإلكتروني المشتبه فيها واستخدام أفضل البرامج الأمنية وهكذا، ولكن مع ذلك فقد يحدث أي شيء آخر، فقد تجد نفسك فجأة تتعامل بصعوبة مع بيانات على جهاز الكمبيوتر الخاص بك وشبكة الإنترنت ومُحرك الأقراص الصلبة المرفق.

لا يمكنك أن تجعل جهاز الكمبيوتر الخاص بك آمناً بنسبة 100% ما لم تقم بفصله عن أي شبكة وإزالة محرك الأقراص المضغوطة ووصلات (USB) وغير ذلك. ولكن هذا يبدو صعباً من الناحية العملية في عالم اليوم المتصل دائماً؛ لذلك فقد آن الأوان للانخراط في مجال إدارة المخاطر لإعداد توازن شخصي لديك بين وسائل الراحة والأمان والخصوصية.

وإذا حدث أن وقعت ضحية هجوم من برنامج رانسوم وير (ransomware)، فأنت بحاجة لمعرفة أن قرارك هذا ليس قراراً بسيطاً يتعلق بالسداد أو عدم السداد، ولكنك تملك خيارات أكثر من ذلك، وقد يكون من الصعب استعادة البيانات الخاصة بك كما كانت مرة أخرى.

يقوم المهاجمون بتعديل “الأخطاء” التي تُستخدم للسماح للشركات مثل شركة كاسبرسكي لاب وشركائها من خلال تطوير الأدوات العامة المستخدمة في فك تشفير الملفات المتضررة من تهديدات برنامج رانسوم وير(ransomware) المختلفة. الآن وأكثر من أي وقت مضى، توجد أنواع أكثر تطوراً من برنامج رانسوم وير (ransomware)، ويتطلب استرجاع البيانات مفاتيح خاصة من المجرمين.

استعادة البيانات

لما كان يوم ماريون يزداد سوءاً بمرور الوقت، فقد قامت بإغلاق جهاز الكمبيوتر الخاص بها وطلبت المساعدة من قسم تكنولوجيا المعلومات في العمل، وكان القسم قادراً على استخراج كافة المعلومات المتعلقة بها من رسالة برنامج رانسوم وير ((ransomware والملفات ذات الصلة الموجودة على القرص وحتى بعض الصور ومستندات PDF قبل التشفير وبعده. وحاولوا بجميع الطرق المتاحة القيام بفك شفرة الملفات ولكن لم يفلح الأمر.

في تلك المرحلة، تضررت ماريون تماماً بسبب ما حدث لجهاز الكمبيوتر. فقد كان مُحرك الأقراص الصلبة الخاص بها يحتوي على أرشيف إلكتروني تبلغ مدته أكثر من عشرة أعوام به صور عائلية؛ سنوات من المناسبات الخاصة التي تم ترتيبها داخل مجلدات بحسب التاريخ، ولم تتمكن من الوصول إلى جميع تلك المجلدات باستثناء بضعة مجلدات، ولم يكن لدى ماريون نسخة احتياطية خارجية لكنها كانت متأكدة من شيء واحد فقط وهو أنها لن تدفع المال لمجرمي الإنترنت.

اتصلت ماريون بالأشخاص الذين شاركتهم الصور الخاصة بها وطلبت إعادة إرسال الملفات لها مرة أخرى، وبهذه الطريقة استعادت بعضاً من الملفات ولكن تبقى أغلبية الملفات مفقودة.

بمساعدة قسم تكنولوجيا المعلومات في الشركة التي تعمل بها، حاولت البحث عن حل على الإنترنت ولكنها لم تصل إلى أي شيء. فتوجهت بعد ذلك إلى أصدقائها، وفي النهاية وضعت منشوراً على صفحتها على الفيسبوك (Facebook) تطلب فيه المساعدة حتى إنها عرضت مكافأة قدرها 500 يورو لأي شخص يمكنه مساعدتها في استرداد ملفاتها لكن دون دفع أي أموال للمجرمين.

(الترجمة: بالرغم من أنني حصلت على العديد من النصائح من أشخاص قدموا يد المساعدة لي، لكن ملفاتي ما زالت مشفرة، ويبدو أنني تضررت كثيراً بسبب إصدار جديد. ولكني لن أفقد الأمل وسأرفع المكافأة إلى 500 يورو لمن يستطيع مساعدتي في فك شفرة ملفاتي).

ردَّ نحو 20 شخصاً على المنشور الخاص بها وحاولوا مساعدتها ولكن لم يفلح أي شخص.

حان الوقت لاستخدام مشروع “No More Ransom

تفاعلت مع الفريق عندما شاركت في المشروع. وقد لاحظ زميل سابق لي في الدراسة المنشور الخاص بماريون، ونظراً لأنني أعمل في فريق الأبحاث والتحليلات الدولية GReAT في شركة كاسبرسكي لاب فقد أضافني إلى المحادثة.

تواصلت مع ماريون وأعطتني جميع المعلومات اللازمة حتى أتمكن من التحقق من الأدوات لفك شفرة الملفات الخاصة بها، ولكن لم أستطع العثور على أي إصدار معين تسبب في إلحاق الضرر بها.

مع المعلومات التي حصلت عليها من ماريون طلبت مساعدة المتخصصين لدينا في برنامج رانسوم وير ((ransomware. وسرعان ما أكدوا لي أن البرامج الخبيثة كانت إصداراً جديداً من برنامج CryptXXX V3، وأن الأدوات المخصصة لمساعدتها في فك شفرة الملفات الخاصة بها لم تتوفر بعد. وقمت بنقل هذه الأخبار السيئة إلى ماريون ولكنى نصحتها بعدم دفع الفدية لأن المهاجمين قاموا بعمل برنامج جديد من رانسوم وير (ransomware)، ونعمل الآن مع جهات تطبيق القانون وغيرهم من الشركاء على تطوير أدوات فك التشفير أو استخراج المفاتيح الخاصة المخزنة من قبل المجرمين على خوادم الضبط والتحكم الخاصة بهم.

نقوم بذلك عن طريق مشروع “No More Ransom”. ففي صيف عام 2016 قامت وكالة الشرطة الأوروبية يوروبول وشركة كاسبرسكي لاب وشركة إنتل سكيوريتي بإطلاق بوابة NoMoreRansom.org لمساعدة ضحايا برامج رانسوم وير ransomware في استعادة الملفات الخاصة بهم وعرقلة نموذج الأعمال المربحة الذي يغري مجرمي الإنترنت للعودة وطلب المزيد. يوجد الآن أكثر من 40 شريكاً في المشروع.

في 20 ديسمبر قمنا بإضافة جهاز تشفير آخر لبرنامج CryptXXX V3 في صفحة مشروع “No More Ransom”، وقدمناه مجاناً بدون أي تكاليف مثل جميع أدوات برنامج رانسوم وير (ransomware) ويمكنك إيجاده في صفحة المشروع. كنت لا أزال أفكر في حالة ماريون؛ لذلك تواصلت معها علي تطبيق الفيسبوك ((Facebook ونصحتها باستخدام تلك الأداة الجديدة. وبعد مرور بضعة أيام عاودت ماريون الاتصال بي لتخبرني أنها تمكنت من استرداد جميع الملفات المشفرة! (ومن الطبيعي إنني لن أخذ أي مقابل لذلك)

الدروس المستفادة

سألت ماريون عما استفادته من هذه التجربة؟ فقالت إنها أصبحت تقوم بعمل نسخ احتياطية للبيانات الخاصة بها على محركات أقراص صلبة خارجية مختلفة فضلاً عن أنها صارت الآن أكثر حذراً أثناء تصفح الويب وتتأكد دائماً من تثبيت أحدث برامج التصحيح لديها. كما أنها توقفت عن السماح لأي شخص آخر باستخدام جهاز الكمبيوتر الخاص بها. وهذا يعيد القصة مرة أخرى إلى أنه من الضروري أن نكتسب مهارة إدارة المخاطر. وفي النهاية الأمر متروك لك للاعتناء بجهاز الكمبيوتر الخاص بك فضلاً عن الشبكة والخصوصية والممتلكات الشخصية. لكن إذا حدث ما لم يكن في الحسبان، فتذكر أن خياراتك ليست قاصرة على عملية الدفع أو عدم الدفع فحسب. تعد بوابة NoMoreRansom.org هي أول مكان تلجأ إليه للقيام بالفحص حتى تتمكن من استرداد الملفات الخاصة بك دون الحاجة إلى أن تدفع سنتاً واحداً إلى أي شخص. حتى إن لم يتوافر الحل بعد، يجب عليك التريث وليس دفع الأموال للمحتالين. ماريون هي مجرد شخص واحد من ضمن الأشخاص المستفيدين من مشروع “No More Ransom” الذي أصدر حتى الآن سبع أدوات مجانية مخصصة لفك التشفير. وقام خمسة آلاف مستخدم بفتح ملفاتهم وقاموا بمساعدة رانسوم بتوفير أكثر من 1.5 مليون دولار أمريكي.