و ظهر الفيروس فى صورة رسالة نصية على أجهزة الحاسبات الشخصية تمهل الضحايا مهلة 3 أيام لتسليم مبلغ 300 دولار للإفراج عن بياناتهم الشخصية التى تمت سرقتها، محذرة إياهم من عدم القدرة على استرداد الملفات حال عدم الدفع فى خلال 7 ايام.
كما أن شركة "MegaFon" الروسية أغلقت عددا من خوادم شبكتها الحاسوبية بسبب الهجمات الإلكترونية، مشيرة إلى أن الحواسيب هوجمت ببرمجيات خبيثة من نوع "ransomware"، والتي كنتيجة لها يطالب القراصنة بدفع مبالغ مالية للوصول إلى البيانات المشفرة عن طريق فيروس.
من جانبها، قالت رئيسة الوزراء البريطانية تيريزا ماي، إن الهجمات الإلكترونية على مستشفيات المملكة المتحدة هي جزء من هجمة دولية كبرى.
وكان الموقع نشر في 7 مارس الماضي، أكبر عملية تسريب لوثائق سرية من وكالة الاستخبارات المركزية الأمريكية تحت مسمى "Vault 7".
وكتب سنودون مغردا في موقع تويتر: "أوه! قرار وكالة الأمن القومي الأمريكية صناعة وسائل هجوم ضد البرمجيات الأمريكية يهدد حاليا حياة المرضى في المستشفيات".
- من جانبها، أكدت شركة "كاسبرسكي لاب" الروسية المتخصصة في مجال الأمن والحماية الإلكترونية أن الهاكر يستخدمون في هجماتهم فايروسا برمجيا لتشفير محتويات الأجهزة يسمى "WannaCry"، مشيرة إلى أن 99 بلدا تضررت به. وأوضحت الشركة أنها رصدت نحو 85 ألف هجمة ببرنامج التشفير "WannaCry". وأكدت "كاسبرسكي لاب" أن الاتحاد الروسي كان من أكثر البلدان تضررا من هذه الهجمات الإلكترونية، موضحة أن الهجوم الذي وقع بعد ظهر اليوم ضد حواسيب مشغل الشبكات الخلوية الروسية "MegaFon" لم يؤثر على جودة الاتصالات.
وفي تفاعل من شركة مايكروسوفت "Microsoft" في هذا الشأن، أكدت أنها قامت بتحديث أنظمة تشغيل "Windows" ومضاد للفايروسات المجاني الخاص بها، لتوفر بذلك للمستخدمين حماية من الفايروس المشفر " WannaCry".
وفي وقت لاحق، أكدت وزارة الداخلية الروسية حقيقة حدوث هجمات فايروسية إلكترونية على أجهزتها، مشيرة إلى أن انتشار الفايروس أوقف.
ووفقا لوكالة "إنترفاكس"، فقد أكد مصدر مطلع في الوزارة، أن الهجمات على خوادم وزارة الداخلية الروسية لم تؤد إلى تسريب المعلومات.
فيروس رانسوم وير وعملية الابتزاز :
يقوم هذا الفيروس بـ تشفير البيانات الشخصية للضحية و لا يسمح له بالوصول إليها أبدا و ثم يقوم بطلب فدية منه عبر رسالة نصية تظهر له علي شاشة الحاسوب وذلك في مقابل ارسل برنامج فك التشفير لاسترجاع كامل الملفات.
تختلف قوة هذا الفيروس بحسب نوعية وعدد الملفات المستهدفة ودرجة صعوبة فك التشفير. واليكم في الصورة التاليه مثال علي رسالة طلب فدية للحصول علي برنامج فك التشفير.
كيف يعمل فيروس الرانسوم وير ؟
فيروس رانسوم وير مصمم للابتزاز و طلب الفدية من الضحايا اللذين وقعوا أسرى في شباكه لذلك سوف نقدم لكم مثالا عن برنامج Locky المشهور نوضح فيه آلية عمل هذا الفيروس وذلك قبل الخوض في تفاصيل موضوعنا اليوم عن فيروس WannaCry.
لنأخذ مثالا على ذلك ، شخص قام بتحميل ملف يحتوي على هذا الفيروس و عند القيام بتنفيذه فإن هذه البرمجية تقوم بتشفير جميع الملفات الموجودة بالقرص الصلب وبالمجلد المتاح للعموم “Shared Folderr” إذا كان مرتبطا بشبكة محلية أو عن بعد لتصبح على هذا الشكل.
وبعد أن تتخز الاجراء المناسب ودفع الفدية يقوم مبرمج الفيروس بارسال برنامج فك التشفير اليك لاستعادة السيطرة علي ملفاتك مرة أخري.
[ WannaCry Ransomware ]
بداية انتشار فيروس WannaCry :
بدأ إنتشار هذا الرانسوم وير خلال الساعات الأولي من يوم الجمعة 2017-05-12 ليصيب ماهو أكثر من 75 الف جهاز حاسوب في نطاق 75 دولة و 20 لغة مختلفة.
أول تداعيات هذا الفيروس بدأت من دولة أسبانيا وذلك بإصابة شبكة Telefónica للاتصالات وهي شركة اتصالات أسبانية متعددة الجنسيات تغطي اوروبا وآسيا واماكن متفرقة من الولايات المتحدة الأمريكية. كما أصاب الفيروس أنظمة العديد من الشركات الشهيرة مثل National Health Service (NHS), FedEx and Deutsche Bahn
تلي هذه العملية بلاغات متعددة من دولة روسيا وذلك بتأكيد إصابة أنظمة رقمية متعددة تابعة لمؤسسات وهيئات حكومية منها :RussianInterior Ministry – Russian Emergency Ministry – MegaFon
وفي الساعات الماضية بدا انتشار الفيروس في العديد من الدول العربية ولكن في نطاق ضيق, ولكن هذا لم يمنع هيئات الاتصالات من تحذير المواطنين واصدار نشرات توعيه من خطورة الفيروس وكيفية التعامل معه, وكانت أول هذه الهيئات هي تنظيم الاتصالات بدولة الإمارات الشقيقة. ” تصريح هيئة تنظيم الاتصالات بالامارات حول فيروس Wanna Cry“
الثغرة التي تم استغلالها لنشر فيروس Wannacry :
الغريب في الأمر أن فيروس WannaCry استغل ثغرة EnternalBlue والتي تم الاعلان عنها في مارس الماضي وتم طرحها من قبل إحدي مجموعات الهاكرز تسمي The Shadow Brokers في 14 ابريل 2017, وذلك بعد أن تم تسريبها من Equation Group, والتي لم يتم تحديد ماهيتها هل هي مجموعة من الهاكرز تابعين لوكالة الأمن القومي الأمريكي أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز.
ولكن أيآ كان فمن المؤكد أن وكالة الأمن القومي الأمريكية NSA لها دور كبير في ذلك. وسبق وأن ذكرنا في تدوينة سابقة علاقتها الوطيدة بالعديد من عمليات الاختراق والتجسس التي تتم في الانترنت المظلم.
ثغرة EnternalBlue :
إحدي ثغرات نظام التشغيل ويندوز والتي تستغل بروتوكول SMB “Server Message Block” المسئول عن مشاركة الملفات والمجلدات في شبكة الانترنت. ” اقرأ المزيد “
وبالرغم من أن شركة ميكروسوفت أصدرت تحديث MS17-010 الذي يعالج هذه الثغرة الا أن ملايين الأجهزة لم تكن قد قامت بتنصيب هذا التحديث بعد. مما ساهم في انتشار رانسوم وير WannaCry بهذا الشكل البشع.
Zero-Day Vulnerability :
ملحوظة: لا يمكن اعتبار هذا الهجوم zero-day vulnerability حيث أن شركة ميكروسوفت قد سبق وطرحت تحديث SMB 3.0 منذ شهر مضي وتحديدآ في 14 مارس من العام الحالي. اي قبل حدوث الهجوم بحوالي شهرين.
آلية عمل Wannacry رانسوم وير :
1- يصل الفيروس الي جهاز الكمبيوتر عن طريق متصفح الانترنت في عدة صور, أشهرها كانت رسالة بريد الكتروني تخبرك بأنك فزت بجائزة من المال ـو أنك ستحصل علي تحويل بنكي كما هو موضح بالصورة.
2- بمجرد تحميل ملف المرفقات وتشغيله يتم تشفير ملفات الجهاز بالكامل.
3- يستخدم الفيروس ثغرة بروتوكول الـ SMB للانتقال الي جميع الأجهزة المتصلة بالشبكة والمصابة بهذه الثغرة.
4- تظهر لك رسالة التشفير التالية.
تخبرك الرسالة أنه تم تشفير البيانات الموجوده علي جهازك, ولن تستطيع فك التشفير بدون برنامج الـ Decryption , وسيقوم الهاكرز بإثبات قدرتهم علي ذلك بفك تشفير بعض البيانات مجانآ بدون مقابل ولكن إن كنت ترغب في فك تشفير جميع الملفات فعليك أن تقوم بعمل تحويل بقيمة 300$ بعملة البتكوين خلال 33 ايام علي الأكثر. وإذا تجاوزت هذه المدة سوف يتم مضاعفة المبلغ. وإذا مرت 77 ايام بدون أن تقوم بدفع المبلغ ففي هذه الحالة لن تتمكن من استعادة ملفاتك الي الأبد.
ويظهر عداد تنازلي Counter لفترة السداد التي مدتها 72 ساعة وكذلك عداد تنازلي لـ 7 أيام هي المدة المتاح فيها محاولة استعادة الملفات, وبعدها سوف تفقد ملفاتك للأبد.
4- يتصل الفيروس بهذا الموقع الالكتروني “غير مُسجل” ويقوم باستخدامه كـ Kill Switch.
حيث يحدد اختيار من اثنين:
أولهما تنفيذ التشفير في حالة عدم امكانية الوصول الي الموقع, والثاني هو ايقاف الهجوم وفك التشفير في حالة التمكن من الوصول الي الموقع.
كيف تقوم بحماية جهازك من WannaCry :
1- إذا كنت من مستخدمي نظام التشغيل ويندوز 10 فلا تقلق. اما اذا كنت من مستخدمي نظام تشغيل ويندوز7 أو 2008 Server فيجب عليك أن تقوم بتنصيب هذا التحديث MS17-010 من شركة ميكروسوفت.
2- إذا كان لديك إصدار ويندوز مختلف عن الاصدارات السابقة فانصحك بزيارة هذا الرابط واختيار التحديث المناسب لنظام تشغيل جهازك.
3- لا تقوم بفتح ايميلات مجهولة المصزر وإن حدث ذلك فتجنب الوقوع تحت تأثير الهندسة الاجتماعية وذلك بالاغراء بالمال أو الجنس لاقناعك بتحميل ملفات المرفقات.
4- تجنب الضغط علي اي من النوافذ المنبثقة في مواقع اختصارات الروابط والمواقع الإباحية.
5- قم بتفعيل الـ Firmware ومنع الوصول الي بورتات بروتوكل الـ SMB بإصداراتها المختلفة.
6- قم باغلاق بورتات 137 – 139 – 455 الخاصة ببروتوكول الـ TCP.
7- قم باغلاق بورتات 137 – 138 الخاصة ببروتوكول الـ UDP.
8- قم بعمل نسخ احتياطي لملفاتك الهامة بشكل دوري.
و الان شرح مفصل لمنع الوصول الي بورتات بروتوكل الـ SMB
وقم بازالة علامة التي بجانبها ومن ثم قم بالضغط علي OK. وبعدها سوف يطلب منك النظام اعادة تشغيل الجهاز
لماذا هذه الإجراءات بعد تحديث الويندوز ؟
ما توصلت اليه الجهات البحثيه لمكافحة الفيروسات الوبرمجيات الخبية حتي وقتنا هذا هو في نطاق الاصدار الأول فقط من فيروس الـ WannaCry , ورغم محاولتهم لتعطيل الـ Kill Switch الا أن الفيروس مازال قادرآ علي تطوير عمله حتي وقت كتابة هذه المقالة. وبالتالي فنحن حتي الآن نتعامل فقط مع واجهة الفيروس, وما يحدث في الـ BackEnd ماهو الا اجتهادات ولذك وجب أخذ كافة الاحتياطات خاصة في شبكات المؤسسات الحكومية والتجارية والبنكية والتي تعتمد في نشاطها علي قواعد البيانات بشكل اساسي.
وفي النهاية اليكم ملفات تشفير رانسوم وير WannaCry بصيغة PEM من خلال هذا الرابط : pastebin.com/SNBdGbJh