- بواسطة x32x01 ||
لو حصلت إصابة بـRansomware في الشركة أو الشبكة بتاعتك، أهم حاجة هتعملها بسرعة هي العزل ومنع الانتشار، بعد كده تجيب معلومات عن ازاي الفيروس دخل، وبعدين ترجع البيانات من باك أب لو متاحة.
البوست ده هيمشي معاك خطوة بخطوة بالعملي، مع أوامر وأمثلة تقدر تستخدمها فورًا.
الكود ده لحظر مصدر محدد على ماكينة لينكس - دفاع بس مش هيفتح حاجة جديدة.
تحليل الهجوم ومعرفة نقطة الدخول
استعادة البيانات وفحص النسخ الاحتياطية
نصائح عملية لتقليل المخاطر بعد الحادث
# مثال PowerShell لحظر IP على ويندوز سيرفر (defensive)
New-NetFirewallRule -DisplayName "Block Infected Host" -Direction Inbound -RemoteAddress 192.0.2.100 -Action Block
مصادر مفيدة وروابط مساعدة
البوست ده هيمشي معاك خطوة بخطوة بالعملي، مع أوامر وأمثلة تقدر تستخدمها فورًا.
عزل الأجهزة المصابة فورًا
- فصل الجهاز من الشبكة: لو على واي فاي افصل الواي فاي، لو على إيثرنت شيل الكابل فورًا.
- لو السيرفر متأثر: لو تقدر تعمل له shutdown من remote management اعمله، ولو لأ شيله فيزيائيًا من الشبكة.
- لو عندك إمكانية، خليك بتكتب الـ IP أو الـ MAC بتاع الجهاز في ورقة أو ملف علشان تستخدمه بعدين في الفلترة.
مثال عملي: حظر IP بسرعة على Linux (defensive)
Bash:
# حظر IP من الوصول للجهاز الحالي
sudo iptables -A INPUT -s 192.0.2.100 -j DROP
# حفظ القاعدة (في دبيان/أوبونتو)
sudo netfilter-persistent saveمنع انتشار الفيروس على مستوى الفايروول (Palo Alto & FortiGate)
على Palo Alto (مبدأ عملي)
- افتح Monitor → Threat Logs وشوف الـ IP اللي عمل نشاط مش طبيعي.
- اعمل Security Policy جديدة:
- Source: IP الجهاز المصاب
- Destination: Any
- Action: Deny
- فعّل WildFire Analysis لو متاح عشان يعمل تحليل للملفات المشتبه فيها.
مثال تخيلي لسياسة (pseudo-CLI)
Code:
set rulebase security rules "Block-Infected-Host" from trust to untrust source 192.0.2.100 destination any action denyعلى FortiGate
- ادخل على Firewall Policy → New Policy.
- Source: الـ IP بتاع الجهاز المصاب، Action: DENY أو Restrict.
- فعّل IPS وAntivirus profile على البوليسي عشان يفلتر ترافيك مريب.
مثال CLI FortiGate (defensive)
Code:
config firewall address
edit "infected-host"
set subnet 192.0.2.100 255.255.255.255
next
end
config firewall policy
edit 0
set srcaddr "infected-host"
set dstaddr "all"
set action deny
next
endتحليل الهجوم ومعرفة نقطة الدخول 
- اسأل: هل الجريمة جت من إيميل مخادع (phishing)؟ ثغرة ويب؟ أم جهاز داخلي متهكّر؟
- شوف الـ logs: على Palo Alto شوف Threat Logs وفّلتر على Severity = Critical.
- على FortiGate: شوف Log & Report → Security Events وابحث عن نشاط غريب.
- لو عندك WAF مثل F5: راجع Application Security → Event Logs وابحث عن محاولات SQLi أو XSS أو brute force.
خطوات عملية لجمع الأدلة
- سجل الـ IPs، الـ filenames، وأي مؤشرات (IOCs) زي hashes (MD5/SHA256).
- عزل نسخة من الـ logs لغاية ما تعمل تحليل forensic.
- ما تمسحش أي log - هو دلوقتي دليل مهم.
عزل الشبكة وتأمينها على مستوى أكبر
- اعمل Policy تمنع الأجهزة المصابة من الوصول لباقي الشبكة (Segment the network).
- استخدم Load Balancer (F5) لتوجية الترافيك بعيد عن الأجهزة المصابة: أنشئ Pool جديد يحتوي على السيرفرات السليمة فقط.
- فعّل URL Filtering وBot Defense على Palo Alto وF5.
مثال سريع على فكرة Pool في F5 (conceptual)
Local Traffic → Pools → Create Pool → Add only healthy nodes → Configure Priority Group Activationاستعادة البيانات وفحص النسخ الاحتياطية 
- لو عندك حلول Backup (زي Veeam مثلاً): اختَر آخر نسخة سليمة قبل الإصابة.
- قبل ما ترجع البيانات: افحص النسخ باستخدام مضاد فيروسات أو sandbox (لو تقدر).
- أدوات فحص مقترحة: Malwarebytes, ESET Online Scanner, أو EDR مثل Cortex XDR لو متاح.
توصية عملية
- اسحب نسخة من الباك أب على بيئة معزولة (air-gapped) وافحصها.
- لما تتأكد إنها سليمة، ابدأ مرحلة الاسترجاع تدريجيًا (restore) وراقب الشبكة.
تقوية الحماية بعد الحادث - خطوات لازم تعملها
- حدّث التواقيع (Threat Signatures) في Palo Alto: Device → Dynamic Updates. فعل WildFire Submission.
- ضبّط WAF في F5: استخدم Policy Builder وفعّل Automatic Policy Tuning + Bot Defense.
- شغل Deep Packet Inspection/Full SSL Inspection على FortiGate:
- Security Profiles → SSL/SSH Inspection → Full SSL Inspection
- ده بيكشف التهديدات داخل الترافيك المشفّر.
نصائح عملية لتقليل المخاطر بعد الحادث 
- فعّل Multi-Factor Authentication على كل الخدمات المهمة.
- حدّث كل الأنظمة والبرمجيات، خصوصًا اللي ليها واجهات إنترنت.
- طبّق مبدأ الـ Least Privilege: كل جهاز أو مستخدم ياخد أقل صلاحيات يحتاجها.
- درّب الفريق على كشف الإيميلات الخادعة (Phishing drills).
أوامر وأدوات سريعة لحظر IP على Firewall عام (مثال)
Bash:
# مثال iptables لحظر ترافيك صادر من جهاز معين (defensive)
sudo iptables -I FORWARD -s 192.0.2.100 -j REJECT# مثال PowerShell لحظر IP على ويندوز سيرفر (defensive)
New-NetFirewallRule -DisplayName "Block Infected Host" -Direction Inbound -RemoteAddress 192.0.2.100 -Action Block
مصادر مفيدة وروابط مساعدة 
- لو الملفات اتشفر ومفيش حل، جرب موقع "No More Ransom" لفك التشفير أو التعرف على نوع الـ Ransomware: https://www.nomoreransom.org
- احتفظ دائمًا بقائمة أدوات التنظيف والـ EDR المتاحة عندك.
خاتمة سريعة - الخلاصة اللي لازم تعملها دلوقتي
- عزل الأجهزة المصابة فورًا.
- منع الانتشار على مستوى الفايروول (Palo Alto / FortiGate).
- جمع الأدلة وتحليل نقطة الدخول.
- استعادة من باك أب بعد فحصها.
- تقوية الحماية وتفعيل الفحوص والتحديثات.
لو اتبعت الخطوات دي هتقلل فرصة خسارة بياناتك وتتحكم في الحادث أسرع.
التعديل الأخير: