توعية أمنية جرائم الكترونية عالم الهاكرز

كل ما تود معرفته عن فيروس WannaCry الذي اجتاح العالم

WannaCry ransomware
WannaCry ransomware

WannaCry أو كما يُغرف بـ WanaCrypt0r 2.0 هو فيروس برمجي خطير استطاع تخريب أكثر من 75 الف جهاز كمبيوتر في 99 دولة حتي تاريخ نشر هذه المقالة, وذلك خلال ساعات قليلة ظهر يوم أمس الجمعة. “المصدر


[ WannaCry ransomware ]

ماهو فيروس WannaCry وكيف يعمل وكيف استطاع الانتشار بهذه السرعه خلال ساعات قليلة أن يُصيب أكثر من 75 الف جهاز حاسوب وشبكة اتصالات !!!

كيف تحمي حاسوبك وبياناتك من الاختراق وتشفير البيانات ؟ واسئلة أخري كثيرة سنتعرف علي إجابتها سويآ من خلال هذه التدوينة وسيعقبها أيضآ فيديو توضيحي وشرح عملي لعمل هذا الفيروس وذلك من خلال قناة ماتريكس219 علي اليوتيوب. ولكن دعونا أولآ نتعرف علس هذا التصنيف من أنواع الفيروسات.


ماهو فايروس رانسوم وير :

هو ليس إسم فيروس مُحدد كما يظُن البعض ولكنه نوعية من البرمجيات الخبيثة التي لها نشاط فيروسي. وهو من نوع التروجان “Trojan” وعادة ما يستهدف نظام التشغيل ويندوز وفيما ندر ما يستهدف نظام لينوكس.

وهذه النوعية من الفيروسات “رانسوم وير” لها عدة خصائص منها على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز، و القدرة علي استغلال الجهاز لعمل دوس أتاك DDOS attack وذلك بتحويل الكمبيوتر الي botnet، فهو يقوم بحجب الخدمة عن المستخدم والتحكم في جهازه بشكل كامل من خلا السيطرة علي بروتوكلات الاتصال بشبكة الانترنت.

يمكنك التعرف علي اشهر فيروسات رانسوم وير علي مر التاريخ من خلال هذه التدوينة.


فيروس رانسوم وير وعملية الابتزاز :

يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.

تختلف قوة هذا الفيروس بحسب نوعية وعدد الملفات المستهدفة ودرجة صعوبة فك التشفير. واليكم في الصورة التاليه مثال علي رسالة طلب فدية للحصول علي برنامج فك التشفير.

WannaCry رانسوم وير
EX | رسالة طلب الفدية

وللتعرف أكثر علي خصائص هذا الفيروس أنصحك بقراءة هذه التدوينة التفصيلية ” أخطر أنواع البرمجيات الخبيثة علي الاطلاق


كيف يعمل فيروس الرانسوم وير ؟

فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن برنامج Locky المشهور  نوضح فيه آلية عمل هذا الفيروس وذلك قبل الخوض في تفاصيل موضوعنا اليوم عن فيروس WannaCry.

لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على هذا الشكل.



و من ثم تظهر لك رسالة مضمونها المترجم كالتالي..


وبعد أن تتخز الاجراء المناسب ودفع الفدية يقوم مبرمج الفيروس بارسال برنامج فك التشفير اليك لاستعادة السيطرة علي ملفاتك مرة أخري.


[ للمزيد عن طريقة عمل فيروس الرانسوم وير أنصحك بمراجعة هذه التدوينة التي تم الإشارة اليها مسبقآ ]

[ أنصحك أيضآ بقراءة هذه التدوينة عن أحد أشهر فيروسات الرانسوم وير MongoDB ]


[ WannaCry Ransomware  ]

بداية انتشار فيروس WannaCry :

بدأ إنتشار هذا الرانسوم وير خلال الساعات الأولي من يوم الجمعة 2017-05-12 ليصيب ماهو أكثر من 75 الف جهاز حاسوب في نطاق 75 دولة و 20 لغة مختلفة.

أول تداعيات هذا الفيروس بدأت من دولة أسبانيا وذلك بإصابة شبكة Telefónica للاتصالات وهي شركة اتصالات أسبانية متعددة الجنسيات تغطي اوروبا وآسيا واماكن متفرقة من الولايات المتحدة الأمريكية. كما أصاب الفيروس أنظمة العديد من الشركات الشهيرة مثل National Health Service (NHS), FedEx and Deutsche Bahn

تلي هذه العملية بلاغات متعددة من دولة روسيا وذلك بتأكيد إصابة أنظمة رقمية متعددة تابعة لمؤسسات وهيئات حكومية منها :RussianInterior Ministry –  Russian Emergency MinistryMegaFon

وفي الساعات الماضية بدا انتشار الفيروس في العديد من الدول العربية ولكن في نطاق ضيق وكان أشهرها المملكة العربية السعودية وشركة الاتصالات STC,الذي كانت حديث السوشيال ميديا لمدة ايام الي أن قامت الشركة بتكذيب الخبر, ولا ندري هل كان هذا للحفاظ علي عملاءها, أم أنها كانت مجرد إشاعه صدرت من السوشيال ميديا ” التفاصيل

وهذا لم يمنع هيئات الاتصالات من تحذير المواطنين واصدار نشرات توعيه من خطورة الفيروس وكيفية التعامل معه, وكانت أول هذه الهيئات هي تنظيم الاتصالات بدولة الإمارات الشقيقة. ” تصريح هيئة تنظيم الاتصالات بالامارات حول فيروس Wanna Cry


الثغرة التي تم استغلالها لنشر فيروس Wannacry :

الغريب في الأمر أن فيروس WannaCry استغل ثغرة EnternalBlue والتي تم الاعلان عنها في مارس الماضي وتم طرحها من قبل إحدي مجموعات الهاكرز تسمي The Shadow Brokers في 14 ابريل 2017, وذلك بعد أن تم تسريبها من Equation Group,  والتي لم يتم تحديد ماهيتها هل هي مجموعة من الهاكرز تابعين لوكالة الأمن القومي الأمريكي أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز.

ولكن أيآ كان فمن المؤكد أن وكالة الأمن القومي الأمريكية NSA لها دور كبير في ذلك. وسبق وأن ذكرنا في تدوينة سابقة علاقتها الوطيدة بالعديد من عمليات الاختراق والتجسس التي تتم في الانترنت المظلم.

اقرا المزيد حول هذا الموضوع

ثغرة EnternalBlue :

إحدي ثغرات نظام التشغيل ويندوز والتي تستغل بروتوكول SMB “Server Message Block” المسئول عن مشاركة الملفات والمجلدات في شبكة الانترنت. ” اقرأ المزيد

وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد. مما ساهم في انتشار رانسوم وير WannaCry بهذا الشكل البشع.


Zero-Day Vulnerability  :

ملحوظة: لا يمكن اعتبار هذا الهجوم zero-day vulnerability حيث أن شركة ميكروسوفت قد سبق وطرحت تحديث SMB 3.0 منذ شهر مضي وتحديدآ في 14 مارس من العام الحالي. اي قبل حدوث الهجوم بحوالي شهرين.


آلية عمل Wannacry رانسوم وير :


1- يصل الفيروس الي جهاز الكمبيوتر عن طريق متصفح الانترنت في عدة صور, أشهرها كانت رسالة بريد الكتروني تخبرك بأنك فزت بجائزة من المال ـو أنك ستحصل علي تحويل بنكي كما هو موضح بالصورة.


2- بمجرد تحميل ملف المرفقات وتشغيله يتم تشفير ملفات الجهاز بالكامل.

WannaCry

3- يستخدم الفيروس ثغرة بروتوكول الـ SMB للانتقال الي جميع الأجهزة المتصلة بالشبكة والمصابة بهذه الثغرة.

4- تظهر لك رسالة التشفير التالية.

WannaCry
Wana_Decrypt0r

تخبرك الرسالة أنه تم تشفير البيانات الموجوده علي جهازك, ولن تستطيع فك التشفير بدون برنامج الـ Decryption , وسيقوم الهاكرز بإثبات قدرتهم علي ذلك بفك تشفير بعض البيانات مجانآ بدون مقابل ولكن إن كنت ترغب في فك تشفير جميع الملفات فعليك أن تقوم بعمل تحويل بقيمة 300$ بعملة البتكوين خلال 3 ايام علي الأكثر. وإذا تجاوزت هذه المدة سوف يتم مضاعفة المبلغ. وإذا مرت 7 ايام بدون أن تقوم بدفع المبلغ ففي هذه الحالة لن تتمكن من استعادة ملفاتك الي الأبد.

ويظهر عداد تنازلي Counter لفترة السداد التي مدتها 72 ساعة وكذلك عداد تنازلي لـ 7 أيام هي المدة المتاح فيها محاولة استعادة الملفات, وبعدها سوف تفقد ملفاتك للأبد.

4- يتصل الفيروس بهذا الموقع الالكتروني “غير مُسجل” ويقوم باستخدامه كـ Kill Switch.

حيث يحدد اختيار من اثنين:

أولهما تنفيذ التشفير في حالة عدم امكانية الوصول الي الموقع, والثاني هو ايقاف الهجوم وفك التشفير في حالة التمكن من الوصول الي الموقع.


كيف تقوم بحماية جهازك من WannaCry :

1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث MS17-010 من شركة ميكروسوفت.

2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة هذا الرابط واختيار التحديث المناسب لنظام تشغيل جهازك.

3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.

4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.

5- قم بتفعيل الـ Firmware ومنع الوصول الي بورتات بروتوكل الـ SMB بإصداراتها المختلفة.

6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.


لماذا هذه الإجراءات بعد تحديث الويندوز ؟

ما توصلت اليه الجهات البحثيه لمكافحة الفيروسات الوبرمجيات الخبية حتي وقتنا هذا هو في نطاق الاصدار الأول فقط من فيروس الـ WannaCry , ورغم محاولتهم لتعطيل الـ Kill Switch الا أن الفيروس مازال قادرآ علي تطوير عمله حتي وقت كتابة هذه المقالة. وبالتالي فنحن حتي الآن نتعامل فقط مع واجهة الفيروس, وما يحدث في الـ BackEnd ماهو الا اجتهادات ولذك وجب أخذ كافة الاحتياطات خاصة في شبكات المؤسسات الحكومية والتجارية والبنكية والتي تعتمد في نشاطها علي قواعد البيانات بشكل اساسي.


وفي النهاية اليكم ملفات تشفير رانسوم وير WannaCry بصيغة PEM من خلال هذا الرابط : 

واليكم هذه التدوينة عن توصيات السلامة من شركة ميكروسوفت وكيف يمكنك أخد احتياطاتك لتجنب إصابة بيانات حاسوبك بهذا الفايروس.

وأترككم الآن مع هذا الفيديو التفصيلي :

دُمتم بود والي لقاء قريب 🙂  “أبو يوسف المصري

Matrix219

• هذا الحساب هو للتدوبن العام, فلقد قمنا بتضمين العديد من التدوينات من الأرشيف بدون ذكر إسم المدون ولقد اضطررنا لذلك نظرآ لتحديثات في قاعدة البيانات.
• قام بالمشاركة في التدوين العديد من مدونين ماتريكس ومنهم:
• أبو يوسف المصري • أحمد هارون • يونس المغربي • وليد محمد • عمرو اسماعيل • عمرو المحمدي

تعليق 12

انقر هنا لإضافة تعليق

اترك رد

  • كنت بدور علي تجميل برنامج hma vpn مجاني لقية الكرال بتاعة علي قناة اجنبية دخلت حملتة وسطبتة الغريب انة مش ظهر البرنامج ولا علي سطح المكتب ولا في البرامج المتسطبة ولقيت بعدها عنوان الايبي بتاعي اتغير مع انو عمرة ما اتغير وبتظهر ليا علامة بوت اكواد وبتختفي بسرعة مش عارف بقا دة فيروس ولا اية ممكن تفدني .
    وتحديث الاداة لنسخة 8.1 مش في اللينك

  • انا عندي widows 7 ultimate 32 bit… حاولت نزل التحديثات ل ويندوز 7 32 بت بالخيارين الموجوين بالقائمة بتاع تحديثات الويندوز لكن عطاني نافذة اثناء تشغيل التحديث غير مطابق للكمبيوتر.. شو اعمل… لا يوجد خيار widows 7 ultimate 32 bit

  • السلام عليكم
    شكرا للمعلومات القيمة و المهمة و المجهود الرائع…. انا اتبعت الرابط الخاص بتحميل تحديث الحماية من الفيروس لأنظمة التشغيل الغير مذكورة في التدوينة و لكن للأسف التحديثين الوحيدين الموجودين لويندز 8 بنظام 64 بيت لا يعملان و يظهران رسالة الخطأ التالية
    The update is not applicable to your computer
    ممكن مساعدة اذا سمحت