فيروس الفدية “بيتيا” يلتهم قرصك الصلب التهاماً

لا مناص لنا من التسليم بأن عام 2016 هو عام “فيروسات الفدية”، فقد انتشرت عائلات وإصدارات جديدة من هذا النمط من الفيروسات من حينٍ إلى آخر انتشاراً يشبه انتشار النار

لا مناص لنا من التسليم بأن عام 2016 هو عام “فيروسات الفدية”، فقد انتشرت عائلات وإصدارات جديدة من هذا النمط من الفيروسات من حينٍ إلى آخر انتشاراً يشبه انتشار النار في الهشيم.

فيروسات الفدية فيروسات سريعة التطور. تستخدم فيروسات الفدية الجديدة أكواد تشفيرٍ غير متماثلة تمتاز بالقوة، فضلاً عن استخدام تلك الفيروسات لرموزٍ طويلة تجعل من عملية فك تشفير الملفات دون الحصول على رمز فك التشفير أمراً يُشبه أن يكون مستحيلاً. بدأت مجموعةٌ من ذوي النفوس المريضة استخدام برنامج Tor -الذي يساعد في عدم الإفصاح عن هوية المستخدم عبر شبكة الإنترنت- واعتمدوا عملات “بتكوين” الإلكترونية المُعمَّاة عملةً لهم حتى يتسنى لهم التخفي الكامل. حتى ظهر لنا فيروس “بيتيا” الذي بمقدوره اختراق القرص الصلب وتشفيره بالكامل في لمح البصر فضلاً عن تشفيره للملفات واحداً تلو الآخر.

كيف يستحوذ “بيتيا” على جهازك؟

بيتيا أحد فيروسات الفدية الذي كشفته معامل G Data SecurityLabs. ويستهدف هذا الفيروس في غالب الأمر المستخدمين من أصحاب الأعمال، وينتشر عبر رسائل بريد إلكتروني مفخخة تَدَّعِي أنها تحوي نماذج عمل. ويشبه سيناريو الإصابة الصيغة التالية:

يقع مسؤول الموارد البشرية في الفخ المنصوب ويتسلم هذا البريد من أولئك الذين يظن فيهم أنهم يتطلعون إلى شغل منصبٍ ما في الشركة التي يعمل بها. ويتضمن البريد الإلكتروني رابط Dropbox لتحميل ملف يزعم فيه المحتال أنه يحوي سيرته الذاتية، ولكنه -في حقيقة الأمر- ما هو إلا ملف تنفيذي بصيغة EXE.

ويبادر مسؤول الموارد البشرية بالضغط على الملف، ولكنه -ولسوء الحظ- لا يُبصر السيرة الذاتية التي تَوَقَّع رؤيتها. ولكنه يرى بدلاً منها شاشة الموت الزرقاء. الأمر الذي يعني أن فيروس “بيتيا” قد وجد لنفسه طريقاً إلى جهاز المستخدم وشرع في مزاولة أعماله الدنيئة.

قرصك الصلب ملك أيدينا

عادةً ما تُشفر فيروسات الفدية أنماطاً معينةً من الملفات -مثل الصور أو الملفات المستندية وما إلى ذلك- وتدع الجهاز دون أن تلحق به ضرراً؛ الأمر الذي يعني أنه بإمكان المستخدم العمل على حاسوبه حتى يتمكن من سداد الفدية. ولكن فيروس “بيتيا” يتجاوز ضرره ذلك الأمر فيحجب المستخدِمَ من الوصول إلى أيٍّ من ملفات القرص الصلب.

وحتى نوجز القول، فإن طريقة تنظيم قرصك الصلب لم تعد مهمةً بعد الآن -سواءً أكان القرص الصلب مقسماً إلى قسمٍ واحدٍ أم أكثر- فإن هناك بعض المساحات المخفية يطلق عليها سجل الإقلاع الرئيسي (MBR). ويحتوي هذا السجل على جميع البيانات المتعلقة بعدد أقسام القرص الصلب وطريقة تنظيمها، ويحتوي أيضاً على شفرةٍ خاصة تستخدم لبدء تشغيل النظام – تُدعى تلك الشفرة Boat Loader أو مُحمِّل الإقلاع.

ويبدأ عمل محمل الإقلاع قبل بدء تشغيل النظام. وهذا بعينه ما يصيبه فيروس “بيتيا”: فيعمل الفيروس على تغيير مُحمِّل الإقلاع ويُحمِّل رمز الفيروس الخبيث بدلاً من تحميل أي نظام تشغيلٍ مُنَصَّب على الجهاز.

ويبدو للمستخدم كما لو أنه يجري تشغيل فحص القرص الصلب -الذي يُعد من الإجراءات المستحسنة بعد إصابة نظام التشغيل بعطبٍ ما-. ولكن ما يفعله فيروس “بيتيا” في هذه الأثناء هو تشفير جدول الملفات الرئيسية. وبهذا يختفي جزءٌ آخر من ملفاتك الشخصية على قرصك الصلب. يحتوي هذا الجدول على جميع المعلومات عن الملفات والمجلدات المخزنة في القرص الصلب.

وينبغي أن تأخذ بعين الاعتبار أن قرصك الصلب مثله مثل مكتبة ضخمة تحتوي على ملايين أو مليارات العناصر. وجدول الملفات الرئيسية هو الفهرس الذي يعمل على تنظيم هذه المكتبة وفهرستها. حسناً، فهذا توضيح مُبَسَّطٌ للغاية، والآن دعنا نأخذ الأمور على محملٍ أكثر جدية: نادراً ما تُسجَّل “الكتب” في قرصك الصلب على أنها عناصر مستقلة، ولكنها تُسجل على أنها صفحات مفردة أو قصاصات متناثرة. في أكوامٍ متعددة. لا يحكمها نظامٌ ولا ترتيب، إنه حقاً أمرٌ شديد العشوائية.

والآن، فإنه من المفترض أن يكون لديك -بعد هذا الشرح- فكرة عامة عن مدى الصعوبة التي قد تواجهها لإيجاد “كتابٍ” واحد إذا ما احتال شخصٌ ما وسرق “فهرس مكتبتك”؛ وهذا بالضبط ما يفعله فيروس “بيتيا”.

 

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!