يعد فيروس الفدية أحد أشكال البرامج الضارة التي تقوم بتشفير الملفات والمستندات على أي مصدر تخزين، بدءًا من جهاز كمبيوتر واحد وصولًا إلى شبكة كاملة، بما في ذلك الخوادم. وفي هكذا حالات، تترك الضحايا مع خيارات قليلة؛ حيث يمكنهم استعادة الوصول إلى شبكتهم المشفرة إما عن طريق دفع فدية للمجرمين (الهاكرز Hackers) وراء برنامج الفدية، أو الاستعادة من النسخ الاحتياطية، أو الأمل في أن يكون هناك مفتاح فك تشفير متاح مجانًا.

لذلك تعد برامج الفدية أو كما تعرف بـ "Ransomware" واحدة من أكبر مشكلات الأمان على الإنترنت، ومن أشرس الجرائم الإلكترونية التي تواجهها المؤسسات اليوم. يمكن أن يكون مصدر إزعاج للشركات من جميع الأحجام إذا تم تشفير الملفات والمستندات الحيوية أو الشبكات أو الخوادم فجأة وتعذر الوصول إليها. والأسوأ من ذلك، بعد تعرضك للهجوم باستخدام برامج الفدية المشفرة للملفات، سيعلن المجرمون بوقاحة أنهم يحتجزون بيانات شركتك كرهينة حتى تدفع فديةً لاستعادتها!

تستخدم حملات برامج الفدية الأخرى الأكبر حجمًا عمليات استغلال البرامج والثغرات وكلمات المرور المتصدعة ونقاط الضعف الأخرى للوصول إلى المؤسسات التي تمتلك نقاط الضعف، مثل الخوادم المتصلة بالإنترنت، أو عمليات تسجيل الدخول على سطح المكتب البعيد للوصول إلى الخوادم أو حتى لفك تشفير البيانات الموجود بالفعل.

تاريخ فيروس الفدية

صورة توضح التهديد الذي يمثله فيروس الفدية

على الرغم من انتشار برامج الفدية الضارة في السنوات الأخيرة، إلا أنها ليست ظاهرة جديدة حقًا، فقد ظهر أول مثيل لما نعرفه الآن باسم برامج الفدية في عام 1989م.

حيث تم إرسال الفيروس المعروف باسم الإيدز أو PC Cyborg Trojan، إلى الضحايا -يعمل معظمهم في قطاع الرعاية الصحية- على قرص مرن. قام برنامج الفدية بحساب عدد المرات التي تم فيها تشغيل الكمبيوتر، وبمجرد وصوله إلى 90، قام بتشفير الجهاز والملفات الموجودة عليه وطالب المستخدم "بتجديد ترخيصه" مع "PC Cyborg Corporation" عن طريق تحويل مبلغ 189 دولارًا أو 378 دولارًا.

تطور برامج الفدية

كان برنامج الفدية المبتكر هذا عبارة عن بناء بسيط نسبيًا، باستخدام التشفير الأساسي الذي غيّر في الغالب أسماء الملفات، مما يجعل التغلب عليها أمرًا سهلًا نسبيًا. لكنه أطلق العنان لفرع جديد من جرائم الكمبيوتر، والذي نما ببطء ولكن بثبات.

قبل أن يبدأوا في استخدام التشفير المتقدم لاستهداف شبكات الشركات، كان المتسللون يستهدفون مستخدمي الإنترنت بشكل عام باستخدام برامج الفدية الأساسية.

كان أحد أكثر الأساليب نجاحًا هو "فيروس الفدية التابع للشرطة"، والذي حاول ابتزاز الضحايا من خلال الادعاء بأن جهاز الكمبيوتر قد تم تشفيره لغاية تطبيق القانون. حيث يتم منع المستخدم من عرض أي معلومات على الشاشة من خلال تثبيت صورة لمذكرة الفدية التي تحذر المستخدم من أنه ارتكب نشاطًا غير قانوني عبر الإنترنت، مما قد يؤدي إلى إرساله إلى السجن.

وتبين المذكرة أيضًا أنه إذا دفعت الضحية الغرامة المذكورة، فإن "الشرطة" ستغض الطرف عن هذا "الانتهاك" وسوف يستعيد المستخدم الوصول إلى الكمبيوتر عن طريق إدخال مفتاح فك التشفير الذي سيرسل إليه. بالطبع هذا لم يكن له علاقة بتطبيق القانون؛ بل كان مجرد استغلال لجهل المستخدمين فحسب!

صورة لأحد برمجيات الفدية

على الرغم من نجاحها إلى حد ما، إلا أن هذه الأشكال من فيروس الفدية غالبًا ما تتراكب ببساطة مع رسالة "التحذير" على شاشة المستخدم، بحيث يمكن أن تتخلص إعادة تشغيل الجهاز من المشكلة ويتم استعادة الوصول إلى الملفات التي لم يتم تشفيرها أساسًا.

للأسف، وكما هو الحال مع جميع الجرائم، فقد تعلم المجرمون درسًا من هذا الأسلوب، وباتوا يستخدمون الآن تشفيرًا متقدمًا في مخططات برامج الفدية لإغلاق جهاز الكمبيوتر "الضحية" والملفات الموجودة عليه.

الأنواع الرئيسية لبرمجيات الفدية

تتطور برامج الفدية بالتزامن مع ظهور متغيرات جديدة باستمرار، وتشكل تهديدات جديدة للشركات. ومع ذلك، هناك أنواع معينة من برامج الفدية التي حققت نجاحًا أكبر من غيرها.

ومن أشهر عائلات هذه البرمجيات وأكثرها انتشارًا خلال 2021م حتى الآن هو برنامج "Sodinokibi"، والذي تعاني منه المنظمات في جميع أنحاء العالم منذ ظهوره في أبريل 2019. والمعروف أيضًا باسم "REvil". كان برنامج الفدية هذا مسؤولًا عن تشفير شبكات عدد كبير من المؤسسات رفيعة المستوى بما في ذلك Travelex وشركة محاماة في نيويورك مع عملاء كبار ومشهورين.

 برنامج Sodinokibi

تقضي العصابة التي تقف وراء Sodinokibi وقتًا طويلًا في وضع الأساس للهجوم، وتتحرك خلسة عبر "الشبكة المخترقة" لضمان إتمام تشفير كل شيء ممكن قبل الإعلان عن الهجمة (تبني الهجمة).

من المعروف أن أولئك الذين يقفون وراء "سودينوكيبي" يطالبون بمدفوعات بملايين الدولارات مقابل فك تشفير البيانات. وبالنظر إلى أن المتسللين غالبًا ما يسيطرون بشكل كامل على الشبكة والموارد الموجودة في الخوادم الضحية، فإن المنظمات التي ترفض دفع الفدية بعد وقوعها ضحية لسودينوكيبي يتم تهديدها من قبل العصابة بتسريب الملفات والوثائق في حال الإصرار على الرفض.

سودينوكيبي ليست العصابة الوحيدة التي تهدد بتسريب البيانات التي تم الحصول عليها من الضحايا كوسيلة إضافية لابتزازهم؛ بل إن عصابات أخرى بألقاب "CONTI" و "Doppelpaymer" و "Egregor" هي من بين أولئك الذين يهددون الضحايا ويبتزونهم بنفس الطريقة.

من الجدير بالذكر أن برامج الفدية تتغير بشكل مستمر مع مرور الوقت، حيث نسمع في كل فترة عن ظهور برمجيات جديدة في نفس الوقت الذي تختفي به فجأة أسماء كبيرة منها والتي لها هجمات شرسة ومعروفة في عالم جرائم المعلوماتية.

على سبيل المثال، كان "Locky" في يوم من الأيام أكثر أشكال برامج الفدية شهرة، مما تسبب في إحداث فوضى داخل المنظمات حول العالم طوال عام 2016م، وانتشاره عبر رسائل البريد الإلكتروني للتصيد الاحتيالي. ظل Locky ناجحًا لأن من يقفون وراءه قاموا بتحديث الكود بانتظام لتجنب اكتشافه حتى أنهم قاموا بتحديثه بوظائف جديدة، بما في ذلك القدرة على طلب فدية بـ 30 لغة، حتى يتمكن المجرمون من استهداف الضحايا بسهولة أكبر في جميع أنحاء العالم. في مرحلة ما أصبح Locky ناجحًا للغاية وارتقى ليصبح أحد أكثر أشكال البرامج الضارة انتشارًا في العالم ومع ذلك، بعد أقل من عام، بدا أنه اختفى ولم يسمع به أحد منذ ذلك الحين.

برنامج Locky

في العام التالي كان "Cerber" هو الشكل الأكثر انتشارًا لبرامج الفدية، حيث كان يمثل 90% من هجمات برامج الفدية على ويندوز في أبريل 2017م. كان أحد الأسباب التي جعلت Cerber شائعًا للغاية هو الطريقة التي تم بها توزيعه كـ "خدمة"، الأمر الذي سمح للمستخدمين الذين ليس لديهم المعرفة التقنية بشن هجمات، وبالمقابل تذهب بعض الأرباح إلى العصابة المبتكرة لـ "سيربر".

بينما بدا أن Cerber قد اختفى بحلول نهاية عام 2017م، فقد ظهر شكل آخر ناجح من برامج الفدية في عامي 2017م و 2018م وهو برنامج SamSam، العائلة التي أصبحت واحدة من أوائل العائلات التي اشتهرت ليس فقط لفرض فدية بعشرات الآلاف من الدولارات مقابل مفتاح فك التشفير، ولكن باستغلال الأنظمة غير الآمنة من خلال استخدام الإنترنت كوسيلة الـ "العدوى" والانتشار بشكل جانبي عبر الشبكات المتصلة مع الشبكة الضحيّة.

لم تطُل ولاية هذا البرنامج طويلًا بالرغم من نجاحه في حصد أكثر من 6 ملايين دولار من ضحاياه، إلى أن نشاطه توقف أواخر عام 2018م.

طوال عامي 2018م و 2019م انتشرت مجموعة أخرى من برامج الفدية، والتي ثبت أنها تمثل مشكلة لكل من الشركات والمستخدمين المنزليين ألا وهي GandCrab، حيث كان يعمل "كخدمة" وتلقى تحديثات منتظمة، مما يعني أنه حتى عندما قام الباحثون الأمنيون بتكسيرها وتمكنوا من إصدار مفتاح فك تشفير، سيظهر إصدار جديد من برنامج الفدية بطريقة جديدة ومحدثة للتشفير بعد فترة وجيزة.

لقد نجح مبتكرو GandCrab بشكل كبير خلال النصف الأول من عام 2019م على وجه الخصوص، وأعلنوا فجأة عن إغلاق العملية مدعين أنهم حققوا 2.5 مليون دولار في الأسبوع من تأجيرها لمستخدمي مجرمي الإنترنت الآخرين. اختفى GandCrab بعد بضعة أسابيع، على الرغم من أن المهاجمين كان بإمكانهم تحويل تركيزهم إلى حملة أخرى؛ فقد اكتشف الباحثون أوجه تشابه قوية في كود GandGrab عند مقارنته بـ Sodinokibi، والذي لا يزال قويًا في 2020-2021م.

برامج GandCrab

وفي الوقت نفسه، كانت إحدى أكثر عائلات برامج الفدية نجاحًا خلال عام 2020م هي Maze ransomware، والتي جمعت بين التحديثات المنتظمة لرمز البرامج الضارة، والتهديدات بتسريب المعلومات المسروقة إذا لم يتم دفع فدية مكونة من ستة أرقام. تقاعدت المجموعة في أواخر عام 2020م دون معرفة الأسباب، ولكن يُشتبه في أن عددًا من أولئك الذين يقفون وراء نجاح Maze قد انتقلوا للعمل مع عمليات الفدية الإجرامية الأخرى.

برنامج الفدية WannaCry الذي فزع العالم بأسره منه

فيما لا يزال يعتبر أكبر هجوم فدية حتى الآن، تسبب "WannaCry" المعروف أيضًا باسم "WannaCrypt" و "Wcry" في حدوث فوضى في جميع أنحاء العالم في هجوم بدأ يوم الجمعة 12 مايو 2017م.

حيث طلب برنامج الفدية هذا من الضحايا ما يعادل 300 دولار من عملة البيتكوين لفتح الملفات المشفرة مع الإشارة إلى أن السعر سيتضاعف بعد ثلاثة أيام. يتعرض المستخدمون أيضًا للتهديد، عن طريق عرض ملاحظة من طالبي الفدية على الشاشة، تهدد المستخدمين بحذف جميع ملفاتهم نهائيًا إذا لم يتم دفع الفدية في غضون أسبوع.

برنامج WannaCry

وقع أكثر من 300000 مستخدم في أكثر من 150 دولة ضحية لبرامج الفدية خلال يومين فقط، مع تأثر الشركات والحكومات والأفراد بهذا الهجوم الكبير في جميع أنحاء العالم. كما كانت مؤسسات الرعاية الصحية في جميع أنحاء المملكة المتحدة قد توقفت عن العمل بسبب هجوم برامج الفدية، مما أجبر المرضى على إلغاء مواعيدهم وأدى إلى مطالبة المستشفيات للناس بتجنب زيارة أقسام الحوادث والطوارئ ما لم يكن ذلك ضروريًا تمامًا.

من بين جميع البلدان المتضررة من الهجوم، كانت روسيا الأكثر تضررًا، وفقًا للباحثين الأمنيين، حيث حطم برنامج WannaCry الخبيث البنوك الروسية ومشغلي الهاتف وحتى أنظمة تكنولوجيا المعلومات التي تدعم البنية التحتية للنقل. كما تضررت الصين بشدة من الهجوم، حيث وقعت 29000 منظمة ضحية لهذا النوع من برامج الفدية.

ومن بين الأهداف البارزة الأخرى شركة تصنيع السيارات الشهيرة Renault، التي اضطرت إلى إيقاف خطوط إنتاجهم كاملة في عدة مواقع حيث أدت برامج الفدية إلى تدمير أنظمتها وإيقافها عن العمل تمامًا!

يعد هذا النوع من فيروس الفدية قويًا للغاية لأنه قام باستغلال ثغرة معروفة في نظام التشغيل تسمى EternalBlue. هذه الثغرة هي أحد ثغرات ويندوز التي كانت معروفة على ما يبدو من قِبَل وكالة الأمن القومي - قَبل أن يتم تسريبها بواسطة مجموعة قرصنة تحمل اسم "Shadow Brokers".

ردًا على الهجوم اتخذت مايكروسوفت خطوة غير مسبوقة بإصدار تحديثات أمنية لأنظمة التشغيل غير المدعومة للحماية من البرامج الضارة. ولاحقًا أصدرت أيضًا تصحيحًا للثغرة الأمنية في وقت سابق من هذا العام ولكن شملت فقط ويندوز 10 في هذا الوقت.

أدى استغلال ثغرة EternalBlue من قبل WannaCry إلى محاولات مجموعات قرصنة مختلفة للاستفادة منها لتعزيز البرامج الضارة الخاصة بهم. حتى أن الباحثين وثقوا كيف أن حملةً استهدفت الفنادق الأوروبية من قبل APT28 (مجموعة قرصنة روسية) تستخدم الآن ثغرة أمنية تم تسريبها من وكالة الأمن القومي.

تطور برنامج الفدية تحت اسم NotPetya 

بعد مرور أكثر من شهر بقليل على اندلاع WannaCry ransomware، تعرض العالم لهجوم عالمي آخر لبرامج الفدية. أصاب هذا الهجوم الإلكتروني أهدافًا في أوكرانيا أولًا، بما في ذلك البنك المركزي والمطار الدولي الرئيسي وحتى منشأة تشيرنوبيل النووية، قبل أن ينتشر بسرعة في جميع أنحاء العالم، ويصيب المنظمات في جميع أنحاء أوروبا وروسيا والولايات المتحدة وأستراليا.

يستغل هذا النوع من فيرس الفدية أيضًا نفس الثغرة الأمنية في أنظمة ويندوز، EternalBlue، والذي زود WannaCry بميزات متقدمة للانتشار عبر الشبكات (ليس فقط من خلال بريد إلكتروني مرفق كما هو الحال غالبًا) وضرب ما يقارب 300000 جهاز كمبيوتر حول العالم.

NotPetya هو هجوم أكثر شراسة. حيث لا يقوم الهجوم بتشفير ملفات الضحايا فحسب، بل يقوم أيضًا بتشفير محركات الأقراص الثابتة بالكامل، عن طريق الكتابة فوق سجل إعادة التشغيل الرئيسي، مما يمنع الكمبيوتر من تحميل نظام التشغيل أو القيام بأي عملية.

يطلب المهاجمون الفدية بعملة البيتكوين لإرسالها إلى عنوان بريد إلكتروني محدد -والذي تم إغلاقه لاحقًا من قبل مضيف خدمة البريد الإلكتروني- ومع ذلك، فإن الطريقة التي تم بها تجهيز برنامج الفدية المتطور هذا بوظائف غير آلية لقبول الفدية أدت بالبعض إلى اقتراح أن المال لم يكن الهدف الوحيد.

برنامج NotPetya

أدى هذا إلى اعتقاد الكثيرين أن مذكرة برامج الفدية هذه كانت مجرد غطاء للهدف الحقيقي للفيروس وهو إحداث الفوضى عن طريق مسح البيانات من الأجهزة المصابة بشكل لا يمكن استرداده.

ومهما كان الهدف من الهجوم، فقد أثر بشكل كبير على مالية المنظمات المصابة. حيث صرحت شركة السلع الاستهلاكية البريطانية "ريكيت بينكيزر" أنها خسرت 100 مليون جنيه إسترليني من العائدات نتيجة الوقوع ضحية لـ"بيتيا".

لكن هذه خسارة متواضعة نسبيًا مقارنة بضحايا الهجوم الآخرين؛ فقد قدر كل من مشغل سفينة الشحن والتوريد "Maersk" وشركة تسليم البضائع "FedEx" خسائر تقدب بـ 300 مليون دولار بسبب تأثير Petya.

أستراليا، الولايات المتحدة، وحكومات المملكة المتحدة وغيرها، أعلنت في فبراير 2018م، أن هجوم فيروس الفدية NotPetya كان عمل الجيش الروسي ولكن نفت روسيا أي تورط لها.

كم سيكلفك هجوم فيروس الفدية؟

من الواضح أن التكلفة الفورية المرتبطة بالإصابة ببرامج الفدية -إذا تم دفعها- هي قيمة الفدية المذكورة صراحةً في مذكرة التهديد التي يتم إرسالها للضحية، والتي تعتمد على نوع برنامج الفدية أو حجم المؤسسة المستهدفة.

يمكن أن تختلف هجمات برامج الفدية من حيث الحجم، ولكن أصبح من الشائع بشكل متزايد أن تطالب عصابات القرصنة بملايين الدولارات من أجل استعادة الوصول إلى الشبكة الضحية؛ والسبب في أن عصابات القرصنة قادرة على طلب هذا القدر من المال هو ببساطة لأن الكثير من المنظمات تمتلك بيانات ذات قيمة عالية وستدفع للوصول إليها أو لمنع تسريبها.

إذا اختارت منظمة (ضحية) عدم دفع الفدية وتوظيف شركة أمن معلومات لفك تشفير البيانات واستعادتها، فمن المحتمل أن يكلف هذا الأمر أكثر من تسديد مبلغ الفدية نفسها؛ ولكن على الأقل في هذه الحالة، يذهب الدفع إلى شركة مشروعة بدلًا من تمويل المجرمين.

بغض النظر عن الطريقة التي تتعامل بها المؤسسة مع هجوم فيروس الفدية، إلا أن الهجوم عليها سيكلفها مبالغ كبيرة في المستقبل؛ لأنه للحماية من الوقوع ضحية مرة أخرى، ستحتاج المنظمة إلى الاستثمار في بنيتها التحتية الأمنية، حتى لو كان ذلك يعني اقتلاع الشبكة الحالية من جذورها والبدء من جديد.

علاوةً على كل هذا، هناك أيضًا خطر فقدان العملاء الثقة في عملك بسبب ضعف الأمن السيبراني ونقل أعمالهم إلى مكان آخر أكثر أمانًا.

كيف كان البيتكوين والعملات المشفرة الأخرى سببًا في ظهور برامج الفدية

أدى ظهور العملات المشفرة مثل البيتكوين إلى تسهيل تلقي مجرمي الإنترنت لمدفوعات يتم ابتزازها باستخدام هذا النوع من البرامج الضارة، دون المخاطرة بأن تكون السلطات قادرة على التعرف على الجناة بسهولة.

أصبحت عصابات مجرمي الإنترنت أكثر احترافًا باستمرار، حتى أن الكثير منها يقدم خدمة للعملاء ويساعد الضحايا الذين لا يعرفون كيفية الحصول على عملات البيتكوين أو إرسالها، لأنه ببساطة ما الهدف من طلب الفدية إذا كان المستخدمون لا يعرفون كيفية الدفع؟ حتى أن بعض المنظمات قامت بتخزين بعض العملات المشفرة في حالة الإصابة أو تم تشفير ملفاتها ويجب أن تدفع بعملة البيتكوين على عجل، مما ساهم أيضًا في ارتفاع أسعار هذه العملات نتيجة تزايد الطلب عليها.

كيف يمكنك منع هجوم فيروسات الفدية؟

مع وجود أعداد كبيرة من هجمات فيروس الفدية التي تبدأ باستغلال المتسللين للمنافذ غير الآمنة التي يتم الوصول إليها عبر الإنترنت وبروتوكولات سطح المكتب البعيد، فإن أحد الأشياء الرئيسية التي يمكن للمؤسسة القيام بها لمنع وقوعها ضحية هي التأكد -ما لم يكن ذلك ضروريًا- من عدم اتصال أجهزة تخزين البيانات الهامة بالإنترنت إذا لم يكونوا فعلًا بحاجة إلى ذلك.

في حال كانت منافذ الاتصال البعيدة بمراكز تخزين البيانات والمخدمات ضرورية، يجب على المؤسسات التأكد من أن بيانات اعتماد تسجيل الدخول تحتوي على كلمة مرور معقدة للحماية من المجرمين الذين يتطلعون إلى نشر برامج الفدية عن طريق كسر كلمات المرور البسيطة. أيضًا تطبيق المصادقة الثنائية على هذه الحسابات يمكن أن يكون بمثابة حاجز أمام الهجمات، حيث سيكون هناك تنبيه إذا كان هناك أي محاولة للوصول غير المصرح به.

يجب أن تتأكد المؤسسات أيضًا من أن الشبكة محدثة بآخر تحديثات الأمان، لأن العديد من أشكال برامج الفدية -وغيرها من البرامج الضارة- تنتشر عبر استخدام الثغرات الأمنية المعروفة والتي يمكن التغلب على معظمها من خلال تثبيت آخر التحديثات الأمنية المعتمدة.

صورة تعبيرية لكسر برامج الفدية

لا تزال الثغرة الأمنية EternalBlue التي تدعم WannaCry و NotPetya واحدة من أكثر الثغرات شيوعًا والمستخدمة لنشر الهجمات، على الرغم من توفر التصحيح الأمني ​​للحماية منه لأكثر من ثلاث سنوات.

عندما يتعلق الأمر بإيقاف الهجمات عبر البريد الإلكتروني، يجب عليك تدريب الموظفين في مؤسستك على كيفية اكتشاف هجوم البرامج الضارة الواردة. حتى أن التقاط مؤشرات صغيرة مثل التنسيق السيئ، أو إرسال بريد إلكتروني يُزعم أنه من "أمان Microsoft" من عنوان غامض لا يحتوي حتى على كلمة "Microsoft" بداخله، قد ينقذ شبكتك من القرصنة.

هناك أيضًا شيء يمكن قوله لتمكين الموظفين من "التعلم من ارتكاب الأخطاء" أثناء تواجدهم في بيئة آمنة. على سبيل المثال، طورت إحدى الشركات تجربة فيديو تفاعلي تسمح لموظفيها باتخاذ قرارات بشأن سلسلة من الأحداث ثم اكتشاف عواقبها في النهاية. وهذا يمكنهم من التعلم من أخطائهم دون التعرض لأي عواقب فعلية.

على المستوى التقني، يُعد منع الموظفين من تمكين وحدات الماكرو (وحدات الماكرو هي عبارة عن تعليمات برمجيّة تستخدم لأتمتة المهام التي تتكرّر بشكل كبير عند استخدام تطبيقات أوفيس - Microsoft Office بغرض توفير الوقت المستغرق في تنفيذ هذه المهام) خطوة كبيرة نحو ضمان عدم تمكنهم من تشغيل ملف برامج الفدية عن غير قصد. على أقل تقدير، يجب على أصحاب العمل الاستثمار في برامج مكافحة الفيروسات وتحديثها باستمرار، بحيث يمكنها تحذير المستخدمين من الملفات الضارة المحتملة. نسخ الملفات المهمة احتياطيًا والتأكد من عدم اختراق هذه الملفات عن طريق تشفيرها بمفتاح آخر.

كم من الوقت يستغرق التعافي من هجوم فيروس الفدية؟

إذا كانت مؤسستك مجهزة ولديها نُسخ احتياطية، فيمكن للأنظمة إعادة الاتصال بالإنترنت في الوقت الذي تستغرقه الشبكة لاستعادة وظائفها، على الرغم من اعتماد وقت الاستعادة على حجم الشركة، فقد يتراوح ذلك من بضع ساعات إلى أيام. وبحسب إحدى الشركات فقد استغرق الأمر أسابيع لاستعادة شبكتها إلى حالة التشغيل الكامل، حتى أثناء استعادة الشبكة من النسخ الاحتياطية بعد رفض دفع الفدية.

ومع ذلك، في حين أنه من الممكن استعادة الوظائف على المدى القصير، أيضًا من الممكن أن تواجه المؤسسات صعوبة في إعادة تشغيل جميع الأنظمة كما هو الحال في هجوم Petya. حيث أكد أحد ضحايا الهجوم أن بعض عملياته لا تزال معطلة ولن تكون جاهزة للعمل بشكل كامل إلا بعد شهرين من هجوم بيتيا.

كيف يمكنني إزالة برامج الفدية؟

تقدم  مبادرة 'No More Ransom' التي أطلقتها "يوروبول -وكالة تطبيق القانون الأوربية-" و"الشرطة الوطنية الهولندية" في يوليو 2016م بالتعاون مع عدد من شركات الأمن السيبراني بما في ذلك Kaspersky Lab، أدوات فك تشفير مجانية لمتغيرات برامج الفدية لمساعدة الضحايا على استرداد بياناتهم المشفرة دون الخضوع لإرادة القراصنة المبتزون.

تقدم المبادرة أدوات فك التشفير لأربع عائلات من برامج الفدية Shade و Rannoh و Rakhn و CoinVault ويضيف المخطط بانتظام المزيد من أدوات فك التشفير لمزيد من إصدارات برامج الفدية.

يتم تحديث بوابة المبادرة -التي تحتوي أيضًا على معلومات ونصائح حول تجنب الوقوع ضحية لبرامج الفدية في المقام الأول قدر الإمكان- في محاولة لضمان توفر الأدوات لمحاربة أحدث أشكال برامج الفدية.

مبادرة No More Ransom

نمت المبادرة من تقديم مجموعة من أربع أدوات إلى حمل عدد كبير من أدوات فك التشفير التي تغطي مئات العائلات من برامج الفدية. حتى الآن، قامت هذه الأدوات بفك تشفير عشرات الآلاف من الأجهزة، وحرمت المجرمين الملايين من الدولارات. المنصة متاحة الآن بعشرات اللغات مع أكثر من 100 شريك عبر القطاعين العام والخاص الذين يدعمون المخطط.

هناك طريقة أخرى للتغلب على عدوى فيروس الفدية وهي التأكد من أن مؤسستك تنسخ البيانات احتياطيًا بشكل منتظم في وضع عدم الاتصال. قد يستغرق نقل ملفات النسخ الاحتياطي إلى جهاز جديد بعض الوقت، ولكن إذا أصيب جهاز كمبيوتر ولديك نسخ احتياطية، فمن الممكن فقط عزل هذه الوحدة ثم متابعة عملك. فقط تأكد من أن المحتالين الذين يقومون بعمليات التشفير غير قادرين على تشفير النسخ الاحتياطية أيضًا.

هل يجب علي دفع الفدية المطلوبة؟

هناك من يقول إن الضحايا يجب أن يدفعوا الفدية فقط، مستشهدين بأنها الطريقة الأسرع والأسهل لاسترداد بياناتهم المشفرة، حيث تم تسجيل حالات دفع من قبل العديد من المنظمات حتى عندما حذرت وكالات الأمن السيبراني القانونية من ذلك.

لكن كن حذرًا؛ إذا وردت أنباء عن أن مؤسستك هدف سهل لمجرمي الإنترنت؛ لأنها دفعت فدية، فقد تجد نفسك في مرمى مجرمي الإنترنت الآخرين الذين يتطلعون إلى الاستفادة من ضعف أمنك. وتذكر أنك تتعامل مع مجرمين هنا وطبيعتهم ذاتها تعني أنهم قد لا يحفظون كلمتهم، فلا يوجد ما يضمن أنك ستحصل على مفتاح فك التشفير، حتى لو كان بحوزتهم. حتى أن فك التشفير ليس ممكنًا دائمًا فهناك قصص عن ضحايا دفعوا فدية ولم يتم إرسال مفاتيح فك التشفير لهم.

هل يمكن التعرض لهجوم فدية على هاتفك الذكي؟

بالطبع، فقد ازدادت هجمات برامج الفدية على منصتي أندرويد و iOS بشكل كبير، حيث وجد مجرمو الإنترنت أن العديد من الأشخاص لا يدركون أن الهواتف الذكية يمكن مهاجمتها وأن محتويات الهواتف غالبًا ما تكون شخصية أكثر من الأشياء التي نحتفظ بها على أجهزة الكمبيوتر، وبالتالي هناك سبيل لتشفيرها للحصول على فدية بواسطة تعليمات برمجية ضارة والحصول على مبالغ كبيرة لقاء فك تشفير بيانات الهاتف أو ابتزاز الضحية بها.

يمكن التعرض لهجوم فدية أثناء محاولتك البحث عن نسخة مدفوعة لتطبيق ما، لذا يجب الانتباه الشديد لتلك المواقع التي تقوم بتحميل التطبيقات منها كي لا تقع بياناتك الشخصية رهينة.

صورة توضح كيف يتم تنفيذ هجمات برامج الفدية على هواتف أندرويد

يمكن أيضًا استخدام الهواتف الذكية كوسيلة لنقل فيروس الفدية إلى أنظمة الشركات عن طريف شبكات واي فاي المشتركة، وهو الأمر الذي حذر منه الخبراء الأمنيون لأنه يسبب أزمة حقيقية لتلك الشركات التي تسمح لموظفيها باستخدام الهواتف الذكية أثناء فترات عملهم.

في الحقيقة، يعد أي جهاز متصل بالإنترنت هدفًا محتملًا لبرامج الفدية، والتي تمت رؤيتها بالفعل وهي تغلق أجهزة التلفزيون الذكية!

كما تتمتع أجهزة إنترنت الأشياء بالفعل بسمعة سيئة فيما يتعلق بالأمان. ونظرًا لإقبال المستخدمين على هذه الأجهزة بشكل كبير، فإنهم سيوفرون المليارات على مجرمي الإنترنت، مما قد يسمح للقراصنة باحتجاز منزلك أو سيارتك أو ثلاجتك الذكية المتصلة بالشبكة كرهينة! (وهذا عامل أساسي في تحديد مبلغ الفدية الذي سيطلب من الضحية حيث تزداد الفدية بازدياد قيمة الرهينة).

وفي مارس 2018م، اتخذ الباحثون في IOActive خطوة إلى الأمام من خلال توضيح كيف يمكن أن يتعرض الروبوت المتاح تجاريًا لهجوم برامج الفدية. بالإضافة إلى جعل الروبوت يطلب الدفع شفهيًا من أجل إعادته إلى الوضع الطبيعي!

كما حذر مركز NCSC في المملكة المتحدة من أن النمو في المدن الذكية يمكن أن يكون أيضًا هدفًا للمهاجمين السيبرانيين. لك أن تتخيل كم سيكون مغريًا للمجرمين إرسال هجماتهم على مستوى مدينة كاملة وتعطيل الحركة فيها، ومقدار الفدية التي سيتم طلبها في هذه الحالة! بالطبع ستحل كارثة.