كيفية إلغاء تثبيت Cyber ​​Police Android Ransomware

كانت هناك ثغرة تسمى "Cyber ​​Police" منتشرة منذ بعض الوقت، ولكن الطريقة الجديدة التي تستخدمها يمكن أن تؤثر الآن على ملايين أجهزة Android. سيؤدي ذلك إلى قفل جهازك، مما يجعله عديم الفائدة، ويمكن تثبيته على الجهاز دون أي تدخل من المستخدم من الضحية.

تم اكتشاف Cyber ​​Police، وهو أحد أشكال برامج الفدية، مؤخرًا بواسطة مختبرات المعطف الأزرق وأكدته Zimperium Labs، وهي نفس المجموعة التي اكتشفت اختراق StageFright.

ما هي برامج الفدية؟

Ransomare هو برنامج يحتوي على تعليمات برمجية ضارة يمكنها قفل جهاز أو جهاز كمبيوتر بحيث لا يمكن استخدامه. وهذا يعني أنك لن تتمكن من فتح أي تطبيقات أو الوصول إلى الإعدادات الموجودة على الجهاز. تظهر عادةً رسالة توضح أن الجهاز مقفل وأنك بحاجة إلى دفع "فدية" لفتحه والتخلص من البرامج الضارة.

والخبر السار هو أن بياناتك عادة ما تكون آمنة، ولكن الخبر السيئ هو أن دفع الفدية لن يؤدي في الواقع إلى إزالة البرنامج.

وأوضح اختراق الشرطة السيبرانية

يأتي اسم Cyber ​​Police من الطريقة التي تمثل بها نفسها بمجرد تنشيطها على جهازك. ستشاهد رسالة مثل تلك الموجودة أدناه توضح أن جهازك قد تم قفله لأنه من المفترض أنك تصفحت مواقع ويب غير قانونية في الماضي.

تدعي الرسالة أنها تأتي من وكالة ما، والتي يمكن أن تسمى "وكالة الأمن القومي الأمريكية" أو شيء مشابه.

ستمنحك هذه "الوكالة" قدرًا معينًا من الوقت لدفع "فدية" حتى لا تتخذ إجراءً قانونيًا، وكمكافأة إضافية، ستعيد "الوكالة" جهازك. في هذا المثال، "الفدية" عبارة عن رمزين لبطاقة هدايا Apple iTunes بقيمة 100 دولار. قد يبدو الأمر بسيطًا بما فيه الكفاية، ولكنك لم تتعرض مطلقًا لأي تهديد قانوني في المقام الأول، ولن يؤدي دفع الفدية إلى إلغاء قفل جهازك.

الجزء المخيف من هذا الاستغلال هو أنه يمكن تثبيته على جهازك من خلال إعلان بسيط على صفحة ويب، دون الحاجة إلى فتحه فعليًا. ولا توجد طريقة للكشف عن هذه الإعلانات الضارة. وقال أندرو براندت، مدير أبحاث التهديدات في شركة Blue Coat Labs: "هذه هي المرة الأولى، على حد علمي، التي تتمكن فيها مجموعة من أدوات الاستغلال من تثبيت تطبيقات ضارة بنجاح على جهاز كمبيوتر". جهاز محمول دون أي تفاعل من جانب المستخدم من جانب الضحية. نظرًا لأن الاستغلال هو في الواقع تطبيق، فقد تعتقد أنه يجب الموافقة على الأذونات، ولكن بطريقة ما يتم ذلك تجاوز.

بعد أن اكتشف Blue Coat الاختراق، قام Joshua Drake من Zimperium Labs بتحليله واكتشف أن التطبيق يستخدم أداة جذر تُعرف باسم Towelroot للتحكم في جهازك. كما أنه يستخدم أيضًا بعض عمليات الاستغلال التي تم تسريبها أثناء اختراق Hacking Team. ال فريق القرصنة، ومقرها ميلانو، إيطاليا، تبيع قدرات المراقبة لوكالات إنفاذ القانون المحلية والحكومات والشركات الخاصة. أ يخرق كشفت بيانات فريق القرصنة الخاصة في يوليو 2015 عن العديد من عمليات الاستغلال التي تمكن المتسللون من استخدامها.

وفقًا لبلو كوت، كان حصان طروادة الخاص بالشرطة السيبرانية تم توثيقه لأول مرة في ديسمبر 2015، ولكن ربما كانت هذه الطريقة الأحدث موجودة منذ فبراير 2016.

الأجهزة المتضررة

والخبر السار هو أنه إذا كنت تستخدم ذكري المظهر جهاز لا يزيد عمره عن عام، فمن المحتمل أنك بخير. يمكن أن يؤثر هذا الاستغلال فقط على إصدارات Android 4.0.3 إلى 4.4.4. هذا هو الآيس كريم ساندويتش (2011) إلى كيت كات (2013). لحسن الحظ، تمت ترقية معظم الهواتف الأحدث بالفعل إلى Lollipop (2014) أو أعلى. ومع ذلك، وفقا لآخر لوحة القيادة أندرويد (4 أبريل 2016)، 56.9 بالمئة من الإجمالي ذكري المظهر تقع الأجهزة ضمن أرقام الإصدارات هذه. يعني أكثر من 500 مليون ذكري المظهر تتأثر الأجهزة في جميع أنحاء العالم. بسبب المعدل الرهيب أكثر ذكري المظهر عندما تحصل الهواتف على التحديثات، فمن المرجح ألا يتم تحديث هذه الأجهزة مرة أخرى أبدًا، لذلك ستكون دائمًا عرضة للتهديد.

اكتشف Blue Coat الثغرة على جهاز لوحي قديم من سامسونج يعمل بنظام CyanogenMod 10، والذي كان يعتمد على Android 4.2.2. على الرغم من أن CyanogenMod عبارة عن ROM مخصص، إلا أنك لا تحتاج إلى تثبيت واحد حتى يتمكن تطبيق حصان طروادة من السيطرة على جهازك. جهاز.

حماية نفسك

على افتراض أن لديك جهاز Android يعمل بأحد إصدارات البرامج المتأثرة، فليس هناك الكثير مما يمكنك فعله لمنع الهجوم تمامًا. ومع ذلك، هناك بعض الأشياء التي يمكنك القيام بها والتي قد تحد من فرص وقوعك ضحية.

أول شيء يجب عليك فعله وأكثر وضوحًا هو شراء جهاز أحدث، نظرًا لأن هاتفك أو جهازك اللوحي الحالي ربما لن يتم تحديثه باستخدام التصحيح. بالطبع، قد لا يكون ذلك ممكنًا في الوقت الحالي، لذا يمكنك محاولة تجنب المواقع المشبوهة. هذه هي الإعلانات التي من المرجح أن تحتوي على نوع الإعلانات التي يمكنها تثبيت تطبيق حصان طروادة على جهازك. من غير المرجح أن تظهر هذه الإعلانات على مواقع معروفة مثل Google أو CNN أو Amazon أو ESPN أو Digital Trends (لا تتركنا!). شيء آخر يمكنك تجربته هو تثبيت تطبيق متصفح أحدث مثل كروم، والتي من المحتمل أن تمنع الإعلانات الضارة من إصابة نظامك.

وأخيرًا، بغض النظر عما تفعله، تأكد من عمل نسخة احتياطية منتظمة لجميع الصور ومقاطع الفيديو والموسيقى والملفات المهمة الأخرى. على الرغم من أن هجوم Cyber ​​Police ربما لن يحذفها من جهازك، إلا أنه قد لا تتمكن من الوصول إليها أثناء وجود الاستغلال.

إزالة الاستغلال

هناك بعض عدم اليقين هنا، ولكن هناك على الأقل بعض الأمل. أول شيء تحتاج إلى معرفته هو أبداً ادفع فدية يلقيها عليك برنامج كمبيوتر مهما كان الأمر. لن تخسر المال إلا لأن جهازك سيبقى عديم الفائدة.

وفقًا لبراندت من Blue Coat Labs، فقد كان قادرًا على إعادة ضبط إعدادات المصنع لجهاز Samsung اللوحي لإزالة تطبيق حصان طروادة بنجاح. لسوء الحظ، تؤدي إعادة ضبط المصنع إلى مسح جميع البيانات الموجودة على الجهاز. إنه ألم، لكنه الخيار الأفضل. إذا لم يتم نسخ بياناتك احتياطيًا بالفعل، فيمكنك محاولة توصيل هاتفك أو جهازك اللوحي بجهاز كمبيوتر سطح المكتب أو الكمبيوتر المحمول ومعرفة ما إذا كان بإمكانك نسخ المحتويات قبل بدء إعادة ضبط المصنع.

نظرًا لأنك لن تتمكن من الدخول إلى الإعدادات، فستحتاج إلى بدء إعادة ضبط المصنع بشكل مختلف قليلاً. يختلف كل جهاز قليلاً، لكن جرب هذا على أجهزة سامسونج:

1. اضغط مع الاستمرار على قوة زر، رفع مستوى الصوت زر و بيت المفتاح أثناء إيقاف تشغيل الجهاز.
2. بمجرد ظهور شعار سامسونج، قم بتحريره فقط ال زر الطاقة.
3. ستظهر شاشة استرداد نظام Android.
4. استخدم ال مقدار أزرار لتسليط الضوء مسح البيانات / إعادة إعدادات المصنع.
5. اضغط على قوة زر لتحديد خيار إعادة ضبط المصنع.

أشار بعض المستخدمين إلى أنهم لم يتمكنوا من إعادة ضبط الجهاز على إعدادات المصنع لأن تطبيق حصان طروادة منعهم من القيام بذلك. قد تكون أيضًا في موقف لا يكون لديك فيه نسخة احتياطية من بياناتك ولا تتمكن من الوصول إلى البيانات أثناء توصيل جهازك بالكمبيوتر. في أي من هذه الحالات، يمكنك محاولة إعادة تشغيل جهازك في الوضع الآمن. من خلال القيام بذلك، سوف تكون قادرا على فتح إعدادات، تليها التطبيقات، و مدير التطبيقات لحذف تطبيق طروادة. لسوء الحظ، لن يكون اكتشاف تطبيق طروادة أمرًا سهلاً.

إليك كيفية إعادة تشغيل جهازك في الوضع الآمن:

1. أثناء تشغيل جهازك، اضغط مع الاستمرار على زر الطاقة لبضع ثوانٍ حتى تتلقى المطالبة بإيقاف تشغيل هاتفك.
2. اضغط مع الاستمرار على إيقاف التشغيل على الشاشة لبضع ثوان حتى تحصل على المطالبة لتأكيد رغبتك في إعادة التشغيل في الوضع الآمن.

بمجرد دخولك إلى الوضع الآمن، افتح ملف مدير التطبيق وابحث عن أي تطبيق ضمن تم التنزيل علامة التبويب التي لا تتعرف عليها وحذفها. لسوء الحظ، قد يكون هذا الأمر أصعب مما يبدو، لكنه يستحق المحاولة. بمجرد الانتهاء من كل شيء، ما عليك سوى إيقاف تشغيل الهاتف أو الجهاز اللوحي كما تفعل عادةً وتشغيله لإعادة تشغيله في حالته الطبيعية. نأمل أن يختفي تطبيق طروادة وسيتم إلغاء قفل هاتفك. يمكنك دائمًا تكرار العملية والمحاولة مرة أخرى.

إذا لم تتمكن من إعادة ضبط جهازك بحسب إعدادات المصنع أو حذف تطبيق حصان طروادة، فقد يكون الوقت قد حان للحصول على جهاز جديد.

توصيات المحررين

• يمكن أن تقوم هذه التطبيقات التي يزيد عددها عن 80 تطبيقًا بتشغيل برامج إعلانية على جهاز iPhone أو Android الخاص بك