خطورة فيروس الفدية إلى جانب تشفير بياناتك؟



شهد 12 مايو 2017 أكبر هجوم عبر الإنترنت في تاريخ الإنترنت نعم ، أكبر من( Dyn DDoS). اقتحم  فيروس الفدية واسمه WannaCry  عبر الويب ، مع وجود اكبر ضرر له  في أوروبا.

استفاد WannaCry من ثغرة أمنية في نظام التشغيل Windows ، اكتشفتها وكالة الأمن القومي لأول مرة ، ثم كشفت للعالم من قبل Shadow Brokers.
في الساعات القليلة الأولى ، أصيب 200000 جهاز. تعرضت المؤسسات الكبرى مثل رينو أو  NHS للضرب والشلل من جراء الهجوم.
لكن هذه الموجة الضخمة لم تكن الوحيدة. بعد بضعة أسابيع ، بدأت سلالة فدية تشبه بيتيا تنتشر في جميع أنحاء أوروبا ، مما اثر على الشركات والمؤسسات والبنوك الأوكرانية ، وحتى نظام مراقبة الإشعاع في تشيرنوبيل.لقد اخذ Ransomware اتجاها متناميا على مدار العامين الماضيين ، وهذه كانت مجرد ذروة ، وكشف كبير للعالم الأوسع من مدى حجم التهديد.
هذا السيناريو يتكشف الآن في كل مكان ما في العالم. ربما حتى في مدينتك أو الحي الذي تسكن فيه .في هذه اللحظة بالذات ، يقوم شخص ما بالنقر فوق ارتباط في رسالة بريد إلكتروني غير مرغوب فيها أو تنشيط وحدات الماكرو في مستند ضار دون وجود برنامج أمان مناسب . في غضون ثوانٍ قليلة ، سيتم تشفير جميع بياناتهم وسيكون أمامهم بضعة أيام فقط لدفع مئات الدولارات لاستعادتها. ما لم يكن لديهم نسخة احتياطية ، والتي لا يتمتع بها معظم الأشخاص
Ransomware منشئي ومجرمي الإنترنت الآخرين المتورطين في اقتصاد البرمجيات الخبيثة لا يتوقفون عند حد. لقد قاموا باتمام هجماتهم إلى حد استهداف الجميع والجميع بلا استثناء.

آمل أن تقرأ هذا المنشور لتكون مستعدًا لهجوم البرامج الضارة. الوقاية هي أفضل استراتيجية أمان في هذه الحالة.

هذا الدليل مليء بمعلومات حول:

1.      ما هوا فيروس الفدية
2.      كيف تطورت
3.      الذي يستهدف المبدعين فيروس الفدية في معظم الأحيان
4.      كيف ينتشر فيروس الفدية عبر شبكة الإنترنت
5.      كيف تحدث الاصابات بالفدية
6.      لماذا غالبًا لا يتم الكشف عن فدية الفيروسات عن طريق مكافحة الفيروسات
7.      أسر الفدية الأكثر شهرة
8.      كيفية إعداد أفضل حماية ضد رانسومواري
9.      كيفية فك تشفير البيانات الخاصة بك دون دفع الفدية
ولكن ليس هناك سبب لشعورك بالعجز. هناك الكثير من الأحكام العملية التي يمكنك اتخاذها لمنع أو الحد من تأثير الهجمات الإلكترونية على بياناتك. وأنا على وشك أن أوضح لك ما يجب القيام به.

ما هو فيروس الفدية؟

Ransomware عبارة عن قطعة متطورة من البرامج الضارة تمنع وصول الضحية إلى ملفاته ، والطريقة الوحيدة لاستعادة الوصول إلى الملفات هي دفع فدية.


هناك نوعان من الفدية المتداولة:
تشفير Ransomware ، والذي يتضمن خوارزميات التشفير المتقدمة. إنه مصمم لحظر ملفات النظام والمطالبة بالدفع لتزويد الضحية بالمفتاح الذي يمكنه فك تشفير المحتوى المحظور. ومن الأمثلة على ذلك CryptoLocker و Locky و CrytpoWall والمزيد.
Locker Ransomware ، التي تغلق الضحية خارج نظام التشغيل ، مما يجعل من المستحيل الوصول إلى سطح المكتب وأي تطبيقات أو ملفات. لا يتم تشفير الملفات في هذه الحالة ، لكن المهاجمين ما زالوا يطلبون فدية لإلغاء تأمين الكمبيوتر المصاب. ومن الأمثلة على ذلك رانسومواري تحت عنوان الامان أو Winlocker.
يمكن أن تصيب بعض إصدارات Master Boot Record  سجل التمهيد الرئيسي (MBR). MBR هو قسم من القرص الصلب لجهاز الكمبيوتر الشخصي والذي يمكّن نظام التشغيل من التمهيد. عندما تحدث MBR ransomware ، لا يمكن إكمال عملية التمهيد كالمعتاد ويطالبك بعرض فدية ليتم عرضها على الشاشة. ومن الأمثلة على ذلك ساتانا وبيتيا.
Crypto-ransomware ، كما هو معروف عادة المشفرات ، هو الأكثر انتشارا ، وأيضا موضوع هذه المقالة. يوافق مجتمع الأمن السيبراني على أن هذا هو التهديد السيبراني الأبرز والأكثر إثارة للقلق في الوقت الحالي (وقد كان كذلك على مدار الأعوام القليلة الماضية).
يحتوي Ransomware على بعض الخصائص الرئيسية التي تميزه عن البرامج الضارة الأخرى:
إنه يتميز بتشفير غير قابل للكسر ، مما يعني أنه لا يمكنك فك تشفير الملفات بنفسك (هناك العديد من أدوات فك التشفير التي أصدرها باحثو الأمن السيبراني - المزيد حول ذلك لاحقًا) ؛
لديه القدرة على تشفير جميع أنواع الملفات ، من المستندات إلى الصور ومقاطع الفيديو وملفات الصوت وغيرها من الأشياء التي قد تكون على جهاز الكمبيوتر الخاص بك ؛
يمكن أن تدافع عن أسماء الملفات الخاصة بك ، لذلك لا يمكنك معرفة البيانات التي تأثرت. هذه إحدى خدع الهندسة الاجتماعية المستخدمة لإرباك الضحايا وإكراههم على دفع الفدية ؛ سيضيف امتدادًا مختلفًا إلى ملفاتك ، للإشارة في بعض الأحيان إلى نوع معين من سلالة الفدية ؛
سيعرض صورة أو رسالة تتيح لك معرفة أن بياناتك قد تم تشفيرها وأن عليك دفع مبلغ معين من المال لاستعادتها ؛
يطلب الدفع باستخدام Bitcoins لأن عملة التشفير هذه لا يمكن تتبعها بواسطة باحثين في الأمن السيبراني أو وكالات تطبيق القانون ؛
عادة ، يكون لمدفوعات الفدية مهلة زمنية ، لإضافة مستوى آخر من القيود النفسية على نظام الابتزاز هذا. عادةً ما يعني تجاوز الموعد النهائي زيادة الفدية ، ولكن يمكن أن يعني أيضًا أن البيانات سيتم إتلافها وفقدها إلى الأبد.
يستخدم مجموعة معقدة من تقنيات التهرب للذهاب دون اكتشافها بواسطة برنامج مكافحة الفيروسات التقليدي (المزيد عن ذلك في قسم "لماذا غالبًا ما يتم الكشف عن رانسومواري عن طريق برنامج مكافحة الفيروسات") ؛
غالبًا ما تقوم بتجنيد أجهزة الكمبيوتر المصابة في شبكات الروبوت ، بحيث يمكن لمجرمي الإنترنت توسيع بنيتهم ​​التحتية وتغذية الهجمات في المستقبل ؛
يمكن أن ينتشر إلى أجهزة الكمبيوتر الأخرى المتصلة بشبكة محلية ، مما يؤدي إلى مزيد من الضرر ؛
غالبًا ما يتميز بقدرات تصفية البيانات ، مما يعني أنه يمكنه أيضًا استخراج البيانات من الكمبيوتر المتأثر (أسماء المستخدمين وكلمات المرور وعناوين البريد الإلكتروني وما إلى ذلك) وإرسالها إلى خادم يتحكم فيه مجرمو الإنترنت ؛ تشفير الملفات ليس دائمًا لعبة النهاية.
ويشمل ذلك في بعض الأحيان الاستهداف الجغرافي ، وهذا يعني أن مذكرة الفدية تُترجم إلى لغة الضحية ، لزيادة فرص دفع الفدية.
تستمر قائمة الميزات الخاصة بها في النمو كل يوم ، مع بث كل تنبيه أمان جديد بواسطة فريقنا أو باحثين آخرين في البرامج الضارة.



لماذا غالبًا لا يتم الكشف عن فدية الفيروسات عن طريق مكافحة الفيروسات
يستخدم Ransomware العديد من تكتيكات التهرب التي تبقيها مخفية وتسمح لها بما يلي:
لم يتم التقاطها من قبل منتجات مكافحة الفيروسات
لا يكتشفها باحثو الأمن السيبراني
الأساس المنطقي بسيط: كلما طالت فترة الإصابة بالبرامج الضارة على جهاز كمبيوتر معرض للخطر ، زاد عدد البيانات التي يمكن استخراجها والمزيد من الضرر الذي يمكن أن تحدثه.


لذلك ، إليك بعض الأساليب التي تستخدمها البرمجيات الخبيثة للتشفير للحفاظ على سرية والحفاظ على إخفاء هوية  صناعها والموزعين:

1.      التواصل مع خوادم الأوامر والتحكم مشفر ويصعب اكتشافه في حركة مرور الشبكة ؛
2.      إنه يتميز بوجود مجهولين مجهولين لحركة المرور ، مثل TOR و Bitcoin ، لتجنب التتبع من قبل وكالات إنفاذ القانون وتلقي مدفوعات الفدية ؛
3.      يستخدم آليات مكافحة وضع الحماية حتى لا يقوم برنامج مكافحة الفيروسات باستلامها ؛
4.      يستخدم تظليل المجال لإخفاء عمليات استغلال وإخفاء الاتصال بين برنامج التنزيل (الحمولة النافعة) والخوادم التي يسيطر عليها مجرمو الإنترنت.
5.      ويتميز Fast Flux ، وهي تقنية أخرى تستخدم لإبقاء مصدر العدوى مجهول الهوية ؛
6.      ينشر الحمولات المشفرة التي يمكن أن تزيد من صعوبة مكافحة الفيروسات لمعرفة أنها تتضمن برامج ضارة ، وبالتالي فإن العدوى لديها المزيد من الوقت لتتكشف ؛
7.      لديه سلوك متعدد الأشكال يمنحه القدرة على التحور بشكل كافٍ لإنشاء متغير جديد ، ولكن ليس بقدر ما يغير وظيفة البرمجيات الضارة ؛
8.      لديه القدرة على البقاء نائمة - يمكن أن تظل رانسومواري غير نشطة على النظام حتى يكون الكمبيوتر في أضعف لحظاته ويستغل ذلك ليضرب بسرعة وفعالية.

عائلات فيروس الفدية الأكثر شهرة
الآن أنت تعلم أن هناك الكثير من الإصدارات هناك. مع أسماء مثل CryptXXX أو Troldesh أو Chimera ، فإن هذه السلالات تبدو مثل أفلام المتسللين.
لذلك في حين قد يرغب القادمون الجدد في الحصول على حصة من الأموال ، فإن حفنة من العائلات قد فرضت سيطرتهم.
إذا وجدت أي أوجه تشابه بين هذا السياق وكيف تدير المافيا أعمالها ، حسنًا ، فهذا يرجع إلى أنها تشبهه  في بعض الجوانب.
1.      Petya ransomware
تم اكتشاف عائلة Petya ransomware لأول مرة في عام 2016 ، وتشمل علامتها التجارية إصابة سجل التمهيد الرئيسي من أجل تنفيذ الحمولة وتشفير البيانات المتوفرة محليًا.
بدأت سلالة مماثلة لبيتيا في إحداث الفوضى في أواخر يونيو 2017 ، عندما ظهرت ، معززة بقدرات التكرار الذاتي.
2.       Uiwix Ransomware
كتطور حديث ، هناك نوع آخر من البرامج الضارة المشفرة التي تحاول تكرار التأثير الذي حدث في WannaCry. ومع ذلك ، فإنه يتحسن من خلال عدم تضمين مجال killswitch ، مع الاحتفاظ بقدراته على التكرار الذاتي.
3.      Cerber Ransomware
4.      Cerber  عبارة عن برامج ضارة تشفير للإصدار القديم نسبيًا ، وكثيرًا ما يرتفع استخدامها. ومع ذلك ، فإن التحديثات الأخيرة والميزات المضافة أعادت بثبات إلى مركز الصدارة. في الربع الأول من عام 2017 ، حصلت Cerber على حصة سوقية ضخمة تبلغ 90٪ بين جميع عائلات الفدية. في الوقت الحالي ، من المحتمل أن تظل على قمة السلسلة الغذائية.
5.      Locky
واحدة من أحدث وأسرع العائلات رانسومواري حتى الآن هو بالتأكيد Locky
رصدت هذه السلالة لأول مرة في فبراير 2016 ، مع دخولها ضجة من خلال ابتزاز مستشفى في هوليوود مقابل حوالي 17000 دولار.

6.      TorrentLocker
ظهرت هذه البرامج الضارة المشفرة للملفات في أوائل عام 2014 ، وغالبًا ما حاول صانعوها الإشارة إليها باسم CryptoLocker ، من أجل التراجع عن الوعي.
منذ ذلك الحين ، اعتمد TorrentLocker بالكامل تقريبًا على رسائل البريد الإلكتروني العشوائي للتوزيع. من أجل زيادة الفعالية ، تم استهداف كل من رسائل البريد الإلكتروني ومذكرة الفدية جغرافيا.
لاحظ المهاجمون أن الاهتمام بالتفاصيل يعني أنه بإمكانهم خداع المزيد من المستخدمين لفتح رسائل البريد الإلكتروني والنقر على الروابط الخبيثة ، حتى أخذوها خطوة أخرى. لقد استخدموا قواعد جيدة في نصوصهم ، الأمر الذي جعل مصائدهم تبدو حقيقية للضحايا المطمئنين.
بلغت الإصابات CryptoLocker ذروتها في أكتوبر 2013 ، عندما كانت تصيب حوالي 150،000 جهاز كمبيوتر في الشهر!
7.      CryptoWall
على الرغم من أن البنية الأساسية لـ CryptoLocker ربما تكون قد توقفت مؤقتًا ، إلا أن ذلك لا يعني أن مجرمي الإنترنت لم يعثروا على طرق وأدوات أخرى لنشر المتغيرات المشابهة.
CryptoWall هو هذا النوع وقد وصل بالفعل إلى الإصدار الثالث ، CryptoWall 4.0.
يوضح هذا الرقم وحده مدى سرعة تحسين هذه البرامج الضارة واستخدامها في الهجمات عبر الإنترنت!

8.      CTB Locker
CTB Locker هي واحدة من أحدث المتغيرات من CryptoLocker ، ولكن على مستوى مختلف تمامًا من التطور.
CTB-Locker  كانت واحدة من أولى سلالات الفدية التي يتم بيعها كخدمة.

9.      Reveton
في عام 2012 ، بدأت سلسلة الفدية الرئيسية المعروفة باسم ريفتون في الانتشار. كانت مبنية على حصان طروادة ، الذي كان بدوره جزءًا من عائلة زيوس.
كانت ميزة التوقيع هي عرض تحذير من وكالات إنفاذ القانون ، مما جعل الناس يطلقون عليها اسم "شرطة طروادة" أو "فيروس الشرطة". على عكس الأنواع الأخرى التي ذكرت، كان  Reveton Locker ، مما يعني أنه قيد الوصول إلى الكمبيوتر نفسه ، وليس فقط الملفات.
10.  TeslaCrypt
عندما ظهرت لأول مرة ، ركزت TeslaCrypt على جمهور محدد: الألعاب. ليس كلهم ، ولكن في الواقع شريحة تشغل سلسلة من الألعاب المحددة ، بما في ذلك Call of Duty و World of Warcraft و Minecraft و World of Tanks


إذن هذا ما أريدك أن تعدني به:
    محليا ، على جهاز الكمبيوتر

1.      لا أحفظ بيانات مهمة على جهاز الكمبيوتر الخاص بي فقط.
2.      لدي نسختان احتياطيتان من بياناتي: على قرص صلب خارجي وفي السحابة - Dropbox / Google Drive / إلخ.
3.      Dropbox / Google Drive / OneDrive / etc. لا يتم تشغيل التطبيق على جهاز الكمبيوتر الخاص بي بشكل افتراضي. أفتحها مرة واحدة فقط يوميًا لمزامنة بياناتي وإغلاقها بمجرد الانتهاء من ذلك.
4.      نظام التشغيل والبرنامج الذي أستخدمه محدّث ، بما في ذلك آخر تحديثات الأمان.
5.      للاستخدام اليومي ، لا أستخدم حساب المسؤول على جهاز الكمبيوتر الخاص بي. يمكنني استخدام حساب ضيف مع امتيازات محدودة.
6.      لقد قمت بإيقاف تشغيل وحدات الماكرو في مجموعة Microsoft Office - Word و Excel و PowerPoint وما إلى ذلك.في المتصفح
7.      لقد قمت بإزالة المكونات الإضافية التالية من متصفحي: Adobe Flash و Adobe Reader و Java و Silverlight. إذا كان لا بد لي من استخدامها مطلقًا ، فقم بتعيين المتصفح لسؤالني عما إذا كنت أرغب في تنشيط هذه المكونات الإضافية عند الحاجة.
8.      لقد قمت بضبط إعدادات الأمان والخصوصية لمتصفحي لزيادة الحماية.
9.      لقد أزلت الإضافات القديمة والإضافات من متصفحي. لقد احتفظت فقط بالأشخاص الذين أستخدمهم يوميًا وأبقيهم محدثين بأحدث إصدار.
10.  أستخدم مانع الإعلانات لتجنب تهديد الإعلانات الضارة.

السلوك عبر الإنترنت
1.      لا أفتح أبدًا رسائل البريد الإلكتروني العشوائي أو رسائل البريد الإلكتروني من مرسلين غير معروفين.
2.      لا يمكنني تنزيل المرفقات من رسائل البريد الإلكتروني العشوائي أو رسائل البريد الإلكتروني المشبوهة.
3.      لا أقوم بالنقر فوق الارتباطات الموجودة في رسائل البريد الإلكتروني العشوائي أو رسائل البريد الإلكتروني المشبوهة.
4.       
أدوات الأمن المضادة للفدية
أستخدم منتجًا موثوقًا ومضادًا ضد الفيروسات ويتضمن وحدة تحديث تلقائية وماسحًا ضوئيًا في الوقت الفعلي.
أدرك أهمية وجود حل لتصفية حركة المرور يمكن أن يوفر حماية استباقية لمكافحة الفدية.

أريدك أن تكون مستعدًا ، لذلك لن تضطر أبدًا إلى التعامل مع السؤال اللعين: "هل يجب أن أدفع الفدية أم لا؟"
سيكون جوابي دائمًا رقمًا كبيرًا لا.
دفع الفدية لا يمنحك أي ضمان بأن يمنحك المجرمون عبر الإنترنت في الطرف الآخر من نقل Bitcoin مفتاح فك التشفير. وحتى لو فعلوا ذلك ، فستمولون تمويل هجماتهم الجشعة ويزيدون من دائرة الجرائم الإلكترونية التي لا تنتهي أبدًا.

لوضع الأمور في نصابها الصحيح ، لم يسترجع واحد من كل 4 مستخدمين دفع الفدية بياناتهم. فقدوا كل من المعلومات وأموالهم.



هناك المئات من أنواع الفدية هناك ، لكن الباحثين في الأمن السيبراني يعملون على مدار الساعة لكسر التشفير الذي يستخدمه البعض منهم على الأقل. لسوء الحظ ، أثبتت الأسر الأكثر شهرة أنها غير قابلة للكسر حتى الآن. على الرغم من ذلك ، هناك العديد من سلالات تشفير البرامج الأخرى التي ليست مشفرة بشكل جيد والتي تمكن المتخصصون من كسرها.

لمساعدتك في العثور على حل لاستعادة البيانات الخاصة بك دون المزيد من تمويل منشئي رانسومواري ، قمنا بتجميع قائمة كبيرة من أدوات فك التشفيررانسومواري التي يمكنك استخدامها.

ضع في اعتبارك أن برامج فك التشفير قد تصبح قديمة بسبب التحديثات المستمرة والإصدارات الجديدة والمحسّنة الصادرة عن مجرمي الإنترنت. إنها معركة لا تنتهي ، ولهذا السبب نحثك على التركيز على الوقاية والحصول على نسخ احتياطية متعددة لبياناتك.


إرسال تعليق

0 تعليقات