كيفية حماية جهاز الكمبيوتر الخاص بك من NotPetya Ransomware

في 26 يونيو 2017، ظهر نوع جديد من برامج الفدية يسمى NotPetya بدأت بمهاجمة أنظمة الحوسبة في جميع أنحاء العالم. لقد استهدفت في الأصل الأنظمة الرئيسية في أوكرانيا بما في ذلك البنوك والخدمات البريدية والمطارات وشركات الطاقة والمزيد. لكنه انتشر بسرعة خارج منطقته المستهدفة، وتوسع في 64 دولة بما في ذلك البرازيل وألمانيا وروسيا وحتى الولايات المتحدة. نحن نلقي نظرة على ماهية برنامج الفدية NotPetya، وما هي الأنظمة المتأثرة، وكيف يمكنك الوقوف ضد هذا الهجوم المحدد.

ما هو برنامج الفدية NotPetya؟

ليس بيتيا (أو بيتوراب) يعتمد على إصدار أقدم من برنامج الفدية بيتيا، والذي تم تصميمه في الأصل للاحتفاظ بالملفات والأجهزة كرهينة مقابل الدفع بالبيتكوين. على الرغم من محاولة NotPetya لجمع الأموال وفي هجومها العالمي سريع الحركة، لا يبدو أنها تسعى إلى الحصول على المال بشكل صارم. وبدلاً من ذلك، يقوم برنامج NotPetya بتشفير أنظمة ملفات الأجهزة لإلحاق الضرر بالشركات. يبدو أن جانب برامج الفدية هو مجرد غطاء.

ما يجعل NotPetya خطيرًا هو أنه يوجد تحت الواجهة القائمة على برامج الفدية استغلال يسمى

الأزرق الأبدي, يُزعم أن إدارة الأمن القومي الأمريكية (المعروفة أيضًا باسم NSA) صممتها. إنه يستهدف بروتوكول شبكة محددًا وضعيفًا يسمى كتلة رسالة الخادم (الإصدار 1) يستخدم لمشاركة الطابعات والملفات والمنافذ التسلسلية بين أجهزة الكمبيوتر المتصلة بالشبكة والتي تعمل بنظام Windows. وبالتالي، تسمح الثغرة الأمنية للمهاجمين عن بعد بإرسال وتنفيذ تعليمات برمجية ضارة على الهدف حاسوب. مجموعة قراصنة الظل وسطاء تم تسريب EternalBlue في أبريل 2017.

يشتمل برنامج الفدية NotPetya أيضًا على مكون "دودة". عادةً ما يقع الضحايا فريسة لبرامج الفدية عن طريق تنزيل وتنفيذ برامج ضارة متخفية في شكل ملف شرعي مرفق في رسالة بريد إلكتروني. وفي المقابل، تقوم البرامج الضارة بتشفير ملفات محددة وتنشر نافذة منبثقة على الشاشة، تطالب فيها بالدفع بعملة البيتكوين لفتح هذه الملفات.

ومع ذلك، فإن برنامج طلب الفدية Petya الذي ظهر في أوائل عام 2016 أخذ هذا الهجوم خطوة أخرى إلى الأمام من خلال تشفير القرص الثابت بالكامل للكمبيوتر الشخصي. محرك الأقراص أو محرك الأقراص ذو الحالة الصلبة عن طريق إصابة سجل التمهيد الرئيسي، وبالتالي الكتابة فوق البرنامج الذي يبدأ تشغيل Windows تسلسل. أدى ذلك إلى تشفير الجدول المستخدم للتتبع الجميع الملفات المحلية (NTFS)، مما يمنع Windows من تحديد موقع أي شيء مخزن محليًا.

وعلى الرغم من قدرته على تشفير قرص كامل، إلا أن Petya كان قادرًا فقط على إصابة جهاز كمبيوتر مستهدف واحد. ومع ذلك، كما رأينا مع تفشي فيروس WannaCry الأخير، تتمتع برامج الفدية الآن بالقدرة على الانتقال من كمبيوتر شخصي إلى كمبيوتر شخصي على شبكة محلية دون أي تدخل من المستخدم. برنامج الفدية NotPetya الجديد قادر على إحداث نفس الغزو الجانبي للشبكة، على عكس إصدار Petya الأصلي.

وفقًا لمايكروسوفت، فإن إحدى نواقل هجوم NotPetya هي قدرتها على سرقة بيانات الاعتماد أو إعادة استخدام جلسة نشطة.

"لأن المستخدمين يقومون بتسجيل الدخول بشكل متكرر باستخدام حسابات تتمتع بامتيازات المسؤول المحلي ويكون لديهم جلسات نشطة مفتوحة عبرها أجهزة متعددة، من المرجح أن توفر بيانات الاعتماد المسروقة نفس مستوى الوصول الذي يتمتع به المستخدم على أجهزة أخرى الآلات" تقارير الشركة. "بمجرد أن يمتلك برنامج الفدية بيانات اعتماد صالحة، فإنه يقوم بمسح الشبكة المحلية لإنشاء اتصالات صالحة."

يمكن لبرامج الفدية NotPetya أيضًا استخدام مشاركة الملفات لمضاعفة نفسها عبر الشبكة المحلية، وإصابة الأجهزة التي لم يتم تصحيحها ضد ثغرة EternalBlue. مايكروسوفت حتى يذكر الرومانسية الأبدية، وهو استغلال آخر تم استخدامه ضد بروتوكول Server message Block الذي يفترض أن وكالة الأمن القومي استحضرته.

وقال: "هذا مثال رائع على مكونين من البرامج الضارة يجتمعان معًا لإنشاء برامج ضارة أكثر ضررًا ومرونة". إيفانتي كبير مسؤولي أمن المعلومات فيل ريتشاردز.

علاوة على هجوم NotPetya السريع والواسع النطاق، هناك مشكلة أخرى: الدفع. يوفر برنامج الفدية نافذة منبثقة تطالب الضحايا بدفع 300 دولار بعملة البيتكوين باستخدام عنوان بيتكوين محدد ومعرف محفظة بيتكوين ورقم التثبيت الشخصي. يرسل الضحايا هذه المعلومات إلى عنوان بريد إلكتروني مقدم والذي يستجيب بمفتاح إلغاء القفل. تم إغلاق عنوان البريد الإلكتروني هذا بسرعة بمجرد أن اكتشف مزود البريد الإلكتروني الألماني Posteo نيته الشريرة.

"لقد أدركنا أن مبتز برامج الفدية يستخدمون حاليًا عنوان Posteo كوسيلة للاتصال. قام فريق مكافحة إساءة الاستخدام لدينا بالتحقق من ذلك على الفور - وقام بحظر الحساب على الفور. قالت الشركة. "نحن لا نتسامح مع إساءة استخدام منصتنا: الحظر الفوري لحسابات البريد الإلكتروني التي يساء استخدامها هو النهج الضروري من قبل مقدمي الخدمة في مثل هذه الحالات."

وهذا يعني أن أي محاولة للدفع لن تتم أبدًا، حتى لو كان الدفع هو هدف البرامج الضارة.

وأخيرًا، تشير مايكروسوفت إلى أن الهجوم نشأ مع شركة M.E.Doc الأوكرانية، المطورة لبرنامج المحاسبة الضريبية MEDoc. لا يبدو أن شركة Microsoft تشير بأصابع الاتهام، ولكنها ذكرت بدلاً من ذلك أن لديها دليلاً على أن "عددًا قليلًا من الإصابات النشطة بفيروس بدأت برامج الفدية في البداية من خلال عملية تحديث MEDoc المشروعة. تلاحظ مايكروسوفت أن هذا النوع من العدوى آخذ في النمو اتجاه.

ما هي الأنظمة المعرضة للخطر؟

في الوقت الحالي، يبدو أن برنامج الفدية NotPetya يركز على مهاجمة أجهزة الكمبيوتر التي تعمل بنظام Windows في المؤسسات. على سبيل المثال، كان نظام مراقبة الإشعاع بأكمله الموجود في محطة تشيرنوبيل للطاقة النووية طرقت حاليا في الهجوم. وهنا في الولايات المتحدة، وقع الهجوم ضرب النظام الصحي في وادي التراث بأكملهمما يؤثر على جميع المرافق التي تعتمد على الشبكة، بما في ذلك مستشفيات بيفر وسيويكلي في ولاية بنسلفانيا. مطار كييف بوريسبيل في أوكرانيا عانى جدول الرحلات التأخير، وتوقف موقعها الإلكتروني عن العمل بسبب الهجوم.

لسوء الحظ، لا توجد معلومات تشير إلى الإصدارات الدقيقة من نظام التشغيل Windows التي يستهدفها برنامج NotPetya Ransomware. لا يسرد تقرير أمان Microsoft إصدارات Windows المحددة، على الرغم من كونها آمنة، يجب على العملاء افتراض ذلك أن جميع الإصدارات التجارية والسائدة لنظام التشغيل Windows التي تمتد من نظام التشغيل Windows XP إلى نظام التشغيل Windows 10 تقع ضمن الهجوم نافذة او شباك. بعد كل شيء، حتى استهدف فيروس WannaCry الأجهزة المثبت عليها نظام التشغيل Windows XP.

ومن تحمي نفسك منه؟

أصدرت Microsoft بالفعل تحديثات تحظر عمليات استغلال EternalBlue وEternalRomance التي يستخدمها أحدث انتشار للبرامج الضارة. خاطبت مايكروسوفت كليهما في 14 مارس 2017، بإصدار التحديث الأمني ​​MS17-010. كان ذلك منذ أكثر من ثلاثة أشهر، مما يعني أن الشركات التي تعرضت لهجوم من قبل NotPetya من خلال هذا الاستغلال لم تقم بالتحديث بعد أجهزة الكمبيوتر الخاصة بهم. تقترح Microsoft على العملاء تثبيت التحديث الأمني ​​MS17-010 على الفور، إذا لم يفعلوا ذلك بالفعل.

يعد تثبيت التحديث الأمني ​​الطريقة الأكثر فعالية لحماية جهاز الكمبيوتر الخاص بك

بالنسبة للمؤسسات التي لا يمكنها تطبيق التحديث الأمني ​​حتى الآن، هناك طريقتان ستمنعان انتشار برنامج الفدية NotPetya: تعطيل الإصدار 1 من كتلة رسائل الخادم بشكل كاملو/أو إنشاء قاعدة في جهاز التوجيه أو جدار الحماية الذي يمنع حركة مرور كتلة رسائل الخادم الواردة على المنفذ 445.

هناك واحد آخر طريقة بسيطة للوقاية من العدوى. ابدأ ب فتح مستكشف الملفات وتحميل مجلد دليل Windows، والذي يكون عادةً "C:\Windows". هناك سوف تحتاج إلى إنشاء ملف باسم "perfc" (نعم بدون امتداد) وقم بتعيين أذوناته على "للقراءة فقط" (عبر عام/السمات).

بالطبع، لا يوجد خيار فعلي لإنشاء ملف جديد في دليل Windows، فقط خيار مجلد جديد. أفضل طريقة لإنشاء هذا الملف هي فتح برنامج "المفكرة" وحفظ ملف "perfc.txt" فارغًا في مجلد Windows. بعد ذلك، ما عليك سوى حذف الامتداد ".txt" في الاسم، وقبول تحذير النافذة المنبثقة، والنقر بزر الماوس الأيمن على الملف لتغيير أذوناته إلى "للقراءة فقط".

وبالتالي، عندما يصيب NotPetya جهاز كمبيوتر، فإنه سيقوم بفحص مجلد Windows بحثًا عن هذا الملف المحدد، والذي يعد في الواقع أحد أسماء الملفات الخاصة به. إذا كان ملف perfc موجودًا بالفعل، فإن NotPetya يفترض أن النظام مصاب بالفعل، ويصبح خاملاً. ومع ذلك، بعد أن أصبح هذا السر علنيًا الآن، قد يعود المتسللون إلى لوحة الرسم ويراجعون برنامج الفدية NotPetya ليعتمد على ملف مختلف.

توصيات المحررين

• تتيح هذه اللعبة للمتسللين مهاجمة جهاز الكمبيوتر الخاص بك، ولا تحتاج حتى إلى تشغيلها
• كن أكثر إنتاجية مع هذه النصائح والحيل الخاصة بـ Slack