ما تريد معرفته عن فيروس WannaCry بالتفصيل وخطوات الحماية منه
في هجوم وصف بأنّه الأكبر والأشرس من هذا النوع حتى الآن انتشر وبشدة فيروس WannaCry كالنار في الهشيم وأصاب اكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات و أصيب به أزيد من 99 بلدا حول العالم ما بين مؤسسات حكومية و مستشفيات في بريطانيا و كذلك بنوك و شركات من مختلف أنحاء العالم , كل هذا بسبب برمجية خبيثة تحمل الاسم WannaCry و هي من نوع Ransomware هذا النوع الذي يعتبر الأخطر و الأكثر انتشارا في الآونة الأخيرة , واستغل الفيروس ثغرة بنظام التشغيل ويندوز ليعمل على تشفير النظام مع ظهور رسالة نصية تطالب بدفع فدية بقيمة ثلاثمئة دولار من عملة بتكوين الرقمية مقابل فك التشفير واستعادة الملفات.
تقرير عن أضرار و حالة الهجوم :
قبل أشهر قليلة من هذه السنة كان قد أعلنت مجموعة هكرز تدعى The Shadow Brokers تمكنها من سرقة مجموعة من أدوات إختراق سرية بالغة الخطورة من وكالة الأمن القومي NSA ، تسمح لمستخدميها بإستغلال مجموعة من الثغرات الأمنية الغير معروفة بأنظمة ويندوز في عمليات قرصنة متطورة ، قبل أن يقدموا على تسريبها و طرحها للتحميل المجاني على الشبكة (رابط التحميل أسفل هذه الفقرة). مما أثار مخاوف الكثير من الخبراء الأمنيين الذين خشوا من وصولها الى أياد غير مسؤولة و استغلالها في أغراض إجرامية خطيرة ، الشيء الذي حصل فعلا مع إحدى تلك الأدوات المسربة WanaCrypt0r 2.0 التي أُستعملت في إطلاق أكبر هجوم دفع فدية RansomWare من نوعه.
و قد انتشر في نحو مئة دولة أو أكثر بما فيها الولايات المتحدة وبريطانيا وإسبانيا وفرنسا وروسيا، و من المؤسسات المتضررة، شركة فيدكس الأميركية لشحن البضائع، والعشرات من دوائر الصحة الوطنية في بريطانيا، وشركات اتصالات وغاز في إسبانيا، وبعض مصانع شركة رينو في فرنسا، ونحو ألف حاسوب في وزارة الداخلية الروسية. و من بين الدول العربية التي تضررت بهذا الفيروس، المغرب وتونس ومصر والسعودية والكويت والإمارات وقطر والأردن. أما في المملكة المتحدة أجبرت بعض المستشفيات على إلغاء الإجراءات والمواعيد، وحولت سيارات الإسعاف إلى المستشفيات المجاورة التي لم تصب حواسيبها بالفيروس، ورغم أنه جرى حل المشكلة على نطاق واسع فإن بعض المؤسسات والشركات لا تزال تواجه صعوبات.
اقرأ أيضا :
فيروس Petya الذي يقوم بتشفير ملفاتك ثم يطالبك بدفع المال لاسترجاعها
تقرير عن أضرار و حالة الهجوم :
قبل أشهر قليلة من هذه السنة كان قد أعلنت مجموعة هكرز تدعى The Shadow Brokers تمكنها من سرقة مجموعة من أدوات إختراق سرية بالغة الخطورة من وكالة الأمن القومي NSA ، تسمح لمستخدميها بإستغلال مجموعة من الثغرات الأمنية الغير معروفة بأنظمة ويندوز في عمليات قرصنة متطورة ، قبل أن يقدموا على تسريبها و طرحها للتحميل المجاني على الشبكة (رابط التحميل أسفل هذه الفقرة). مما أثار مخاوف الكثير من الخبراء الأمنيين الذين خشوا من وصولها الى أياد غير مسؤولة و استغلالها في أغراض إجرامية خطيرة ، الشيء الذي حصل فعلا مع إحدى تلك الأدوات المسربة WanaCrypt0r 2.0 التي أُستعملت في إطلاق أكبر هجوم دفع فدية RansomWare من نوعه.
و قد انتشر في نحو مئة دولة أو أكثر بما فيها الولايات المتحدة وبريطانيا وإسبانيا وفرنسا وروسيا، و من المؤسسات المتضررة، شركة فيدكس الأميركية لشحن البضائع، والعشرات من دوائر الصحة الوطنية في بريطانيا، وشركات اتصالات وغاز في إسبانيا، وبعض مصانع شركة رينو في فرنسا، ونحو ألف حاسوب في وزارة الداخلية الروسية. و من بين الدول العربية التي تضررت بهذا الفيروس، المغرب وتونس ومصر والسعودية والكويت والإمارات وقطر والأردن. أما في المملكة المتحدة أجبرت بعض المستشفيات على إلغاء الإجراءات والمواعيد، وحولت سيارات الإسعاف إلى المستشفيات المجاورة التي لم تصب حواسيبها بالفيروس، ورغم أنه جرى حل المشكلة على نطاق واسع فإن بعض المؤسسات والشركات لا تزال تواجه صعوبات.
اقرأ أيضا :
فيروس Petya الذي يقوم بتشفير ملفاتك ثم يطالبك بدفع المال لاسترجاعها
الفرق بين البرمجيات الخبيثة المختلفة ولماذا نطلق عليها فيروسات؟
بعد تضرر أكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات، و تمكّن باحث أمني شاب يبلغ من العمر 22 عاماً بطريق الخطأ من إيقاف عمل البرمجية الخبيثة عن طريق تسجيل اسم نطاق كانت تستخدمه في عملها وهو :
ونقلت هيئة الإذاعة البريطانية "بي بي سي" عن هذا الشاب البالغ من العمر 22 عاما قوله "من الضروري جدا أن يُحدِّث الناس أنظمتهم الآن"، مضيفا "لقد أوقفنا هذا الفيروس ، لكن سيكون هناك آخر قادم ولن نكون قادرين على إيقافه".
وقال إن القراصنة يجنون أموالا كثيرة من وراء مثل هذا النوع من الفيروسات ولا يوجد لديهم سبب للتوقف، مشيرا إلى أن الأمر لا يتطلب جهودا كبيرة منهم لتغيير الشفرة وتكرار الأمر من جديد. و أضاف أن هناك فرصة جيدة بأنهم سيكررون الأمر، وقد يكون ذلك صباح الاثنين، مؤكدا أن النسخة الأولى من الفيروس "ونا كراي" (أريد البكاء) كان بالإمكان إيقافها، لكن القراصنة قد يزيلون في النسخة الثانية منه الثغرة التي تسببت بتعطيله.
بعد تضرر أكثر من 200 ألف كمبيوتر حول العالم وجمع فدية بعشرات آلاف الدولارات، و تمكّن باحث أمني شاب يبلغ من العمر 22 عاماً بطريق الخطأ من إيقاف عمل البرمجية الخبيثة عن طريق تسجيل اسم نطاق كانت تستخدمه في عملها وهو :
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ونقلت هيئة الإذاعة البريطانية "بي بي سي" عن هذا الشاب البالغ من العمر 22 عاما قوله "من الضروري جدا أن يُحدِّث الناس أنظمتهم الآن"، مضيفا "لقد أوقفنا هذا الفيروس ، لكن سيكون هناك آخر قادم ولن نكون قادرين على إيقافه".
وقال إن القراصنة يجنون أموالا كثيرة من وراء مثل هذا النوع من الفيروسات ولا يوجد لديهم سبب للتوقف، مشيرا إلى أن الأمر لا يتطلب جهودا كبيرة منهم لتغيير الشفرة وتكرار الأمر من جديد. و أضاف أن هناك فرصة جيدة بأنهم سيكررون الأمر، وقد يكون ذلك صباح الاثنين، مؤكدا أن النسخة الأولى من الفيروس "ونا كراي" (أريد البكاء) كان بالإمكان إيقافها، لكن القراصنة قد يزيلون في النسخة الثانية منه الثغرة التي تسببت بتعطيله.
ما اللذي نعرفه عن هذا الفيروس حتي الآن :
- الفيروس مثله كمثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتي يمكنك استرجاع ملفاتك مره اخري
- هذا الفيروس يقوم بالإنتشار من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس الفديةWannaCry
- من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بإنشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي أم لا وهو البورت المستخدم بواسطة خدمة مشاركة الملفات SMB فاذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا .
- بعد ان يقوم الفيروس بالنزول علي جهاز الضحيه واصابته يقوم مباشرة بفحص كل الايبيهات الموجوده علي الشبكه باحثا عن اي جهاز يستخدم port 445 الخاص بخدمة مشاركة الملفات SMB Service .
- اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال الثغرة الخطيرة التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers والثغره معروفه باسم MS17-010 وهي ثغره تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB .
التعليقات على الموضوع