تحدثنا من قبل عن فيروسات الفدية أو Ransomware و مدى خطورتها و كيفية الوقاية منها , منذ ساعات حدث هجوم كاسح لفيروس فدية جديد اسمه #WannaCry اجتاح العالم بالرغم من انطلاقه منذ ساعات قليلة حيث أصاب حتى الآن ما يفوق 60,000 جهاز في أكثر من 100 دولة و بعد أبرز ضحاياه شركة فيديكس، الخدمات الصحية الوطنية البريطانية ووزارة الداخلية الروسية، وفقا لتقارير متعددة. .
لهذا الفيروس عدة أسماء منها WanaCrypt0r 2.0 , WannaCry , WCry , WannaCrypt , Wanna Decryptor هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين عناوين البريد الإلكتروني بشكل عشوائي ويحتوي الإميل المرسل علي ملف في المرفقات عندما يتم فتحه يقوم بتنزل فيروس الفدية WannaCry
من الطرق الخطيرة التي يستخدمها الفيروس أيضا القيام بعملية فحص عشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ثم يقوم بفحص منفذ port 445 ليتأكد إن كان مفتوح ام لا وهو المنفذ المستخدم بواسطة خدمة مشاركة الملفات SMB فاذا وجد ايبي مفتوح يحتوي على هذا المنفذ يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا لتنتشر الإصابة عبر أجهزة الشبكة الداخلية كما تنتشر النار في الهشيم.
ولان خدمة مشاركة الملفات منتشره في كل الشركات وحتي اغلب الشبكات الخاصه فبهذه الطريقه انتشر الفيروس بشكل مرعب عبر شبكات البنوك و الشركات و المستشفيات و الأجهزة الخاصة و العامة بشكل عشوائي و في وقت قياسي
الفيروس يقوم بإستغلال الثغرة الخطيرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA و الثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB
نسخ الويندوز التي لم يتم تحديثها منذ شهر مارس تحتوي هذه الثغرة و بالتالي يقوم الفيروس بإختراق تلك الأجهزة و تشفير الملفات على الهارد و يطلب فدية تصاعدية 300 دولار تزداد يوماً بعد يوم إذا لم تقم بالدفع و يتم الدفع بالعملة الإلكترونية Bitcoin و التي من الصعب جداً تتبعها .
فهرس
ماذا نفعل لمواجهة #WannaCry
بالإضافة إلى ما سبق و ذكرناه من برامج و التي تحميك من هذا النوع من الفيروسات فإن شركة ميكروسوفت أصدرت تحديثات أمنية يمكن تحميلها من الموقع الرسمي من خلال الرابط التالي و تنصيب التحديث بحسب النسخة التي تستخدمها
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
الفيروس أجبر شركة ميكروسوفت على القيام بخطة غير اعتيادية و هي اصدار تحديث للإصدارات القديمة من ويندوز حتى تحد من انتشار الفيروس و لنسخ الويندوز القديمه التي تسبق ويندوز فيستا يمكن تنزيل التحديث من خلال الرابط التالي
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
آداة لمنع تشفير الملفات دون إذن من مدير النظام مقدمة من Sophos
https://www.sophos.com/en-us/lp/ransomware.aspx
آداة من سيمانتك لغلق الثغرة الموجودة في النظام
https://www.symantec.com/connect/downloads/smb2-toggle-too-mikes-tool-set
و قبل هذا و ذاك تذكر أنه يجب عليك ألا تفتح أي ملفات أو ملحقات في الرسائل الإلكترونية مجهولة المصدر
الغلق اليدوي لخاصية SMB في ويندوز
- اذهب إلى بحث ويندوز و أكتب Windows Features
- قم بإزالة علامة الإختيارعن خاصية SMB1.0/CIFS File Sharing Support
- اضغط OK ثم اغلق النافذة و قم بإعادة تشغيل الكمبيوتر
آخر أخبار الفيروس WannaCry – Wanna Decrypt0r
- شاب بريطاني يعمل في مجال أمن المعلومات تمكن من إيقاف الفيروس مؤقتاً بعشرة دولارات من خلال شراء نطاق إلكتروني وهمي كان يستخدمه الفيروس لشن هجماته مما أدى لتوقفه عن الإنتشار مؤقتاً و لولا ذلك لربما حدث مالا تحمد عقباه
- الشاب الذي أوقف الهجمة مؤقتاً اعترف أنه لم يكن متأكداً ما إذا كان تسجيل النطاق يمكنه إيقاف الفيروس أم لا.
- الفيروس عاد للعمل بعد ساعات بعد أن قام القراصنة بتطويره .
- تسبب الفيروس في إحداث شلل في العديد من المستشفيات في بريطانيا مما هدد حياة الآف المرضى
- حسابات القراصنة تلقت أكثر من 100 عملية دفع حتى الآن بلغ مجموعها ما يقرب من 33000 $ بسعر الصرف الحالي بيتكوين إلى دولار.
- شركة رينو الفرنسية تغلق العديد من مصانعها بعد هجمات Wanna Cry
- فيروس الفدية WannCry يخترق البنك العربي الاسلامي بالاردن
- بوتين يتهم الولايات المتحة بإطلاق فيروس Wanna Cry