ما هو فيروس الفدية Ransomware؟
مصطلح فيروس الفدية (Ransomware) مكون من كلمتين وهما (ransom) و(malware).
وهذا يوضح كيفية عمل فيروس الفدية فهو يقوم بتشفير ملفات شخصية موجودة على جهاز الضحية ومنعه من إمكانية قراءتها والوصول إليها.
كما يطالبه بدفع مبلغ من المال مقابل إعادة إمكانية الوصول إلى الملفات وقراءتها.
فيروس الفدية هو عبارة عن نوع من أنواع البرمجيات الخبيثة غرضه إعادة الدخول على جهاز المهاجم، ويعتمد هذا النوع من الهجوم على تشفير الملفات.
وسنقوم في هذه المقالة بالتحدث عن عدة أنواع حصرية لهذا الهجوم، كيف يعمل كل منها وكيف يقوم بالتأثير على جهاز الضحية.
أنواع فيروس الفدية
لفيروس الفدية عدة أنواع، وكل نوع منها يعمل بطريقة مختلفة عن النوع الآخر، وفيما يلي أنواع فيروس الفدية.
١. فيروس الفدية المعتمد على التشفير (Encrypting ransomware)
هذا النوع من البرامج الضارة يقوم بالبحث عن ملفات ذات قيمة على الجهاز الخاص بالضحية وتشفيرها وبعد إكمال هذه الخطوة، يتم عرض رسالة للضحية تطالبه بدفع الفدية، بعد قيام الضحية بدفع الفدية، يتم إرسال مفتاح أو رمز لفك تشفير الملفات.
٢. فيروس الفدية الذي لا يعتمد على التشفير (Non-encrypting ransomware)
يلجأ هذا النوع من البرامج الضارة إلى حرمان الضحية من الوصول إلى جهازه بوضع قفل عليه، ولكن دون اللجوء إلى تشفير أي ملفات.
وبنفس طريقة النوع الأول يطلب من الضحية الدفع مقابل فك قفل ملفاته.
٣. فيروس التسريب Leakware
هذا النوع من أنواع هجوم الفدية يختلف عن النوعين السابقين في كونه يحرم الضحية من الوصول إلى جهازها أو ملفاتها، ثم يجمع معلومات الضحية بصمت ويستخدم المعلومات التي جمعها لابتزاز الضحية.
المعلومات التي جمعها يتم حفظها على خوادم خاصة بالمهاجمين، ويتم بعدها إشعار أصحاب المعلومات المسروقة بأن البيانات سيتم نشرها إذا لم يقوموا بعملية دفع الفدية المطلوبة.
٤. فيروس الفدية للأجهزة المحمولة
هذا النوع يستهدف الأجهزة المحمولة، حيث تعد عملية نسخ المعلومات من الأجهزة المحمولة سهلة.
يعتمد المهاجمين على طلب الفدية حسب قيمة الجهاز المحمول بدلًا من اعتماد البيانات الحساسة الموجودة على الجهاز المحمول.
وبعد نجاح المهاجمين في تنزيل البرمجية الخبيثة على الأجهزة المحمولة، تُعرض بعدها رسالة قفل في أعلى واجهة الجهاز المحمول.
إقرأ أيضًا: بحث عن أمن المعلومات
مكونات هجوم فيروس الفدية
في بداية الإصابة بالفيروس يتم تنزيل مكونات الفيروس وملفاته اللازمة والمستخدمة لقفل نظام الضحية أو تشفير ملفاته، ويتم تنزيلها باستخدام الطرق التالية:
- عن طريق التحميل التلقائي: وهذه الطريقة تتم عندما يقوم النظام بعملية التنزيل التلقائي للبرامج الخبيثة مثل برامج التجسس (spyware) بدون معرفة المستخدم.
- Strategic web compromise: وهذه الطريقة تعتمد على جمع المعلومات عن مستخدمين الأنظمة الذين يزورون صفحات ومواقع الويب للقيام بعمليات الهجوم الخبيثة عليهم.
- البريد الإلكتروني الخبيث: هذه الطريقة تعتمد على إرسال مرفقات خبيثة عبر الإنترنت أو توفير روابط تقوم بتوجيه المستخدم على مواقع تقوم بتنزيل البرامج الضارة.
التنزيل
بمجرد وصول الفيروس إلى نظام الضحية، ينتشر الفيروس بطرق مختلفة بغض النظر عن نوع النظام المصاب.
من طرق الانتشار الحديثة للفيروس الخبيث استغلال ملف pdf للوصول إلى النظام، وبمجرد وصوله إلى النظام يقوم بتنزيل ملفاته الملحقة الخاصة بتنفيذ القفل على النظام أو تشفير ملفات النظام الحساسة، ثم يدمج الفيروس نفسه في إحدى عمليات الويندوز المعروفة.
التحكم والقيادة
بمجرد ضمان الفيروس تنفيذ الكود الخاص به على نظام الضحية، يقوم بالتواصل مع سيرفر الأوامر وذلك لطلب التعليمات.
تشمل هذه التعليمات كل شيء بدءًا من تحديد أنواع الملفات التي يجب أن يستهدفها للتشفير إلى الوقت الذي يجب أن ينتظره لتنفيذ عملية التشفير.
سيُعلم الفيروس السيرفر بمعلومات عن النظام المصاب ومن أمثلة هذه المعلومات: رقم تعريف الشبكة، نظام التشغيل، نوع المتصفح، برنامج مضاد الفيروسات المستخدم (ip – os type – installed browsers – anti-malware software ).
يطلق على الفيروس الخبيث الذي يعمل على جهاز الضحية باسم العميل (client) ويتم تشغيله من قبل سيرفر الأوامر الذي بدوره يتحكم به المهاجم.
إقرأ أيضًا: ما هي أجيال الحاسوب الآلي وكيف تطورت أجهزة الحاسوب بمرور الوقت؟
أنواع تحليل برامج الفدية:-
سنتطرق الآن إلى طرق تحليل فيروس الفدية ومعرفة سلوكه، وتكون باعتماد طريقتين وفيما يلي تفصيلهما.
١. التحليل الديناميكي Dynamic Analysis
يتم التحليل الديناميكي لسلوك الفيروس عن طريق تنفيذ الفيروس في بيئة يتم التحكم فيها ومراقبتها مثل بيئة (sandbox)، ويلتقط كافة الاجراءات الناتجة عن تنفيذ الفيروس.
إيجابيات التحليل الديناميكي
يمكن من خلاله تحليل الكود المشفر، ويجب الأخذ بعين الاعتبار الاجراءات الضارة التي يقوم بها الفيروس في عملية التحليل للوصول للهدف المرجو من هذه العملية.
سلبيات التحليل الديناميكي
الإعداد لهذا النوع من التحليل يستغرق وقتًا طويلًا.
فحتى يتم التقاط سلوك فيروس الفدية، يجب تجهيز بيئة التحليل وجعلها مقاربة تمامًا للبيئة الفعلية التي يستهدفها الفيروس.
يعود السبب في ذلك إلى أن فيروس الفدية يمكنه اكتشاف البيئة الوهمية ومنع نفسه من تحقيق كل سلوكه الخبيث بها.
٢. التحليل الثابت Static Analysis
يتم تطبيق هذا التحليل عن طريق استخراج مميزات الكود التنفيذي ومقارنته مع مميزات لأكواد خبيثة مشابهة تم اكتشافها مسبقًا.
إيجابيات التحليل الثابت
يُمكن بهذه الطريقة تحليل الفيروس بسرعة وسهولة، علاوة على تجنب تنفيذ الفيروس.
سلبيات التحليل الثابت
هذه الطريقة غير فعالة في الاكتشاف الصحيح لسلوك الفيروس، لأنه لا يتم تنفيذ الكود مثل التحليل الديناميكي، وإنما فقط يتم النظر في الكود الخاص بفيروس الفدية.
عائلات هجوم الفدية
لفيروس الفدية العديد من العائلات، وفيما يلي في الفقرات الآتية تفصيل لها.
١. عائلة البيتا من فيروس الفدية (Petya Ransomware)
والتي اكتُشِفت في شهر ٥ من عام ٢٠١٦، وتتضمن علامتها التجارية إصابة MBR) Master Boot Record) بتنفيذ الهجمة الخبيثة وتشفير الملفات المتوفرة محليًا على جهاز الضحية.
يمكن لعائلة البيتا (Beta) أن تنتشر مثل انتشار الديدان (Worms) وتقوم بذلك عن طريق استهداف أجهزة الحاسوب ونشرها عن طريق استغلال ثغرة معينة (Eternal Blue).
٢. عائلة (WannaCry Ransomware)
في الثاني عشر من شهر ٥ عام ٢٠١٧، قامت عائلة (wannacry) بتعطيل ١٥٠ منظمة وشركة في ٥٠ بلدة.
تستهدف (wannacry) شركة مايكروسوفت وخصيصًا نظام ويندوز المستخدم على نطاق واسع، وتُشفر البيانات الشخصية والمستندات والملفات المهمة.
كما يُطالب المهاجم بما لا يقل عن ٣٠٠ دولار من عملة (Bitcoin)، بحيث أن الفدية تتضاعف بعد ٣ أيام، وتُحذف الملفات نهائيًا بعد ٧ أيام.
٣. عائلة الأرنب السيء (Bad Rabbit Ransomware)
في عام ٢٠١٧ قامت عائلة الأرنب السيء باختراق عدد كبير من أجهزة الكومبيوتر على مستوى العالم عن طريق عرض نفسها كأنها تحديث لبرنامج (Adobe Flash Player).
وتنتشر هذه العائلة عن طريق التنزيل (drive by downloads) من مواقع الويب المصابة، وتُشفر عائلة الأرنب السيء محتويات الكومبيوتر وتُطالب بفدية مقدارها ٢٨٠$ لإعادة فك تشفير الملفات.
٤. عائلة (Cerber Ransomware)
ظهرت عائلة (cerber) في عام ٢٠١٦، ونُشرت عن طريق عمليات إرسال البريد العشوائي (spam) والتي تحتوي على ملفات Microsoft word ضارة.
وعند قيام المستخدم بفتح الملف المرفق يتفعل الكود الخبيث المدمج مع الملف بالتواصل مع المهاجم عن طريق التواصل مع موقع يسيطر عليه المهاجم لتنزيل وتثبيت الفيروس.
بمجرد تثبيت الفيروس، سيقوم بتشفير البريد الإلكتروني، ملفات الوورد والملفات المتعلقة بالألعاب، ويُهاجم بإضافة امتداد cerber على الملف المشفر.
وهذا الهجوم الأول يتفاعل مع الضحية بتركه ملف صوتي يوضح تعليمات الفدية باثني عشرة لغة، ويطلب من الضحية فدية بمبلغ ٥١٢$ وتتضاعف إذا لم تقم الضحية بالدفع خلال سبعة أيام.
٥. عائلة (CryptoLocker Ransomware)
ظهرت عائلة (crypto locker) في عام ٢٠١٣ بهجوم واسع النطاق، وفي غضون شهر واحد حقق الهجوم عائد مالي يزيد على ٣ مليون دولار أمريكي.
يمكن لهذا الهجوم الدخول إلى شبكة محمية من خلال البريد الإلكتروني وملفات المشاركة والتنزيلات، وتتم معالجة هذا النوع من الهجوم باستخدام أدوات الاسترجاع (Recovery Tools).
٦. عائلة (CryptoWall Ransomware)
هجمت هذه العائلة في شهر ٤ من عام ٢٠١٤، وفي غضون ٦ أشهر، أصابت هذه العائلة أكثر من ٦٠٠,٠٠٠ جهاز.
حيث قامت بتشفير ٥.٢٥ بيليون ملف، ويعتمد هذا الهجوم على عنوان جهاز الضحية (IP address)، والاتصال بسيرفر الأوامر ومعرفة المكان المتصل به في هذا العنوان.
وتطلب هذه العائلة في البداية مبلغ مقداره ٥٠٠$ ويزيد إلى الضعف بعد ٧ أيام.
خطوات عملية فيروس الفدية الكاملة
فيما يلي الخطوات الكاملة التي يُدمر فيها فيروس الفدية ملفاتك:
- يُصيب الفيروس جهاز الضحية.
- يُخبر صاحب الجهاز بقيمة الفدية المطلوبة.
- تُقرر الضحية دفع الفدية أم لا.
- تمديد الموعد النهائي لدفع الفدية.
- تُقرر الضحية دفع مبلغ الفدية بعد الموعد النهائي الممدد.
- ارجاع الملفات المشفرة للضحية.
كيف تحمي جهازك من فيروس الفدية
لحماية أجهزتك من فيروس الفدية عليك اتباع الخطوات الآتية:
- أخذ نسخ احتياطية من ملفاتك بشكل دوري.
- تجنب جميع روابط البريد المزعجة (spam) إذا كانت غير معروفة المصدر، لا تنقر على أي رابط ولا تقم بتحميل أي ملف إذا لم تكن تعرف المرسل.
- حظر الاعلانات الخبيثة (AD blockers).
- التحديث المستمر لنظام التشغيل والمتصفح حتى لا تكون عرضة للمهاجمين لاستغلال الثغرات الموجودة فيها، مع العلم بأن التحديثات تقوم بسد الثغرات الموجودة بالبرامج وأنظمة التشغيل.
- إذا تم العثور على بصمة للفيروس على الجهاز، يجب إغلاق الجهاز وفصله عن الشبكة في حال كان متصلًا بشبكة الإنترنت، حتى لا يقوم بنقل الفيروس إلى الاجهزة الأخرى المتصلة بنفس الشبكة.
تحرير: بيلسان عماد
المراجع:
[١].M K. (2018). Ransomware evolution, target and safety measures. INTERNATIONAL JOURNAL OF COMPUTER SCIENCES AND ENGINEERING.
[٢]. A I. (2019). Ransomware attacks: critical analysis, threats, and prevention methods. Fort Hays State University.
[٣]. S H. (2019). Ransomware, threat and detection techniques: a review. IJCSNS International Journal of Computer Science and Network Security, 136 VOL.19 No.2, February 2019.
[٤]. M A. (2019). A note on different types of ransomware attacks. Computer Science Faculty, “Al. I. Cuza” University, Iasi, Romania.
[٥]. A A. (2017). RANSOMWARE: A RESEARCH AND A PERSONAL CASE STUDY OF DEALING WITH THIS NASTY MALWARE.