ما تريد معرفته عن فيروس WannaCry بالتفصيل وخطوات الحماية منه
في هجوم وصف بأنّه الأكبر والأشرس من هذا النوع حتى الآن انتشر وبشدة فيروس WannaCry كالنار في الهشيم وأصاب اكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات و أصيب به أزيد من 99 بلدا حول العالم ما بين مؤسسات حكومية و مستشفيات في بريطانيا و كذلك بنوك و شركات من مختلف أنحاء العالم , كل هذا بسبب برمجية خبيثة تحمل الاسم WannaCry و هي من نوع Ransomware هذا النوع الذي يعتبر الأخطر و الأكثر انتشارا في الآونة الأخيرة , واستغل الفيروس ثغرة بنظام التشغيل ويندوز ليعمل على تشفير النظام مع ظهور رسالة نصية تطالب بدفع فدية بقيمة ثلاثمئة دولار من عملة بتكوين الرقمية مقابل فك التشفير واستعادة الملفات.
تقرير عن أضرار و حالة الهجوم :
قبل أشهر قليلة من هذه السنة كان قد أعلنت مجموعة هكرز تدعى The Shadow Brokers تمكنها من سرقة مجموعة من أدوات إختراق سرية بالغة الخطورة من وكالة الأمن القومي NSA ، تسمح لمستخدميها بإستغلال مجموعة من الثغرات الأمنية الغير معروفة بأنظمة ويندوز في عمليات قرصنة متطورة ، قبل أن يقدموا على تسريبها و طرحها للتحميل المجاني على الشبكة (رابط التحميل أسفل هذه الفقرة). مما أثار مخاوف الكثير من الخبراء الأمنيين الذين خشوا من وصولها الى أياد غير مسؤولة و استغلالها في أغراض إجرامية خطيرة ، الشيء الذي حصل فعلا مع إحدى تلك الأدوات المسربة WanaCrypt0r 2.0 التي أُستعملت في إطلاق أكبر هجوم دفع فدية RansomWare من نوعه.
و قد انتشر في نحو مئة دولة أو أكثر بما فيها الولايات المتحدة وبريطانيا وإسبانيا وفرنسا وروسيا، و من المؤسسات المتضررة، شركة فيدكس الأميركية لشحن البضائع، والعشرات من دوائر الصحة الوطنية في بريطانيا، وشركات اتصالات وغاز في إسبانيا، وبعض مصانع شركة رينو في فرنسا، ونحو ألف حاسوب في وزارة الداخلية الروسية. و من بين الدول العربية التي تضررت بهذا الفيروس، المغرب وتونس ومصر والسعودية والكويت والإمارات وقطر والأردن. أما في المملكة المتحدة أجبرت بعض المستشفيات على إلغاء الإجراءات والمواعيد، وحولت سيارات الإسعاف إلى المستشفيات المجاورة التي لم تصب حواسيبها بالفيروس، ورغم أنه جرى حل المشكلة على نطاق واسع فإن بعض المؤسسات والشركات لا تزال تواجه صعوبات.
بعد تضرر أكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات، و تمكّن باحث أمني شاب يبلغ من العمر 22 عاماً بطريق الخطأ من إيقاف عمل البرمجية الخبيثة عن طريق تسجيل اسم نطاق كانت تستخدمه في عملها وهو :
ونقلت هيئة الإذاعة البريطانية "بي بي سي" عن هذا الشاب البالغ من العمر 22 عاما قوله "من الضروري جدا أن يُحدِّث الناس أنظمتهم الآن"، مضيفا "لقد أوقفنا هذا الفيروس ، لكن سيكون هناك آخر قادم ولن نكون قادرين على إيقافه".
وقال إن القراصنة يجنون أموالا كثيرة من وراء مثل هذا النوع من الفيروسات ولا يوجد لديهم سبب للتوقف، مشيرا إلى أن الأمر لا يتطلب جهودا كبيرة منهم لتغيير الشفرة وتكرار الأمر من جديد. و أضاف أن هناك فرصة جيدة بأنهم سيكررون الأمر، وقد يكون ذلك صباح الاثنين، مؤكدا أن النسخة الأولى من الفيروس "ونا كراي" (أريد البكاء) كان بالإمكان إيقافها، لكن القراصنة قد يزيلون في النسخة الثانية منه الثغرة التي تسببت بتعطيله.
ما اللذي نعرفه عن هذا الفيروس حتي الآن :
كيف تحمي حاسبك من الهجوم؟
ثم سنبحث عن الخيار SMB 1.0/CIFS File Sharing Support ونزيل العلامة الموجودة بجانبه.
و أخيرا يلزم إعادة تشغيل الحاسب بعد هذه الخطوة.
أسرع وأوسع الهجمات
لقد سألت نفسي بالفعل من المسؤول عن هذه الهجمات؟ والحقيقة أنّه لا يعلم أي فرد أو جهة دولية من الفاعل، غير أنّ إدوارد سنودن المقاول السابق لوكالة الأمن القومي الذي سرب تفاصيل فضيحة برنامج المراقبة الأمريكية في عام 2013، قد اتهم وكالة الاستخبارات بعدم منع الهجوم العالمي الذي بدأ يوم الجمعة 12 مايو. ويبدو أنّ أدوات القرصنة التي يعتقد أنّها تنتمي إلى وكالة الأمن القومي الأمريكية التي تم تسريبها عبر الإنترنت في الشهر الماضي هي السبب الجذري للاختراق الذي أصاب خدمات الصحة الوطنية بالشلل التام وانتشر في جميع أنحاء العالم، وقال بعض خبراء الأمن المعلوماتي أنّ الهجوم الضخم يعكس نهجًا معيبًا من قبل الولايات المتحدة لتكريس المزيد من الموارد الإلكترونية للجريمة بدلا من الدفاع، وهي ممارسة تجعل الإنترنت أقل أمنًا.
وقد أدهشت سرعة ونطاق انتشار الخلل كثيرا من الخبراء، وقال كبير الإستراتيجيين لشركة فلاشبوينت الأميركية كريس كاماشيو -وهي شركة لاستخبارات الإنترنت- إنها واحدة من أوسع الحملات العالمية التي تتم، وإنها المرة الأولى التي تستخدم فيها "دودة انتزاع الفدية". ويسمى البرنامج الذي يستخدمه الهاكرز "واناديكريبت أو آر 2.0" ويبدو أنه يدعم 28 لغة، الأمر الذي يؤكد طموحات المهاجمين. ولم ترد وكالة الأمن القومي على أسئلة الصحيفة، لكن بعض الخبراء عبروا عن تعاطفهم مع الوكالة نظرا إلى أنها أبلغت مايكروسوفت بالمشكلة بالفعل قبل نشرها من قبل القراصنة.
في هجوم وصف بأنّه الأكبر والأشرس من هذا النوع حتى الآن انتشر وبشدة فيروس WannaCry كالنار في الهشيم وأصاب اكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات و أصيب به أزيد من 99 بلدا حول العالم ما بين مؤسسات حكومية و مستشفيات في بريطانيا و كذلك بنوك و شركات من مختلف أنحاء العالم , كل هذا بسبب برمجية خبيثة تحمل الاسم WannaCry و هي من نوع Ransomware هذا النوع الذي يعتبر الأخطر و الأكثر انتشارا في الآونة الأخيرة , واستغل الفيروس ثغرة بنظام التشغيل ويندوز ليعمل على تشفير النظام مع ظهور رسالة نصية تطالب بدفع فدية بقيمة ثلاثمئة دولار من عملة بتكوين الرقمية مقابل فك التشفير واستعادة الملفات.
تقرير عن أضرار و حالة الهجوم :
قبل أشهر قليلة من هذه السنة كان قد أعلنت مجموعة هكرز تدعى The Shadow Brokers تمكنها من سرقة مجموعة من أدوات إختراق سرية بالغة الخطورة من وكالة الأمن القومي NSA ، تسمح لمستخدميها بإستغلال مجموعة من الثغرات الأمنية الغير معروفة بأنظمة ويندوز في عمليات قرصنة متطورة ، قبل أن يقدموا على تسريبها و طرحها للتحميل المجاني على الشبكة (رابط التحميل أسفل هذه الفقرة). مما أثار مخاوف الكثير من الخبراء الأمنيين الذين خشوا من وصولها الى أياد غير مسؤولة و استغلالها في أغراض إجرامية خطيرة ، الشيء الذي حصل فعلا مع إحدى تلك الأدوات المسربة WanaCrypt0r 2.0 التي أُستعملت في إطلاق أكبر هجوم دفع فدية RansomWare من نوعه.
و قد انتشر في نحو مئة دولة أو أكثر بما فيها الولايات المتحدة وبريطانيا وإسبانيا وفرنسا وروسيا، و من المؤسسات المتضررة، شركة فيدكس الأميركية لشحن البضائع، والعشرات من دوائر الصحة الوطنية في بريطانيا، وشركات اتصالات وغاز في إسبانيا، وبعض مصانع شركة رينو في فرنسا، ونحو ألف حاسوب في وزارة الداخلية الروسية. و من بين الدول العربية التي تضررت بهذا الفيروس، المغرب وتونس ومصر والسعودية والكويت والإمارات وقطر والأردن. أما في المملكة المتحدة أجبرت بعض المستشفيات على إلغاء الإجراءات والمواعيد، وحولت سيارات الإسعاف إلى المستشفيات المجاورة التي لم تصب حواسيبها بالفيروس، ورغم أنه جرى حل المشكلة على نطاق واسع فإن بعض المؤسسات والشركات لا تزال تواجه صعوبات.
بعد تضرر أكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات، و تمكّن باحث أمني شاب يبلغ من العمر 22 عاماً بطريق الخطأ من إيقاف عمل البرمجية الخبيثة عن طريق تسجيل اسم نطاق كانت تستخدمه في عملها وهو :
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ونقلت هيئة الإذاعة البريطانية "بي بي سي" عن هذا الشاب البالغ من العمر 22 عاما قوله "من الضروري جدا أن يُحدِّث الناس أنظمتهم الآن"، مضيفا "لقد أوقفنا هذا الفيروس ، لكن سيكون هناك آخر قادم ولن نكون قادرين على إيقافه".
وقال إن القراصنة يجنون أموالا كثيرة من وراء مثل هذا النوع من الفيروسات ولا يوجد لديهم سبب للتوقف، مشيرا إلى أن الأمر لا يتطلب جهودا كبيرة منهم لتغيير الشفرة وتكرار الأمر من جديد. و أضاف أن هناك فرصة جيدة بأنهم سيكررون الأمر، وقد يكون ذلك صباح الاثنين، مؤكدا أن النسخة الأولى من الفيروس "ونا كراي" (أريد البكاء) كان بالإمكان إيقافها، لكن القراصنة قد يزيلون في النسخة الثانية منه الثغرة التي تسببت بتعطيله.
ما اللذي نعرفه عن هذا الفيروس حتي الآن :
- الفيروس مثله كمثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتي يمكنك استرجاع ملفاتك مره اخري
- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry
- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بإنشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي أم لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فاذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا .
- بعد ان يقوم الفيروس بالنزول علي جهاز الضحيه واصابته يقوم مباشرة بفحص كل الايبيهات الموجوده علي الشبكه باحثا عن اي جهاز يستخدم port 445 الخاص بخدمة مشاركة الملفات SMB Service .
- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة الخطيرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB .
كيف تحمي حاسبك من الهجوم؟
- قم بتحديث تطبيقات الحماية من البرمجيات الخبيثة “AntiVirus” إلى آخر إصدار إذا كان لديك أحدها، أو قم بتحميل أحد التطبيقات الموثوقة وجدار حماية “FireWall” قوي ومحدث أيضًا.
- قم بعمل نسخة احتياطية من ملفاتك المهمة على أي وسيلة تخزين خارجية أو أحد مواقع التخزين الإلكترونية Online Storage.
- احذر من فتح رسائل البريد الإلكتروني الغير موثوقة والمشبوهة، وتأكد من عنوان الرسائل الواردة جيدًا.
- تجنب تحميل أي ملفات من مصادر غير موثوقة وخاصة ملفات “Micosoft Office”.
- إذا كان الوضع حرجًا، والبيانات عندك شديدة الأهمية، قم بإيقاف الاتصال بشبكات الإنترنت العامة فورًا.
- تأكد من تحديث نظام تشغيلك إلى آخر إصدار لتستفيد من التحديثات والترقيات الدورية التي تصدرها مايكروسوفت باستمرار، حيث قد تم إرسال تحديث أمني في مارس الماضي لسد الثغرة التي تسببت في الهجوم، مع العلم أنّ مايكروسوفت أعدت تحديث أمني لنظام ويندوز XP الذي تم إيقاف دعمه منذ ما يقرب من ثلاثة أعوام، وكذلك أرسلت تحديث لويندوز 8 وويندوز سيرفر 2003، ويمكنك تحميل التحديث بشكل منفرد لأي نظام من خلال هذا الرابط.
- أمّا إذا كنت ترى أن تحديث النظام سيأخذ وقتًا طويلًا فبإمكانك تحميل هذه الأداة البسيطة من شركة الحماية “Symantec” التي تقوم بتعطيل الثغرة المستغلة من قبل البرمجية الخبيثة وتنصيب الأداة ثم إعادة تشغيل الحاسب.
ويرجي العلم أنّه عند تنصيب الأداة فإنّ تطبيق الحماية لديك قد يتعرف على أنّه فيروس فلا تقلق.
- أو هذه الأداة من “Bitdefender”.
- أو أداة KasperskyLab Anti-Ransomware tool من هذا الرابط.
- أو يمكنك تعطيل الثغرة يدويًا عن طريق مجموعة من الخطوات البسيطة كالتالي:
- قم بفتح Control Panel.
- قم باختيار Programes and Features.
- ثم اختر Turn Windows features on or.
ثم سنبحث عن الخيار SMB 1.0/CIFS File Sharing Support ونزيل العلامة الموجودة بجانبه.
و أخيرا يلزم إعادة تشغيل الحاسب بعد هذه الخطوة.
أسرع وأوسع الهجمات
لقد سألت نفسي بالفعل من المسؤول عن هذه الهجمات؟ والحقيقة أنّه لا يعلم أي فرد أو جهة دولية من الفاعل، غير أنّ إدوارد سنودن المقاول السابق لوكالة الأمن القومي الذي سرب تفاصيل فضيحة برنامج المراقبة الأمريكية في عام 2013، قد اتهم وكالة الاستخبارات بعدم منع الهجوم العالمي الذي بدأ يوم الجمعة 12 مايو. ويبدو أنّ أدوات القرصنة التي يعتقد أنّها تنتمي إلى وكالة الأمن القومي الأمريكية التي تم تسريبها عبر الإنترنت في الشهر الماضي هي السبب الجذري للاختراق الذي أصاب خدمات الصحة الوطنية بالشلل التام وانتشر في جميع أنحاء العالم، وقال بعض خبراء الأمن المعلوماتي أنّ الهجوم الضخم يعكس نهجًا معيبًا من قبل الولايات المتحدة لتكريس المزيد من الموارد الإلكترونية للجريمة بدلا من الدفاع، وهي ممارسة تجعل الإنترنت أقل أمنًا.
وقد أدهشت سرعة ونطاق انتشار الخلل كثيرا من الخبراء، وقال كبير الإستراتيجيين لشركة فلاشبوينت الأميركية كريس كاماشيو -وهي شركة لاستخبارات الإنترنت- إنها واحدة من أوسع الحملات العالمية التي تتم، وإنها المرة الأولى التي تستخدم فيها "دودة انتزاع الفدية". ويسمى البرنامج الذي يستخدمه الهاكرز "واناديكريبت أو آر 2.0" ويبدو أنه يدعم 28 لغة، الأمر الذي يؤكد طموحات المهاجمين. ولم ترد وكالة الأمن القومي على أسئلة الصحيفة، لكن بعض الخبراء عبروا عن تعاطفهم مع الوكالة نظرا إلى أنها أبلغت مايكروسوفت بالمشكلة بالفعل قبل نشرها من قبل القراصنة.