هذا الهجوم مثير للقلق لأنه هو الهجوم الرئيسي الثاني رانسومواري في شهرين ، والتي أثرت على الشركات في جميع أنحاء العالم. قد تتذكر أنه في مايو ، أصيبت خدمة الصحة الوطنية ، NHS ، في بريطانيا ، ببرامج ضارة تسمى WannaCry. أثر هذا البرنامج على NHS والعديد من المنظمات الأخرى في جميع أنحاء العالم. تم الكشف لأول مرة عن WannaCry للجمهور عندما تم الإفراج عن وثائق مسربة ذات الصلة بـ NHS على الإنترنت من قبل المتسللين المعروفين باسم Shadow Brokers في أبريل.
أثر برنامج WannaCry ، المعروف أيضًا باسم WannaCrypt ، على وجود ما يزيد عن 230،000 جهاز كمبيوتر ، والتي كانت موجودة في أكثر من 150 بلدًا في جميع أنحاء العالم. بالإضافة إلى NHS ، تعرضت Telefonica ، وهي شركة هاتفية إسبانية ، وخطوط السكك الحديدية الحكومية في ألمانيا للهجمات.
على غرار WannaCry ، ينتشر "Petya" بسرعة عبر الشبكات التي تستخدم Microsoft Windows. لكن السؤال هو ما هو؟ نحن نريد أيضا أن نعرف لماذا يحدث وكيف يمكن وقفها.
ما هو رانسومواري؟
أول شيء يجب أن تفهم هو تعريف ransomware . أساسا ، هو أي نوع من البرامج الضارة الفدية التي تعمل على منع وصولك إلى جهاز كمبيوتر أو بيانات. بعد ذلك ، عندما تحاول الوصول إلى هذا الكمبيوتر أو البيانات الموجودة عليه ، لا يمكنك الوصول إليه إلا إذا دفعت فدية. سيئة جدا ، وبصراحة يعني!
كيف يعمل Ransomware؟
من المهم أيضًا فهم كيفية عمل ransomware. عندما يصاب جهاز الكمبيوتر بفيروس رانسومواري ، يصبح مشفراً. هذا يعني أن المستندات الموجودة على جهاز الكمبيوتر الخاص بك مقفلة ، ولا يمكنك فتحها دون دفع فدية. لمزيد من تعقيد الأمور ، يجب أن تدفع الفدية في Bitcoin ، وليس نقدًا ، للحصول على مفتاح رقمي يمكنك استخدامه لإلغاء تأمين الملفات. إذا لم يكن لديك نسخة احتياطية من ملفاتك ، فلديك خياران: يمكنك دفع الفدية ، والتي عادة ما تكون بضع مئات من الدولارات إلى عدة آلاف من الدولارات ، أو تفقد الوصول إلى جميع ملفاتك.
كيف يعمل "Petya" Ransomware؟
يعمل "Petya" رانسومواري مثل معظم رانسومواري. فإنه يأخذ على الكمبيوتر ، ثم يسأل عن 300 دولار في Bitcoin. هذه عبارة عن برنامج ضار ينتشر بسرعة عبر شبكة أو مؤسسة بمجرد إصابة جهاز كمبيوتر واحد. يستخدم هذا البرنامج المحدد ثغرة أمنية EternalBlue ، والتي تعد جزءًا من Microsoft Windows. على الرغم من أن Microsoft أصدرت الآن تصحيحًا لثغرة أمنية ، فلم يثبته الجميع. من المحتمل أيضًا أن يتم نشر أداة "الفدية" من خلال أدوات Windows الإدارية ، والتي يمكن الوصول إليها في حالة عدم وجود كلمة مرور على جهاز الكمبيوتر. إذا لم تتمكن البرامج الضارة من الوصول إلى طريقة واحدة ، فإنها تحاول تلقائيًا محاولة أخرى ، وهو كيفية انتشارها بسرعة بين هذه المؤسسات.
وهكذا ، ينتشر "Petya" أسهل بكثير من WannaCry ، وفقا لخبراء الأمن السيبراني.
هل هناك أي وسيلة لحماية نفسك من "بيتيا"؟
ربما تتساءل في هذه المرحلة إذا كان هناك أي وسيلة لحماية نفسك من "Petya". وقد زعمت معظم شركات مكافحة الفيروسات الرئيسية أنها قامت بتحديث برامجها ليس للمساعدة في الكشف فقط ، بل للحماية من عدوى "Petya" الخبيثة. على سبيل المثال ، يوفر برنامج Symantec الحماية من "Petya" ، وقد قامت Kaspersky بتحديث كافة برامجها لمساعدة العملاء على حماية أنفسهم من البرامج الضارة. علاوة على ذلك ، يمكنك حماية نفسك من خلال الحفاظ على تحديث ويندوز. إذا لم تقم بأي شيء آخر ، فعلى الأقل قم بتثبيت التصحيح المهم الذي أصدره Windows في مارس ، والذي يدافع ضد ثغرة أمنية EternalBlue هذه. هذا يوقف أحد الطرق الرئيسية للإصابة ، ويحمي أيضا ضد الهجمات في المستقبل.
وهناك خط دفاع آخر من أجل تفشي فيروسات "بيتيا" ، وهو متاح أيضًا ، ولم يتم اكتشافه إلا مؤخرًا. تقوم البرامج الضارة بالتحقق من محرك الأقراص C: \ لملف للقراءة فقط يسمى perfc.dat. إذا عثر البرنامج الضار على هذا الملف ، فلن يقوم بتشغيل التشفير. ومع ذلك ، حتى إذا كان لديك هذا الملف ، فإنه لا يمنع الإصابة بالبرامج الضارة. لا يزال بإمكانه نشر البرامج الضارة إلى أجهزة الكمبيوتر الأخرى على الشبكة حتى إذا لم يلاحظ المستخدم ذلك على جهاز الكمبيوتر الخاص به.
لماذا تسمى هذه البرامج الضارة "بتيا"؟
قد تتساءل أيضًا عن سبب تسمية هذا البرنامج الضار باسم "Petya". في الواقع ، لا يُطلق عليه "Petya" من الناحية الفنية. وبدلاً من ذلك ، يبدو أنه يشارك الكثير من الشفرات مع قطعة قديمة من رانسومواري كانت تسمى "Petya". لكن في أعقاب التفشي الأولي ، أشار خبراء أمنيون إلى أن هاتين الحالتين غير متطابقتين كما كان يعتقد في البداية. لذا ، بدأ الباحثون في شركة كاسبرسكي لاب في الإشارة إلى البرمجيات الخبيثة على أنها "NotPetya" (وهذا أصلي!) بالإضافة إلى أسماء أخرى بما في ذلك "Petna" و "Pneytna". بالإضافة إلى ذلك ، أطلق باحثون آخرون اسم البرنامج على أسماء أخرى بما في ذلك "Goldeneye" ، بيتدفندر ، من رومانيا ، بدأ يطلق عليه. ومع ذلك ، فقد كانت "بيتيا" عالقة بالفعل.
من أين بدأت "بتيا"؟
هل تتساءل أين بدأت "Petya"؟ يبدو أنه بدأ من خلال آلية تحديث من البرامج المضمنة في برنامج محاسبة معين. كانت هذه الشركات تعمل مع الحكومة الأوكرانية والتي تطلبها الحكومة لاستخدام هذا البرنامج بالتحديد. هذا هو السبب في أن العديد من الشركات في أوكرانيا قد تأثرت بهذا. وتشمل المنظمات البنوك والحكومة ونظام المترو في كييف ومطار كييف الرئيسي ومرافق الكهرباء الحكومية.
كما تأثر النظام الذي يراقب مستويات الإشعاع في تشيرنوبيل بفيروس الرانس ، وتم التقاطه في نهاية المطاف دون اتصال بالإنترنت. أجبر هذا الموظفين على استخدام أجهزة يدوية يدوية لقياس الإشعاع في منطقة الحظر. علاوة على ذلك ، كانت هناك موجة ثانية من عدوى البرمجيات الخبيثة التي أنتجتها حملة تضم مرفقات البريد الإلكتروني ، والتي كانت مليئة ببرامج ضارة.
إلى أي مدى انتشرت عدوى "بيتيا"؟
انتشرت "Petya" ransomware على نطاق واسع ، وأعاقت عمل الشركات في كل من الولايات المتحدة وأوروبا. على سبيل المثال ، تأثرت أيضا شركة WPP ، وهي شركة إعلانات في الولايات المتحدة ، وسانت جوبان ، وهي شركة مواد بناء في فرنسا ، وشركة روسنفط وإيفراز ، شركات النفط والصلب في روسيا. كما تعرضت شركة Pittsburgh ، وهي شركة Heritage Valley Health Systems ، للضرب من قبل برنامج "Petya" الخبيث. تدير هذه الشركة المستشفيات ومرافق الرعاية في جميع أنحاء منطقة بيتسبرغ.
ومع ذلك ، على عكس WannaCry ، تحاول البرامج الضارة "Petya" الانتشار بسرعة عبر الشبكات التي تصل إليها ، ولكنها لا تحاول نشر نفسها خارج الشبكة. قد تكون هذه الحقيقة وحدها قد ساعدت بالفعل الضحايا المحتملين لهذه البرامج الضارة ، لأنها حدت من انتشارها. لذا ، يبدو أن هناك انخفاض في عدد الإصابات الجديدة التي شوهدت.
ما هو الدافع لمجرمي الإنترنت الذين يرسلون "بيتيا"؟
عندما تم اكتشاف "Petya" في البداية ، يبدو أن اندلاع البرمجيات الخبيثة كان مجرد محاولة من قبل مجرمي إنترنت للاستفادة من تسريب أسلحة الإنترنت عبر الإنترنت. ومع ذلك ، عندما بدا المحترفون الأمنيون أكثر قربًا من تفشي برامج "بتيا" الخبيثة ، يقولون إن بعض الآليات ، مثل طريقة الدفع ، تكون هواة تمامًا ، لذا فهم لا يعتقدون أن مجرمي الإنترنت الجديين هم وراء ذلك.
أولاً ، تتضمن ملاحظة الفدية التي تأتي مع البرامج الضارة "Petya" نفس عنوان الدفع بالضبط لكل ضحية ضارة. هذا أمر غريب لأن المحترفين ينشئون عنوانًا مخصصًا لكل من ضحاياهم. ثانياً ، يطلب البرنامج من ضحاياه الاتصال مباشرة مع المهاجمين عبر عنوان بريد إلكتروني محدد ، والذي تم تعليقه على الفور عندما تم اكتشاف أن عنوان البريد الإلكتروني كان يستخدم لضحايا "بيتيا". هذا يعني أنه حتى لو دفع الشخص مبلغ 300 دولار فدية ، فإنه لا يستطيع التواصل مع المهاجمين ، وعلاوة على ذلك ، لا يمكنهم الوصول إلى مفتاح فك التشفير لفتح جهاز الكمبيوتر أو ملفاته.
من هم المهاجمون ، إذن؟
لا يعتقد خبراء الأمن السيبراني أن مجرمي الإنترنت المحترفين هو وراء البرامج الضارة "Petya" ، فمن هو؟ لا أحد يعلم في هذه المرحلة ، ولكن من المرجح أن الشخص أو الأشخاص الذين أطلقوا هذا البرنامج أرادوا أن تبدو البرامج الخبيثة مثل الفدية البسيطة ، ولكن بدلاً من ذلك ، فإنها أكثر تدميرًا من الفدية التقليدية. يعتقد أحد الباحثين الأمنيين ، نيكولاس ويفر ، أن "بتيا" هو هجوم خبيث ومدمر ومتعمد. يعتقد باحث آخر ، الذي يذهب إلى Grugq ، أن "Petya" الأصلي كان جزءًا من منظمة إجرامية لكسب المال ، لكن "Petya" لا تفعل الشيء نفسه. كلاهما يتفقان على أن البرمجيات الخبيثة صُممت لتنتشر بسرعة وتتسبب في الكثير من الضرر.
كما ذكرنا ، ضربت أوكرانيا "بيتيا" بشدة ، وألمحت البلاد إلى روسيا. هذا ليس مفاجئًا نظرًا لأن أوكرانيا ألقت باللوم على روسيا في عدد من الهجمات الإلكترونية السابقة أيضًا. حدث واحد من هذه الهجمات الإلكترونية في عام 2015 ، وكان يستهدف شبكة الطاقة الأوكرانية. انتهى الأمر في نهاية المطاف ترك أجزاء من غرب أوكرانيا دون أي سلطة. لكن روسيا نفت أي تورط لها في الهجمات السيبرانية على أوكرانيا.
ماذا يجب أن تفعل إذا كنت تعتقد أنك ضحية من رانسومواري؟
هل تعتقد أنك قد تكون ضحية لهجوم بفدية؟ هذا الهجوم على وجه الخصوص يصيب جهاز الكمبيوتر وينتظر حوالي ساعة قبل أن يبدأ الكمبيوتر في إعادة التشغيل التلقائي. إذا حدث ذلك ، حاول إيقاف تشغيل الكمبيوتر فورًا. قد يؤدي ذلك إلى منع تشفير الملفات الموجودة على جهاز الكمبيوتر. عند هذه النقطة ، يمكنك محاولة إخراج الملفات من الجهاز.
إذا انتهى الكمبيوتر من إعادة التشغيل ولم تظهر فدية ، فلا تدفعها. تذكر ، يتم إغلاق عنوان البريد الإلكتروني المستخدم لجمع المعلومات من الضحايا وإرسال المفتاح. لذلك ، بدلاً من ذلك ، قم بفصل جهاز الكمبيوتر من الإنترنت والشبكة ، وقم بإعادة تهيئة القرص الصلب ، ثم استخدم نسخة احتياطية لإعادة تثبيت الملفات. تأكد من أنك تقوم دائمًا بنسخ ملفاتك على أساس منتظم واحتفظ دومًا ببرنامج مكافحة الفيروسات الخاص بك محدثًا.