فيروس رانسوم وير هو فيروس ليس معروفا لمعظم الناس بالرغم من أن بصمته عالميا لا تضاهيها أي بصمة لبرمجية خبيثة أخرى .تعالوا اليوم نكتشف مع بعضنا البعض هذ الفيروس الخطير و مقولته الشهيرة :” إدفع النقود مقابل إسترجاع بياناتك “.
ما هو الإبتزاز الرقمي :
هو جريمة إلكترونية تهدف إلى الحصول على الأموال أو الممتلكات أو خدمات من مؤسسة معينة، عن طريق الإكراه.و عادة ما تكون الطريقة التي يستعملها المبتزون”Racketeers” في تحقيق أهدافهم ، إظهار رسالة نصية للضحية فيها كل التعليمات التي يجب أن يتبعها لإتمام المعاملة التي بينهما .و يمارس هذا النوع من الابتزاز من قبل أفراد و غالبا ما يكون من جماعات الجريمة المنظمة .
ما هو فيروس رانسوم وير :
هو برمجية خبيثة من نوع التروجان “Trojan” تستهدف بالأساس نظام التشغيل ويندوز ولها إصدار واحد على نظام لينوكس ، لها عدة خصائص شبيهة فيروس نجرات ، على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز ، و خاصية الدوس أتاك DDOS attack ، إذ أنه يحجب الخدمة عن المستعمل .
و يقوم هذا البرنامج ب تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له في الشاشة لاسترجاع كامل ملفاته .
لمحة تاريخية عن فيروس رانسوم وير :
أول ظهور لبرمجية رانسوم وير “Ransom ware” كان سنة 1989 و بالتحديد في الفترة الممتدة بين يوم 7 و 11 ديسمبر من نفس العام ، وسميت “أيدس تروجان AIDS Trojan” و أيضا “بيسي سايبورغ PC Cyborg”، حيث قامت شركة وهمية تسمى “Ketema & Associates “بتوزيع 26000 ظرف يحتوي على قرص مرن “Floppy Disk” إلى العديد من الأشخاص و الجمعيات الذين يهتمون بمجال الصحة في كامل أنحاء بريطانيا .
و كانت البرمجية المصطبة في هذا القرص عبارة عن برنامج تفاعلي حول “مرض الإيدز AIDS” ، يقدم معلومات حول هذا المرض الخطير ، و يطرح الأسئلة على المستعمل حول ثقافته الجنسية و ينبهه على ضوء إجاباته على أنه من الممكن تعرضه للإيدز أو لا و ينصحه بمشاركة هذا البرنامج مع شريكه الجنسي للوقاية منه.
و ما كان خفيا وقتها أن هذا التطبيق يحتوي على تروجان كامن و يشتغل في الخفاء ، يقوم بتشفير كامل المعطيات الموجودة على الجهاز و تنبثق منه نافذة تطلب من الضحية دفع معلوم مالي قدره 189 دولارا أمريكيا سنويا لمواصلة استخدام هذا البرنامج و كان من دهاء المبرمج ، أن لا تظهر هذه الرسالة إلا بعد إعادة تشغيل الكمبيوتر 90 مرة لإعطاء الوقت الكافي للمستعمل لاستخدامه و نشره بين أصدقاءه .
أدى انتشار هذه البرمجية الخبيثة إلى حلول كارثة إلكترونية عظمى في المملكة المتحدة ، مما توجب على الحكومة فتح تحقيق دولي فيها ، أستوجب تجميد نشاط شركة “Ketema & Associates ” و طرد مالكها الكيني الجنسية “Mr. Ketema” و كشفت التحقيقات أيضا عبر العنوان الذي يجب على المستعمل إرسال الأموال إليه أنه متواجد في دولة باناما تحت أسم شركة “PC Cyborg Corporation” .
القبض على العقل المدبر لفيروس رانسوم وير:
و بدأت وقتها ملامح الجريمة تستوضح شيئا فشيئا إلى أن تم القبض على العقل المدبر لها المسمى “جوزيف بوب Joseph Pop ” الأمريكي الجنسية الذي كان دكتور في الأنثروبولوجيا وعلم الحيوان “Anthropology and Zoology” و من بعد ذلك أصبح مستشارا في تطوير النظم الإلكترونية في المنظمة العالمية للصحة “W.H.O”.
و عندما سئل عن سبب إنشاءه لهذا الفيروس قال أنه بهدف إخبار الناس بخطر مرض الإيدز و دفعهم لتقديم دعم مالي للمؤسسات الصحية الراعية لهذا الموضوع و أنه لم يحظى بأي أموال عن طريقه .
تم القبض عليه يوم 2 فبراير 1990 في الولايات المتحدة الأمريكية و أتهم ب 11 قضية لكن بعد فترة من الزمن تم إخلاء سبيله بحجة أنه مجنون و ليست له قدرات ذهنية طبيعية .
كيف يعمل فيروس رانسوم وير الحديث ؟
كما قلنا سابقا فإن فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن برنامج Locky المشهور نوضح فيه آلية عمل هذا الفيروس .
لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على الشكل :
و من ثم تظهر لك رسالة مضمونها المترجم كالتالي :
بعد قراءة هذه الرسالة ، لا يوجد حل بالنسبة للضحية إلا إتباع ما جاء فيها حرفيا و ذلك من شدة حرصه على استرجاع معلوماته الشخصية فيقوم بفتح متصفح التور ثم يتوجه إلى رابط الموقع المشار إليه ، فتظهر له هذه الواجهة :
يقوم في هذه المرحلة بإدخال المعرف الوحيد الخاص به و المذكور في الرسالة النصية وهو في هذا المثال RGH**********DV:
طريقة دفع المال لهذا الشخص:
و بعد إتمام عملية إدخال الكود ، يوجهك السيرفر إلى هذه الصفحة لتقديم الفدية وهي متمثلة في دفع مبلغ مالي عن طريق البتكوين قيمته 0.5 btc أي ما يعادل حاليا 318 دولار أمريكي حسب موقع preev.com ، إلى عنوان المحفظة الموجود في أسفل الصفحة .
و بعد التأكد من نجاح عملية الدفع ، سيطلب منك تحديث الصفحة للحصول على مفتاح فك التشفير الخاص بك لكي تستعيد ملفاتك بالكامل .هذا توضيح للعملية في الصورة :
ملاحظة :ليس أكيدا حصولك على مفتاح لفك التشفير بعد عملية تحويل الأموال ، فهؤلاء هم مجرمون و يمكنهم أن يخدعوك مرة ثانية بعدم توفير هذ المفتاح لك فحذاري كل الحذر.
بعض أنواع فيروس رانسوم وير ذو الشهرة الواسعة :
- Cryptolocker :
هذا من أشهر البرامج المستعملة حديثا حيث تم إنشاءه في شهر سبتمبر من سنة 2013 و يصيب العديد من إصدارات ويندوز مثل Windows XP و Windows Vista و 7 Windows و 8 Windows و يقوم بمنح مهلة للضحية تدوم 72 ساعة .
- CTB-Locker :
يتميز هذا الرانسوم وير أيضا بخاصية العد التنازلي لدفع الأموال لإخافة الضحية بشكل أكثر .
- Reveton :
تستعمل في هذا الفيروس تقنية الهندسة الإجتماعية ، إذ أن الرسالة التي تظهر له توهمه بأنها متأتية من جهة رسمية ” هنا من مكتب التحقيقات الفدرالي “FBI و يكون محتواها في شكل تحذير له لأن نشاطه الإلكتروني مشبوه و غير قانوني و بالتالي هم اضطروا لتشفير نظامه بالكامل .
- Linux.Encoder.1 :
يستهدف هذا الإصدار نظام لينوكس لكن ليس معروفا و منتشرا بكثرة وسبب ذلك أنه يتجه بالأساس إلى تشفير الملفات في مواقع الويب عند تنصيب نفسه على خادم لينوكس مع ضمان صلاحية المدير Admin .
كما تلاحظون ، فإن صيغ الملفاة هذه تكون موجودة في موقع ويب .
و هذه هي الرسالة اللتي تظهر للضحية .
إحصائيات عن رانسوم وير :
طبقا للمعلومات التي أوردتها شركة Trendmicro المتخصصة في الحماية و الأمن المعلوماتي على موقعها الرسمي ، أن 50 نوعا جديدا من عائلة رانسوم وير تم تطويرها في 5 أشهر الأولى من سنة 2016 إضافة إلى 100 نوع موجود سنة 2015 ، و هذه أرقام بصراحة جد رهيبة !!
هذ ا الرسم البياني يوضح أن نسبة الهجوم الإلكتروني بإستخدام فيروس رانسوم وير هي الأعلى من بقية الأدوات الأخرى ، إذ تصل إلى 61% من إجمالي عمليات الإختراق و ذلك حسب إحصائيات مايو 2016 .
بعض النصائح لتجنب الإصابة بفيروس رانسوم وير :
- إحفظ نسخة إحتياطية من ملفاتك خارج جهازك مثلا على USB drive .
- قم بتحديث نظام التشغيل بصفة دورية
- تأكد من تشغيل الوضع الأوتوماتيكي لتحديثاث الأمان في ويندوز.
- قم بتشغيل مضاد الفيروسات و أحرص على تحديث قاعدة بياناته .
- تأكد من تشغيل الجدار الناري .
- لا تقدم على فتح الرسائل الإلكترونية مجهولة المصدر لأن هذا الفيروس كثير الإنتشار عبر السخام Spam و يكون في شكل مرفقة من صيغة zip .
- لا تضغط على أي رابط إلا إذا تأكدت من مصدره و وجهته .
في حال أصبت بهذا الفيروس قم بتنفيذ هذه المراحل:
- قم بتسجيل الدخول الي نظام التشغيل عن طريق الوضع الآمن “SAFE MODE”.
- قم باظهار الملفات المخفية وملفات النظام .
- احذف اي سكريبتات او تطبيقات مشتبه فيها في msconfig – registry – hosts. لفتح ملف hosts اكتب هذا الاختصار في قائمة التشغيل RUN.
- استخدم برنامج Malwarebytes إضغط هنا للتحميل أو Spy hunter إضغط هنا للتحميل.
- قم بإبقاف اي Process مشتبه فيه من خلال تبويبة البرمجيات Process TAB. عن طريق الضغظ من لوحة المفاتيح علي CTRL + SHIFT + ESC.
- عمل restore لاخر نسخه احتياطية من نظام التشغيل .
- قم بتحديث متصفح الأنترنت .
- ضع نسخة إحتياطية لمفاتك جانبا على USB drive .
- احذف اي ملفات مؤقتة بالنظام عن طريق الضغظ من لوحة المفاتيح علي علامة الويندوز + حرف الـ R وكتابة كل امر من هذه الاوامر وحذف ما بداخل المجلد.
%AppData% – %LocalAppData% – %ProgramData% – %WinDir% – %Temp%
و أخيرا و لضمان حل مناسب و معقول يؤمنك بطريقة فعالة جدا ، بعيدا عن المشاكل التي يمكن أن تقع في الأقراص الصلبة الخارجية ك USB drive إليكم هذا الموقع المشهور ذو الحماية الذي يوفر لكم خدمة تخزين معلوماتكم عن بعد في كنف الأمان التام .أضغط هنا لزيارة الموقع 🙂 .
فك التشفير عن طريق موقع nomoreransom.org :
1- قُم بالتوجه الي الموقع من خلال هذا الرابط : https://www.nomoreransom.org/ar/index.html
2- قم باختيار مفتاح فك التشفير عن طريق البحث عن اسم الفيروس في الموقع, أو عن طريق رفع أحد الملفات المُشفرة.
3- بعد تحميل برنامج فك التشفير قم بتشغيله علي الجهاز مع إتباع الإجراءات الإرشادية الموجودة في الموقغ.
0 comment
ممتاز معلومات جيدة الله يوفقكم
شكرا لك أختي محبة الخير ، دائما تعليقاتك تكون حافزا لنا لتقديم المزيد من المعلومات المفيدة كي تحصل الإفادة للجميع 🙂
ولله انتم احسن مدونة لتعليم الهكرز شكرا على الشرح الممتاز
شكرا لك أخي و إن شاء نكون عند حسن الظن 🙂
لو سمحت ازاى افتح الملفات بصيغه osiris
مرحبا بك أخي محمد 🙂
ملفات osiris هي ملفات خبيثة من نوع Ransomware و يجب عليك إزالتها من جهازك
هذه هي الطريقة : https://youtu.be/ZQU31t0A9y4