كل ما تود معرفته عن فيروس WannaCry الذي اجتاح العالم

الكاتب : Null
753 مشاهده

WannaCry أو كما يُغرف بـ WanaCrypt0r 2.0 هو فيروس برمجي خطير استطاع تخريب أكثر من 75 الف جهاز كمبيوتر في 99 دولة حتي تاريخ نشر هذه المقالة, وذلك خلال ساعات قليلة ظهر يوم أمس الجمعة. “المصدر


[ WannaCry ransomware ]

ماهو فيروس WannaCry وكيف يعمل وكيف استطاع الانتشار بهذه السرعه خلال ساعات قليلة أن يُصيب أكثر من 75 الف جهاز حاسوب وشبكة اتصالات !!!

كيف تحمي حاسوبك وبياناتك من الاختراق وتشفير البيانات ؟ واسئلة أخري كثيرة سنتعرف علي إجابتها سويآ من خلال هذه التدوينة وسيعقبها أيضآ فيديو توضيحي وشرح عملي لعمل هذا الفيروس وذلك من خلال قناة ماتريكس219 علي اليوتيوب. ولكن دعونا أولآ نتعرف علس هذا التصنيف من أنواع الفيروسات.


ماهو فايروس رانسوم وير :

هو ليس إسم فيروس مُحدد كما يظُن البعض ولكنه نوعية من البرمجيات الخبيثة التي لها نشاط فيروسي. وهو من نوع التروجان “Trojan” وعادة ما يستهدف نظام التشغيل ويندوز وفيما ندر ما يستهدف نظام لينوكس.

وهذه النوعية من الفيروسات “رانسوم وير” لها عدة خصائص منها على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز، و القدرة علي استغلال الجهاز لعمل دوس أتاك DDOS attack وذلك بتحويل الكمبيوتر الي botnet، فهو يقوم بحجب الخدمة عن المستخدم والتحكم في جهازه بشكل كامل من خلا السيطرة علي بروتوكلات الاتصال بشبكة الانترنت.

يمكنك التعرف علي اشهر فيروسات رانسوم وير علي مر التاريخ من خلال هذه التدوينة.


فيروس رانسوم وير وعملية الابتزاز :

يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.

تختلف قوة هذا الفيروس بحسب نوعية وعدد الملفات المستهدفة ودرجة صعوبة فك التشفير. واليكم في الصورة التاليه مثال علي رسالة طلب فدية للحصول علي برنامج فك التشفير.

WannaCry رانسوم وير

EX | رسالة طلب الفدية

وللتعرف أكثر علي خصائص هذا الفيروس أنصحك بقراءة هذه التدوينة التفصيلية ” أخطر أنواع البرمجيات الخبيثة علي الاطلاق


كيف يعمل فيروس الرانسوم وير ؟

فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن برنامج Locky المشهور  نوضح فيه آلية عمل هذا الفيروس وذلك قبل الخوض في تفاصيل موضوعنا اليوم عن فيروس WannaCry.

لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على هذا الشكل.



و من ثم تظهر لك رسالة مضمونها المترجم كالتالي..


وبعد أن تتخز الاجراء المناسب ودفع الفدية يقوم مبرمج الفيروس بارسال برنامج فك التشفير اليك لاستعادة السيطرة علي ملفاتك مرة أخري.


[ للمزيد عن طريقة عمل فيروس الرانسوم وير أنصحك بمراجعة هذه التدوينة التي تم الإشارة اليها مسبقآ ]

[ أنصحك أيضآ بقراءة هذه التدوينة عن أحد أشهر فيروسات الرانسوم وير MongoDB ]


[ WannaCry Ransomware  ]

بداية انتشار فيروس WannaCry :

بدأ إنتشار هذا الرانسوم وير خلال الساعات الأولي من يوم الجمعة 2017-05-12 ليصيب ماهو أكثر من 75 الف جهاز حاسوب في نطاق 75 دولة و 20 لغة مختلفة.

أول تداعيات هذا الفيروس بدأت من دولة أسبانيا وذلك بإصابة شبكة Telefónica للاتصالات وهي شركة اتصالات أسبانية متعددة الجنسيات تغطي اوروبا وآسيا واماكن متفرقة من الولايات المتحدة الأمريكية. كما أصاب الفيروس أنظمة العديد من الشركات الشهيرة مثل National Health Service (NHS), FedEx and Deutsche Bahn

تلي هذه العملية بلاغات متعددة من دولة روسيا وذلك بتأكيد إصابة أنظمة رقمية متعددة تابعة لمؤسسات وهيئات حكومية منها :RussianInterior Ministry –  Russian Emergency Ministry – MegaFon

وفي الساعات الماضية بدا انتشار الفيروس في العديد من الدول العربية ولكن في نطاق ضيق وكان أشهرها المملكة العربية السعودية وشركة الاتصالات STC,الذي كانت حديث السوشيال ميديا لمدة ايام الي أن قامت الشركة بتكذيب الخبر, ولا ندري هل كان هذا للحفاظ علي عملاءها, أم أنها كانت مجرد إشاعه صدرت من السوشيال ميديا

وهذا لم يمنع هيئات الاتصالات من تحذير المواطنين واصدار نشرات توعيه من خطورة الفيروس وكيفية التعامل معه, وكانت أول هذه الهيئات هي تنظيم الاتصالات بدولة الإمارات الشقيقة. ” تصريح هيئة تنظيم الاتصالات بالامارات حول فيروس Wanna Cry


الثغرة التي تم استغلالها لنشر فيروس Wannacry :

الغريب في الأمر أن فيروس WannaCry استغل ثغرة EnternalBlue والتي تم الاعلان عنها في مارس الماضي وتم طرحها من قبل إحدي مجموعات الهاكرز تسمي The Shadow Brokers في 14 ابريل 2017, وذلك بعد أن تم تسريبها من Equation Group,  والتي لم يتم تحديد ماهيتها هل هي مجموعة من الهاكرز تابعين لوكالة الأمن القومي الأمريكي أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز.

ولكن أيآ كان فمن المؤكد أن وكالة الأمن القومي الأمريكية NSA لها دور كبير في ذلك. وسبق وأن ذكرنا في تدوينة سابقة علاقتها الوطيدة بالعديد من عمليات الاختراق والتجسس التي تتم في الانترنت المظلم.

اقرا المزيد حول هذا الموضوع

ثغرة EnternalBlue :

إحدي ثغرات نظام التشغيل ويندوز والتي تستغل بروتوكول SMB “Server Message Block” المسئول عن مشاركة الملفات والمجلدات في شبكة الانترنت. ” اقرأ المزيد

وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد. مما ساهم في انتشار رانسوم وير WannaCry بهذا الشكل البشع.


Zero-Day Vulnerability  :

ملحوظة: لا يمكن اعتبار هذا الهجوم zero-day vulnerability حيث أن شركة ميكروسوفت قد سبق وطرحت تحديث SMB 3.0 منذ شهر مضي وتحديدآ في 14 مارس من العام الحالي. اي قبل حدوث الهجوم بحوالي شهرين.


آلية عمل Wannacry رانسوم وير :


1- يصل الفيروس الي جهاز الكمبيوتر عن طريق متصفح الانترنت في عدة صور, أشهرها كانت رسالة بريد الكتروني تخبرك بأنك فزت بجائزة من المال ـو أنك ستحصل علي تحويل بنكي كما هو موضح بالصورة.


2- بمجرد تحميل ملف المرفقات وتشغيله يتم تشفير ملفات الجهاز بالكامل.

3- يستخدم الفيروس ثغرة بروتوكول الـ SMB للانتقال الي جميع الأجهزة المتصلة بالشبكة والمصابة بهذه الثغرة.

4- تظهر لك رسالة التشفير التالية.

تخبرك الرسالة أنه تم تشفير البيانات الموجوده علي جهازك, ولن تستطيع فك التشفير بدون برنامج الـ Decryption , وسيقوم الهاكرز بإثبات قدرتهم علي ذلك بفك تشفير بعض البيانات مجانآ بدون مقابل ولكن إن كنت ترغب في فك تشفير جميع الملفات فعليك أن تقوم بعمل تحويل بقيمة 300$ بعملة البتكوين خلال 3 ايام علي الأكثر. وإذا تجاوزت هذه المدة سوف يتم مضاعفة المبلغ. وإذا مرت 7 ايام بدون أن تقوم بدفع المبلغ ففي هذه الحالة لن تتمكن من استعادة ملفاتك الي الأبد.

ويظهر عداد تنازلي Counter لفترة السداد التي مدتها 72 ساعة وكذلك عداد تنازلي لـ 7 أيام هي المدة المتاح فيها محاولة استعادة الملفات, وبعدها سوف تفقد ملفاتك للأبد.

4- يتصل الفيروس بهذا الموقع الالكتروني “غير مُسجل” ويقوم باستخدامه كـ Kill Switch.

حيث يحدد اختيار من اثنين:

أولهما تنفيذ التشفير في حالة عدم امكانية الوصول الي الموقع, والثاني هو ايقاف الهجوم وفك التشفير في حالة التمكن من الوصول الي الموقع.


كيف تقوم بحماية جهازك من WannaCry :

1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث MS17-010 من شركة ميكروسوفت.

2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة هذا الرابط واختيار التحديث المناسب لنظام تشغيل جهازك.

3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.

4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.

5- قم بتفعيل الـ Firmware ومنع الوصول الي بورتات بروتوكل الـ SMB بإصداراتها المختلفة.

6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.

7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.

8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.


لماذا هذه الإجراءات بعد تحديث الويندوز ؟

ما توصلت اليه الجهات البحثيه لمكافحة الفيروسات الوبرمجيات الخبية حتي وقتنا هذا هو في نطاق الاصدار الأول فقط من فيروس الـ WannaCry , ورغم محاولتهم لتعطيل الـ Kill Switch الا أن الفيروس مازال قادرآ علي تطوير عمله حتي وقت كتابة هذه المقالة. وبالتالي فنحن حتي الآن نتعامل فقط مع واجهة الفيروس, وما يحدث في الـ BackEnd ماهو الا اجتهادات ولذك وجب أخذ كافة الاحتياطات خاصة في شبكات المؤسسات الحكومية والتجارية والبنكية والتي تعتمد في نشاطها علي قواعد البيانات بشكل اساسي.


وفي النهاية اليكم ملفات تشفير رانسوم وير WannaCry بصيغة PEM من خلال هذا الرابط : 

واليكم هذه التدوينة عن توصيات السلامة من شركة ميكروسوفت وكيف يمكنك أخد احتياطاتك لتجنب إصابة بيانات حاسوبك بهذا الفايروس.

توصيات السلامة من مايكروسوفت بخصوص فيروس الفدية Wanna Cry

موضوعات اخري قد تهُمك

0 comment

YOUSEF مايو 14, 2017 - 1:09 م

١- هو الفايروس ده بس للكمبيوتر ؟
٢- ازاي أغلق البورتات دي مش فاهم ؟

رد
Matrix219 مايو 14, 2017 - 4:00 م

1- الفايروس يستهدف أنظمة تشغيل الويندوز.
2- ساقوم بعمل تدوينة عن كيفية اغلاق البورتات اليوم أو غدآ بإذن الله.

رد
Eng.Mohamed Bassuny مايو 15, 2017 - 7:33 ص

الرجاء الاسراع في عمل الموضوع

حضرتك تعلم خطورة الموقف ولابد ان يكون الحل سريعا

و شكرا ليك علي كل كلمه قولتها للتوعية

رد
Matrix219 مايو 25, 2017 - 6:27 م

اعتذر عن التأخر في عمل موضوع مستقل نظرآ لانشغالي الفترة السابقة بأمور العمل. وخلال ايام بإذن الله سأعود للتدوين ونشر الفيديوهات.

رد
Ibrahim Ghazal مايو 14, 2017 - 4:48 م

كنت بدور علي تجميل برنامج hma vpn مجاني لقية الكرال بتاعة علي قناة اجنبية دخلت حملتة وسطبتة الغريب انة مش ظهر البرنامج ولا علي سطح المكتب ولا في البرامج المتسطبة ولقيت بعدها عنوان الايبي بتاعي اتغير مع انو عمرة ما اتغير وبتظهر ليا علامة بوت اكواد وبتختفي بسرعة مش عارف بقا دة فيروس ولا اية ممكن تفدني .
وتحديث الاداة لنسخة 8.1 مش في اللينك

رد
Matrix219 مايو 14, 2017 - 4:50 م

راجع ملف الـ hosts ولو به أي تعديل اقم باستعادة النسخة الاصليه منه.
يمكنك مشاهدة هذا الفيديو للمزيد من التفاصيل : https://www.youtube.com/watch?v=BEVQYMF1KLo

رد
Firas مايو 14, 2017 - 8:17 م

ماحصلت تحديث ويندوز 8.1 !

رد
Dr. Tboly مايو 15, 2017 - 9:21 م

انا عندي widows 7 ultimate 32 bit… حاولت نزل التحديثات ل ويندوز 7 32 بت بالخيارين الموجوين بالقائمة بتاع تحديثات الويندوز لكن عطاني نافذة اثناء تشغيل التحديث غير مطابق للكمبيوتر.. شو اعمل… لا يوجد خيار widows 7 ultimate 32 bit

رد
ahmed مايو 15, 2017 - 10:34 م

مستتنيك تعمل فيديو ع اليوتيوب لكيفية اغلاق البورتات دي بسرعة بقي في السريع

رد
محمد سعيد مايو 20, 2017 - 7:02 م

السلام عليكم
شكرا للمعلومات القيمة و المهمة و المجهود الرائع…. انا اتبعت الرابط الخاص بتحميل تحديث الحماية من الفيروس لأنظمة التشغيل الغير مذكورة في التدوينة و لكن للأسف التحديثين الوحيدين الموجودين لويندز 8 بنظام 64 بيت لا يعملان و يظهران رسالة الخطأ التالية
The update is not applicable to your computer
ممكن مساعدة اذا سمحت

رد
simo مايو 24, 2017 - 11:59 م

سلام. متابع من المغرب
هل يمكن لهذا الفيروس الإشتغال دون انترنت اي في شبكة لان

رد
Matrix219 مايو 25, 2017 - 6:25 م

نعم فيكفي وجود الفيروس علي الجهاز كي ينتقل في الشبكة, أو يصيب الجهاز حتي مع عدم وجود انترنت

رد

Leave a Comment

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك، ولكن يمكنك الاعتراض إذا رغبت. موافق قراءة المزيد

Privacy & Cookies Policy