برامج الفدية Ransomware

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

برامج الفدية Ransomware هي أحد أنواع البرمجيات المسيئة التي تقوم بتشفير الملفات على الجهاز المصاب وجعلها بذلك غير متاحة لصاحبها وفي الحين ذاته طالبة حوالة مالية مقابل فك تشفير الملفات وإعادتها متاحة لصابحها. إذا تقوم هذه البرمجيات المسيئة باحتجاز الملفات كرهائن عبر تشفيرها وطلب مبلغ مالي لفك تشفيرها وإطلاق سراح الرهائن.

تعتبر هذه البرامج من البرامج الخبيثة الحديثة إذ أنها تعتمد على عملة الـ BitCoin الالكترونية لاستقبال وإرسال الحوالات المالية بشكل معمّى عبر الانترنت. بهذه الطريقة يمكن لصاحب البرنامج المسئ تجنب الملاحقة والإبقاء على سرية شخصيته عند استهداف ضحاياه.

تختلف هذه البرامج حسب الملفات التي تقوم بتشفيرها، فبعضها يقوم بتشفير كل الملفات داخل مجلد Documents وبعضها يقوم بالبحث عن ملفات الميديا كالصور والافلام وملفات الصوت أو الملفات المكتبية مثل الملفات النصية والجداول وملفات الـ PDF. تختلف أيضا حسب طريقة إصابة الجهاز فبعضها يكون معدا لإصابة جهاز شخص محدد يعرف المهاجم أن لديه القدرة على دفع الفدية وبعضها يصيب عددا كبيرا من الأجهزة بنفس الوقت ضمن مؤسسة أو شركة مثلا ويطلب المهاجم الفدية من الشركة وبعضها يستهدف أي شخص كان سواء عرف المهاجم قدرته أم لم يعرف.

تعد هذه البرمجيات بتقديم كلمة سرّ Password فك التشفير Decyption عند وصول استلام الحوالة. معظم البرمجيات تحترم هذا الوعد. لكن عددا منها لا يحترمه ما يعني خسارة الملفات حتى لو قام الضحية بتحويل مبلغ الفدية إلى حساب المهاجم.

برامج الفدية الشهيرة Notable Ransomware

WannaCry#

أصاب عدد كبير جدا من الأجهزة حول العالم (حوالي 300 ألف جهاز في الأيام الثلاثة الأولى) في وقت قياسي عبر استغلال ثغرة أمنية في مخدم SMB في نظام التشغيل ويندوز Windows اثر تسرب معلومات عن الثغرة إلى الانترنت عبر مجموعة الاختراق Shadow Broker التي استطاعت الحصول على هذه المعلومة وغيرها بعد اختراق وكالة الأمن القومي NSA الأمريكية التي تحاول بشكل مستمر إيجاد ثغرات في أنظمة التشغيل لاستخدامها كسلاح عند الحاجة لعمليات التجسس والاختراق.

صورة توضح انتشار WannaCry في انحاء العالم:

Ransomware WannaCry Spreading.png

(المصدر: malwaretech.com)


صورة للنافذة التي تظهر على شاشة الجهاز المصاب بعد الاصابة طالبة الفدية لفك تشفير الملفات الرهينة

Ransomware WannaCry Screenshot.png

(المصدر: ويكيميديا)

ريفيتون Reveton

كريبتولوكر CryptoLocker

مقلدات كريبتولوكر CryptoLocker Copycats

لوكي Locky

آلية الإصابة برامج الفدية Ransomware infection

تشبه برامج الفدية الفيروسات في طريقة إصابتها لجهاز الضحية. وتعتمد في معظمها على اسلوب حصان طروادة Trojan. حيث يستغل المهاجم ثغرة Vunerability في نظام التشغيل مثلا أو أن يقوم المهاجم بالاحتيال على الضحية عبر أساليب الهندسة الاجتماعية Social Engineering ليخلق لنفسه إن نجح موطئ قدم على جهاز الضحية، ليقوم المهاجم بعد ذلك بتحميل برنامج الفدية على جهاز الضحية وتشغيله لتشفير الملفات وطلب الفدية.

الفدية Random

تطلب برامج الفدية بعد إصابة الجهاز وتشفير الملفات فدية لفك تشفير الملفات. تكون هذه الفدية على شكل حوالة لمبلغ مالي بعملة BitCoin الالكترونية إلى محفظة (حساب) المهاجم. السبب هو أنه من الصعب جدا وربما من المستحيل معرفة صاحب المحفظة وبالتالي لا يمكن تتبع الحوالات المالية بعملة BitCoin.

لدفع الفدية على الضحية انشاء محفظة BitCoint وتحويل الملبلغ المطلوب إلى محفظة المهاجم ضمن المدة التي يتيحها برنامج الـ Ransomware.

تقوم معظم برمجيات الـ Ransomeware بإرسال كلمة سرّ فك التشفير أو مفتاح فك التشفير عند وصول الحوالة، لكن بعضها لا يقوم بذلك. عند إدخال كلمة سرّ أو مفتاح فك التشفير تعود النسخ غير المشفرة من الملفات إلى الجهاز ويتوقف البرنامج الخبيث عن العمل.

الوقاية من الاصابة ببرامج الفدية

للوقاية من الإصابة ببرامج الفدية يجب حماية الجهاز من الإصابة باسلوب حصان طروادة. أي التأكد من عدم وجود ثغرات يمكن للمهاجم استغلالها. والتأكد من عدم الوقوع ضحية الاحتيال بأساليب الهندسة الاجتماعية. إذا وبشكل مختصر يجب التأكد من:

فيما يخص سد الثغرات:

  • تحديث نظام التشغيل بشكل دوري ويفضل ضبط نظام التشغيل بحيث يقوم بالتحديث بشكل مؤتمت
  • تحديث المتصفح بشكل دوري، ويفضل استخدام متصفح يقوم بإجراء التحديث بشكل مؤتمت مثل كروم Chrome
  • استخدم مضاد فيروسات Antivirus جيد مثل أفيرا Avira
  • استخدم جدار النار Firewall جيد أو فعل جدار الحماية المدمج بنظام التشغيل
  • تابع أخبار الثغرات والتحديثات على صفحة مشروع سلامتك وغيرها من المصادر حول أمن المعلومات، راجع لائحة المشاريع والمؤسسات المعنية بأمن المعلومات هنا

فيما يخص عدم الوقوع ضحية للهندسة الاجتماعية، اقرأ المقالة المسهبة حول الهندسة الاجتماعية Social Engineering وراعي النقاط المذكورة في بند الوقاية من الهندسة الاجتماعية.

الوقاية من آثار الإصابة ببرامج الفدية

الطريقة الأكثر نجاعا والأقل كلفة للوقاية من آثار الإصابة ببرامج الفدية هي إجراء النسخ الاحتياطية Backups للملفات الهامة بشكل دروي

فلو أصيب جهازك ببرنامج فدية ولم تكن مستعدا، ستصبح في موقف يصعب الخروج منه بدون خسائر. فإما أن تخسر الملفات، إذ أنها أصبحت مشفرة بواحدة من أفضل أساليب التشفير Encryption. أو أن تخسر الحوالة عبر إرساله للمهاجم أملا بالحصول على المفتاح لفك التشفير واستعادة الملفات. أو أن تخسر الحوالة والملفات إن لم يفِ المهاجم بوعده بإرسال المفتاح إثر وصول الحوالة.

أما لو كان لديك نسخة احتياطية Backup عمرها أسبوع مثلا، مخزنة على قرص صلب خارجي أو باستخدام إحدى خدمات التخزين السحابي Cloud Storage. فستكون خسارتك في أقصاها الملفات الجديدة خلال ذلك الاسبوع. لذلك ننصح بإجراء النسخ الاحتياطية بشكل دوري للتقليل من آثار الإصابة ببرامج الفدية وللتقليل من مخاطر كثيرة أخرى كخسارة الملفات عند ضياع أو سرقة الجهاز، أو تلف قرص الجهاز الصلب، الخ.

تنقّل في الكتيب eBook Navigation

السابق: هجوم الحرمان من الخدمة Distributed Denial of Service (DDoS) attack

الهجمات الالكترونية المسيئة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

مضادات الفيروسات Antivirus

جدران النار Firewalls

التشفير Encryption

الهندسة الاجتماعية Social Engineering

النسخ الاحتياطية Backups

التخزين السحابي Cloud Storage

عملة BitCoin

مراجع References

Ransomware on Wikipedia

Ransomware Virus Shuts Down Electric and Water Utility - 29.04.2016

[30.11.2016 - http://thehackernews.com/2016/11/facebook-locky-ransomware.html Beware! Malicious JPG Images on Facebook Messenger Spreading Locky Ransomware]

Cyber-attack: Europol says it was unprecedented in scale

WannaCry ransomware attack - Wikipedia