نوفمبر 3, 2016

كل ما تريد معرفته عن برمجيات رانسوم وير

أمن برمجية خبيثة

 

قراءتك هذه المقالة قد توفر لك ثلاثمائة دولار، وهي متوسط مبلغ الفدية التي ينتزعها منك المبتزون عبر الشبكة؛ حيث يطلبون من ضحاياهم سدادها قبل أن يسمح لهم المبتزون بمعاودة فتح ملفاتهم التي سبق أن شفروها أو أجهزة الكمبيوتر الخاصة بهم التي سبق أن جعلوها عصية الفتح والتشغيل.

أصبح من السهل إصابة جهازك ببرمجيات طلب الفدية رانسوم وير عندما تفتح رسائل عمومية ترد إلى بريدك الإلكتروني دون أن تعرف مرسليها، أو تتوق لتصفح مواقع الأفلام الإباحية المجانية؛ وحتى لو لم تمارس مثل تلك الأفعال الخاطئة فأنت ما زلت معرضاً للخطر. اقرأ كي تعلم الأسباب وما يمكنك اتخاذه من إجراءات لحماية نفسك.

ransomware-faq-featured
  • ما المقصود ببرمجيات رانسوم وير؟

هي برمجيات خبيثة تغلق الكمبيوتر أو الجهاز اللوحي أو الهاتف الذكي، أو تُشفِّر ملفاتك ثم تطلب منك فدية لإعادة فتح تلك الملفات. هناك نوعان من البرمجيات التي تطلب الفدية:

الأول: هو المُشفِّرات التي تشفر الملفات لتجعل فتحك لها مستعصياً؛ لأن فك شفرتها يحتم حصولك على المفتاح المستخدم في تشفيرها، والذي تُدفع الفدية في مقابله.

أما الثاني: فيُطلق عليه اسم العائق (بلوكر) لأنه ببساطة يعيق تشغيل الكمبيوتر أو أي جهاز، إلا أن العائق (بلوكر) يتميز بكونه أبسط في نص السيناريو من المشفِّرات لأن الضحية قد يكون قادراً على إعادة تشغيل الجهاز، لكنه يصعب عليه الوصول إلى ملفاته التي تم تشفيرها بسبب البرنامج الخبيث.

2- ما هي القيمة المعتادة للفدية التي يطلبها المبتزون؟

لفظة معتادة نفسها لفظة شاذة هنا لأن بعض برامج الفدية تطلب مبالغ تربو على ثلاثين دولاراً فقط، وقد يطلب بعضها عشرات الآلاف من الدولارات. تُطلب مبالغ الفدية الضخمة من الشركات والمؤسسات الكبرى التي تصاب بتلك البرمجيات الخبيثة عبر المواقع التجارية والمالية الاحتيالية التي تعمل كرأس حربة لتصيُّد الضحايا. إلا أنَّ عليك أن تعلم أن سدادك مبلغ الفدية ليس ضماناً لعودٍ آمن للملفات المشفرة.

3- هل يمكنني فك شفرة الملفات دون سداد الفدية للمبتزين؟

في بعض الأحيان، نعم، لأن أغلب البرمجيات الخبيثة تستخدم خوارزميات تشفير مرنة تمتص محاولات إعادة فتح الملفات وتجعل من محاولة فتحها دون استخدام مفتاح فك التشفير أمراً يستغرق أعواماً.

قد يرتكب المبتزون أخطاء عند بدء هجومهم الخبيث مما يمكن رجال إنفاذ القانون من مصادرة الخوادم الإلكترونية التي تحوي مفاتيح التشفير وعندها يمكن للأخيار أن يسبقوا الأشرار ويطوروا مفاتيح فك التشفير بأنفسهم.

4- كيف يتم دفع الفدية؟

عادة ما يُطلب سداد قيمة الفدية بالعملة الإلكترونية، أي: البيتكوين التي لا يمكن تزويرها أبداً. يمكن تتبع مراحل الصفقة على الشبكة لكن من الصعب معرفة صاحب المحفظة الإلكترونية التي وصلها التحويل بالبيتكوين وهي العملة التي يفضلها المبتزون ومجرمو الشبكة لأنهم يطورون إمكانيات هروبهم من القبض عليهم إلى مستوى أفضل دائماً.

تستخدم بعض برامج رانسوم وير محافظ مالية إلكترونية مجهولة المالك على الشبكة، أو تقبل الدفع عبر الهواتف المتحركة. أما أغرب طريقة رأيناها هي السداد ببطاقات آي تيونز من فئة الخمسين دولاراً.

5- كيف يمكن إزالة برامج رانسوم وير من جهازي للأبد؟

البريد الإلكتروني هو الناقل الأكثر شيوعاً للفيروسات الخبيثة حيث ينتحل برنامج الفدية شخصية مُرفق مهم بريء مع رسالة (مثل فاتورة عاجلة، أو مقالة مثيرة، أو تطبيق مجاني) وبمجرد فتح المرفق ينتقل البرنامج الخبيث فوراً إلى جهازك.

 

يستطيع برنامج رانسوم وير التسلل إلى نظام التشغيل في جهازك عند تصفحك المواقع على الشبكة حيث يستخدم المبتزون نقاط الضعف في نظم التشغيل وبرامج التصفح والتطبيقات للتحكم في جهازك، لذا يجب عليك دوماً تحديث نظام التشغيل (بالمناسبة، يمكنك تفويض برامج كاسبرسكي لتأمين الأجهزة والشبكات مثل: كاسبرسكي إنترنت سيكيوريتي وكاسبرسكي توتال سيكيوريتي التي تتولى أحدث إصداراتها أتمتة تلك العملية).

تقوم بعض البرمجيات الخبيثة بالتكاثر والبث ذاتياً خلال الشبكات المحلية، حيث تُصاب النهايات الطرفية من الأجهزة العاملة على شبكة محلية منزلية أو خاصة بشركة جرَّاء إصابة جهاز واحد في البداية. لكن تلك حالة نادرة الحدوث.

هناك الكثير بالطبع من سيناريوهات الإصابات التي يمكن التنبؤ بها، عندما تستخدم برامج التنزيل (توررينت) وتقوم بثبيت برنامج تطبيقات واستنساخ ابتكاري (بلاق-إن).

6- ما هي أكثر الملفات خطورة؟

إن ملفات التنفيذ ( مثل EXE أو SCR) هي الأكثر ريبة ولا تقل عنها ريبة نصوص فيجوال بيزك أو جافا سكريبت (بامتدادات ملفات مثل.VBS أو.JS ) لأنها مكدسة في الغالب في ملفات أرشيف ZIP أو RAR لإخفاء هوياتها الخبيثة الضارة.

الملفات الأخرى الخطيرة هي ملفات مايكروسوفت أوفيس (DOC, DOCX, XLS, XLSX, PPTوغيرها) حيث يمكن أن تحتوي على تعليمات مفردة تتوسع آلياً إلى مجموعات (ماكرو) وتكون غير محصنة، وعند محاولتك إطاعة أمر تفعيل الماكرو في الوثيقة يستفحل الأمر، لذا يجب عليك أن تفكر مرتين قبل أن تفعل ذلك.

كن يقظاً وحاذِرْ من ملفات الوصول المختصر (شورتكت) ذات الامتداد (.LNK) لأن برنامج التشغيل ويندوز قد يماثلها مع أي أيقونة تتزاوج بدورها مع أي اسم ملف بريء المظهر فتقع في شرك متاعب جمة.

ملحوظة مهمة: يفتح ويندوز الملفات المعروفة الامتداد دون الرجوع للمستخدم ويحتفظ افتراضياً بتلك الملفات مختفية في ويندوز إكسبلورر، لذا عند رؤيتك لملف مثل Important_info.txt، تأكد أنه في الحقيقة ملف تثبيت البرمجيات الخبيثة Important_info.txt.exe. يجب عليك دوماً أن تضبط ويندوز على خاصية كشف امتدادات الملفات show extensions للتمكين لأمان أكثر.

7- هل يمكنني تجنب الإصابة لو تحاشيت المواقع المارقة والمرفقات المريبة؟

لسوء الحظ، حتى أشد المستخدمين حيطةً عرضةٌ للإصابة ببرامج الفدية، فقد يصاب جهازك عند تصفحك للأخبار على موقع صحيفة محترمة مرموقة. وطبعاً، لا يوزع موقع الصحيفة برمجيات خبيثة على عملائه بل اخترقه القراصنة وتصالحت معهم شبكات الإعلانات فصاروا يستخدمونها مطية هي الأخرى لبث برامجهم الخبيثة، لذا نكرر هنا أن تحديث البرامج دورياً واستخدام برامج تشغيل يتم تحديثها آلياً من قبل بائعيها هما المفتاح لحل تلك المعضلة.

8- أستخدم جهاز ماك، وعليه لا داعي لأن أقلق من برامج الفدية؟

أجهزة ماك أيضاً لها تاريخ مع برامج الفدية، ونذكر هنا برنامج الفدية KeRanger ransomware الذي اخترق موقع التنزيل المشهور ترانسميشان وأصاب مستخدمي ماك.

يعتقد خبراؤنا أن عدد البرمجيات الخبيثة وبرامج الفدية التي تستهدف نظم آبل تتجه للازدياد. وبالطبع ينظر المبتزون إلى مالكي أجهزة ماك على أنهم أهداف ممتازة لطلب فدية عالية نظراً لكون أجهزتهم غالية القيمة نسبياً.

بعض برمجيات الابتزاز وطلب الفدية تستهدف لينوكس – لا شيء محصن ضد هذا التهديد.

9- أستخدم هاتفي للوصول للشبكة، فهل أقلق؟

نعم، لأن هناك برامج تشفير وإعاقة blockers تعمل بنظام أندرويد وأجهزتها التي تسود سوق الاستهلاك الآن. يجب أن تستعمل برنامج مضاد للفيروسات antivirus on your smartphone على هاتفك ولا داعي لأن تفكر في وصم الآخرين بجنون الارتياب.

10- حتى آيفون أصبح في مرمى الخطر؟

حتى تاريخه، لم نرصد برامج ابتزاز فدية مخصصة لآيفون أو آيباد، ونقصد هنا الآيفون الذي لم يتعرض لعمليات إزالة نظم التشغيل الأصلية آيوس وإحلالها ببرامج تشغيل غير معتمدة من آبل لأن البرمجيات الخبيثة يسهل عليها اختراق الأجهزة غير المقيدة آمنياً بنظام آيوس ونظام التعامل المغلق مع موقع بيع برمجيات آبل على الشبكة. يبدو أن برامج الفدية المخصصة للآيفون على وشك الانطلاق وستعمل ضد الهواتف الأصلية التي تُعتمد نظم تشغيلها من آبل. ربما نرى في القريب العاجل بزوع برامج فدية للأجهزة المتصلة بإنترنت الأشياء حيث سيطلب مجرمو الشبكة مبالغ فدية عالية لإعادة تشغيل التليفزيونات الذكية أو البرادات المتصلة بإنترنت الأشياء.

small-fusob-screen-2

11- كيف أعرف أن جهازي مصاب ببرنامج رانسوم وير؟

برامج رانسوم وير ليست بذلك الحذق والبراعة، فهي تعلن عن نفسها هكذا:

teslacrypt-screen-2

أو هكذا:

rfaq-dedcryptor-screen-2

أو هكذا:

eda2-screenshot-2

في حين يظهر العائق (بلوكر) هكذا:

locker-screen-2

12- ما هي الأنماط السائدة في برامج رانسوم وير؟

تتطور برامج رانسوم وير يومياً تقريباً، لذا يصبح من الصعب أن نقول أي نمط هو الأكثر شيوعاً. إلا أننا نذكر عدداً من البرامج المشهورة مثل بيتيا الذي يشفر الأسطوانة الصلبة بكاملها، وكريبتكس الذي ما زال قوياً وقد ضربناه القاضية مرتين، وطبعاً كان برنامج تيسلاكريبت أكثر الخبثاء انتشاراً خلال الأشهر الأربعة الأولى في 2016م، وقام من طوروه بإصدار مفتاح عمومي (ماستركي) على غير المتوقع في مثل تلك الحالات.

13- إذا أُصبت ببرنامج رانسوم وير، فماذا أفعل؟

إذا وجدت جهازك لا يعمل بسبب عدم تحميل نظام التشغيل فاستخدم ويندوز آنبلوكر من كاسبرسكي – وهو برنامج مجاني يمكنه إزالة العائق وتشغيل ويندوز ليجعل الكمبيوتر جاهزاً للتشغيل.

أما المشفرون فهم حبة بندق عصية الكسر، حيث يجب عليك أولاً أن تتخلص من البرنامج الخبيث بتشغيل المسح والغربلة المضادة للفيروسات، وإذا لم يكن لديك برنامج مضاد للفيروسات، يمكنك تنزيل نسخة تجريبية مجانية من هنا.

الخطوة التالية هي استرجاع ملفاتك.

وإذا كان لديك نسخة احتياطية من الملفات يمكنك بسهولة استرجاعها، وتلك أفضل رمية صائبة ترميها.

وإذا لم يكن لديك نسخة احتياطية من الملفات يمكنك فك شفرة الملفات باستخدام برامج فك الشفرة. يمكنك الحصول على كل برامج فك الشفرات من معمل كاسبرسكي من الموقع الإلكتروني: Noransom.kaspersky.com.

rfaq-noransom-screen-2

تطور شركات مقاومة الفيروسات برامج أخرى لفك الشفرات، لكنك يجب أن تتحقق أولاً من مصداقية وسمعة مواقع التنزيل وإلا أصبحت عرضة للإصابة ببرمجيات خبيثة. إذا لم يتيسر لك معرفة المفتاح الصحيح لفك الشفرة فادفع الفدية لاسترداد ملفاتك المشفرة، أو قل عليها السلام. لا يعني ذلك أننا نُحرضك على دفع الفدية.

14- لماذا لا ندفع الفدية ابتداءً؟

بالنسبة للمبتدئين، ليس هناك ضمان لحصولهم على ملفاتهم سليمة بعد تشفيرها؛ لأن المبتزين ليسوا أهلاً للثقة. انظر إلى صانعي برنامج رانسكام، وهو برنامج رانسوم وير لم يكلف نفسه عناء التشفير لكنه استسهل إلغاء الملفات (على الرغم من وعده بأن يعيد الملفات مقابل فدية).

طبقاً لأبحاثنا، لم يحصل 20% ممن سددوا الفدية على ملفاتهم الشفرة.

no-no-ransom-ig-en-1

ثانيا: حين تدفع الفدية، فأنت تساهم في تشجيع ممارسة وازدهار مثل تلك الأعمال الإجرامية المخالفة على الشبكة.

15- وجدت مفتاح فك الشفرة المطلوب، فلماذا لا يعمل؟

يتسم مطورو برامج رانسوم وير بسرعة رد الفعل ويطورون ويعدلون برامجهم الخبيثة لتقاوم مفاتيح فك الشفرات المستحدثة، إنها لعبة الملاحقة والتتبع دون انقطاع. لسوء الحظ، لا تصدر مفاتيح فك الشفرات ومعها ضمانات الأداء.

16- إذا ما حددت موقع إصابة، هل يمكن أن أفعل شيئاً ما؟

من الناحية النظرية، إذا أمسكت بالإصابة في توقيت صحيح فافصل الكمبيوتر، اسحب الأسطوانة الصلبة وضعها على كمبيوتر آخر، واستخدم برنامج مضاد الفيروسات المتاح للتنظيف. إلا أن اكتشاف المستخدم للإصابة غير واقعي وأمر صعب جداً في الحقيقة؛ لأن برامج رانسوم وير تعمل في صمت ولا تعلن عن نفسها إلا حين طلب الفدية.

17- إذا كنت مواظباً على عمل نسخة احتياطية من ملفاتي، فهل وضعي آمن؟

دون شك، يسهم عمل نسخ احتياطية في تسهيل حل المعضلة، لكنه غير مضمون 100%. إليك هذا المثال: قمت أنت مثلاً بضبط تاريخ عمل النسخة الاحتياطية كل ثلاثة أيام، على حاسب الزوجة مثلاً، ثم يخترق الجهازَ برنامجٌ تشفير خبيث ويشفر كل الملفات والصور وغيرها حتى تجد كل الملفات الاحتياطية نفسها مصابة، والسبب أنه لا يعلن عن نفسه حال اختراقه جهازك، لذا يجب عليك تطوير دفاعاتك لحماية النسخ الاحتياطية من الملفات.

18- هل البرامج المضادة للفيروسات كافية لتفادي الإصابة؟

نعم، في معظم الحالات، مع الأخذ في الاعتبار نوعية البرنامج المستخدم لمقاومة الفيروسات. وطبقاً لمقياس معياري صادر عن معامل مشهورة (الوحيدة الموثوق في معاييرها)، فإن منتجات معامل كاسبرسكي لاب توفر حلولاً حمائية أفضل من منافسيها، إلا أن برامج مقاومة الفيروسات ليست فاعلة بنسبة 100%.

في حالات كثيرة، يعتمد الكشف الآلي عن الفيروس على مدى حداثته، وإذا لم يتم إضافة بصمة أحصنة طروادة إلى قاعدة بيانات مضاد الفيروسات فإنه يُستحسن استخدام التحليل السلوكي للكشف عنها حتى يتم إعاقتها فور محاولتها إلحاق الضرر بالجهاز.

يشمل منتجنا جزءاً من برنامج اسمه مراقب النظام System Watcher، يتولى عملية إعاقة البرامج الخبيثة فور إحساسه بمحاولة تشفير ضخمة تتم على الملفات ثم يبدأ في عمل التغييرات المطلوبة، لذا ننصحك بعدم تعطيل هذا المكون في البرنامج.

rfaq-system-watcher-screen-2

يقوم برنامج كاسبرسكي للأمن الشامل كاسبرسكي توتال سيكيوريتي بالمعالجة الآلية للملفات، ويساعدك في الحصول على الأحداث الأساسية في الملفات حتى لو حدث أمر بالخطأ.

19- هل هناك أسلوب معين للضبط يُمَكِّنُنِي من تقوية الدفاعات؟

  • ثبِّت برنامج مقاومة الفيروسات، طبعاً ذكرنا ذلك سلفاً!
  • عطِّل خاصية تنفيذ النص في المتصفح لأنها هي الأداة المُثلى لمجرمي الشبكة. يرجى مراجعة المدونة الخاصة بنا لتعلم كيفية التعطيل على كروم وفايرفوكس.

ج- حافظ على امتدادات الملفات ظاهرة في ويندوز إكسبلورر.

د- اجعل نوتباد التطبيق الافتراضي لملفات بامتدادات VBS و JS .

يضع ويندوز ملفات VBS و JS الخطيرة في خانة ملفات النصوص مما يضلل أكثر المستخدمين ذكاءً فيفتحونها.

هـ- يجب عليك تنشيط خاصية التطبيقات الموثوقةTrusted Applications Mode في كاسبرسكي إنترنت سيكيوريتي لتقييد تثبيت أي برامج غير مسجلة في القائمة البيضاء. إن عملية التنشيط لا تتم آلياً لكنها تحتاج بعض الضبط والدقة لأنها أداة فعَّالة جداً خاصة بالنسبة لغير المتخصصين في أجهزة الكمبيوتر الذين قد يُضَلَّلون ويسمحون لبعض البرامج الخبيثة المتسترة ذات الوجهين باختراق أجهزتهم.