طرق الحماية من فيروس الفدية الجديد Petya الذي اجتاح العالم!
مشرفي موقع "نيُو تِكْ" يرحبون بكم في هذا الموضوع.
منذ شهرين تقريبا، ضرب فيروس الفدية
“WannaCry” أكثر من 230 ألف جهاز كمبيوتر وخادم في جميع أنحاء العالم.
الآن، موجة أخرى جديدة من فيروس الفدية باسم “Petya”
تضرب من جديد وتقوم بتشفير الملفات مقابل 300 دولار لقاء فك التشفير.
واستهدف الفيروس الجديد منشآت مهمة وحيوية فى أوروبا مثل محطة تشرنوبل النووية لإنتاج الكهرباء ومورد الكهرباء فى أوكرانيا.
يستهدف الفيروس أوروبا بشكل خاص والعالم بشكل عام حيث أنه يستغل
نفس الثغرة الخاصة بـ “WannaCry” والموجودة فى بعض إصدارات نظام التشغيل
ويندوز (Eternal Blue) والتي تم تسريبها بواسطة مجموعة Shadow Brokers من
وكالة الأمن القومي الأمريكية. وأصدرت مايكروسوفت تحديث لنظام الويندوز بعد
انتشار “WannaCry” لسد الثغرة المستغلة إلا أن عدد من الضحايا أبلغوا
بإصابتهم بالفيروس الجديد رغم تحديثهم للنظام.
علي الرغم من التشابه بين “Petya” و “WannaCry” إلا أن نظام التشفير مختلف تمامًا حيث أنه لا يقوم بتشفير الملفات واحدًا تلو الآخر. بدلًا من ذلك، يقوم بتشفير ال Master Boot Record أو MBR الخاصة بالهارد ديسك بالكامل وذلك فى حالة الحصول على صلاحيات الأدمن حيث أنها تمنع الـ loader من قراءة أي جداول للملفات والتي تحتوي على كل معلومات الملفات الموجوده على الجهاز بالكامل ثم يقوم بعرض رسالة مفادها أن الـ MBR تم تشفيره بالكامل ويجب دفع ٣٠٠ دولار فدية من أجل استرداد الملفات، أما فى حالة عدم حصول “Petya” على صلاحيات الأدمن فإنه يقوم بتشفير الملفات بطريقة عادية جدًا مثل أي فيروس فدية سابق.
هذه الصورة تبين أن الفيروس يقوم بطلب 300 دولار من الضحية مقابل فك تشفير ملفاته وطرق التواصل من أجل الدفع والحصول على مفتاح فك التشفير حيث جاء النص قائلًا: “إذا كنت ترى هذا النص، فإن الملفات الخاصة بك لم يعد الوصول إليها متاحًا، لأنها مشفرة. ربما تكون مشغولًا في البحث عن وسيلة لاستعادة الملفات الخاصة بك، ولكن لا تضيع وقتك. لا أحد يستطيع استرداد الملفات الخاصة بك دون خدمة فك التشفير الخاصة بنا”. ووفقًا لخدمة “VirusTotal scan” فإن 16 فقط من أصل 61 خدمات مكافحة الفيروسات استطاعت بنجاح الكشف عن “Petya” فيروس الفدية الجديد.
لا تدفع من أجل استرجاع ملفاتك
فى حالة إصابتك بالفيروس وكانت ملفاتك مهمة جدًا لاسترجاعها فى الوقت الحالي فلا فائدة من الدفع حيث علقت Posteo مزود البريد الإلكتروني الألماني، عنوان البريد الإلكتروني wowsmith123456@posteo.net، الذي كان يستخدمه مجموعة المجرمين للتواصل مع الضحايا بعد الحصول على الفدية لإرسال مفاتيح فك التشفير.
ثانيًا: قم بتعطيل بروتوكول SMB الإصدار ١ (مايكروسوفت قامت بتعطيله بالفعل فى آخر اصدار من ويندوز ١٠). وإليك طريقة تعطيله من مايكروسوفت هنا وأيضًا قم بتعطيل الـ WMIC Service والطريقه من هنا.
ثالثًا: النسخ الاحتياطي مهم جدًا فيجب أخذ نسخة احتياطية من ملفاتك كما يجب أن تكون في أماكن معزولة عن الإنترنت بالكامل مثل هارد ديسك خارجي.
وللحفاظ علي الأجهزة الموجودة بالشبكة ومنع انتشار الفيروس من جهاز لآخر فقد اكتشف الباحثون طريقة لايقاف انتشاره بواسطة إنشاء ملف فارغ داخل الامتداد C:\Windows بإسم “perfc”.
أما في حالة إصابة جهازك بالفيروس فإنه يحاول إعادة تشغيل الجهاز ثم اظهار الرسالة الخاصة بالدفع فى هذا الوقت تحديدا يبدأ “Petya ” بتشفير ملفات الهارد درايف أو ال MBR على حسب الصلاحيات التي حصل عليها قبل إعادة التشغيل في ذلك الوقت يجب بدلاً من أن تقلع أو تقوم بعمل بوت (boot) من الهارد درايف قم بتنزيل Hiren’s Boot CD أو أي Live CD وقم بالإقلاع منه ثم قم بعمل نسخ احتياطي أو استعادة للملفات الخاصة بك على قرص صلب خارجي.
وأخيرًا لا تحاول نهائيا فتح أي رابط لا تثق فيه حتى لو جاء عن طريق صديق لك واحذر من رسائل البريد العشوائية و الغريبة التي تصل إليك.
علي الرغم من التشابه بين “Petya” و “WannaCry” إلا أن نظام التشفير مختلف تمامًا حيث أنه لا يقوم بتشفير الملفات واحدًا تلو الآخر. بدلًا من ذلك، يقوم بتشفير ال Master Boot Record أو MBR الخاصة بالهارد ديسك بالكامل وذلك فى حالة الحصول على صلاحيات الأدمن حيث أنها تمنع الـ loader من قراءة أي جداول للملفات والتي تحتوي على كل معلومات الملفات الموجوده على الجهاز بالكامل ثم يقوم بعرض رسالة مفادها أن الـ MBR تم تشفيره بالكامل ويجب دفع ٣٠٠ دولار فدية من أجل استرداد الملفات، أما فى حالة عدم حصول “Petya” على صلاحيات الأدمن فإنه يقوم بتشفير الملفات بطريقة عادية جدًا مثل أي فيروس فدية سابق.
هذه الصورة تبين أن الفيروس يقوم بطلب 300 دولار من الضحية مقابل فك تشفير ملفاته وطرق التواصل من أجل الدفع والحصول على مفتاح فك التشفير حيث جاء النص قائلًا: “إذا كنت ترى هذا النص، فإن الملفات الخاصة بك لم يعد الوصول إليها متاحًا، لأنها مشفرة. ربما تكون مشغولًا في البحث عن وسيلة لاستعادة الملفات الخاصة بك، ولكن لا تضيع وقتك. لا أحد يستطيع استرداد الملفات الخاصة بك دون خدمة فك التشفير الخاصة بنا”. ووفقًا لخدمة “VirusTotal scan” فإن 16 فقط من أصل 61 خدمات مكافحة الفيروسات استطاعت بنجاح الكشف عن “Petya” فيروس الفدية الجديد.
لا تدفع من أجل استرجاع ملفاتك
فى حالة إصابتك بالفيروس وكانت ملفاتك مهمة جدًا لاسترجاعها فى الوقت الحالي فلا فائدة من الدفع حيث علقت Posteo مزود البريد الإلكتروني الألماني، عنوان البريد الإلكتروني wowsmith123456@posteo.net، الذي كان يستخدمه مجموعة المجرمين للتواصل مع الضحايا بعد الحصول على الفدية لإرسال مفاتيح فك التشفير.
كيف تحمي نفسك من الإصابة بفيروس Petya ؟
أولًا: في حال كنت على شبكة وأصيب أحد الأجهزة المتصلة عليها بالفعل، فعليك القيام بفصل جهازك عن الشبكة فورًا وبدون أي تأخير فهذا النوع من البرمجيات ينتشر بشكل سريع وخبيث على جميع الأجهزة المتصلة على الشبكة كما يجب عليك تحديث نظام تشغيل ويندوز الخاص بك بآخر التحديثات وتحديدًا التحديث الذي يقوم بسد الثغرة المعنية.ثانيًا: قم بتعطيل بروتوكول SMB الإصدار ١ (مايكروسوفت قامت بتعطيله بالفعل فى آخر اصدار من ويندوز ١٠). وإليك طريقة تعطيله من مايكروسوفت هنا وأيضًا قم بتعطيل الـ WMIC Service والطريقه من هنا.
ثالثًا: النسخ الاحتياطي مهم جدًا فيجب أخذ نسخة احتياطية من ملفاتك كما يجب أن تكون في أماكن معزولة عن الإنترنت بالكامل مثل هارد ديسك خارجي.
وللحفاظ علي الأجهزة الموجودة بالشبكة ومنع انتشار الفيروس من جهاز لآخر فقد اكتشف الباحثون طريقة لايقاف انتشاره بواسطة إنشاء ملف فارغ داخل الامتداد C:\Windows بإسم “perfc”.
أما في حالة إصابة جهازك بالفيروس فإنه يحاول إعادة تشغيل الجهاز ثم اظهار الرسالة الخاصة بالدفع فى هذا الوقت تحديدا يبدأ “Petya ” بتشفير ملفات الهارد درايف أو ال MBR على حسب الصلاحيات التي حصل عليها قبل إعادة التشغيل في ذلك الوقت يجب بدلاً من أن تقلع أو تقوم بعمل بوت (boot) من الهارد درايف قم بتنزيل Hiren’s Boot CD أو أي Live CD وقم بالإقلاع منه ثم قم بعمل نسخ احتياطي أو استعادة للملفات الخاصة بك على قرص صلب خارجي.
وأخيرًا لا تحاول نهائيا فتح أي رابط لا تثق فيه حتى لو جاء عن طريق صديق لك واحذر من رسائل البريد العشوائية و الغريبة التي تصل إليك.
تنبيه : يمكنك وضع إستفساراتك وملاحظاتك في تعليق اسفل الموضوع
طرق الحماية من فيروس الفدية الجديد Petya الذي اجتاح العالم!
Reviewed by Nabil TAROUS
on
6/29/2017
Rating:
Reviewed by Nabil TAROUS
on
6/29/2017
Rating:
ليست هناك تعليقات: