ماذا تفعل عند إصابة جهازك بفيروس الفدية!!

لو لقيت ملفاتك متقفلة أو ظهرت رسالة مطالبة بفدية - الموضوع خطير ومزعج. مش دايمًا تقدر تسترجع الملفات، لكن في خطوات عملية وآمنة تقدر تعملها علشان تقلل الخسارة وتزوّد فرص الاستعادة بطرق قانونية وآمنة.

خطوة 1 - عزل الجهاز فورًا (Isolation)​

• افصل الجهاز عن الشبكة (نِفِل الواي‑فاي، فصل كابل الإيثرنت) فور ما تشكّ في الإصابة.
• لو الشبكة مؤسسية، بلغ فورًا فريق الـ IT أو الأمن. لا تحاول توصيل الجهاز بأي شبكة تانية.

الهدف: منع انتشار التشفير لباقي الأجهزة والنسخ الاحتياطية المتصلة.

خطوة 2 - ما تدفعش الفدية لحد لحاله ولا تتفاوض بنفسك​

• الدفع ما بيضمنش استعادة الملفات، وغالبًا بيحفّز الجُناة على المزيد من الهجمات.
• تواصل مع جهات رسمية أو مع فريق استجابة حوادث محترف قبل أي خطوة مالية.

خطوة 3 - سجل الأدلة وبلّغ (Documentation & Reporting)​

• خُد صور للشاشة، خزّن رسائل المطالبة، ودوّن أي نشاط غريب (وقت، رسائل، أسماء ملفات).
• بلغ الشرطة أو جهات إنفاذ القانون المحلية (في مصر: النيابة العامة / وحدات مكافحة جرائم الإنترنت أو CERT المحلي لو موجود).
• لو عندك فريق أمني داخلي أو مزوّد Managed Security Service، خبّره فورًا.

خطوة 4 - قرّر طريقة الاستجابة: استعادة ولا تحقيق؟ (Recovery vs Forensics)​

• لو عندك نسخ احتياطية سليمة ومعزولة: أفضل حل هو عمل wipe & restore (إعادة تهيئة النظام واسترجاع البيانات من النسخ الاحتياطية).
• لو ما عندكش نسخ احتياطية: استعن بفريق مختص لاستقصاء إمكانية استعادة بعض البيانات أو وجود decryptor رسمي معروف. لا تحاول تنفيذ أدوات مش موثوقة بنفسك.

خطوة 5 - افحص وجود أدوات فك التشفير (Decryptors) الشرعية​

• في حالات معروفة لبعض أنواع الـ ransomware بتبقى مكتوبة decryptors رسمية أو متاحة عبر مبادرات مثل No More Ransom. اطّلع على المصادر الرسمية قبل ما تجرب أي برنامج لفك التشفير.
• إحذر من برامج مش موثوقة أو من مواقع بتدّعي فك التشفير لأنها ممكن تزيد الطين بلّة.

خطوة 6 - استعن بمحترفين مختصين (Forensic & IR)​

• لو البيانات حسّاسة أو الهجوم كبير: استدعي شركة استجابة لحوادث (Incident Response) أو محلّفين رقميين لعمل image (نسخة طبق الأصل) من القرص وتحليل الحادث بدون تدمير الأدلة.
• فريق محترف هيعمل تحقيق جنائي رقمي ويقترح خطة استعادة آمنة.

خطوة 7 - بعد الاستعادة - خطوات لازمة للتعافي والتأمين​

• جدد كلمات السر لكل الأنظمة الحساسة وفعّل المصادقة الثنائية (MFA).
• حدّث كل الأنظمة والبرامج عشان تسد الثغرات.
• افحص النسخ الاحتياطية وتأكد إنها نظيفة ومعزولة عن الشبكة.
• راجع سياسات الوصول وصلاحيات المستخدمين (Least Privilege).
• نفّذ مراقبة مستمرة (logs, EDR, SIEM) لاكتشاف أي نشاط لاحق.

خطوة 8 - تعلّم للوقاية مستقبلاً (Hardening & Backup)​

• نسخ احتياطية منتظمة وخصّها تكون منفصلة عن الشبكة (offline / immutable backups).
• تحديث الأنظمة والبرمجيات فورًا.
• تدريب الموظفين على كشف رسائل التصيّد والمرفقات المشبوهة.
• تعطيل ماكروز غير الضروري في Office، وفلترة البريد وحجب المرفقات الخطرة.
• تقييد بروتوكولات الدخول (RDP وغيره) واستخدام VPN ومراقبة الدخول عن بُعد.

إيه اللي تقدر تعمله دلوقتي لو انت مستخدم عادي (قائمة سريعة)​

1. افصل الجهاز عن النت فورًا.
2. ما تفتحش أي ملفات مش مأمونة.
3. خُد صور للشاشة وبلّغ فريق الدعم/الشرطة.
4. لو عندك نسخة احتياطية بترجع تهيئة واستعادة.
5. لو مش عارف تعمل حاجة - اطلب مساعدة متخصص موثوق.

لو كنت صاحب بزنس أو مسئول تكنولوجيا (خطة موجزة للاستجابة)​

• عزل الشبكات المتأثرة، تفعيل خطة استجابة للحوادث (IR plan).
• إشعار العملاء والجهات التنظيمية لو فيه بيانات شخصية متسربة (التزام حسب قوانين الخصوصية المحلية).
• تعاون مع جهات إنفاذ القانون ومختصين رقميين.
• إعادة فحص وتأمين البنية التحتية قبل إعادة التشغيل.

موارد مفيدة (ممكن ترجعها)​

• No More Ransom (مبادرة لفكّ بعض أنواع الفدية) - ابحث عنها عبر الإنترنت.
• تواصل مع CERT أو مركز استجابة الحوادث في بلدك.
• استعن بشركات معروفة في استجابة الحوادث والطب الشرعي الرقمي.

الخلاصة: الدفع للهاكر مش حل مضمون وممكن يضاعف المشكلة. أفضل مسار هو: عزل، توثيق، استشارة محترفين، واستعادة من نسخ احتياطية نظيفة. ودايمًا خليك قدامهم بالوقاية: نسخ احتياطية معزولة، تحديثات، ومراقبة.