مايو 15, 2017

ما الذي تحتاج لمعرفته عن برنامج الفدية WannaCry لحماية أعمالك؟

أمن

أثار برنامج تروجان الخبيث WannaCry موجة عالمية غير مسبوقة على كل من الأشخاص والأعمال. وقد نشرنا بالفعل بعض النصائح الأساسية للحماية من هذا البرنامج الخبيث، وفي هذا المقال نقدم نصائح إضافية لحماية الأعمال. من الضروري فهم ما هو هذا البرنامج، والأخطار التي يحملها، وكيفية إيقافها.

ما الذي يجب أن أفعله الآن؟

من الأسباب الرئيسية لانتشار هذا البرنامج بسرعة رهيبة، استغلاله لثغرة معروفة في ويندوز دون الحاجة للقيام بأي أخطاء من قبل المستخدم. وحال إصابة جهاز واحد، يقوم بالبرنامج بالانتشار على كافة أنظمة التشغيل الأخرى ضمن الشبكة المحلية.

لذا، فإن أول خطوة يتوجب القيام بها هي إصلاح هذه الثغرة، ويتوجب على مدراء الأنظمة اتخاذ الإجراءات التالية:

تثبيت أحدث إصدار من مايكروسوفت، وهو ليس متاحاً لويندوز ١٠ فحسب، إنما أيضاً للنسخ السابقة من ويندوز ٨ و٧ وفيستا وحتى ويندوز اكس بي وسيرفر ٢٠٠٣. ويقوم هذا الإصدار بإغلاق الثغرة التي يستخدمها البرنامج الخبيث لإصابة الأنظمة ضمن الشبكة المحلية.

إذا كان تثبيت الإصدار غير ممكناً لأي سبب، قم بإغلاق منفذ ٤٤٥ باستخدام فاير وول. سيعمل هذا الأمر على حجب هجوم الشبكة لمنع الإصابة، إنما يجب القيام بهذه الخطوة بشكل حذر، إذ أن إغلاق هذا المنفذ سيوقف عدداً من سيرفرات الشبكة المهمة، وبالتالي لا يعتبر حلاً دقيقاً.

تأكد من حماية كافة الأنظمة في شبكتك، وتعتبر هذه النقطة جوهرية، فإذا لم تقم بتثبيت الإصدار على كل جهاز أو إغلاق منفذ ٤٤٥، فإن جهازاً واحداً مصاباً قد يتسبب بإصابة بقية الأجهزة.

يمكنك أيضاً استخدام أداة كاسبرسكي المجانية للحماية من رانسوم وير، والتي تحمي من هذه النوعية من البرمجيات الخبيثة، كما يمكن استخدامها مع برامج الحماية الأخرى ولا تتعارض معها.

إذا كنت من مستخدمي برامج كاسبرسكي لاب

المستخدمون الحاليون محميون بالفعل من برامج الفدية الخبيثة، بما يتضمن WannaCry. إنما ننصح باتباع الإجراءات الإضافية التالية:

التأكد من تثبيت أحدث إصدار من ويندوز.

التأكد من أن برنامج الحماية يتضمن إجراء System Watcher، والتأكد من تفعيله. يرجى الاطلاع على التعليمات هنا.

إذا كان هناك حالات إصابة ضمن شبكتك المحلية، ابدأ بمسح ضروري. سيتم تنفيذ هذه المهمة بشكل تلقائي، إنما كل ما زادت سرعة تصرفك كل ما أدى ذلك لنتيجة أفضل. فنظرياً، يستطيع البرنامج الخبيث تثبيت نفسه على النظام إنما ليس البدء بتشفير الملفات.

إذا تم اكتشاف تهديد MEM:Trojan.Win64.EquationDrug.gen خلال عملية المسح، قم بإزالته وإعادة تشغيل النظام.

 

إذا كان هناك أنظمة مرتبطة بشبكاتك

الأنظمة المتضمنة بشكل خاص معرضة لهجوم WannaCry، لأنها غالباً ما تكون محمية بشكل أقل. وبالرغم من أن أنظمة الصراف الآلي ونقاط البيع عادة ما تكون محمية باستخدام برامج متخصصة، فإن حماية أنظمة مماثلة يتم التغاضي عنها بالمجمل. ولا بد من الإشارة إلى أن إعادة هذه الأنظمة للعمل قد يكلف ثروة من المال، لا سيما إذا كانت شركتك تشغل المئات منها.

وننصح باستخدام برامج تتضمن نموذج Default Deny. وقد تم تصميم برامج كاسبرسكي لأمن الأنظمة المرتبطة خصيصاً لهذا النوع من الأنظمة، ويعتبر حلاً فعالاً.

 

ويبينار طارئ عن WannaCry

لمساعدة الشركات على فهم برنامج الفدية WannaCry والحماية منه، قرر خبراؤنا عقد ويبينار طارئ حول الأمر. وسينضم الخبير الأمني في فريقنا للأبحاث والدراسات الدولية، خوان أندريس غيريرو سعادة إلى مات سوشي من كوماي للتكنولوجيا للمساعدة في عرض أحدث المعلومات عن كيفية عمل برامج الفدية ومراحل الهجوم، والإجراءات اللازمة للدفاع والحماية.

كما سيقومان بشرح كيفية معرفة الشركات إذا تعرضت للإصابة بهذه الهجمات، والإجراءات الطارئة التي يتوجب عليها القيام بها لحماية شبكاتها ومستخدميها من هذا التهديد. وإضافة إلى ذلك، سيقومان بالتعليق على الرابط المحتمل بين WannaCry ومجموعة Lazarus المغمورة.