فيروس WannaCry: تعريفه، تاريخه واساليب اختراقه
يعد فيروس wannacry “واناكراي” أحد أشهر الفيروسات في العالم، لما له من أضرار وسلبيات على أجهزة الحواسيب، فالفيروس ليس كأي نوع اخر من الفيروسات التي تصيب الملفات التنفيذية أو الملفات المكتبية أو الملفات المضغوطة
لكنه نوع غير مألوف يقوم بتشفير كل البيانات الموجودة بالكمبيوتر المصاب بجميع امتدادها، والذي أعاد للأذهان تدير فيروسات الفدية للبيانات وأعادها مرة أخرى للواجهة
وفي مقالنا اليوم سوف نستعرض لكم نبذة عن فيروس wannacry، وآلية هجومه وإصابته للبيانات وتأثيره على الأجهزة المصابة، كما سنضع لكم طرق الوقاية منه، وطريقة فك تشفير فيروس wannacry واستعادة البيانات دون دفع الفدية.
محتوي الموضوع
- 1 ما هو فيروس WannaCry ؟
- 2 كيفية إصابة البيانات بفيروس wannacry؟
- 3 تحميل ملف مصاب
- 4 الضغط على رابط ملغوم
- 5 توصيل فلاشة أو هارد خارجي بالكمبيوتر
- 6 فتح مرفقات ايميل مجهول
- 7 الدخول إلى المواقع التي تسمح بالنوافذ المنبثقة
- 8 آلية إصابة فيروس wannacry للملفات
- 9 طرق الحماية من فيروس WannaCry
- 10 تحديث نظام الويندوز بإستمرار
- 11 استخدام انتي فايروس قوي
- 12 لا تتعامل مع الروابط المشبوهة أو المجهولة
- 13 قم بتحميل أخر تحديث للمتصفح
- 14 قم بعمل نسخة احتياطية
- 15 استخدام خاصية Deep Freeze
- 16 طريقة فك تشفير فيروس WannaCry واستعادة البيانات
- 17 استخدام اسطوانة انتي فايروس للحالات الطارئة
- 18 استخدام مواقع فك تشفير الملفات المصابة بفايروس WannaCry
ما هو فيروس WannaCry ؟
فيروس wannacry أحد أنواع فيروسات الفدية والذي ظهر لأول مرة خلال قوة تدميرية هائلة للبيانات عن طريق تقييد عملها عن المستخدمين وفرض فدية لاستعادة إمكانية الوصول إليها مرة أخرى، وقد ظهرت أولى هجماته في الولايات المتحدة في مايو عام 2017
وقد استطاع الفيروس التوغل نحو 150 ألف كمبيوتر في فترة وجيزة، ولم تستطع هذه الأجهزة سواء كانت شخصية أو أجهزة مؤسسات أن تتصدى له، وكانت النتيجة إما أن يودعوا بياناتهم؛ أو أن يدفعوا الفدية عن طريق العملة المشفرة بتكوين
كان الوضع خطير جدا للجميع خاصة شركة ميكروسوفت التي علمت فيما بعد أن ثغرة أمنية قد حدثت أثناء تحديث جديد بالويندوز “رقم MS17-010” في بروتوكول SMB1 الخاص بنقل الملفات والبيانات سحابيا، وقد استغلها مطوروا فيروس wannacry في تنفيذ هجومهم، فقامت ميكروسوفت بإنزال ترقيعات أمنية سريعة لغلق تلك الثغرات مع دعم الحماية لويندوز XP الذي قد ألغي عنه الدعم منذ 3 سنوات
وفي تلك الأثناء التي جنى فيها فيروس واناكراي الكثير من الأموال في وقت وجيز؛ أدى إلى ظهور الكثير من فيروسات الفدية على السطح مثل فيروس بيتيا وباد رابيت وغيرهم
كيفية إصابة البيانات بفيروس wannacry؟
اعتدنا دائما أنه لا توجد حماية مطلقة؛ حتى لأعتى المؤسسات الأمنية؛ لذا فإن عرضة إصابة الكمبيوتر لفيروس واناكراي wannacry واردة خاصة إذا ما كنت ذو علم سيبراني قليل ، ففيروس wannacry يقوم بالتسلل إلى جهازك بأكثر من طريقة منها:
تحميل ملف مصاب
أبسط طريقة للإصابة بفيروس wannacry هو تحميل ملف من الأنترنت يكون مصاب بالفيروس، أو ملغم به، وقتها يكون الفيروس قد اقتحم جهازك، وبمجرد فتح الملف المصاب يقوم الفيروس بعمله في تشفير البيانات وتوليد شاشة الإصابة به مع رسالة الفدية التي تدعوك بالدفع في غضون 3 أيام على أكثر تقدير، وإن لم يتم الدفع يقوموا بتدمير بياناتك كليا
الضغط على رابط ملغوم
قد يظهر منه نافذات منبثقة تحقن جهازك بالفيروس وتجعله عرضة للتفعيل السريع لعمل الفيروس.
توصيل فلاشة أو هارد خارجي بالكمبيوتر
يؤدي ذلك إلى التمكين السريع لفيروس واناكراي wannacry، فالفيروس يكون وقتها على وسيط تخزين محلي، تجعل التشفير أسرع من الحذف المباشر من الانتي فيروس. أي أنه قد يكتشف الانتي فيروس وجود الواناكراي ولكن بعد تشفير البيانات.
فتح مرفقات ايميل مجهول
يؤدي ذلك إلى الكثير من المشكلات التي تصعب مواجهتها من قبل الانتي فيروس، وقد ظهرت تلك الايميلات باستمرار من قبل مطوروا فيروسات الفدية لأنها طريقة فعالة لا يتنبأ بخطورتها الكثير من المستخدمين.
الدخول إلى المواقع التي تسمح بالنوافذ المنبثقة
تؤدي هذه النوافذ التي تكون بمنزلة باك دور لزرع الفيروسات بجهازك بدون علم منك، وقد أتلفت تلك النوافذ الكثير من الأجهزة التي لم يعر مستخدموها أهتماما بتلاشيها.
آلية إصابة فيروس wannacry للملفات
عندما يصاب جهاز ما بفيروس واناكراي يقوم الفيروس بعمل بعض الخطوات التي تؤهله لتقييد البيانات وهي مرحلة تفعيل الفيروس والتي يتم فيها بالضغط على ملف المصاب أو منفذ التشغيل للفيروس، والتي يقوم الفيروس فيها بتفعيل خوارزمياته في الاتصال بالسيرفر الخاص به
ومن ثم تغيير امتدادات الملفات عبر تغيير قيم heads وfooter الملفات بمختلف امتداداتها لجعلها جميعا بملحقة واحدة هي .WCRY
وخلال التشفير يقوم الفيروس بإلغاء عمل Task manager عبر أمر: taskkill /f /im
ثم التحكم بالريجيستري عن طريق وضع جدولة لأوامر محددة بالويندوز ووضع خلفية خاصة بالفيروس تكون بهذه القيمة
“HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop!WannaCryptor!.bmp”
أخيرا إذا كانت هناك أي أجهزة تعمل بنظام الويندوز بالشبكة فغن الفيروس يمتد إليها مباشرة هي الأخرى لتخريبها وتشفير امتداداتها، وبعد إتمام كل الخطوات السابقة يكون الفيروس قد نجح فعليا في عمله في تشفير البيانات وإظهار طرق الدفع من خلال رسالة الفدية، علما بأن الفيروس لا يأخذ إلا أجزاء من الثانية لإتمام مهامه.
طرق الحماية من فيروس WannaCry
قالوا قديما أن الوقاية خير من العلاج.. وهي مقولة صحيحة في كل الأمور وإذا قمنا بتفعيل هذه العبارة فلن يصيبنا فيروس الفدية أبدا، وخلال السطور القادمة سنقدم لك طرق الحماية من فيروس wannacry حتى لا نفقد ملفاتنا خاصة المهمة زمنيا أو عمليا
لحماية البيانات من فيروس الفدية فيروس WannaCry يجب اتباع الخطوات التالية:
تحديث نظام الويندوز بإستمرار
تحديث نظام التشغيل الخاص بك سواء كان ويندوز 10 أو ويندوز 8.1، والمتابعة في التحديث باستمرار.
استخدام انتي فايروس قوي
تثبيت انتي فيروس جيد وعدم الاعتماد على ويندوز ديفيندر وحده، نرشح لك انتي فيروس كاسبرسكي أو برنامج بت دفيندر أو أفيرا انتي فيروس.
كما يمكنكم الاطلاع على قائمة اشهر اسماء برامج انتي فايروس، وأيضا افضل برنامج انتي فايروس مجاني للكمبيوتر، وللعلم الانتي فيروس المدفوع أفضل بكثير من المجاني لأسباب سنذكرها في مقال أخر.
لا تتعامل مع الروابط المشبوهة أو المجهولة
يمكنك الاعتماد على إضافات منع الإعلانات بالمتصفحات للحماية القصوى، ونرشح لك هذه الإضافة للحماية من الروابط المشبوهة والإعلانات خاصة المنبثقة Avira Browser Safety ستجد رابط تحميلها داخل المصادر.
قم بتحميل أخر تحديث للمتصفح
يجب عليك تحميل احدث اصدار من اي متصفح الكتروني تقوم بإستخدامه، خاصة أيدج أو جوجل كروم أو فايرفوكس، ولا يفضل استخدام متصفحات مجهولة، ونحن نرشح لك استخدام هذا المتصفح الرائع Brave، يمكنك الاطلاع على افضل متصفح امن لشبكة الانترنت لحمايتك بالكامل
عند تحميل أي ملف من الانترنت من خلال مواقع مجهولة يفضا أن تكشف عليه قبل الاستخدام؛ وذلك عن طريق حوالي 70 محرك بحث من خلال موقع فيروس توتال، وتأكد أن كل المحركات الكبيرة تبدو بالموافقة باللون الأخضر
لا تفتح مزامنة الملفات باستمرار، لابد من الاستخدام عند الحاجة، كي لا يحدث أي تغلغل للوانا كراي إلى الملفات المزامنة حالة الإصابة به.
إذا استطعت الاستغناء عن Windows Script Host وWindows PowerShell فنعم العمل؛ لأن فيروس وانا كراي أو أي من فيروسات الفدية يعتمد عليها في التنفيذ حيث الأسلوب الآمن له والاسهل في الانتشار.
قم بعمل نسخة احتياطية
قم بعمل حفظ للملفات المهمة لديك على أي هارد ديسك خارجي، فهذه هي أهم النقاط التي توفر عليك الكثير من العناء، وذلك عن طريق برامج Backup، يمكنك استخدام برامج مثل أكرونيس ترو إيميدج “acronis true image”، أو أي برنامج مشابهة له لإنجاز المهمة.
استخدام خاصية Deep Freeze
أيضا تستطيع ما يسمى بتجميد الملفات مثل خاصية برنامج Deep Freeze الذي يحفظ الملفات من أي تغيير ويستعيد حالتها لما كانت قبل إعادة تشغيل الجهاز، وبالفعل هذه الطريقة قد واجهت فيروس wannacry بسهولة
فحتى بعد إصابة جميع الملفات وتشفيرها تمت استعادة الملفات كما كانت فور إعادة تشغيل الويندوز وكأن شيئا لم يكن. كما قامت ميكروسوفت بدمج هذه الخاصية تحت مسمى ransomware مدرجة في برنامج ويندوز دفيندر
ولا تنسي ايضاً ان تقم بإغلاق خاصية AutoPlay بالويندوز، ولا توصل أي هارد خارجي أو فلاشة مجهولة بجهازك، وقم بإغلاق بروتوكول نقل البيانات بالويندوز SMB 1، ولا تفتح مرفقات الايميلات المجهولة، خاصة المرفقات ذات الامتدادات التنفيذية أو المكتبية.
طريقة فك تشفير فيروس WannaCry واستعادة البيانات
إذا أصيب جهازك بفيروس wannacry فالحل أصبح متاح الأن وسنعطيك الكثير من الحلول، أولا حال إصابتة ملفاتك بفيروس الفدية وتشفيرها، فلابد من إجراء الخطاوت التالية:
استخدام اسطوانة انتي فايروس للحالات الطارئة
قم بفصل الانترنت عن الكمبيوتر المصاب، ثم قم بعمل فحص للملفات بأي برنامج انتي فيروس قوي، ويمكننا القول أن بعد التشفير العام للملفات يكشف الفيروس عن نفسه لأنه قد أدى مهمته، ويمكنك استخدام أسطوانة انتي فيروس للطوارئ مثل: اسطوانة انقاذ Eset Sysrescue Live CD او اسطوانة انقاذ BitDefender Rescue CD او اسطوانة الانقاذ Avast
فهذه الأسطوانات مبنية على بيئة لينكس، ولن تسمح بنشر أي فيروسات، حتى وإن كانت موجودة فإنها ستكون في وضع خامل يسهل حذفها.
بعد حذف فيروس wannacry نقوم بإعادة تشغيل الجهاز المصاب، وسنواجهة مشكلة فك تشفير البيانات.
استخدام مواقع فك تشفير الملفات المصابة بفايروس WannaCry
يمكنك الاعتماد على منصات فك التشفير التي توفر طرق استعادة البيانات المشفرة، وهي
موقع Ransom ID هذا الموقع يقدم حلول لاستعادة بيانات مشفرة لأكثر من 900 نوع من أنواع فيروس الفدية؛ من بينها فيروس wannacry، فكل ما عليك هو رفع ملف مشفر كعينة، ويفضل أن يكون ذو حجم صغير، مع رفع مذكرة التشفير لتي يظهرها الفيروس عند تفعيله بتشفير البيانات.
موقع no more ransom فكرة هذا الموقع هو تقديم برمجيات شاملة من كل شركات الانتي فيروس لفك تشفير البيانات بدون دفع الفدية.
موقع crypto stopper هذا الموقع يقدم قائمة طويلة بالامتدادات المشهورة بتشفير الملفات، ستجد أن بها أدوات لفك تشفير فيروس wannacry متوفرة من جميع شركات الانتي فيروس
أيضا هناك برنامج 360 Ransomware Decryption، أو يمكنكم استخدام Acronis Ransomware Protection لانه يستطيع استعادة البيانات من تشفير فيروس wannacry، ليس ذلك فحسب بل إنه يستطيع أيضا التصدي لأي تحركات الواناكراي
كما يمكن الاستعانة بأداة كاسبرسكاي Kaspersky Anti-Ransomware Tool
أخيرا يمكننا القول بأن أفضل حماية للمستخدم هي وعيه وثقافته ومدي معرفته بأمور الأمن السيبراني؛ لذا ندعوكم للقراءة باستمرار عن أمور الحماية السيبرانية، والاعتماد على البرامج الشرعية والبعد عن التطبيقات المقرنصة.
أيضا يمكنكم الاطلاع على قسم الانتي فيروس والحماية لاختيار ما يناسبك من البرامج من خلال هذا القسم الذي يضع مقارنة بين كل أنواع الأنتي فيروس المشهورة في العالم.
في الختام نرجو أن يكون المقال مفيد في التوعية ضد فيروس wannacry الذي دمر الكثير من البيانات عبر سنوات قليلة مضت، مع إمداداكم بالطرق المتنوعة لاستعادة البيانات المشفرة.
التعليقات