مفهوم – تصاعدت وتيرة الهجمات الإلكترونية التي يشنّها قراصنة مجهولون في أنحاء العالم بإستخدام فيروس الفدية الخبيث، حيث ضرب منذ فترة فيروس الفدية “WannaCry” أكثر من 230 ألف جهاز كمبيوتر وخادم في جميع أنحاء العالم، ثم جاءت الآن موجة أخرى جديدة من فيروس الفدية باسم “Petya” تضرب من جديد، وتقوم بتشفير الملفات مقابل 300 دولار لقاء فك التشفير. واستهدف الفيروس الجديد منشآت مهمة وحيوية فى أوروبا مثل محطة تشرنوبل النووية لإنتاج الكهرباء ومورد الكهرباء فى أوكرانيا.
يستهدف الفيروس أوروبا بشكل خاص والعالم بشكل عام، حيث أنّه يستغل نفس الثغرة الخاصة بـ “WannaCry” والموجودة فى بعض إصدارات نظام التشغيل ويندوز (Eternal Blue)، والتي تم تسريبها بواسطة مجموعة Shadow Brokers من وكالة الأمن القومي الأمريكية، وأصدرت مايكروسوفت تحديث لنظام الويندوز بعد انتشار “WannaCry” لسد الثغرة المستغلة، إلّا أنّ عددًا من الضحايا أبلغوا بإصابتهم بالفيروس الجديد رغم تحديثهم للنظام.
على الرغم من التشابه بين “Petya” و “WannaCry” إلّا أنّ نظام التشفير مختلف تمامًا، حيث أنّه لا يقوم بتشفير الملفات واحدًا تلو الآخر. بدلًا من ذلك، يقوم بتشفير ال Master Boot Record أو MBR الخاصة بالهارد ديسك بالكامل، وذلك فى حالة الحصول على صلاحيات الأدمن حيث أنّها تمنع الـ loader من قراءة أي جداول للملفات، والتي تحتوي على كل معلومات الملفات الموجوده على الجهاز بالكامل، ثم يقوم بعرض رسالة مفادها أنّ الـ MBR تم تشفيره بالكامل ويجب دفع ٣٠٠ دولار فدية من أجل استرداد الملفات، أمّا فى حالة عدم حصول “Petya” على صلاحيات الأدمن فإنّه يقوم بتشفير الملفات بطريقة عادية جدًا مثل أي فيروس فدية سابق.
رسالة فيروس petya
هذه الصورة تبين أنّ الفيروس يقوم بطلب 300 دولار من الضحية مقابل فك تشفير ملفاته، وطرق التواصل من أجل الدفع والحصول على مفتاح فك التشفير حيث جاء النص قائلًا: “إذا كنت ترى هذا النص، فإنّ الملفات الخاصة بك لم يعد الوصول إليها متاحًا؛ لأنّها مشفرة ربما تكون مشغولًا في البحث عن وسيلة لاستعادة الملفات الخاصة بك، ولكن لا تضيع وقتك لا أحد يستطيع استرداد الملفات الخاصة بك دون خدمة فك التشفير الخاصة بنا”، ووفقًا لخدمة “VirusTotal scan” فإنّ 16 فقط من أصل 61 خدمات مكافحة الفيروسات استطاعت بنجاح الكشف عن “Petya” فيروس الفدية الجديد.
لا تدفع من أجل استرجاع ملفاتك
فى حالة إصابتك بالفيروس وكانت ملفاتك مهمة جدًا لاسترجاعها في الوقت الحالي فلا فائدة من الدفع حيث علقت Posteo مزود البريد الإلكتروني الألماني، عنوان البريد الإلكتروني [email protected]، الذي كان يستخدمه مجموعة من المجرمين للتواصل مع الضحايا بعد الحصول على الفدية لإرسال مفاتيح فك التشفير.
نصائح للحماية من فيروس الفدية الجديد:
وتنصح شركة بالو ألتو نتووركس مستخدمي أنظمة ويندوز بتثبيت آخر التحديثات الصادرة عن شركة مايكروسوفت لنظام التشغيل، وتحديث أنظمة التشغيل القديمة التي توقفت شركة مايكروسوفت عن توفير الدعم لها.
كيف تحمي نفسك من الإصابة بفيروس Petya؟
أولًا: في حال كنت على شبكة وأصيب أحد الأجهزة المتصلة عليها بالفعل، فعليك القيام بفصل جهازك عن الشبكة فورًا وبدون أي تأخير، فهذا النوع من البرمجيات ينتشر بشكل سريع وخبيث على جميع الأجهزة المتصلة على الشبكة، كما يجب عليك تحديث نظام تشغيل ويندوز الخاص بك بآخر التحديثات وتحديدًا التحديث الذي يقوم بسد الثغرة المعنية.
ثانيًا: قم بتعطيل بروتوكول SMB الإصدار ١ (مايكروسوفت قامت بتعطيله بالفعل فى آخر إصدار من ويندوز ١٠)، وإليك طريقة تعطيله من مايكروسوفت هنا وأيضًا قم بتعطيل الـ WMIC Service والطريقه من هنا.
ثالثًا: النسخ الاحتياطي مهم جدًا فيجب أخذ نسخة احتياطية من ملفاتك، كما يجب أن تكون في أماكن معزولة عن الإنترنت بالكامل مثل هارد ديسك خارجي.
وللحفاظ على الأجهزة الموجودة بالشبكة ومنع انتشار الفيروس من جهاز لآخر، فقد اكتشف الباحثون طريقة لإيقاف انتشاره بواسطة إنشاء ملف فارغ داخل الامتداد C:\Windows باسم “perfc”.
أمّا في حالة إصابة جهازك بالفيروس فإنّه يحاول إعادة تشغيل الجهاز، ثم إظهار الرسالة الخاصة بالدفع فى هذا الوقت تحديدًا يبدأ “Petya ” بتشفير ملفات الهارد درايف أو ال MBR على حسب الصلاحيات التي حصل عليها قبل إعادة التشغيل، في ذلك الوقت يجب بدلًا من أن تقلع أو تقوم بعمل بوت (boot) من الهارد درايف قم بتنزيل Hiren’s Boot CD أو أي Live CD، وقم بالإقلاع منه ثم قم بعمل نسخ احتياطي أو استعادة للملفات الخاصة بك على قرص صلب خارجي.
وأخيرًا لا تحاول نهائيًا فتح أي رابط لا تثق فيه حتى لو جاء عن طريق صديق لك، واحذر من رسائل البريد العشوائية و الغريبة التي تصل إليك.