ما هو Emotet؟
Emotet هو أحد البرامج الخبيثة التي تصيب الكمبيوتر، وتم تطويره في الأصل في صورة حصان طروادة مصرفي. وكان الهدف من هذا البرنامج هو الوصول إلى الأجهزة الأجنبية والتجسس على البيانات الخاصة الحساسة. من المعروف أن Emotet يخدع برامج مكافحة الفيروسات الأساسية ويختبئ منها؛ وبمجرد إصابته للأجهزة، ينتشر البرنامج الضار مثل دودة الكمبيوتر ويحاول التسلل إلى أجهزة الكمبيوتر الأخرى المتصلة بنفس الشبكة.
ينتشر Emotet بشكل أساسي من خلال رسائل البريد الإلكتروني العشوائية حيث يحتوي البريد الإلكتروني المعني على رابط ضار أو مستند مصاب؛ وإذا قمت بتنزيل المستند أو فتح الرابط، فسيتم تنزيل المزيد من البرامج الضارة تلقائيًّا على جهاز الكمبيوتر الخاص بك. تم إنشاء رسائل البريد الإلكتروني هذه بحيث تبدو أصلية للغاية، وقد وقع العديد من الأشخاص ضحيةً لبرنامج Emotet.
Emotet - الاسم والتعريف
تم اكتشاف Emotet لأول مرة في عام 2014، عندما تأثر عملاء البنوك الألمانية والنمساوية بحصان طروادة، حيث تمكَّن Emotet من الوصول إلى بيانات تسجيل الدخول للعملاء. وفي السنوات التي تليها، سينتشر الفيروس على مستوى العالم كله.
تطوَّر Emotet من حصان طروادة مصرفي إلى قطّارة، مما يعني أن حصان طروادة يعيد تحميل البرامج الضارة على الأجهزة، ثم تكون هذه البرامج مسؤولة عن الضرر الفعلي للنظام.
في معظم الحالات، يتم "تقطير" البرامج التالية:
- Trickster (المعروف كذلك باسم TrickLoader وTrickBot): حصان طروادة مصرفي يحاول الوصول إلى بيانات تسجيل الدخول للحسابات المصرفية.
- Ryuk: أحد أحصنة طروادة التشفير - المعروف أيضًا باسم Cryptotrojan أوRansomware - يقوم بتشفير البيانات ومن ثم يمنع مستخدم الكمبيوتر من الوصول إلى هذه البيانات أو النظام بأكمله.
غالبًا ما يكون هدف مجرمي الإنترنت من وراء Emotet هو ابتزاز الأموال من ضحاياهم. على سبيل المثال: يهددون بنشر أو إطلاق البيانات المشفرة التي يمكنهم الوصول إليها.
من الذي يستهدفه برنامج Emotet؟
يستهدف Emotet الأفراد والشركات والمنظمات والهيئات. إليك أمثلة حقيقة عن هذا: في 2018، اضطر مستشفى Fuerstenfeldbruck في ألمانيا بعد إصابته ببرنامج Emotet إلى إغلاق 450 حاسبًا آليًّا وتسجيل الخروج من مركز التحكم في الإنقاذ في محاولةٍ منه للسيطرة على العدوى؛ وفي سبتمبر 2019، أُصيبت محكمة الاستئناف في برلينفي، وفي ديسمبر 2019 أُصيبت جامعة جيسن، كما أصيبت جامعة هانوفر الطبية وإدارة مدينة فرانكفورت أم ماين بفيروس Emotet.
هذه مجرد أمثلة قليلة على الإصابة بفيروس Emotet، ويُقدَّر أن العدد غير المعلن للشركات المتضررة أعلى من ذلك بكثير. من المفترض أيضًا أن العديد من الشركات المصابة لم ترغب في الإبلاغ عن انتهاكها خوفًا من الإضرار بسمعتها.
يجدر الإشارة أيضًا إلى أن حصان طروادة Emotet كان يستهدف الشركات والمؤسسات بشكل أساسي في أيامه الأولى، ولكنه الآن يستهدف الأفراد بشكل أساسي.
ما هي الأجهزة المعرضة لخطر الإصابة بحصان طروادة Emotet؟
في البداية تم اكتشاف الإصابات بفيروس Emotet فقط في الإصدارات الحديثة من نظام التشغيل Microsoft Windows. ورغم ذلك، وفي مطلع عام 2019، أصبح معروفًا أن أجهزة الكمبيوتر التي تصنعها Apple قد تأثرت أيضًا ببرنامج Emotet. استدرج المجرمون المستخدمين إلى فخٍّ برسالة بريد إلكتروني مزيفة من قسم دعم Apple يزعمون فيها أن الشركة ستقوم بـ"تقييد الوصول إلى حسابك" إذا لم ترد ثم تطلب من الضحايا اتباع رابط يُزعم أنه يمنع تعطيل وحذف خدمات Apple الخاصة بهم.
كيف ينتشر حصان طروادة Emotet؟
ينتشر Emotet بشكل أساسي عبر ما يُسمَّى حصاد Outlook. يقرأ حصان طروادة هذا رسائل البريد الإلكتروني من المستخدمين المصابين بالفعل وينشئ محتوى حقيقيًّا مخادعًا بحيث تبدو رسائل البريد الإلكتروني هذه شرعية وشخصية، ومن ثم يتميز عن رسائل البريد الإلكتروني العشوائية العادية؛ وبعدها يرسل Emotet رسائل البريد الإلكتروني المتصيدة هذه إلى جهات الاتصال المخزنة مثل الأصدقاء وأفراد الأسرة وزملاء العمل.
تحتوي رسائل البريد الإلكتروني في معظم الأحيان على مستند Word مصاب يُفترض أن يقوم المستلم بتنزيله أو رابط خطير؛ ويتم عرض الاسم الصحيح دائمًا بوصفه المرسل. لذلك؛ يعتقد مستلمو الرسائل أنه آمن حيث كل شيء يبدو وكأنه بريد إلكتروني عادي! بعدها يقومون (في معظم الحالات) بالنقر فوق الرابط الخطير أو تنزيل المرفق المصاب.
ينتشر Emotet بمجرد وصوله إلى الشبكة. في هذه العملية، ويحاول اختراق كلمات المرور للحسابات باستخدام أسلوب القوة العمياء. تشمل الطرق الأخرى التي ينتشر بها Emotet استغلال EternalBlue وثغرة DoublePulsar على Windows والتي تسمح بتثبيت البرامج الضارة دون تدخل بشري. في عام 2017، كان حصان طروادة WannaCry قادرًا على الاستفادة من ثغرة EternalBlue لنشر هجوم إلكتروني كبير تسبب في أضرار مدمرة.
من الذي يدعم Emotet؟
يعتقد المكتب الفيدرالي الألماني لأمن المعلومات أن:
"مطوري Emotet يؤجرون برامجهم وبنيتهم التحتية من الباطن لأطراف خارجية".
كما أنهم يعتمدون على برامج ضارة إضافية لتحقيق أهدافهم الخاصة. ويعتقد المكتب الفيدرالي الألماني لأمن المعلومات أن المجرمين لديهم دوافع مالية ومن ثم يعدونها جريمة إلكترونية وليس تجسسًا. ورغم ذلك، لا يبدو أن هناك أحدًا لديه إجابة واضحة حول ماهية مَنْ يدعم Emotet بالضبط. هناك شائعات مختلفة تتعلق ببلدان المنشأ، لكن دون دليل موثوق.
ما مدى خطورة Emotet؟
توصلت وزارة الأمن الداخلي الأمريكية إلى استنتاج مفاده أن Emotet هو برنامج مُكلِّف للغاية يتمتع بقوة تدميرية هائلة، حيث تُقدَّر تكلفة التنظيف بحوالي مليون دولار أمريكي لكل حادث لذلك، أطلق آرنيشوينبوم (رئيس المكتب الفيدرالي الألماني لأمن المعلومات) على Emotet لقب "ملك البرامج الضارة".
يُعد Emotet بلا شك واحدًا من أكثر البرامج الضارة تعقيدًا وخطورةً في التاريخ، فالفيروس متعدد الأشكال، مما يعني أن كوده يتغير قليلاً في كل مرة يتم الوصول إليه.
وهذا يجعل من الصعب على برامج مكافحة الفيروسات التعرف على الفيروس: تقوم العديد من برامج مكافحة الفيروسات بإجراء عمليات بحث تعتمد على الأثر المميز للفيروس. في فبراير 2020، اكتشف باحثون أمنيون من Binary Search أن Emotet يهاجم الآن أيضًا شبكات Wi-Fi! إذا تم توصيل جهاز مصاب بشبكة لاسلكية، يقوم Emotet بفحص جميع الشبكات اللاسلكية القريبة. وباستخدام قائمة كلمات المرور، يحاول الفيروس بعد ذلك الوصول إلى الشبكات ومن ثم إصابة الأجهزة الأخرى.
يحب مجرمو الإنترنت استغلال المخاوف المنتشرة بين الناس، لذلك ليس مستغربًا أن يتم استغلال الخوف من فيروس كورونا -الذي ينتشر في جميع أنحاء العالم منذ ديسمبر 2019- من قِبل Emotet أيضًا. غالبًا ما يقوم مجرمو الإنترنت الذين يقفون وراء حصان طروادة بتزييف رسائل البريد الإلكتروني التي من المفترض أن تبلغ عن فيروس كورونا وتثقيف الجمهور. لذلك، إذا وجدت مثل هذه الرسائل الإلكترونية في الصندوق الوارد الخاص بك، فتعامل بكل حرص بشكل خاص مع أي مرفقات أو روابط في البريد الإلكتروني.
كيف يمكنني حماية نفسي من Emotet؟
عند الحماية من Emotet وأحصنة طروادة الأخرى، لا يكفي الاعتماد فقط على برامج مكافحة الفيروسات؛ بل يُعد اكتشاف الفيروس المتعدد الأشكال مجرد خطوة أولى للمستخدمين النهائيين. ببساطة: لا يوجد حل يوفر حماية 100٪ ضد Emotet أو أحصنة طروادة الأخرى المتغيرة باستمرار. يمكنك فقط تقليل مخاطر الإصابة إلى أدنى حدٍّ من خلال اتخاذ تدابير تنظيمية وتقنية.
إليك بعض النصائح لحماية نفسك من Emotet:
- ابقَ على اطلاع دائم بجميع التطورات المتعلقة بحصان طروادة Emotet؛ هناك عدة طرق للقيام بذلك، مثل قراءة مركز موارد Kaspersky أو إجراء البحث بنفسك.
- تحديثات الأمان: من الضروري تثبيت التحديثات التي توفرها الشركات المصنعة بأسرع ما يمكن لسد الثغرات الأمنية المحتملة؛ ينطبق هذا على أنظمة التشغيل مثل Windows وmacOS وكذلك أي برامج تطبيق ومتصفحات ووظائف إضافية للمستعرض وعملاء البريد الإلكتروني وبرامج Office وPDF.
- الحماية من الفيروسات: تأكَّد من تثبيت برنامج حماية شامل من الفيروسات والبرامج الضارة مثل Kaspersky Internet Security واجعله يفحص جهاز الكمبيوتر الخاص بك بانتظام بحثًا عن الثغرات الأمنية. سيعطيك هذا أفضل حماية ممكنة ضد أحدث الفيروسات وبرامج التجسس وما إلى ذلك.
- لا تقم بتنزيل المرفقات المشكوك فيها من رسائل البريد الإلكتروني أو النقر فوق الروابط المشبوهة. إذا لم تكن متأكدًا مما إذا كانت رسالة البريد الإلكتروني مزيفة أم لا، فلا تخاطر واتصل بالمرسل. إذا طُلب منك السماح بتشغيل ماكرو على ملفٍ تم تنزيله، فلا تفعل ذلك تحت أي ظرف من الظروف، بل احذف الملف على الفور. بهذه الطريقة لن تمنح Emotet فرصة لاختراق جهاز الكمبيوتر الخاص بك من الأساس.
- انسخ بياناتك احتياطيًّا بانتظام إلى جهاز تخزين خارجي. وفي حال حدوث إصابة بأي فيروس، سيكون لديك دائمًا نسخة احتياطية للرجوع إليها ولن تفقد جميع البيانات الموجودة على جهازك.
- استخدم كلمات مرور قوية لجميع عمليات تسجيل الدخول (الخدمات المصرفية عبر الإنترنت، وحساب البريد الإلكتروني، والمتاجر عبر الإنترنت). هذا يعني عدم استخدام اسمك أو اسم حيوانك الأليف، ولكن الترتيب العشوائي لحروف وأرقام مميزة. يمكنك إنشاء كلمات المرور تلك بنفسك أو بواسطة برامج مختلفة. إضافة إلى ذلك، توفر العديد من البرامج في الوقت الحاضر إمكانية تفعيل المصادقة ثنائية العوامل.
- امتدادات الملفات: اجعل جهاز الكمبيوتر الخاص بك يعرض امتدادات الملفات بشكل افتراضي. يسمح لك هذا باكتشاف الملفات المشبوهة مثل "Photo123.jpg.exe" التي يُرجَّح أنها برامج ضارة.
كيف يمكنني إزالة Emotet؟
لا داعي للذعر على الإطلاق إذا كنت تشك في أن جهاز الكمبيوتر الخاص بك قد يكون مصابًا ببرنامج Emotet. تماسك وأبلغ دائرة معارفك الشخصية بالإصابة لأن الأشخاص في جهات اتصال بريدك الإلكتروني من المحتمل أن يكونوا في خطر.
بعد ذلك، تأكَّد من عزل جهاز الكمبيوتر الخاص بك إذا كان متصلاً بشبكة لتقليل مخاطر انتشار Emotet بعد ذلك يجب عليك تغيير جميع بيانات تسجيل الدخول لجميع حساباتك (حسابات البريد الإلكتروني، متصفحات الويب، وما إلى ذلك)؛ افعل ذلك على جهاز منفصل غير مصاب وليس متصلاً بالشبكة نفسها.
ونظرًا لأن Emotet متعدد الأشكال (بمعنى أن كوده يتغير قليلاً في كل مرة يتم الوصول إليه)، يمكن إعادة إصابة جهاز كمبيوتر نظيف بسرعة إذا كان متصلاً بشبكة مصابة. لذلك يجب عليك تنظيف جميع أجهزة الكمبيوتر المتصلة بشبكتك –واحدًا تلو الآخر. استخدم برنامج مكافحة فيروسات لمساعدتك في القيام بذلك. وبدلاً من ذلك، يمكنك أيضًا الاتصال بأخصائي (مثل مزود برنامج مكافحة الفيروسات) للحصول على الإرشادات والمساعدة.
EmoCheck: هل هذه الأداة تساعد حقًّا في الحماية من Emotet؟
نشر فريق الاستجابة لطوارئ الكمبيوتر الياباني أداةً تُسمَّى EmoCheck، والذي يدعي أنه يمكن استخدامها لفحص جهاز الكمبيوتر الخاص بك بحثًا عن إصابة Emotet. ولكن نظرًا لأن Emotet متعدد الأشكال، لا يمكن لأداة EmoCheck التأكد بنسبة 100٪ بأن جهاز الكمبيوتر الخاص بك غير مصاب.
ما تفعله EmoCheck هو اكتشاف سلاسل الأحرف النموذجية وتحذرك من احتمال وجود حصان طروادة. ورغم ذلك، فإن قابلية الفيروس للتغيير لا تضمن أن يكون جهاز الكمبيوتر الخاص بك نظيفًا حقًّا، وهو أمر يجب وضعه في الاعتبار.
الملخص والختام
يُعد حصان طروادة Emotet حقًّا واحدًا من أخطر البرامج الضارة في تاريخ الأمن السيبراني، حيث يمكن لأي شخص أن يصبح ضحيته – الأفراد والشركات وحتى السلطات العالمية – لأنه بمجرد أن يخترق حصان طروادة النظام، فإنه يعيد تحميل البرامج الضارة الأخرى التي تتجسَّس عليك.
غالبًا ما يتم ابتزاز العديد من ضحايا Emotet لدفع فدية من أجل استعادة البيانات. ولسوء الحظ، لا يوجد حل يوفر حماية بنسبة 100٪ من الإصابة بالبرنامج الخبيث Emotet. ورغم ذلك، لا يزال يوجد العديد من التدابير التي يمكن اتخاذها لتقليل خطر الإصابة بهذا الفيروس.
إذا كنت تشك في أن جهاز الكمبيوتر الخاص بك مصاب ببرنامج Emotet، يجب عليك اتخاذ الإجراءات المذكورة في هذه المقالة لتنظيف جهاز الكمبيوتر الخاص بك والتأكد من أنك محمي باستخدام حل شامل لمكافحة الفيروسات، مثل حلول Kaspersky لمكافحة البرامج الضارة.
مقالات ذات صلة: