x32x01
أدارة أكتب كود
- بواسطة x32x01 ||
فيروسات Ransomware وهي اختصار لـ Ransom software، أي برامج الفدية أو فايروسات الفدية.
فيروس الفدية هو نوع خبيث من البرامج الضارة وقد يعد الأكثر ضرراً على الإطلاق، يعمل على قفل الأجهزة التي يهاجمها سواء كانت حواسيب شخصية أو لوحية إلخ، أو يضع تشفيراً على الجهاز المستهدف أو الملفات أو الأقراص إلخ، ثمّ يطلب من الضحية فدية (مبلغ مالي) مقابل إعادتها إليه في حالة سليمة.
ويعد من أخطر البرامج الضارة الموجدة في الوقت الحالي لأنه يعتمد اعتماداً أساسياً على ثغرات اليوم الصفر أي الغير مكتشفة (Zero day vulnerability) في انتشاره، أي يعتمد على اكتشاف ثغرة جديدة ومن ثم استغلالها وثم يتم مهاجمة الأجهزة أو الأنظمة المصابة بالثغرة.
غالباً ما يثير هذا النوع من البرامج الضارة لعاب الهاكرز والمخترقين حول العالم، وهذا للمردودية المالية الضخمة التي يتحصلون عليها مقابل بيع مفاتيح فك التشفير للضحايا، كما أنه من الشائع أنه لا يهاجم بشكل عام الأشخاص العاديين، بل يهاجم الشركات والمؤسسات الكبرى والضخمة، وقد يسبب خسائر مادية كبيرة للشركات أو المؤسسات التي تتم مهاجمتها، وفي بعض الأحيان تتوقف عن العمل لما يلحقه بها من ضرر في البنى التحتية، حيث تحتوي أجهزة هذه الشركات على ملفات هامة مثل ملفات العملاء أو قواعد البيانات أو ملفات البنية التحتية للشركة أو المؤسسة أو ملفات مهمة جداً مما يضطر الشركة إلى دفع تلك الفدية إلى المخترقين للحصول على مفاتيح لفتح تشفير ملفاتهم (رغم أنه قد تكون المبالغ المطلوبة ضخمة جداً في بعض الأحيان)، كما يمكن أن يضع هذا الفيروس مدة زمنية معينة لشراء المفاتيح كثلاثة أيام مثلاً، وإلا فإن المبلغ سيزداد إلى الضعف، أما إذا لم يتم الدفع بعد الفترة الإضافية التي قد تكون سبعة أيام فسيتم مسح جميع الملفات، دائماً ما تكون طريقة الدفع عن طريق العملات المشفرة وأشهرها عملة Bitcoin حتى لا يتم تتبع متلقي الأموال.
يذكر أن أشهر فايروسات الفدية هو فايروس WannaCry المشهور، وهو الأسوأ والأقوى في العالم حيث بدأ هجومه في ماي 2017 واستطاع الإطاحة بأكثر من 230 ألف شركة وجهة حكومية وجهاز إلكتروني في 155 دولة حول العالم ، حيث يقوم بتشفير جميع البيانات الموجودة على الحاسوب، فيما تظهر رسالة تفيد بأنه على الضحية دفع مبلغ 300 دولار مقابل بيعه مفتاح لفك التشفير، استغل الفايروس وقتها ثغرة جديدة في بروتوكول SMB.
1- أنواع فيروسات الفدية:
هناك ثلاثة أنواع رئيسية من هذا الفايروس تتراوح بين الضارة قليلاً إلى شديدة الضرر:
1-1- Scareware:
فيروسات الفزع أو الرعب، ولكنها على العكس من ذلك، وهي الأقل ضرراً في عائلة برامج الفدية، وليست مخيفة إلى ذلك الحد، أو كما تسمى أيضاً بـ Rogueware أي Rogue Security Software وتعني برامج الحماية المزيفة، بشكل عام فإن مبدأ هذا النوع من البرامج الضارة هو الاعتماد على الهندسة الاجتماعية والاحتيال بشكل كبير وتعمل على خداع المستخدم، حيث يعمل هذا النوع من البرامج الضارة على انتحال صفة برامج الحماية وتوهم المستخدم على أنه مضاد للفايروسات، ويبدأ بمحاولة إقناع المستخدم أن الجهاز الخاص به والنظام لديه مصاب بفيروسات كثيرة ومخيفة وتظهر له تحذيرات كاذبة ووهمية حمراء ومخيفة (لذلك سميات بفيروسات الرعب لأنها تعمل على إخافة وإرعاب المستخدم) بشكل دائم كي تقنعه بأن لديه فيروسات لا يمكن حذفها إلا عن طريق برنامج الحماية الوهمي والمدفوع الخاص بهم، كما أنه قد يبدو كبرنامج مضاد فايروسات حقيقي كامل لا فرق بينه وبين برامج الحماية حيث تكون له واجهة رسومية GUI احترافية، تخبر المستخدم أن البرنامج قد حدّد الفيروسات جميعها وأنه قادر على إزالتها، ولكن ذلك لن يحدث إلّا عند شراء النسخة الكاملة من برنامج الحماية الوهمي وإذا أراد المستخدم حذف هذه الفيروسات والبرامج الضارة فيجب عليه أن يقوم بعملية الشراء وكتابة رقم بطاقة الائتمان الخاصة به حتى يحصل على نسخة البرنامج مفعلة، حيث سيقوم بعدها برنامج الحماية الوهمي بتخليص المستخدم من هذه الفيروسات الخبيثة الوهميّة، كما أنّ بعضها يعمل على سرقة البطاقة البنكية بعد إجراء عملية الشراء، وفي بعض حالات فايروسات الرعب سوف ينبثق للمستخدم إشعار كل 10 ثواني مما يجعل استعمال الحاسوب شيء شبه مستحيل نظراً لكثرة الإشعارات.
هذا النوع شائع أيضاً أثناء تصفح الإنترنت حيث أثناء تصفح موقع معين تأتي نافذة منبثقة تخبر المستخدم أن جهازه مصاب أو مخترق مع شاشة حمراء، وتعمل نفس عمل الـ Scareware وتوهم المستخدم أنه يجب تحميل البرنامج وشراء النسخة المدفوعة منه.
وكما ذكرنا في البداية فإنها الأقل ضرراً لأنها كما رأينا لا تقوم بتشفير ملفات المستخدم بل تعمل فقط على خداعه وإيهامه بأنه مخترق أو أن جهازه مصاب لكي يشتري برنامج الحماية، بشكل عام هذا النوع من البرامج الضارة سهل الحذف ولا يتطلب خبرة عالية.
1-2- Screen lockers:
فيروسات إقفال الشاشة أو إقفال النظام، أو فيروسات الحجب، التي ببساطة تحجب الكمبيوتر أو الأجهزة التي يهاجمها مما يجعلها غير صالحة للعمل، وفي الواقع تُعد حالات فيروسات الحجب أفضل وأقل ضرراً من فيروسات التشفير بشكل عام، ففرص الضحايا في إزالة الحجب واستعادة إمكانية الوصول أفضل من فك الملفات المشفرة.
عندما يصاب المستخدم بهذا النوع من الفيروسات سيجد غالباً شاشة برتقالية اللون أو حمراء أو سوداء على كبر شاشة الجهاز فور ولوجه إلى النظام، حيث تخبر المستخدم أنه قد تم تجميد نظامه مصحوبة غالباً بخاتم مكتب التحقيقات الفدرالي أو ختم وزارة العدل الأمريكية أو أي إدارة جنائية أخرى محليّة، وأنه تم اكتشاف نشاط غير قانوني على جهاز الكمبيوتر الخاص بالمستخدم ويجب عليه دفع غرامة مالية، حيث أنهم اشتبهوا في قيام المستخدم بالقرصنة (استخدام برامج أو ألعاب مقرصنة أو مشاهدة أفلام مقرصنة) أو استعمال التورنت، أو شن الجرائم الإلكترونية الأخرى، أو القيام بنشط غير أخلاقي كشراء مخدرات مثلاً، أو نشر مقاطع إرهابية، ويجب على المستخدم دفع غرامة وإلا فسيجرون معه الإجراءات القانونية المناسبة، حيث طالب هذا البرنامج الضار من المستخدم بدفع مبلغ 150 دولار كغرامة لقيامه بنشاط غير أخلاقي.
معظم الضحايا الذي قد واجهوا هذا النوع من البرمجيات الخبيثة قد صدّقوها واعتقدوا بالفعل أنهم رهن التحقيق من جهة حكومية معينة، ولابد لهم أن يدفعوا هذه المبالغ حتى يتخلصوا من هذه التهم الموجهة إليهم!
تأكد تماماً أن مكتب التحقيقات الفدرالي أو أي هيئة حكومية دولية أو محلية لن تقوم بتجميد جهازك أو نظامك وتطالبك بدفع غرامة مقابل نشاط غير قانوني قد قمت به بل سيأتون لاعتقالك مباشرة أو الاتصال بك.
1-3- Encrypting ransomware:
أي فايروسات التشفير، وهو النوع الأخطر من عائلة فايروسات الفدية، حيث بمجرد إصابة الجهاز بفايروس الفدية سيعمل في الخفاء على تشفير كل الملفات في النظام المستضيف بخوارزميات متقدمة ومعقدة جداً من الصعب جداً كسر تشفيرها أو إيجاد حل لتلك الخوارزميات والاستحالة في بعض الحالات، وبعد اكتمال التشفير سيبعث برنامج الفدية رسالة للمستخدم تخبره أن ملفاته قد تم تشفيرها ويجب عليه دفع مبلغ مالي معين لاستعادة الملفات، لذلك يكون الحل الوحيد لاستعادة الملفات هو شراء مفتاح فك التشفير من الهاكرز الذين برمجوا الفايروس وذلك بمقابل مادي.
2- ما هو المبلغ المطلوب لفك التشفير (شراء مفتاح فك التشفير( ؟
في الواقع، لا توجد قيمة محددة، ولكن في حالة إصابة الحواسيب الشخصية الفردية يكون متوسط المبلغ المطلوب قرابة 300 دولار أمريكي.
أما في حالة إصابة الشركات أو المنظمات الكبرى أو المؤسسات الحكومية قد ترتفع المبالغ المطلوبة، والتي قد تصل إلى ملايين من الدولارات، وذلك يعتمد على نوع المؤسسة وعلى أهمية وحساسية الملفات التي تم تشفيرها وغيرها من العوامل، بالإضافة إلى عامل المكان، فمبالغ الفدية تختلف من دولة إلى أخرى، فستجد أن مبالغ الفدية المطلوبة في الدول الأوربية أعلى بكثير من الدول النامية.
ويجب عدم نسيان أنه ليس هناك أي ضمان بأن دفع الفدية سيؤدي إلى العودة الآمنة والسليمة للملفات، حيث بعض برامج الفدية تقوم بحذف الملفات وتوهم المستخدم بأنه تم تشفيرها، قليلاً ما يحدث ذلك، ولكن غالباً ما يقوم الضحايا بالدفع وذلك لأهمية الملفات ويأسهم من إمكانية عودة الملفات، كما أشارت دراسة نشرها موقع Kaspersky على 15000 شخصاً قاموا بالدفع لبرامج الفدية، أفاد 17% منهم أنه بعد دفعهم المبلغ المطلوب لم يتحصلوا على مفاتيح أو لم يتمكنوا من الوصول إلى ملفاتهم بالشكل السليم ، حيث البعض من فايروسات التشفير لا تبيع مفاتيح لفك التشفير بل تقوم بحذف الملفات وبعد قيام المستخدم بدفع المبلغ سيجد نفسه ضحية لعملية نصب واحتيال وليس ضحية برامج الفدية ! أو قد لا يكون المستخدم ضحية برنامج تشفير بالأساس ولكنه ضحية لـ Scareware أو Rogueware.
1-3- هل يمكن فك تشفير الملفات المشفرة بدون دفع فدية؟
في بعض الأحيان يمكن فعل ذلك وفي البعض الآخر لا يمكن ذلك للأسف ! فمعظم برامج الفدية تستخدم خوارزميات تشفير مرنة ومتجددة، ما يعني أن عملية فك التشفير قد تستغرق سنوات بدون الوصول إلى مفتاح لفك التشفير.
وفي أحيان أخرى يخطئ المجرمون الواقفون خلف هجمات فيروسات الفدية، مما يمكن عناصر تطبيق القانون والخبراء الأمنيين من اختراق خوادم الهجوم التي تحتوي على مفاتيح التشفير، أو إيجاد ثغرة برمجية في الفايروس نفسه تمكنهم من تجاوزه في النظام المصاب، وعندما يحدث هذا يصبح بإمكان الخبراء الأمنيون من صنع برنامج لفك التشفير.
وكذلك يعتمد أيضاً على نوع الفايروس المهاجم وخوارزمية التشفير المستعملة فبرامج الحماية أصبحت تضيف خواص جديدة وهي فك التشفير، فعند ظهور فايروس جديد يستغل ثغرة جديدة في النظام ويستعمل خوارزمية جديدة في التشفير، فإن احتمالية الدفع ستكون كبيرة وخاصة أن معظم الفايروسات تعطي مهلة صغيرة جداً بين يوم إلى 3 أيام، أما لو أُصيب الجهاز بفايروس فدية قديم وخوارزمية تشفيره أصبحت معروفة للعديد فإنه عند البحث في الإنترنت سيكون من الممكن إيجاد برنامج أو طرق أو حلول لفك التشفير، سوف نتناول في القسم الأخير من الكتاب كيفية فك تشفير الملفات المشفرة ببرامج الفدية بشكل مفصل.
1-4- كيفية الإصابة بـ Ransomware:
إن طرق الإصابة بمثل هذه الفيروسات المتقدمة متعددة ومختلفة وتكمن بأكثر من طريقة ومن أبرزها:
أ- الطرق السابقة كما رأينا في فايروسات الـ Malvertising عبر الإعلانات الوهمية.
ب- مرفقات البريد الإلكتروني التي قد تكون على شكل ملفات كملفات Microsoft Office مثل docx و xlsx و pptx أو ملفات أخرى مثل pdf أو exe وغيرها، أو روابط لمواقع ضارة.
ج- ملفات التفعيل الغير نظامية من Crack أو Patch وغيرها، التي يقوم المستخدم بتحملها من مواقع الإنترنت المختلفة، ليتفاجأ المستخدم بتشفير ملفاته في النظام عوضاً عن تفعيل البرنامج الذي كان يريد تفعيله.
د- عبر أساليب الهندسة الاجتماعية من ترغيب وترهيب، أو استغلال ثغرات المتصفح، أو عند زيارة موقع تم اختراقه حيث يتم إعادة توجيه المستخدم لموقع آخر يحتوي على نصوص برمجية ضارة تقوم بتحميل فايروسات الفدية وتعرف بما يسمى (Drive-by download)، يحدث كل ذلك دون أدنى علم من المستخدم، ليجد بعد دقائق أو ساعات أن كل ملفاته قد تم تشفيرها وأصبح مطالب بدفع مبالغ ضخمة للحصول على مفتاح فك التشفير.
ه- الثغرات الأمنية (Security vulnerabilities): وعند الحديث عن موضوع الثغرات سيطول الحديث جداً وسيكون هذا الباب هو الأكبر لانتشار الفايروسات والبرامج الضارة بكل أنواعها لكثرة الثغرات في أيامنا هذه وتنوع خطورتها من المنخفضة إلى الخطرة جداً، ويقصد بالثغرة أنها (فجوة أمنية / خطأ برمجي) سواء في العتاد الصلب للجهاز (هاتف، حاسوب، شاشة، راوتر، إلخ)، أو في البرامج ابتداء من نظام التشغيل نفسه مروراً بالبرامج والتطبيقات والألعاب وانتهاء بالمتصفحات، أو في بروتوكولات الاتصالات، والتي تسمح بالوصول الغير مصرّح به للمخترق أو البرمجية الضارة للقيام بنشاطها الغير أخلاقي، وبعد الوصول الغير مصرّح به للنظام يعمل البرنامج الضار أو المخترق على تشفير الملفات أو فتح باب خلفي (Backdoor) في النظام المخترق وذلك لإعادة الاتصال بالنظام فور تشغيله واتصاله بالإنترنت دون فقدان الاتصال بالضحية.
أما عند الحديث على ثغرات اليوم الصفر (Zero day vulnerability) فهي ثغرات غير معروفة أو مكتشفة، قام باكتشافها مخترق أو مجموعة من المخترقين أو جهة حكومية ليقوموا باستغلالها في نشر برامجهم الضارة أو القيام بشن عمليات اختراق ترقى إلى جرائم سيبرانية (Cybercrime).
وأبرز وأوسع انتشار لفايروس استغل ثغرة يوم صفر هو فايروس الفدية WannaCry الذي تحدثنا عنه سابقاً والذي قام باستغلال ثغرة في بروتوكول اتصال SMB، هذه الثغرة كانت مكتشفة ولكن غير معلنة للعالم، حيث قام فريق The Shadow Brokers (TSB) بسرقتها من وكالة الأمن القومي الأمريكي (NSA) التي كانت تحتفظ بها لنفسها (للتجسس على الشعوب ومهاجمة خصومها)، وانتشر فايروس WannaCry عبر هذه الثغرة، ليصيب آلاف الأجهزة حول العالم ويربح آلاف الدولارات من بيع مفاتيح فك التشفير
ومن الثغرات أيضاً ثغرة MS-Word وهي ثغرة في برنامج Word الشهير، حيث قام فايروس Dridex باستغلالها لينتشر عبر ملايين الأجهزة حول العالم، قبل أن تكتشف شركة Mcafee انشتار هذا الفايروس بثغرة جديدة وتبلغ عنه شركة مايكروسوفت.
1-5- ما هي الأنظمة المستهدفة ؟
لحد الآن هذا النوع من الفايروسات هاجم كل الأنظمة بلاء استثناء ابتداء من ويندوز وأندرويد مروراً بماك و IOS انتهاء بلينكس وخوادمها.
فيروس الفدية هو نوع خبيث من البرامج الضارة وقد يعد الأكثر ضرراً على الإطلاق، يعمل على قفل الأجهزة التي يهاجمها سواء كانت حواسيب شخصية أو لوحية إلخ، أو يضع تشفيراً على الجهاز المستهدف أو الملفات أو الأقراص إلخ، ثمّ يطلب من الضحية فدية (مبلغ مالي) مقابل إعادتها إليه في حالة سليمة.
ويعد من أخطر البرامج الضارة الموجدة في الوقت الحالي لأنه يعتمد اعتماداً أساسياً على ثغرات اليوم الصفر أي الغير مكتشفة (Zero day vulnerability) في انتشاره، أي يعتمد على اكتشاف ثغرة جديدة ومن ثم استغلالها وثم يتم مهاجمة الأجهزة أو الأنظمة المصابة بالثغرة.
غالباً ما يثير هذا النوع من البرامج الضارة لعاب الهاكرز والمخترقين حول العالم، وهذا للمردودية المالية الضخمة التي يتحصلون عليها مقابل بيع مفاتيح فك التشفير للضحايا، كما أنه من الشائع أنه لا يهاجم بشكل عام الأشخاص العاديين، بل يهاجم الشركات والمؤسسات الكبرى والضخمة، وقد يسبب خسائر مادية كبيرة للشركات أو المؤسسات التي تتم مهاجمتها، وفي بعض الأحيان تتوقف عن العمل لما يلحقه بها من ضرر في البنى التحتية، حيث تحتوي أجهزة هذه الشركات على ملفات هامة مثل ملفات العملاء أو قواعد البيانات أو ملفات البنية التحتية للشركة أو المؤسسة أو ملفات مهمة جداً مما يضطر الشركة إلى دفع تلك الفدية إلى المخترقين للحصول على مفاتيح لفتح تشفير ملفاتهم (رغم أنه قد تكون المبالغ المطلوبة ضخمة جداً في بعض الأحيان)، كما يمكن أن يضع هذا الفيروس مدة زمنية معينة لشراء المفاتيح كثلاثة أيام مثلاً، وإلا فإن المبلغ سيزداد إلى الضعف، أما إذا لم يتم الدفع بعد الفترة الإضافية التي قد تكون سبعة أيام فسيتم مسح جميع الملفات، دائماً ما تكون طريقة الدفع عن طريق العملات المشفرة وأشهرها عملة Bitcoin حتى لا يتم تتبع متلقي الأموال.
يذكر أن أشهر فايروسات الفدية هو فايروس WannaCry المشهور، وهو الأسوأ والأقوى في العالم حيث بدأ هجومه في ماي 2017 واستطاع الإطاحة بأكثر من 230 ألف شركة وجهة حكومية وجهاز إلكتروني في 155 دولة حول العالم ، حيث يقوم بتشفير جميع البيانات الموجودة على الحاسوب، فيما تظهر رسالة تفيد بأنه على الضحية دفع مبلغ 300 دولار مقابل بيعه مفتاح لفك التشفير، استغل الفايروس وقتها ثغرة جديدة في بروتوكول SMB.
1- أنواع فيروسات الفدية:
هناك ثلاثة أنواع رئيسية من هذا الفايروس تتراوح بين الضارة قليلاً إلى شديدة الضرر:
1-1- Scareware:
فيروسات الفزع أو الرعب، ولكنها على العكس من ذلك، وهي الأقل ضرراً في عائلة برامج الفدية، وليست مخيفة إلى ذلك الحد، أو كما تسمى أيضاً بـ Rogueware أي Rogue Security Software وتعني برامج الحماية المزيفة، بشكل عام فإن مبدأ هذا النوع من البرامج الضارة هو الاعتماد على الهندسة الاجتماعية والاحتيال بشكل كبير وتعمل على خداع المستخدم، حيث يعمل هذا النوع من البرامج الضارة على انتحال صفة برامج الحماية وتوهم المستخدم على أنه مضاد للفايروسات، ويبدأ بمحاولة إقناع المستخدم أن الجهاز الخاص به والنظام لديه مصاب بفيروسات كثيرة ومخيفة وتظهر له تحذيرات كاذبة ووهمية حمراء ومخيفة (لذلك سميات بفيروسات الرعب لأنها تعمل على إخافة وإرعاب المستخدم) بشكل دائم كي تقنعه بأن لديه فيروسات لا يمكن حذفها إلا عن طريق برنامج الحماية الوهمي والمدفوع الخاص بهم، كما أنه قد يبدو كبرنامج مضاد فايروسات حقيقي كامل لا فرق بينه وبين برامج الحماية حيث تكون له واجهة رسومية GUI احترافية، تخبر المستخدم أن البرنامج قد حدّد الفيروسات جميعها وأنه قادر على إزالتها، ولكن ذلك لن يحدث إلّا عند شراء النسخة الكاملة من برنامج الحماية الوهمي وإذا أراد المستخدم حذف هذه الفيروسات والبرامج الضارة فيجب عليه أن يقوم بعملية الشراء وكتابة رقم بطاقة الائتمان الخاصة به حتى يحصل على نسخة البرنامج مفعلة، حيث سيقوم بعدها برنامج الحماية الوهمي بتخليص المستخدم من هذه الفيروسات الخبيثة الوهميّة، كما أنّ بعضها يعمل على سرقة البطاقة البنكية بعد إجراء عملية الشراء، وفي بعض حالات فايروسات الرعب سوف ينبثق للمستخدم إشعار كل 10 ثواني مما يجعل استعمال الحاسوب شيء شبه مستحيل نظراً لكثرة الإشعارات.
هذا النوع شائع أيضاً أثناء تصفح الإنترنت حيث أثناء تصفح موقع معين تأتي نافذة منبثقة تخبر المستخدم أن جهازه مصاب أو مخترق مع شاشة حمراء، وتعمل نفس عمل الـ Scareware وتوهم المستخدم أنه يجب تحميل البرنامج وشراء النسخة المدفوعة منه.
وكما ذكرنا في البداية فإنها الأقل ضرراً لأنها كما رأينا لا تقوم بتشفير ملفات المستخدم بل تعمل فقط على خداعه وإيهامه بأنه مخترق أو أن جهازه مصاب لكي يشتري برنامج الحماية، بشكل عام هذا النوع من البرامج الضارة سهل الحذف ولا يتطلب خبرة عالية.
1-2- Screen lockers:
فيروسات إقفال الشاشة أو إقفال النظام، أو فيروسات الحجب، التي ببساطة تحجب الكمبيوتر أو الأجهزة التي يهاجمها مما يجعلها غير صالحة للعمل، وفي الواقع تُعد حالات فيروسات الحجب أفضل وأقل ضرراً من فيروسات التشفير بشكل عام، ففرص الضحايا في إزالة الحجب واستعادة إمكانية الوصول أفضل من فك الملفات المشفرة.
عندما يصاب المستخدم بهذا النوع من الفيروسات سيجد غالباً شاشة برتقالية اللون أو حمراء أو سوداء على كبر شاشة الجهاز فور ولوجه إلى النظام، حيث تخبر المستخدم أنه قد تم تجميد نظامه مصحوبة غالباً بخاتم مكتب التحقيقات الفدرالي أو ختم وزارة العدل الأمريكية أو أي إدارة جنائية أخرى محليّة، وأنه تم اكتشاف نشاط غير قانوني على جهاز الكمبيوتر الخاص بالمستخدم ويجب عليه دفع غرامة مالية، حيث أنهم اشتبهوا في قيام المستخدم بالقرصنة (استخدام برامج أو ألعاب مقرصنة أو مشاهدة أفلام مقرصنة) أو استعمال التورنت، أو شن الجرائم الإلكترونية الأخرى، أو القيام بنشط غير أخلاقي كشراء مخدرات مثلاً، أو نشر مقاطع إرهابية، ويجب على المستخدم دفع غرامة وإلا فسيجرون معه الإجراءات القانونية المناسبة، حيث طالب هذا البرنامج الضار من المستخدم بدفع مبلغ 150 دولار كغرامة لقيامه بنشاط غير أخلاقي.
معظم الضحايا الذي قد واجهوا هذا النوع من البرمجيات الخبيثة قد صدّقوها واعتقدوا بالفعل أنهم رهن التحقيق من جهة حكومية معينة، ولابد لهم أن يدفعوا هذه المبالغ حتى يتخلصوا من هذه التهم الموجهة إليهم!
تأكد تماماً أن مكتب التحقيقات الفدرالي أو أي هيئة حكومية دولية أو محلية لن تقوم بتجميد جهازك أو نظامك وتطالبك بدفع غرامة مقابل نشاط غير قانوني قد قمت به بل سيأتون لاعتقالك مباشرة أو الاتصال بك.
1-3- Encrypting ransomware:
أي فايروسات التشفير، وهو النوع الأخطر من عائلة فايروسات الفدية، حيث بمجرد إصابة الجهاز بفايروس الفدية سيعمل في الخفاء على تشفير كل الملفات في النظام المستضيف بخوارزميات متقدمة ومعقدة جداً من الصعب جداً كسر تشفيرها أو إيجاد حل لتلك الخوارزميات والاستحالة في بعض الحالات، وبعد اكتمال التشفير سيبعث برنامج الفدية رسالة للمستخدم تخبره أن ملفاته قد تم تشفيرها ويجب عليه دفع مبلغ مالي معين لاستعادة الملفات، لذلك يكون الحل الوحيد لاستعادة الملفات هو شراء مفتاح فك التشفير من الهاكرز الذين برمجوا الفايروس وذلك بمقابل مادي.
2- ما هو المبلغ المطلوب لفك التشفير (شراء مفتاح فك التشفير( ؟
في الواقع، لا توجد قيمة محددة، ولكن في حالة إصابة الحواسيب الشخصية الفردية يكون متوسط المبلغ المطلوب قرابة 300 دولار أمريكي.
أما في حالة إصابة الشركات أو المنظمات الكبرى أو المؤسسات الحكومية قد ترتفع المبالغ المطلوبة، والتي قد تصل إلى ملايين من الدولارات، وذلك يعتمد على نوع المؤسسة وعلى أهمية وحساسية الملفات التي تم تشفيرها وغيرها من العوامل، بالإضافة إلى عامل المكان، فمبالغ الفدية تختلف من دولة إلى أخرى، فستجد أن مبالغ الفدية المطلوبة في الدول الأوربية أعلى بكثير من الدول النامية.
ويجب عدم نسيان أنه ليس هناك أي ضمان بأن دفع الفدية سيؤدي إلى العودة الآمنة والسليمة للملفات، حيث بعض برامج الفدية تقوم بحذف الملفات وتوهم المستخدم بأنه تم تشفيرها، قليلاً ما يحدث ذلك، ولكن غالباً ما يقوم الضحايا بالدفع وذلك لأهمية الملفات ويأسهم من إمكانية عودة الملفات، كما أشارت دراسة نشرها موقع Kaspersky على 15000 شخصاً قاموا بالدفع لبرامج الفدية، أفاد 17% منهم أنه بعد دفعهم المبلغ المطلوب لم يتحصلوا على مفاتيح أو لم يتمكنوا من الوصول إلى ملفاتهم بالشكل السليم ، حيث البعض من فايروسات التشفير لا تبيع مفاتيح لفك التشفير بل تقوم بحذف الملفات وبعد قيام المستخدم بدفع المبلغ سيجد نفسه ضحية لعملية نصب واحتيال وليس ضحية برامج الفدية ! أو قد لا يكون المستخدم ضحية برنامج تشفير بالأساس ولكنه ضحية لـ Scareware أو Rogueware.
1-3- هل يمكن فك تشفير الملفات المشفرة بدون دفع فدية؟
في بعض الأحيان يمكن فعل ذلك وفي البعض الآخر لا يمكن ذلك للأسف ! فمعظم برامج الفدية تستخدم خوارزميات تشفير مرنة ومتجددة، ما يعني أن عملية فك التشفير قد تستغرق سنوات بدون الوصول إلى مفتاح لفك التشفير.
وفي أحيان أخرى يخطئ المجرمون الواقفون خلف هجمات فيروسات الفدية، مما يمكن عناصر تطبيق القانون والخبراء الأمنيين من اختراق خوادم الهجوم التي تحتوي على مفاتيح التشفير، أو إيجاد ثغرة برمجية في الفايروس نفسه تمكنهم من تجاوزه في النظام المصاب، وعندما يحدث هذا يصبح بإمكان الخبراء الأمنيون من صنع برنامج لفك التشفير.
وكذلك يعتمد أيضاً على نوع الفايروس المهاجم وخوارزمية التشفير المستعملة فبرامج الحماية أصبحت تضيف خواص جديدة وهي فك التشفير، فعند ظهور فايروس جديد يستغل ثغرة جديدة في النظام ويستعمل خوارزمية جديدة في التشفير، فإن احتمالية الدفع ستكون كبيرة وخاصة أن معظم الفايروسات تعطي مهلة صغيرة جداً بين يوم إلى 3 أيام، أما لو أُصيب الجهاز بفايروس فدية قديم وخوارزمية تشفيره أصبحت معروفة للعديد فإنه عند البحث في الإنترنت سيكون من الممكن إيجاد برنامج أو طرق أو حلول لفك التشفير، سوف نتناول في القسم الأخير من الكتاب كيفية فك تشفير الملفات المشفرة ببرامج الفدية بشكل مفصل.
1-4- كيفية الإصابة بـ Ransomware:
إن طرق الإصابة بمثل هذه الفيروسات المتقدمة متعددة ومختلفة وتكمن بأكثر من طريقة ومن أبرزها:
أ- الطرق السابقة كما رأينا في فايروسات الـ Malvertising عبر الإعلانات الوهمية.
ب- مرفقات البريد الإلكتروني التي قد تكون على شكل ملفات كملفات Microsoft Office مثل docx و xlsx و pptx أو ملفات أخرى مثل pdf أو exe وغيرها، أو روابط لمواقع ضارة.
ج- ملفات التفعيل الغير نظامية من Crack أو Patch وغيرها، التي يقوم المستخدم بتحملها من مواقع الإنترنت المختلفة، ليتفاجأ المستخدم بتشفير ملفاته في النظام عوضاً عن تفعيل البرنامج الذي كان يريد تفعيله.
د- عبر أساليب الهندسة الاجتماعية من ترغيب وترهيب، أو استغلال ثغرات المتصفح، أو عند زيارة موقع تم اختراقه حيث يتم إعادة توجيه المستخدم لموقع آخر يحتوي على نصوص برمجية ضارة تقوم بتحميل فايروسات الفدية وتعرف بما يسمى (Drive-by download)، يحدث كل ذلك دون أدنى علم من المستخدم، ليجد بعد دقائق أو ساعات أن كل ملفاته قد تم تشفيرها وأصبح مطالب بدفع مبالغ ضخمة للحصول على مفتاح فك التشفير.
ه- الثغرات الأمنية (Security vulnerabilities): وعند الحديث عن موضوع الثغرات سيطول الحديث جداً وسيكون هذا الباب هو الأكبر لانتشار الفايروسات والبرامج الضارة بكل أنواعها لكثرة الثغرات في أيامنا هذه وتنوع خطورتها من المنخفضة إلى الخطرة جداً، ويقصد بالثغرة أنها (فجوة أمنية / خطأ برمجي) سواء في العتاد الصلب للجهاز (هاتف، حاسوب، شاشة، راوتر، إلخ)، أو في البرامج ابتداء من نظام التشغيل نفسه مروراً بالبرامج والتطبيقات والألعاب وانتهاء بالمتصفحات، أو في بروتوكولات الاتصالات، والتي تسمح بالوصول الغير مصرّح به للمخترق أو البرمجية الضارة للقيام بنشاطها الغير أخلاقي، وبعد الوصول الغير مصرّح به للنظام يعمل البرنامج الضار أو المخترق على تشفير الملفات أو فتح باب خلفي (Backdoor) في النظام المخترق وذلك لإعادة الاتصال بالنظام فور تشغيله واتصاله بالإنترنت دون فقدان الاتصال بالضحية.
أما عند الحديث على ثغرات اليوم الصفر (Zero day vulnerability) فهي ثغرات غير معروفة أو مكتشفة، قام باكتشافها مخترق أو مجموعة من المخترقين أو جهة حكومية ليقوموا باستغلالها في نشر برامجهم الضارة أو القيام بشن عمليات اختراق ترقى إلى جرائم سيبرانية (Cybercrime).
وأبرز وأوسع انتشار لفايروس استغل ثغرة يوم صفر هو فايروس الفدية WannaCry الذي تحدثنا عنه سابقاً والذي قام باستغلال ثغرة في بروتوكول اتصال SMB، هذه الثغرة كانت مكتشفة ولكن غير معلنة للعالم، حيث قام فريق The Shadow Brokers (TSB) بسرقتها من وكالة الأمن القومي الأمريكي (NSA) التي كانت تحتفظ بها لنفسها (للتجسس على الشعوب ومهاجمة خصومها)، وانتشر فايروس WannaCry عبر هذه الثغرة، ليصيب آلاف الأجهزة حول العالم ويربح آلاف الدولارات من بيع مفاتيح فك التشفير
ومن الثغرات أيضاً ثغرة MS-Word وهي ثغرة في برنامج Word الشهير، حيث قام فايروس Dridex باستغلالها لينتشر عبر ملايين الأجهزة حول العالم، قبل أن تكتشف شركة Mcafee انشتار هذا الفايروس بثغرة جديدة وتبلغ عنه شركة مايكروسوفت.
1-5- ما هي الأنظمة المستهدفة ؟
لحد الآن هذا النوع من الفايروسات هاجم كل الأنظمة بلاء استثناء ابتداء من ويندوز وأندرويد مروراً بماك و IOS انتهاء بلينكس وخوادمها.