أكتوبر ١, ٢٠١٤

A A

ما هو الـ "رانسوم وير"؟

البرمجيات الخبيثة، تعريفات ومفاهيم السلامة الرقمية

 “رانسوم وير” (Ransomware) هو نوع من الفيروسات يجعل حاسوبكم غير صالح للاستخدام أو يدّعي أنكم لن تستطيعوا متابعة استخدامه حتى تدفعوا مبلغاً معيناً من المال لإعادته إلى حالته الأصلية.

يوجد أكثر من نوع من”الرانسوم وير” سنقسمها إلى ثلاثة:

النوع الأول:

هو عبارة عن برنامج يشبه بالظاهر برنامج مكافحة الفيروسات لكنه بالفعل برنامج خبيث، يدعي بأنه اكتشف عدداً من الفيروسات على حاسوبكم أو على هاتفكم الجوال وعليكم دفع مبلغ من المال لشراء النسخة الكاملة من البرنامج لإزالتها. ولكن كل ما يقوم به هذا البرنامج هو إبطاء جهازكم لدرجة عدم القدرة على استعماله، مجبراً إياكم على الدفع لشراء النسخة الكاملة.

Ransom1

النوع الثاني:

برنامج يقوم بقفل الشاشة الرئيسية على جهازكم ويطلب منكم مبلغاً من المال لفك القفل عنها. وعادة ما ينتشر هذا البرنامج مع رسالة تدعي، على سبيل المثال، أنه برنامج من الـ”إف بي آي” (FBI) أو أي جهة حكومية أخرى. كما يدعي أنكم قمتم بنشاطات غير قانونية، مثل تحميل المواد المقرصنة، وعليكم دفع غرامة مالية لفك القفل عن جهازكم.

Ransom2

النوع الثالث:

يقوم بتشفير بياناتكم بأكملها ويطلب منكم دفع مبلغ مالي لفك التشفير عنها. ويعد هذا النوع الأخطر ويجب عليكم الحذر من الوقوع ضحية له.

Ransom3

كيف ينتشر؟

تتم عملية انتشاره عبر:

–         تحميل مباشر من قبل المستخدم الذي يظن أن هذا الفيروس هو برنامج عادي مفيد، على سبيل المثال: مضاد فيروسات، أو يكون مدمجاً مع برنامج آخر معروف.

–         عبر مواقع خبيثة تستهدف الثغرات المتواجدة في المتصفحات والتي تقوم بتحميل الملفات وتشغيلها بشكل صامت (أي من دون أي موافقة من قبل المستخدم).

–         عبر استهداف الأشخاص باستخدام الهندسة الاجتماعية، كإرسال ملف يحتوي على الفيروس بشكل مرفقات في البريد الإلكتروني، وعادتاً تكون مصممة لجذب انتباه نوع محدد من المستخدمين.

كيف نحمي أجهزتنا؟

“رانسوم وير” هو كأي فيروس آخر، وكافة الإجراءات التي نتبعها للحماية من أي فيروس، يجب أن نتبعها للحماية منه. هذه الإجراءات هي:

عدم تحميل البرامج من مواقع غير موثوقة.

التأكد من صحة الملفات المحمّلة عبر الإنترنت وذلك عبر مطابقة الـ “هاش” (بإمكانكم القراءة عنه هنا). تحميل البرامج من مواقعها الرسمية فقط.

لا تفتحوا الروابط والمرفقات التي تصلكم من أشخاص لا تعرفونهم، او تعرفونهم ولم تكونوا تتوقعون استلام هذه الروابط او المرفقات.

استخدموا برنامج مكافحة فيروسات وتأكدوا من تحديث البرنامج وقاعدة بياناته بشكل يومي.

قوموا بأخذ نسخة احتياطية عن ملفاتكم بشكل دائم، واحتفظوا بها على قرص خارجي منفصل. حيث يعد هذا الامر مهم جداً، لأنه في بعض الأحيان رغم كل الاحتياطات التي قد تأخذونها قد يصاب جهازكم بفيروس “الرانسوم وير”. بإمكانكم القراءة عن النسخ الاحتياطي من هنا.

ما يجب فعله في حال الإصابة بالـ “رانسوم وير”

علاج النوع الأول:

يعد هذا النوع الأسهل في التعامل معه والتخلص منه، كل ما عليكم فعله هو إزالة تنصيب البرنامج، مثل أي برنامج آخر تقومون بإزالته.

في نظام التشغيل “ويندوز” توجهوا إلى: لوحة التحكم < إضافة وإزالة البرامج… ثم أزيلوا البرنامج المزوّر.

بعد إزالة تنصيب البرنامج، قوموا بفحص كامل للجهاز بواسطة برنامج مكافحة الفيروسات الذي قمتم بتنصيبه. حيث من الممكن أن يكون البرنامج المزوّر قد حمّل بعض الفيروسات على جهازكم.

علاج النوع الثاني:

إزالة هذا النوع تعد أصعب بقليل من إزالة سابقه.

في البداية عليكم إقلاع نظام التشغيل “ويندوز” في “الوضع الآمن” وذلك عبر الضغط عدة مرات على زر F8 في لوحة المفاتيح خلال عملية إقلاع الجهاز.

بعد الإقلاع في الوضع الآمن، قوموا بتشغيل برنامج مكافحة الفيروسات وتأكدوا أنكم قمتم بتحديثه اولاً، ثم ابدؤوا عملية فحص كامل للجهاز من خلاله.

إن لم تنفع هذه الطريقة، جربوا استعادة نظام التشغيل بالكامل System Restore”” عبر نقطة استعادة منشأة سابقاً.

للقيام بذلك على نظام التشغيل “ويندوز7”:

أنقروا على قائمة “ابدأ” (Start) ثم اكتبوا “استعادة النظام” أو (System restore) في مربع البحث.

Ransom4

شغلوا البرنامج الظاهر في الصورة أعلاه؛ ستظهر لديكم واجهة البرنامج كما في الصورة أدناه:

Ransom5

انقروا على “التالي” (Next)، اختاروا التاريخ الذي تريدون إعادة النظام إليه، ثم انقروا على “انتهى” (Finish).

 

على نظام التشغيل “ويندوز 8”:

اذهبوا إلى لوحة التحكم ثم ابحثوا عن “حماية النظام” أو (System protection) كما في الصورة، ثم انقروا على “إنشاء نقطة استعادة” أو (Create a restore point).

Ransom6

بعد ذلك أنقروا على “استعادة النظام” أو (System Restore).

Ransom7

انقروا “التالي” (Next)،

Ransom8

اختاروا نقطة الاستعادة التي تريدونها (بإمكانكم أيضاً استعراض المزيد من نقاط الاستعادة عبر وضع علامة صح على المربع الموجود في أسفل يسار النافذة).

Ransom9

ثم انقروا على “التالي” (Next) مرة أخرى، وأخيرا “انتهى” (Finish) ثم “نعم” (Yes).

Ransom10

ملاحظة: تحلوا بالصبر عند إجرائكم عملية استعادة نظام التشغيل لأنها تستغرق بعض الوقت، ومن المستحسن أن تصلوا حاسوبكم بشاحن الكهرباء.

النوع الثالث:

إذا وقعتم ضحية هذا النوع من الـ”رانسوم وير”، لسوء الحظ لا يوجد لديكم الكثير من الخيارات لفعلها لأن بياناتكم تم تشفيرها بالكامل.

ولكن يمكنكم محاولة بعض الأمور:

الطريقة الأولى

–         قوموا باتباع الخطوات الواردة في معالجة النوع الثاني.

–         في حال التخلص من الفيروس، الآن أنتم بحاجة إلى معالجة البيانات التي تم تشفيرها. ابتداءً من نسخة “ويندوز” “XP-SP2″، يقوم “ويندوز” بتخزين نسخة عن كل ملف في نظام التشغيل لديكم، تدعى هذه النسخ “Shadow files”.

–         للوصول إلى النسخ السابقة من ملفاتكم، انقروا بالزر الايمن على الملف الذي تريدونه ثم اختاروا “خصائص” (Properties) ثم انقروا على تبويب “نسخ سابقة” (Previous versions).

Ransom11

اختاروا النسخة التي تريدون استعادتها، ثم أنقروا على زر “استعادة” (Restore) في أسفل يمين النافذة. ستفتح نافذة جديدة؛ قوموا باختيار “استعادة” (Restore) مرة أخرى.

Ransom12

يقوم “ويندوز 8” بجعل العملية أصعب قليلاً في استعادة الملفات، لذلك يجب عليكم النقر على زري Win+R وكتابة مايلي:

\\localhost\C$

ستفتح مجموعة من المجلدات، قوموا باختيار المجلد الذي تريدونه واتبعوا الخطوات الواردة في “ويندوز XP ” أو “7”.

الطريقة الثانية: استعادة الملفات عبر برنامج ShadowExplorer

١- قوموا بتحميل برنامج ShadowExplorer من هنا

٢- بعد تحميل البرنامج قوموا بتشغيله، ستظهر لكم النافذة التالية

01-ShadowExplorer_thumb

٣- قوموا باختيار التاريخ الذي تريدون استعادة الملفات منه (يجب عليكم اختيار التاريخ ما قبل إصابة جهازكم بالـ”رانسوم وير”).

٤- من خلال واجهة البرنامج توجهوا إلى المجلد الذي يحتوي ملفاتكم التي تريدون استعادتها، انقروا بالزر اليمين على الملف ثم اختاروا Export.

02-ShadowExplorer-export5_thumb

٥- قوموا بتحديد مكان تخزين الملفات التي قمتم باستعادتها.

الطريقة الثالثة: فك التشفير عن ملفاتكم باستخدام خدمة DecryptCryptolocker

١- قوموا بالتوجه إلى موقع DecryptCryptolocker

٢- قوموا بإدخال بريدكم الإلكتروني، ثم قوموا بتحديد أحد الملفات التي تم تشفيرها.

decrypt cryptolocker

ملاحظة: عادة يتم استخدام مفتاح واحد لتشفير وفك تشفير كل الملفات، تأكدوا عند تحديدكم للملف المشفر على جهازكم باختيار ملف لا يحتوي على معلومات حساسة، سيقوم الموقع لاحقاً بإرسال مفتاح فك التشفير والأداة المستخدمة، بإمكانكم استخدام هذا المفتاح لفك التشفير عن جميع الملفات.

٣- بعد إدخال البريد الإلكتروني والملف المشفر، سيقوم الموقع بإرسال المفتاح الخاص بفك التشفير والبرنامج المستخدم.

٤- قوموا بتشغيل البرنامج على جهازكم، واختارو المفتاح الذي تم إرساله لكم ليقوم البرنامج بفك تشفير جميع الملفات المصابة على جهازكم.

الأهم، عندما تتعرضون لحالة إصابة بـ”رانسوم وير” لا تدفعوا أية مبالغ مالية أبداً، لأنه لا يوجد أي ضمان بأن المخترقين سيعيدون إليكم إمكانية الوصول إلى ملفاتكم أو نظام التشغيل لديكم كما كان من قبل، عوضاً عن الدفع جربوا الخطوات التي ذكرناها أعلاه، وقوموا بتبليغ السلطات المعنية (إن وجدت).

واخيراً تجدر الإشارة الى أن الـ”رانسوم وير” ليست محصورة فقط في أجهزة الحاسوب، بل من الممكن أن تستهدف هاتفكم الجوال أو الجهاز اللوحي (Tablet). وينصح باتباع الإجراءات الاحترازية ذاتها على كافة أجهزتكم.


آخر الأخبار

الخصوصية والأمن على الانترنت، تعريفات ومفاهيم السلامة الرقمية