أفاق العالم اليوم على فاجعة كبيرة في مجال الحوسبة تتمثل في ظهور فيروس رانسوم وير Petya اللذي قام بضرب العديد من أجهزة الخوادم و الحواسيب في مختلف الشركات في شتى أنحاء العالم .
و يضرب هذا الفيروس بقوة لا نظير لها مقارنة بفيروس WannaCry اللذي سبقه إذ أنه قام بإطفاء أجهزة الحاسوب في الشركات و أغلق العديد من البنوك خاصة في روسيا و أوكرانيا و الهند و أوروبا و أثر حتى في سيرفرات شركات الطيران و شركات النقل البري مقابل فدية مالية بقيمة 300 دولار بعملة تدفع بالعملة التشفيرية البيتكوين .
[ Petya Ransomware ]
فيروس رانسوم وير Petya ليس جديدا و ليس وليد اليوم ، فأول ظهور له كان في شهر مارس 2016 و لكن ليس بهذه الطريقة اللتي ظهر بها اليوم .
فهذه النسخة الجديدة منه تقوم بتشفير جداول ملف القرص الصلب MFT و تعطل سجل الإقلاع الرئيسي MBR لجهاز الحاسوب ، بالإضافة إلى أنها تقيد الوصول إلى نظام التشغيل بالكامل .
كيف إنتشر رانسوم وير Petya ؟
رسالة الفدية من Petya المطالبة بدفع 300 دولار أمريكي
قال فريق الحماية في شركة Symantec ، أن رانسوم وير Petya يستغل الثغرة الموجودة في بروتوكول SMBv1 و اللتي إستغلت من قبل من طرف فيروس WannaCRY .
و يمكن إستغلال هذه الثغرة عن طريق أداة EternalBlue اللتي سربتها مجموعة The Shadow Brokers في شهر أبريل الماضي و اللتي قالت عنها أنها سرقتها من وكالة الأمن القومي الأمريكي NSA .
وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد مما ساهم في انتشار رانسوم وير Petya بهذا الشكل الكبير.
الشركات اللتي أصيبت بـ رانسوم وير Petya :
الشركات اللتي أصيبت بـ رانسوم وير Petya
أصاب فيروس Petya العديد من الشركات الكبرى حول العالم ، و من بينها نذكر :
- شركة الغاز الروسية Rosneft .
- شركات تزويد الكهرباء في أكرانيا ، “كييفينيرغو” و”أوكرينيرغو” .
- شركة “ميرسك”، وهي شركة لوجيستية دولية .
- شركة التعدين الأوكرانية Evraz.
- مطار “بوريسبيل” في كييف.
- أنظمة الخطر في المترو المحلي في أوكرانيا .
- مشغلي الاتصالات الأوكرانية، ” كييفستار”، ” ليفيسل ” ، ” أوكرتيليكوم “
المبالغ المالية اللتي حولت إلى محفظة فيروس Petya :
إلى حد كتابة هذا المقال تم رصد 29 عملية تحويل إلى محفظة تابعة للهاكرز اللذين طوروا فيروس Petya بقيمة جملية تقدر ب 8700 دولار أمريكي عن طريق عملة البتكوين إلى هذا العنوان:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
و إليكم هذه الصورة من موقع Blockchain لعمليات التحويل:
تحويلات البتكوين إلى محفظة Petya
كيف تقوم بحماية جهازك من Petya :
1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث MS17-010 من شركة ميكروسوفت.
2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة هذا الرابط واختيار التحديث المناسب لنظام تشغيل جهازك.
3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.
4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.
5- قم بتفعيل الـ Firmware ومنع الوصول الي بورتات بروتوكل الـ SMB بإصداراتها المختلفة.
6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.
7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.
8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.
[ Petya Ransomware ]
تعقيب
[ ماهو فايروس رانسوم وير ؟ ]
هو ليس إسم فيروس مُحدد كما يظُن البعض ولكنه نوعية من البرمجيات الخبيثة التي لها نشاط فيروسي. وهو من نوع التروجان “Trojan” وعادة ما يستهدف نظام التشغيل ويندوز وفيما ندر ما يستهدف نظام لينوكس.
وهذه النوعية من الفيروسات “رانسوم وير” لها عدة خصائص منها على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز، و القدرة علي استغلال الجهاز لعمل دوس أتاك DDOS attack وذلك بتحويل الكمبيوتر الي botnet، فهو يقوم بحجب الخدمة عن المستخدم والتحكم في جهازه بشكل كامل من خلا السيطرة علي بروتوكلات الاتصال بشبكة الانترنت.
يمكنك التعرف علي اشهر فيروسات رانسوم وير علي مر التاريخ من خلال هذه التدوينة.
يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.
للمزيد عن طريقة عمل فيروس الرانسوم وير أنصحك بمراجعة هذه التدوينة
أنصحك أيضآ بقراءة هذه التدوينة عن أحد أشهر فيروسات الرانسوم وير MongoDB