Matrix219 | فيروس رانسوم وير » أخطر أنواع البرامج الخبيثة على الإطلاق

فيروس رانسوم وير » أخطر أنواع البرامج الخبيثة على الإطلاق

By محمد غازي صوايفي

فيروس رانسوم وير هو فيروس ليس معروفا لمعظم الناس بالرغم من أن بصمته عالميا لا تضاهيها أي بصمة لبرمجية خبيثة أخرى .تعالوا اليوم نكتشف مع بعضنا البعض هذ الفيروس الخطير و مقولته الشهيرة :” إدفع النقود مقابل إسترجاع بياناتك “.


ما هو الإبتزاز الرقمي :


فيروس رانسوم وير- الإبتزاز الرقمي


هو جريمة إلكترونية تهدف إلى الحصول على الأموال أو الممتلكات أو خدمات من مؤسسة معينة، عن طريق الإكراه.و عادة ما تكون الطريقة التي يستعملها المبتزون”Racketeers” في تحقيق أهدافهم ، إظهار رسالة نصية للضحية فيها كل التعليمات التي يجب أن يتبعها لإتمام المعاملة التي بينهما .و يمارس هذا النوع من الابتزاز من قبل أفراد و غالبا ما يكون من جماعات الجريمة المنظمة .


ما هو فيروس رانسوم وير :


فيروس رانسوم وير - تعريف فيروس رانسوم وير


هو برمجية خبيثة من نوع التروجان “Trojan” تستهدف بالأساس نظام التشغيل ويندوز ولها إصدار واحد على نظام لينوكس ، لها عدة خصائص شبيهة فيروس نجرات ، على سبيل الذكر لا الحصر ، التحكم بملفات الجهاز ، و خاصية الدوس أتاك DDOS attack ، إذ أنه يحجب الخدمة عن المستعمل .
و يقوم هذا البرنامج ب تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له في الشاشة لاسترجاع كامل ملفاته .


لمحة تاريخية عن فيروس رانسوم وير :


فيروس رانسوم وير -لمحة تاريخية عن فيروس رانسوم وير

لمحة تاريخية عن فيروس رانسوم وير


أول ظهور لبرمجية رانسوم وير “Ransom ware” كان سنة 1989 و بالتحديد في الفترة الممتدة بين يوم 7 و 11 ديسمبر من نفس العام ، وسميت “أيدس تروجان AIDS Trojan” و أيضا “بيسي سايبورغ PC Cyborg”، حيث قامت شركة وهمية تسمى “Ketema & Associates “بتوزيع 26000 ظرف يحتوي على قرص مرن “Floppy Disk” إلى العديد من الأشخاص و الجمعيات الذين يهتمون بمجال الصحة في كامل أنحاء بريطانيا .

و كانت البرمجية المصطبة في هذا القرص عبارة عن برنامج تفاعلي حول “مرض الإيدز AIDS” ، يقدم معلومات حول هذا المرض الخطير ، و يطرح الأسئلة على المستعمل حول ثقافته الجنسية و ينبهه على ضوء إجاباته على أنه من الممكن تعرضه للإيدز أو لا و ينصحه بمشاركة هذا البرنامج مع شريكه الجنسي للوقاية منه.


لمحة تاريخية عن فيروس رانسوم وير

واجهة برنامج AIDS


و ما كان خفيا وقتها أن هذا التطبيق يحتوي على تروجان كامن و يشتغل في الخفاء ، يقوم بتشفير كامل المعطيات الموجودة على الجهاز و تنبثق منه نافذة تطلب من الضحية دفع معلوم مالي قدره 189 دولارا أمريكيا سنويا لمواصلة استخدام هذا البرنامج و كان من دهاء المبرمج ، أن لا تظهر هذه الرسالة إلا بعد إعادة تشغيل الكمبيوتر 90 مرة لإعطاء الوقت الكافي للمستعمل لاستخدامه و نشره بين أصدقاءه .


لمحة تاريخية عن فيروس رانسوم وير

إرشادات لدفع الفدية


أدى انتشار هذه البرمجية الخبيثة إلى حلول كارثة إلكترونية عظمى في المملكة المتحدة ، مما توجب على الحكومة فتح تحقيق دولي فيها ، أستوجب تجميد نشاط شركة “Ketema & Associates ” و طرد مالكها الكيني الجنسية “Mr. Ketema” و كشفت التحقيقات أيضا عبر العنوان الذي يجب على المستعمل إرسال الأموال إليه أنه متواجد في دولة باناما تحت أسم شركة “PC Cyborg Corporation” .


القبض على العقل المدبر لفيروس رانسوم وير:


فيروس رانسوم وير - جوزيف بوب Joseph Pop

جوزيف بوب Joseph Pop

و بدأت وقتها ملامح الجريمة تستوضح شيئا فشيئا إلى أن تم القبض على العقل المدبر لها المسمى “جوزيف بوب Joseph Pop ” الأمريكي الجنسية الذي كان دكتور في  الأنثروبولوجيا وعلم الحيوان “Anthropology and Zoology” و من بعد ذلك أصبح مستشارا في تطوير النظم الإلكترونية في  المنظمة العالمية للصحة “W.H.O”.

و عندما سئل عن سبب إنشاءه لهذا الفيروس قال أنه بهدف إخبار الناس بخطر مرض الإيدز و دفعهم لتقديم دعم مالي للمؤسسات الصحية الراعية لهذا الموضوع  و أنه لم يحظى بأي أموال عن طريقه .

تم القبض عليه يوم 2 فبراير 1990 في الولايات المتحدة الأمريكية و أتهم ب 11 قضية لكن بعد فترة من الزمن تم إخلاء سبيله بحجة أنه مجنون و ليست له قدرات ذهنية طبيعية .


كيف يعمل فيروس رانسوم وير الحديث ؟


فيروس رانسوم وير - كيف يعمل فيروس رانسوم وير الحديث

كما قلنا سابقا فإن فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن برنامج Locky المشهور  نوضح فيه آلية عمل هذا الفيروس  .

لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folder” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على الشكل :

فيروس رانسوم وير

تحويل صيغة الملف إلى locky.

و من ثم تظهر لك رسالة مضمونها المترجم كالتالي :

فيروس رانسوم وير

الرسالة النصية ل Locky


بعد قراءة هذه الرسالة ، لا يوجد حل بالنسبة للضحية إلا إتباع ما جاء فيها حرفيا و ذلك من شدة حرصه على استرجاع معلوماته الشخصية فيقوم بفتح متصفح التور ثم يتوجه إلى رابط الموقع المشار إليه ، فتظهر له هذه الواجهة :


فيروس رانسوم وير

موقع ويب المبتزين

يقوم في هذه المرحلة بإدخال المعرف الوحيد الخاص به و المذكور في الرسالة النصية وهو في هذا المثال RGH**********DV:


طريقة دفع المال لهذا الشخص:


فيروس رانسوم وير

طريقة دفع المال

و بعد إتمام عملية إدخال الكود ، يوجهك السيرفر  إلى هذه الصفحة لتقديم الفدية وهي متمثلة في دفع مبلغ مالي عن طريق البتكوين قيمته 0.5 btc أي ما يعادل حاليا 318 دولار أمريكي حسب موقع preev.com  ، إلى عنوان المحفظة الموجود في أسفل الصفحة .
و بعد التأكد من نجاح عملية الدفع ، سيطلب منك تحديث الصفحة للحصول على مفتاح فك التشفير الخاص بك لكي تستعيد ملفاتك بالكامل .هذا توضيح للعملية في الصورة :

 ملاحظة :ليس أكيدا حصولك على مفتاح لفك التشفير بعد عملية تحويل الأموال ، فهؤلاء هم مجرمون و يمكنهم أن يخدعوك مرة ثانية بعدم توفير هذ المفتاح لك فحذاري كل الحذر.


بعض أنواع فيروس رانسوم وير ذو الشهرة الواسعة :


  • Cryptolocker :

هذا من أشهر البرامج المستعملة حديثا حيث تم إنشاءه في شهر سبتمبر من سنة 2013 و يصيب العديد من إصدارات ويندوز  مثل Windows XP و  Windows Vista و 7 Windows و 8 Windows و يقوم بمنح مهلة للضحية  تدوم 72 ساعة .

فيروس رانسوم وير- أنواع فيروس رانسوم وير

الرسالة النصية ل Cryptolocker

  • CTB-Locker :

يتميز هذا الرانسوم وير أيضا  بخاصية العد التنازلي لدفع الأموال لإخافة الضحية بشكل أكثر .

فيروس رانسوم وير- أنواع فيروس رانسوم وير

الرسالة النصية ل CTB-Locker

  • Reveton :

تستعمل في هذا الفيروس تقنية الهندسة الإجتماعية ، إذ أن الرسالة التي تظهر له توهمه بأنها متأتية من جهة رسمية ” هنا من مكتب التحقيقات الفدرالي “FBI و يكون محتواها في شكل تحذير له لأن نشاطه الإلكتروني مشبوه و غير قانوني و بالتالي هم اضطروا لتشفير نظامه بالكامل .


فيروس رانسوم وير- أنواع فيروس رانسوم وير

الرسالة النصية ل Reveton

  • Linux.Encoder.1 :

يستهدف هذا الإصدار نظام لينوكس لكن ليس معروفا و منتشرا بكثرة  وسبب  ذلك أنه يتجه بالأساس إلى تشفير الملفات في مواقع الويب عند تنصيب نفسه على خادم لينوكس مع ضمان صلاحية المدير Admin .

فيروس رانسوم وير- أنواع فيروس رانسوم وير

تشفير الملفات بتقنية AES في هذه المجلدات

فيروس رانسوم وير- أنواع فيروس رانسوم وير

صيغة الملفات اللتي يقوم بتحويلها

كما تلاحظون ، فإن صيغ الملفاة هذه تكون موجودة في  موقع ويب .

و هذه هي الرسالة اللتي تظهر للضحية .

فيروس رانسوم وير- أنواع فيروس رانسوم وير

الرسالة النصية ل Linux.Encoder.1


إحصائيات عن رانسوم وير لسنة 2016


طبقا للمعلومات التي أوردتها شركة Trendmicro المتخصصة في الحماية و الأمن المعلوماتي  على موقعها الرسمي ، أن 50 نوعا جديدا من عائلة رانسوم وير تم تطويرها في 5 أشهر الأولى من سنة 2016 إضافة إلى 100 نوع موجود سنة 2015 ، و هذه أرقام بصراحة جد رهيبة !!

فيروس رانسوم وير- إحصائيات لسنة 2016

إحصائيات عن رانسوم وير

هذ ا الرسم البياني يوضح أن نسبة الهجوم الإلكتروني بإستخدام فيروس رانسوم وير هي  الأعلى من بقية الأدوات الأخرى ، إذ تصل إلى 61% من إجمالي عمليات الإختراق و ذلك حسب إحصائيات مايو 2016 .


بعض النصائح لتجنب الإصابة بفيروس رانسوم وير :


  1. إحفظ نسخة إحتياطية من ملفاتك خارج جهازك مثلا على USB drive .
  2. قم بتحديث نظام التشغيل بصفة دورية
  3. تأكد من تشغيل الوضع الأوتوماتيكي لتحديثاث الأمان في ويندوز.
  4. قم بتشغيل مضاد الفيروسات و أحرص على تحديث قاعدة بياناته .
  5. تأكد من تشغيل الجدار الناري .
  6. لا تقدم على فتح الرسائل الإلكترونية مجهولة المصدر لأن هذا الفيروس كثير الإنتشار عبر السخام Spam و يكون في شكل مرفقة من صيغة zip .
  7. لا تضغط على أي رابط إلا إذا تأكدت من مصدره و وجهته .

في حال أصبت بهذا الفيروس قم بتنفيذ هذه المراحل:


  1. قم بتسجيل الدخول الي نظام التشغيل عن طريق الوضع الآمن “SAFE MODE”.
  2. قم باظهار الملفات المخفية وملفات النظام .
  3.  احذف اي سكريبتات او تطبيقات مشتبه فيها في msconfig – registry – hosts. لفتح ملف hosts اكتب هذا الاختصار في قائمة التشغيل RUN.
  4. استخدم برنامج Malwarebytes إضغط هنا للتحميل أو Spy hunter إضغط هنا للتحميل.
  5.  قم بإبقاف اي Process مشتبه فيه من خلال تبويبة البرمجيات Process TAB. عن طريق الضغظ من لوحة المفاتيح علي CTRL + SHIFT + ESC.
  6. عمل restore لاخر نسخه احتياطية من نظام التشغيل .
  7. قم بتحديث متصفح الأنترنت .
  8. ضع نسخة إحتياطية لمفاتك جانبا على USB drive .
  9. احذف اي ملفات مؤقتة بالنظام عن طريق الضغظ من لوحة المفاتيح علي علامة الويندوز + حرف الـ R وكتابة كل امر من هذه الاوامر وحذف ما بداخل المجلد.
    %AppData%  – %LocalAppData% – %ProgramData% – %WinDir% – %Temp%

و أخيرا و لضمان حل مناسب و معقول يؤمنك بطريقة فعالة جدا ، بعيدا عن المشاكل التي يمكن أن تقع في الأقراص الصلبة الخارجية ك USB drive إليكم هذا الموقع المشهور ذو الحماية الذي يوفر لكم خدمة تخزين معلوماتكم عن بعد في كنف الأمان التام .أضغط هنا لزيارة الموقع  🙂 .


مع تحيات فريق عمل ماتريكس219


6 تعليقات

Avatar
محبة الخير 22 أكتوبر، 2016 - 9:34 م

ممتاز معلومات جيدة الله يوفقكم

رد
Avatar
محمد غازي صوايفي 22 أكتوبر، 2016 - 10:48 م

شكرا لك أختي محبة الخير ، دائما تعليقاتك تكون حافزا لنا لتقديم المزيد من المعلومات المفيدة كي تحصل الإفادة للجميع 🙂

رد
Avatar
El QaNaS 27 نوفمبر، 2016 - 10:47 ص

ولله انتم احسن مدونة لتعليم الهكرز شكرا على الشرح الممتاز

رد
Avatar
محمد غازي صوايفي 27 نوفمبر، 2016 - 4:21 م

شكرا لك أخي و إن شاء نكون عند حسن الظن 🙂

رد
Avatar
محمد احمد 26 يناير، 2017 - 3:22 م

لو سمحت ازاى افتح الملفات بصيغه osiris

رد
Avatar
محمد غازي صوايفي 27 يناير، 2017 - 9:23 ص

مرحبا بك أخي محمد 🙂
ملفات osiris هي ملفات خبيثة من نوع Ransomware و يجب عليك إزالتها من جهازك
هذه هي الطريقة : https://youtu.be/ZQU31t0A9y4

رد

شارك بكتابة تعليق

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. موافق قراءة المزيد