ماهو برنامج الفدية (Ransomware)؟
هو برنامج ابتزاز يمكنه قفل كمبيوتر الضحية، ثم المطالبة بفدية مقابل اطلاق سراحه.
فمعظم الحالات التي تصاب ببرنامج الفدية تحدث على النحو التالي:
1.يصل البرنامج الضار أولاً إلى الجهاز( اعتمادًا على نوع برنامج الفدية)؛
2. ثم يتم تشفير إما نظام التشغيل (OS) بأكمله أو الملفات الفردية؛
3.ثم يتم طلب فدية (ransom) من الضحية؛ لذلك إذا كنت ترغب في تقليل مخاطر هجوم برامج الفدية، فيجب أن تعتمد على برامج حماية عالية الجودة من برامج الفدية.
برامج الفدية(Ransomware): جزء من عائلة البرامج الضارة (البرمجيات الخبيثة)، هي مصطلح لكلمتَي “ضار(malicious)” و “برمجيات ( software) “وبالتالي، فإن مصطلح البرامج الضارة يغطي جميع البرامج الضارة التي يمكن أن تكون خطرة على جهاز الكمبيوتر الخاص بك؛ وهذا يشمل الفيروسات وأحصنة طروادة(Trojans).
بمعنى آخر:
برامج الفدية (Ransomware)
هي نوع من البرامج الضارة (malicious software) التي يستخدمها مجرمو الإنترنت(cybercriminals)؛ و في حالة إصابة جهاز كمبيوتر أو شبكة ببرنامج الفدية، يقوم برنامج الفدية (ransomware ) بحظر الوصول (block access ) إلى النظام أو تشفير بياناته، و يطالب مجرمو الإنترنت بفدية مالية من ضحاياهم مقابل الإفراج عن البيانات. للحماية من الإصابة بفيروس الفدية، يوصى باستخدام برنامج أمن (security software) مع أعين يقظة.
ضحايا هجمات البرامج الضارة (malware attacks) يتوفر لهم ثلاثة خيارات بعد الإصابة:
1.يمكنهم إما دفع الفدية(ransom).
2.أو محاولة إزالة البرامج الضارة (remove malware).
3.أو إعادة تشغيل الجهاز(restart the device).
تُستخدم نواقل الهجوم (Attack vectors ) بشكل متكرر عن طريق الابتزاز بأحصنة طروادة (extortion Trojans) وتشمل بروتوكول عن بُعد لسطح المكتب (Remote Desktop Protocol) ورسائل البريد الإلكتروني الاحتيالية (phishing emails) ونقاط ضعف البرامج ( software vulnerabilities). وبالتالي، يمكن لهجوم برامج الفدية أن يستهدف الأفراد (individuals ) والشركات ( companies).
أنواع برامج الفدية (Ransomware)
هناك نوعان شائعان جدًا من برامج الفدية:
1)برنامج الفدية (Locker ransomware)
يحظر هذا النوع من البرامج الضارة وظائف الكمبيوتر الأساسية. على سبيل المثال، قد يتم رفض وصولك إلى سطح المكتب، بينما يتم تعطيل الماوس ولوحة المفاتيح جزئيًا؛ ويتيح لك ذلك الاستمرار في التفاعل مع النافذة التي تحتوي على طلب الفدية من أجل إجراء الدفع؛ بصرف النظر عن ذلك، فإن الكمبيوتر غير صالح للعمل، ولكن هناك أخبار سارة: لا تستهدف البرامج الضارة في Locker عادةً الملفات المهمة؛ بشكل عام يريد فقط قفلك (lock you out)، وبالتالي فإن التدمير الكامل لبياناتك أمر غير محتمل.
2)برامج الفدية المشفرة (Crypto Ransomware)
الهدف من crypto ransomware هو تشفير بياناتك المهمة، مثل المستندات والصور ومقاطع الفيديو، ولكن لا تتداخل مع وظائف الكمبيوتر الأساسية؛ يؤدي هذا إلى انتشار الذعر لأن المستخدمين يمكنهم رؤية ملفاتهم ولكن لا يمكنهم الوصول إليها؛ غالبًا ما يضيف مطورو التشفير (Crypto developers)عدًا تنازليًا(countdown) لطلب الفدية(ransom): “إذا لم تدفع الفدية بحلول الموعد النهائي، فسيتم حذف جميع ملفاتك”. ونظرًا لعدد المستخدمين غير المدركين للحاجة إلى النسخ الاحتياطية في السحابة (cloud) أو على أجهزة التخزين المادية الخارجية (external physical storage devices)، يمكن أن يكون لبرامج الفدية المشفرة تأثير مدمر. ونتيجة لذلك، يدفع العديد من الضحايا الفدية لمجرد استعادة ملفاتهم.
الآن نعرف ما هو برنامج الفدية والنوعين الرئيسيين، بعد ذلك سوف نتعرف على بعض الأمثلة المعروفة التي ستساعدنا على تحديد المخاطر التي تشكلها برامج الفدية الضارة:
لوكي وبيتيا وشركاه (Locky, Petya and co)
لوكي (Locky)
عبارة عن برنامج فدية (ransomware) تم استخدامه لأول مرة في هجوم في عام 2016 من قبل مجموعة من المخترقين المنظمين(organized hackers)، حيث قام Locky بتشفير أكثر من 160 نوعًا من الملفات، وانتشر عن طريق رسائل بريد إلكتروني مزيفة (fake emails) يحتوي على مرفقات مصابة(infected attachments)، ووقع المستخدمون بسبب خدعة البريد الإلكتروني (email trick) وقاموا بتثبيت برنامج الفدية (installed the ransomware) على أجهزة الكمبيوتر الخاصة بهم؛ و تسمى طريقة الانتشار هذه بالتصيد الاحتيالي (phishing)، وهي شكل من أشكال ما يعرف بالهندسة الاجتماعية (social engineering). و تستهدف Locky ransomware أنواع الملفات التي غالبًا ما يستخدمها المصممون (designers) والمطورون (developers) والمهندسون (engineers) والمختبرين(testers).
بيتيا (Petya)
يجب عدم الخلط بينه وبين( ExPetr) هو هجوم فدية حدث في عام 2016 وأعيد إحيائه باسم GoldenEye في عام 2017. بدلاً من تشفير ملفات معينة، قامت برامج الفدية الضارة هذه بتشفير القرص الصلب(hard disk) بالكامل للضحية. تم ذلك عن طريق تشفير Master File Table (MFT)، مما جعل من المستحيل الوصول إلى الملفات الموجودة على القرص الصلب، و انتشر Petya ransomware إلى أقسام الموارد البشرية في الشركات عبر تطبيق مزيف يحتوي على رابط Dropbox مصاب.
نوع آخر من Petya هو Petya 2.0، والذي يختلف في بعض الجوانب الرئيسية ولكن من حيث كيفية تنفيذ الهجوم، كلاهما قاتل بنفس القدر للجهاز.
أريد البكاء (WannaCry)
عبارة عن هجوم من برامج الفدية (a ransomware attack) انتشر إلى أكثر من 150 دولة في عام 2017، وقد تم تصميمه لاستغلال ثغرة أمنية (a security vulnerability) في ويندوز ( Windows). وأثر WannaCry على 230.000 كمبيوتر في جميع أنحاء العالم، وسبب في أضرار تقدر بنحو 92 مليون جنيه إسترليني، حيث تم حظر المستخدمين وطُلبت منهم فدية تُدفع بعملة البيتكوين، حيث كشف الهجوم عن مشكلة الأنظمة القديمة.
الأرنب السيء (Bad Rabbit)
الأرنب السيء (Bad Rabbit): عبارة عن هجوم فدية (a ransomware attack) من عام 2017 انتشر عبر ما يسمى بهجمات (drive-by attacks)، و تم استخدام مواقع غير آمنة (Insecure websites ) لتنفيذ الهجمات، في هجوم برنامج الفدية drive-by attack، يقوم المستخدم بزيارة موقع ويب حقيقي غير مدرك أنه قد تم اختراقه من قبل المخترقين (hackers)، و بالنسبة لمعظم هجمات drive-by attacks، كل ما هو مطلوب هو أن يقوم المستخدم باستدعاء صفحة (call up a page) تم اختراقها بهذه الطريقة، ثم تشغيل برنامج تثبيت (installer) يحتوي على برامج ضارة مقنعة مما يؤدى إلى للإصابة .وهذا ما يسمى بقطارة البرامج الضارة( a malware dropper). مثال: طلب Bad Rabbit من المستخدم تشغيل و تثبيت Adobe Flash مزيف، وبالتالي إصابة الكمبيوتر ببرامج ضارة.
ريوك (Ryuk)
عبارة عن حصان طروادة للتشفير(an encryption Trojan)، انتشر في أغسطس 2018 وقام بتعطيل وظيفة الاسترداد (recovery function ) لأنظمة تشغيل ويندوز (Windows operating systems)، هذا جعل من المستحيل استعادة البيانات المشفرة (encrypted data) بدون نسخة احتياطية خارجية (external backup) كما قام ريوك بتشفير الأقراص الصلبة للشبكة (network hard disks).
العين الذهبية (GoldenEye)
أدى إحياء Petya بأسم GoldenEye إلى الإصابة ببرنامج الفدية في جميع أنحاء العالم في عام 2017. ضرب GoldenEye المعروف باسم “الأخ القاتل(deadly sibling)” لـ WannaCry، أكثر من 2000 هدف.
الظل (Shade/Troldesh)
وقع هجوم Shade أو Troldesh ransomware في عام 2015 وانتشر عبر رسائل البريد الإلكتروني العشوائية (spam) التي تحتوي على روابط أو مرفقات ملفات مصابة، ومن المثير للاهتمام أن مهاجمي Troldesh تواصلوا مباشرة مع ضحاياهم عبر البريد الإلكتروني، وحصل الضحايا الذين أقاموا معهم “علاقة جيدة” على خصومات. ومع ذلك، فإن هذا النوع من السلوك هو استثناء وليس قاعدة.
بانوراما (Jigsaw)
هو هجوم من برامج الفدية (a ransomware attack) بدأ في عام 2016، وقد حصل الهجوم على أسمه من صورة عرضها للدمية الشهيرة من سلسلة أفلام Saw مع كل ساعة إضافية تظل الفدية غير مدفوعة، يقوم Jigsaw ransomware بحذف المزيد من الملفات، تسبب استخدام صورة فيلم الرعب في ضغوط إضافية على الضحايا.
تشفير الخزانة (CryptoLocker)
عبارة عن برنامج فدية (ransomware) تم اكتشافه لأول مرة في عام 2007 وانتشر عبر مرفقات البريد الإلكتروني المصابة (via infected email attachments)، حيث بحث برنامج الفدية عن بيانات مهمة على أجهزة الكمبيوتر المصابة وقام بتشفيرها. تأثر ما يقدر بنحو 500,000 جهاز كمبيوتر، و تمكنت وكالات إنفاذ القانون وشركات الأمن في النهاية من السيطرة على شبكة عالمية من أجهزة الكمبيوتر المنزلية المختطفة (hijacked home computers) التي تم استخدامها لنشر CryptoLocker، سمح ذلك للوكالات والشركات باعتراض البيانات التي يتم إرسالها عبر الشبكة دون ملاحظة المجرمين، و في النهاية، أدى ذلك إلى إنشاء بوابة على الإنترنت حيث يمكن للضحايا الحصول على مفتاح لفتح بياناتهم، و سمح ذلك بالإفراج عن بياناتهم دون الحاجة إلى دفع فدية للمجرمين.
B0r0nt0k
عبارة عن برنامج فدية يشفر (crypto ransomware) ويركز بشكل خاص على الخوادم (Server)التي تعمل بنظامي التشغيل Windows و Linux، تقوم برامج الفدية الضارة هذه بتشفير ملفات خادم Linux وإرفاق امتداد ملف “.rontok” ، لا تشكل البرامج الضارة تهديدًا للملفات فحسب، بل تقوم أيضًا بإجراء تغييرات على إعدادات بدء التشغيل وتعطيل الوظائف والتطبيقات وإضافة إدخالات التسجيل (registry entries) والملفات والبرامج.
برنامج فدية Dharma Brrr
Brrr هو Dharma ransomware الجديد ، يتم تثبته يدويًا بواسطة المخترقين، الذين يقومون بعد ذلك باختراق خدمات سطح المكتب المتصلة بالإنترنت، و بمجرد تنشيط برنامج الفدية من قبل المخترقين، يبدأ في تشفير الملفات التي يعثر عليها، و يتم إعطاء البيانات المشفرة امتداد الملف “.id- [id]. [email] .brrr”.
برنامج الفدية FAIR RANSOMWARE
FAIR RANSOMWARE عبارة عن برنامج فدية يهدف إلى تشفير البيانات باستخدام خوارزمية قوية، حيث يتم تشفير جميع المستندات والملفات الخاصة بالضحية، فيضاف للملفات المشفرة بهذه البرامج الضارة امتداد الملف “FAIR RANSOMWARE”.
برنامج الفدية مادو(MADO ransomware)
هو نوع آخر من برامج الفدية المشفرة (crypto ransomware) يتم منح البيانات التي تم تشفيرها بواسطة برنامج الفدية هذا الامتداد “.mado” وبالتالي لم يعد من الممكن فتحها.
برنامج الفدية لورد برس (WordPress ransomware)
كما يوحي الأسم، يستهدف ملفات موقع WordPress، يتم ابتزاز الضحية من أجل الحصول على فدية، كما هو معتاد في برامج الفدية، فكلما زاد الطلب على موقع WordPress، زاد احتمال تعرضه للهجوم من قبل مجرمي الإنترنت (cybercriminals) باستخدام برامج الفدية.
برامج الفدية كخدمة (Ransomware as a Service)
تمنح برامج الفدية كخدمة مجرمي الإنترنت ذوي القدرات التقنية المنخفضة (low technical capabilities) الفرصة لتنفيذ هجمات برامج الفدية، و يتم توفير البرامج الضارة للمشترين، مما يعني مخاطر أقل ومكاسب أعلى لمبرمجي البرنامج.
م.أمـــل عبـــدالكــريـــم الأصبــــحي،،،
مصدر المعلومات موقع:https://www.kaspersky.com