هجوم ضخم لبرامج الفدية يصيب أكثر من 126,000 ضحية حول العالم، ويتزايد

صورة مقربة للأيدي على لوحة مفاتيح الكمبيوتر المحمول في غرفة مظلمة.
ديمتري تيششينكو/123RF
يوم الجمعة الموافق 12 مايو 2017م. شركة الأمن السيبراني أفاست أبلغت عن هجوم ضخم ببرامج الفدية أصاب أكثر من 75000 ضحية في 99 دولة، وارتفع العدد إلى أكثر من 126000 في 104 دول بعد ظهر يوم السبت. وفي حين أن معظم الأهداف كانت موجودة في روسيا وأوكرانيا وتايوان، فقد تم التعرف على ضحايا آخرين في أوروبا.

ومن أبرز الضحايا شركة الاتصالات الإسبانية Telefonica، وكذلك المستشفيات في جميع أنحاء المملكة المتحدة. وفقا لصحيفة الغارديانأصابت هجمات المملكة المتحدة ما لا يقل عن 16 منشأة تابعة للنظام الصحي الوطني (NHS) وأضرت بشكل مباشر بأنظمة تكنولوجيا المعلومات (IT) المستخدمة لضمان سلامة المرضى.

مقاطع الفيديو الموصى بها

أفاست

أفاست

يعتمد برنامج الفدية WanaCryptOR، أو WCry، على ثغرة أمنية تم تحديدها في بروتوكول Windows Server message Block وتم تصحيحها تصحيح Microsoft لشهر مارس 2017 يوم الثلاثاء التحديثات الأمنية، تقارير كاسبيرسكي لابز. تم تحديد الإصدار الأول من WCry في فبراير وتمت ترجمته منذ ذلك الحين إلى 28 لغة مختلفة.

لقد استجابت مايكروسوفت للهجوم من خلال منشور مدونة Windows Security الخاص بها، حيث عززت الرسالة التي مفادها أن أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تعمل بأحدث تصحيحات الأمان آمنة من البرامج الضارة. بالإضافة إلى ذلك، تم بالفعل تحديث Windows Defenders لتوفير الحماية في الوقت الفعلي.

بدأ ملخص مايكروسوفت للهجوم: "في 12 مايو 2017، اكتشفنا برنامج فدية جديد ينتشر مثل الدودة من خلال الاستفادة من نقاط الضعف التي تم إصلاحها مسبقًا". "بينما يتم تطبيق التحديثات الأمنية تلقائيًا في معظم أجهزة الكمبيوتر، إلا أن بعض المستخدمين والمؤسسات قد يؤخرون نشر التصحيحات. ولسوء الحظ، يبدو أن البرامج الضارة، المعروفة باسم WannaCrypt، قد أثرت على أجهزة الكمبيوتر التي لم تقم بتطبيق التصحيح على نقاط الضعف هذه. وبينما يتكشف الهجوم، نذكر المستخدمين بتثبيت MS17-010 إذا لم يكونوا قد قاموا بذلك بالفعل.

وتابع البيان: “التقطت القياسات عن بعد لمكافحة البرامج الضارة من Microsoft على الفور علامات هذه الحملة. أعطتنا أنظمتنا المتخصصة رؤية واضحة وسياقًا لهذا الهجوم الجديد فور حدوثه، مما سمح لـ Windows Defender Antivirus بتقديم دفاع في الوقت الفعلي. ومن خلال التحليل الآلي والتعلم الآلي والنمذجة التنبؤية، تمكنا من الحماية بسرعة من هذه البرامج الضارة.

وتكهن Avast أيضًا بأن الاستغلال الأساسي قد سُرق من مجموعة Equation Group، التي يشتبه في ارتباطها بوكالة الأمن القومي، من قبل مجموعة قراصنة تطلق على نفسها اسم ShadowBrokers. تُعرف هذه الثغرة باسم ETERNALBLUE وتسمى MS17-010 بواسطة Microsoft.

عندما تضرب البرمجيات الخبيثة، فإنها تغير اسم الملفات المتأثرة لتشمل ملحق ".WNCRY" وتضيف "WANACRY!" علامة في بداية كل ملف. كما أنه يضع مذكرة الفدية الخاصة به في ملف نصي على جهاز الضحية:

أفاست

أفاست

بعد ذلك، يعرض برنامج الفدية رسالة الفدية الخاصة به والتي تتطلب ما بين 300 دولار و600 دولار بعملة البيتكوين، ويقدم إرشادات حول كيفية الدفع ثم استرداد الملفات المشفرة. اللغة المستخدمة في تعليمات الفدية غير رسمية بشكل غريب وتبدو مشابهة لما قد يقرأه المرء في عرض لشراء منتج عبر الإنترنت. في الواقع، أمام المستخدمين ثلاثة أيام للدفع قبل مضاعفة الفدية وسبعة أيام للدفع قبل أن تصبح الملفات غير قابلة للاسترداد.

أفاست

أفاست

ومن المثير للاهتمام أن الهجوم تم إبطاءه أو إيقافه على يد "بطل عرضي" ببساطة عن طريق تسجيل نطاق ويب تم ترميزه بشكل ثابت في رمز برنامج الفدية. إذا استجاب هذا النطاق لطلب من البرامج الضارة، فسيتوقف عن إصابة الأنظمة الجديدة - ويعمل كنوع من "مفتاح الإيقاف" الذي يمكن لمجرمي الإنترنت استخدامه لإيقاف الهجوم.

مثل وتشير صحيفة الغارديان، قام الباحث، المعروف فقط باسم MalwareTech، بتسجيل النطاق مقابل 10.69 دولارًا أمريكيًا ولم يكن على علم بمفتاح الإيقاف في وقت مفتاح الإيقاف، قائلًا: "لقد كنت خارجًا تناول الغداء مع صديق وعاد حوالي الساعة 3 مساءً. وشهدت تدفقًا للمقالات الإخبارية حول NHS ومختلف المنظمات البريطانية يضرب. لقد ألقيت نظرة سريعة على ذلك ثم عثرت على عينة من البرامج الضارة التي تقف وراءها، ورأيت أنها كانت تتصل بنطاق معين، وهو غير مسجل. لذلك التقطته دون أن أعرف ما الذي فعله في ذلك الوقت.

قام MalwareTech بتسجيل النطاق نيابة عن شركته التي تتعقب شبكات الروبوتات، وفي البداية تم اتهامهم ببدء الهجوم. "في البداية أبلغ شخص ما بطريقة خاطئة أننا تسببنا في الإصابة عن طريق تسجيل النطاق، لذلك قمت بذلك قال برنامج MalwareTech لـ The وصي.

من المحتمل ألا يكون ذلك نهاية الهجوم، حيث قد يتمكن المهاجمون من تغيير الكود لحذف مفتاح الإيقاف. الحل الحقيقي الوحيد هو التأكد من أن الأجهزة مصححة بالكامل وتعمل على تشغيل برنامج الحماية من البرامج الضارة المناسب. في حين أن أجهزة Windows هي أهداف هذا الهجوم بالذات، لقد أثبت نظام MacOS ضعفه ولذا يجب على مستخدمي نظام تشغيل Apple التأكد من اتخاذ الخطوات المناسبة أيضًا.

وفي أخبار أكثر إشراقًا، يبدو الآن أن هناك أداة جديدة يمكنها تحديد مفتاح التشفير الذي يستخدمه برنامج الفدية على بعض الأجهزة مما يسمح للمستخدمين باستعادة بياناتهم. الأداة الجديدة والتي تسمى Wanakiwi تشبه أداة أخرى وهي واناكي، ولكنه يوفر واجهة أبسط ويمكنه إصلاح الأجهزة التي تعمل بإصدارات أكثر من Windows. مثل تقارير آرس تكنيكا، يستخدم واناكيوي بعض الحيل لاستعادة الأرقام الأولية المستخدمة في إنشاء مفتاح التشفير، وذلك بشكل أساسي عن طريق سحب تلك الأرقام من كبش إذا ظل الجهاز المصاب قيد التشغيل ولم تتم الكتابة فوق البيانات بالفعل. تستفيد Wanawiki من بعض "أوجه القصور" في واجهة برمجة تطبيقات Microsoft Cryptographic التي كانت تستخدمها WannaCry والعديد من التطبيقات الأخرى لإنشاء مفاتيح التشفير.

وفقًا لبنجامين ديلبي، الذي ساعد في تطوير Wanakiwi، تم اختبار الأداة على عدد من الأجهزة ذات محركات الأقراص الثابتة المشفرة ونجحت في فك تشفير العديد منها. كان Windows Server 2003 وWindows 7 من بين الإصدارات التي تم اختبارها، وتفترض Delpy أن Wanakiwi سيعمل مع الإصدارات الأخرى أيضًا. وكما يقول ديلبي، يمكن للمستخدمين "مجرد تنزيل Wanakiwi، وإذا كان من الممكن إنشاء المفتاح مرة أخرى، فإنه يستخرجه، ويعيد بناؤه (أمر جيد)، ويبدأ في فك تشفير جميع الملفات الموجودة على القرص. بالإضافة إلى ذلك، يمكن استخدام المفتاح الذي أحصل عليه مع برنامج فك تشفير البرامج الضارة لجعله يفك تشفير الملفات كما لو كنت تدفع.

الجانب السلبي هو أنه لا يعمل Wanakiwi أو Wannakey إذا تمت إعادة تشغيل جهاز الكمبيوتر المصاب أو إذا تم بالفعل الكتابة فوق مساحة الذاكرة التي تحتوي على الأعداد الأولية. لذلك فهي بالتأكيد أداة يجب تنزيلها والاحتفاظ بها على أهبة الاستعداد. لمزيد من راحة البال، تجدر الإشارة إلى أن شركة الأمن Comae Technologies ساعدت في تطوير واختبار Wanakiwi ويمكنها التحقق من فعاليته.

أنت تستطيع تحميل واناكيوي هنا. ما عليك سوى فك ضغط التطبيق وتشغيله، ولاحظ أن نظام التشغيل Windows 10 سيشكو من أن التطبيق برنامج غير معروف وستحتاج إلى الضغط على "مزيد من المعلومات" للسماح بتشغيله.

مارك كوبوك / الاتجاهات الرقمية

مارك كوبوك / الاتجاهات الرقمية

تعد برامج الفدية واحدة من أسوأ أنواع البرامج الضارة، حيث إنها تهاجم معلوماتنا وتغلقها خلف تشفير قوي ما لم ندفع المال للمهاجم مقابل الحصول على مفتاح لفتحها. هناك شيء شخصي في برامج الفدية يجعلها مختلفة عن هجمات البرامج الضارة العشوائية التي تحول أجهزة الكمبيوتر لدينا إلى روبوتات مجهولة الهوية.

أفضل طريقة للحماية من WCry هي التأكد من أن جهاز الكمبيوتر الخاص بك الذي يعمل بنظام Windows مصحح بالكامل بأحدث التحديثات. إذا كنت تتبع جدول تصحيح الثلاثاء من Microsoft وتقوم بتشغيل Windows Defender على الأقل، فمن المفترض أن تكون أجهزتك كذلك بالفعل محمية - على الرغم من أن وجود نسخة احتياطية دون اتصال لأهم ملفاتك التي لا يمكن لمسها بمثل هذا الهجوم يعد خطوة مهمة يأخذ. ومن الآن فصاعدا، فإن الآلاف من الأجهزة التي لم يتم تصحيحها بعد هي التي ستستمر في المعاناة من هذا الهجوم الواسع النطاق.

تم التحديث بتاريخ 19-5-2017 بواسطة مارك كوبوك: تمت إضافة معلومات حول أداة Wanakiwi.

توصيات المحررين

  • ارتفعت هجمات برامج الفدية بشكل كبير. إليك كيفية البقاء آمنًا
  • يقوم المتسللون بتسجيل الأهداف باستخدام برامج الفدية التي تهاجم ضحاياها السابقين