الأكثر خطورة (فيروسات الفدية) الوقاية أفضل من العلاج

ما هو فيروس الفدية؟

“فيروس الفدية هو نوع خبيث من البرامج يقفل أجهزة الحاسوب الشخصي أو اللوحي أو الهواتف الذكية – أو يضع تشفيراً على ملفاتك ثم يطلب منك فدية مقابل إعادتها إليك في حالة سليمة؛ هناك نوعان أساسيان من فيروسات الفدية.

♦ النوع الأول هو فيروسات التشفير، أي: التي تضع شفرة على الملفات بحيث لا يمكن الوصول إليها؛ ويتطلب فك تشفير الملفات امتلاك المفتاح الذي تم استخدامه في تشفيرها – وهذا هو ما تدفع مبلغ الفدية للحصول عليه.

♦ النوع الثاني هو فيروسات الحجب، التي ببساطة تحجب الكمبيوتر أو الأجهزة الأخرى مما يجعلها غير صالحة للعمل؛ وفي الواقع، تُعد حالات فيروسات الحجب أفضل من فيروسات التشفير، ففرص الضحايا في إزالة الحجب واستعادة إمكانية الوصول أفضل من فك الملفات المشفرة.

ما هي القيمة المعتادة لمبلغ الفدية؟

“في الواقع، لا توجد قيمة “”معتادة””؛ ولكن المبتزون يطلبون من ضحاياهم سداد 300 دولار أمريكي في المتوسط مقابل استعادة إمكانية الوصول للملفات المشفرة أو الكمبيوترات المحجوبة. ولكن تطلب بعض برامج الفدية 30 دولاراً أمريكياً، ويطلب بعضها الآخر عشرات الآلاف من الدولارات. وعادة ما تكون الشركات والمنظمات الكبيرة الأخرى التي تصاب بالفيروس عبر أسلوب التصيد الاحتيالي بالرمح “”Spear phishing”” هي الأكثر عرضة لتلقي طلبات فدية مرتفعة القيمة.

ولكن يتعين عليك ألا تنسى أن دفع الفدية لا يضمن العودة الآمنة والسليمة للملفات.”

هل يمكنني فك تشفير الملفات المشفرة بدون دفع فدية؟

“في بعض الأحيان، يمكن فعل ذلك. فمعظم برامج الفدية تستخدم خوارزميات تشفير مرنة، ما يعني أن عملية فك التشفير قد تستغرق سنوات بدون مفتاح فك التشفير.

وفي أحيان أخرى، يخطئ المجرمون الواقفون خلف هجمات فيروسات الفدية، مما يمكن عناصر تطبيق القانون من مصادرة خوادم الهجوم التي تحتوي على مفاتيح التشفير. وعندما يحدث هذا، يصبح بإمكان الأخيار تطوير برنامج لفك التشفير.

كيف ينتهي الحال بفيروس الفدية على الكمبيوتر الخاص بي؟

“الطريقة الأكثر شيوعاً هي البريد الإلكتروني؛ قد يظهر فيروس الفدية في شكل مرفق مهم أو مفيد (فاتورة عاجلة، أو مقالة مثيرة للاهتمام، أو تطبيق مجاني، أو ملف كراك لتطبيق غير مجاني). وبمجرد فتحك للمرفق، يصبح الكمبيوتر الخاص بك مصاباً بالفيروس.

يستطيع فيروس الفدية التسلل إلى نظامك وأنت تتصفح الإنترنت. وللسيطرة على نظامك، يستخدم المبتزون نقاط الضعف في نظام التشغيل أو المتصفح أو التطبيق. لهذا السبب يمثل الاحتفاظ بالبرمجيات ونظام التشغيل محدثة أهمية حيوية (بالمناسبة، يمكنك تفويض هذه المهمة لبرنامج مضاد فيروسات جيد مثل “Kaspersky Internet Security” أو ” ESET Internet Security”  أو غيرها من البرامج القوية في مجال أمن المعلومات.  حيث تنفذ النسخة الأحدث من كلٍّ منهما هذه العملية بصورة آلية).

تستطيع بعض برامج فيروسات الفدية الانتشار ذاتياً عبر الشبكات المحلية. على سبيل المثال، إذا أصاب فيروس حصان طروادة ماكينة أو جهازاً واحداً في شبكة منزلك أو شركتك فسوف تصاب جميع نقاط النهاية الأخرى في النهاية بالفيروس. ولكن هذه حالة نادرة.

بالطبع توجد سيناريوهات إصابة أكثر قابلية للتنبؤ. على سبيل المثال، تقوم بتنزيل ملف تورنت، ثم تقوم بتثبيت مكون إضافي… وهكذا.”

 

أنا أعمل بنظام التشغيل “ماك”، فهل يعني هذا أنه لا يتعين عليَّ القلق من فيروسات الفدية؟

“يمكن أن يتعرض نظام التشغيل “”ماك”” للإصابة، وقد حدث هذا بالفعل. على سبيل المثال، استطاع البرنامج الخبيث “”KeRanger”” التسلل إلى أكثر العملاء استخداماً لبرنامج “”تورنت””، ألا وهم مستخدمو نظام التشغيل “”ماك””.

يؤمن خبراؤنا بأن عدد برامج فيروسات الفدية التي تستهدف نظم “”آبل”” سوف تزداد تدريجياً. ومع ارتفاع تكلفة أجهزة آبل ارتفاعاً نسبياً، ربما يجد المبتزون مستخدمي نظام التشغيل “”ماك”” هدفاً رائعاً لطلبات الفدية المرتفعة التكلفة.

تستطيع بعض أنواع فيروسات الفدية استهداف حتى نظام التشغيل “”لينوكس””؛ فلا توجد نظم تشغيل آمنة من هذا التهديد.”

إذا تعرضت أجهزتي للإصابة بفيروسات الفدية فكيف يمكنني إزالة هذه الفيروسات؟

“إذا وجدت الكمبيوتر محجوباً — فلن يتم تحميل نظام التشغيل — استخدم أداة Kaspersky WindowsUnlocker، هي أداة مساعدة يمكنها إزالة الحجب وتعيد تشغيل نظام التشغيل (الويندوز).

فيروسات الحجب هي النوع الأصعب للقضاء عليها. أولاً، عليك أن تتخلص من البرامج الخبيثة من خلال إجراء الفحص المضاد للفيروسات (antivirus scan). إذا لم يكن لديك برنامج مضاد للفيروسات مناسب على جهاز الكمبيوتر يمكنك تنزيل نسخة تجريبية مجانية من هنا.

الخطوة التالية هي استرجاع ملفاتك.

إذا كان لديك نسخة احتياطية من ملفاتك يمكنك استرجاع ملفاتك بسهولة من النسخة الاحتياطية. فإن ذلك هو أفضل ما لديك.

إذ لم تكن لديك نسخة احتياطية من ملفاتك فيمكنك محاولة فك تشفير الملفات باستخدام أدوات مساعدة خاصة تسمى أدوات فك التشفير (decryptors). يمكنك إيجاد جميع أداوت فك التشفير التي أُنشئت بواسطة كاسبرسكي لاب على الموقع الإلكتروني Noransom.kaspersky.com.

تطور شركات مكافحة الفيروسات الأخرى أدوات فك التشفير. يبقى شيء واحد: تأكد من أنك قمت بتنزيل هذه البرامج من موقع موثوق حسن السمعة وإلا فإنك تجري نشطات مليئة بمخاطر محتملة عالية للإصابة ببعض البرامج الخبيثة الأخرى.

إذ لم تتمكن من إيجاد أدوات فك التشفير المناسبة فيمكنك دفع الفدية أو تفقد ملفاتك للأبد. وهذا يعني أننا لا نوصي بدفع الفدية.”

إذا قمت بنسخ ملفاتي نسخاً احتياطياً بصورة منتظمة فهل سأصبح في أمان؟

عملية النسخ الاحتياطي مفيدة للغاية، دون أدنى شك، إلا أنها غير مضمونة بنسبة 100%. فيما يلي إحدى الحالات: إذا قمت بضبط النسخ الاحتياطي في جهاز الكمبيوتر الشخصي زوجك/ زوجتك ليعمل كل ثلاثة أيام. يقوم أحد المشفرين باختراق النظام، ويقوم بتشفير جميع المستندات والصور وهكذا، ولكنه لا يستفيد من خطورة الموقف مرة واحدة. لذا فعندما تقوم بالتحقق في الأسبوع التالي، تجد جميع النسخ الاحتياطية مشفرة أيضاً. إن النسخ الاحتياطية مهمة للغاية، ولكن يتعين على وسائل الدفاع لديك فعل المزيد.

هل برامج مكافحة الفيروسات كافية لتجنب الإصابة؟

“نعم، في أغلب الحالات. تحل برامج مكافحة الفيروسات هذه المشكلات. وفقاً للمعايير المستقلة المقدمة الموضحة بواسطة المختبرات الشهيرة (والتي تُعد المعايير الوحيدة التي يُمكن الوثوق بها)، تُقدم منتجات شركة Kaspersky حماية أفضلا يُمكن منافستها. ومع ذلك، لا يوجد برنامج فعال 100% في مكافحة الفيروسات.

وفي حالات كثيرة، يعتمد الكشف التلقائي على نوعية أحدث البرامج الضارة. إذا لم تتم إضافة توقيعات البرنامج الضار إلى قاعدة بيانات برامج مكافحة الفيروسات يُمكن الكشف عن فيروس حصان طروادة عن طريق التحليل السلوكي. عند محاولته إلحاق ضرر يتم حجبه على الفور.

يشتمل برنامجنا على وحدة يُطلق عليها اسم System Watcher؛ إذا كشف النظام عن محاولة تشفير ضخمة للملفات فإنه يعمل على حجب العمليات الضارة ويلغي جميع التغييرات. يُرجى عدم تعطيل هذا المكون.”

وبالإضافة إلى ذلك، يعمل برنامج Kaspersky Total Security على النسخ الاحتياطي للعمليات. وحتى عند سير الأمور في طريق خاطئ للغاية يُمكنك استعادة جميع الأحداث الرئيسية من النسخ الاحتياطية.

هل هناك أي إعداد يمكنني تعديله لتقوية وسائل الدفاع؟

“أ- أولاً: قم بتثبيت برنامج مكافحة الفيروسات. ولكننا أخبرناك بذلك من قبل، أليس كذلك؟

ب- يُمكنك تعطيل مؤقت البرنامج النصي في برامج التصفح، منذ أن أصبحت الأداة المفضلة لمجرمي الفضاء الإلكتروني. تحقق من المدونة الخاصة بنا لتعلم كيف يمكنك القيام بذلك في برنامجي التصفح Chrome وFirefox.

ج- اجعل امتداد الملفات مرئية في متصفح Windows Explorer، وهي خطوة للخبراءء فقط، لأنها يمكن أن تؤدي لتغيير لاحقة الملفات.

د- اجعل تطبيق المفكرة Notepad هو التطبيق الافتراضي لملفات VBS وJS. عادة ما يضع نظام التشغيل Windows علامة خطر على البرامج النصية VBS وJS كملفات نصية، قد تؤدي إلى تضليل المستخدمين الأقل خبرة في فتحها.

هـ- قم بتمكين وضع تطبيق موثوق به في برنامج الـ Security ، وبذلك يتم تقييد تثبيت أي برنامج غير متوفر في برامج اللائحة البيضاء. ولا يتم تمكينه في الإعدادات الافتراضية، ويتطلب إجراء بعض التعديلات وضبط الإعدادات، إلا أنها أداة مفيدة للغاية، وخاصة للمستخدمين غير البارعين في استخدام جهاز الكمبيوتر ويسمحون بدخول بعض البرامج الضارة الخفية إلى النظام.”

ما الملفات التي تمثل النوع الأكثر خطورة؟

“الملفات الأكثر إثارة للشبهة هي الملفات التنفيذية (مثل ملفات “”EXE”” أو ملفات “”SCR””) ثم نصوص البرمجة المكتوبة بلغة “”فيجوال بيسك”” أو “”جافا سكريبت”” (بامتدادات “”.VBS”” أو “”.JS””). وعادة ما يتم جمعها في ملف مضغوط “”ZIP”” أو “”RAR”” بهدف إخفاء طبيعتها الخبيثة الضارة.

ومن الفئات الأخرى الخطيرة ملفات “”مايكروسوفت أوفيس”” بتمديداتها (“”DOC”” و””DOCX”” و””XLS”” و””XLSX”” و””PPT””، إلخ). فقد تحتوي على وحدات ماكرو ضعيفة، وإذا تمت مطالبتك بتمكين وحدات الماكرو في مستند “”وورد”” ففكر جيداً قبل أن تفعل ذلك.

وكن واعياً أيضاً بملفات الاختصار (التي لها الامتداد “”.LNK””). ويمكن أن يعرضها نظام التشغيل “”ويندوز”” في شكل أي أيقونة -مع اسم ملف عادي لا يثير الشكوك- مما يمكنها من إيقاعك في مشاكل ومتاعب.

ملحوظة مهمة: يفتح نظام التشغيل “”ويندوز”” الملفات ذات الامتدادات المعروفة لديه بدون مطالبة المستخدم، وبالتالي تختبئ تلك الامتدادات بصورة افتراضية في متصفح “”ويندوز إكسبلورر””. وبالتالي، إذا رأيت اسم ملف يبدو عادياً مثل معلومات مهمة “”Important_info.txt”” فقد يكون برنامج تثبيت لبرنامج خبيث بالامتداد “”Important_info.txt.exe””. فاضبط نظام التشغيل “”ويندوز”” على عرض الامتدادات لتحقيق مستوى أعلى من الأمان.”

روابط مهمة :

1- أداة مكافحة فيروسات الفدية Kaspersky Anti-Ransomware  من هنا

2-برامج فك تشفير مجانية لفيروس الفديةمشروع لا لفيروسات الفدية “No Ransom” من هنا

المصدر مدونة كاسبرسكي


مرهف كمال

باحث أكاديمي سوري، مهتم بالعلم والثقافة والتكنولوجيا، متابع للرياضة، ومصور خبير في مجال الحياة البرية.
شارك الخبر مع الأهل والأصدقاء
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

قد يهمك الاطلاع على المقالات التالية

Leave a Comment