كيف تمكن الباحثون من إيقاف برمجية مطالبة الفدية WannaCry
خلال الأيام الماضية ، برنامج مطالبة فدية يدعى WannaCry أوقف أكثر من 75000 حاسوباً عن العمل في 99 بلداً التفاصيل في مقالة ذكرناها سابقاً هنا , متضمناً عدداً من المشافي في المملكة المتحدة ووحدات هامة لتوزيع الغاز والماء في اسبانيا . لكن بالرغم من المقياس الهائل للهجوم ، تبين أن إيقاف العدوى الجديدة من الهجوم سهلة كـ حجز عنوان ويب واحد (نطاق) Domain .
حيث أن الباحثين أعلنوا أنهم قد وجدوا زر قتل في شيفرة برنامج مطالبة الفدية والذي هو نطاق Domain واحد والذي عند حجزه يمكنه أن يمنع حدوث إصابات جديدة . لا يبدو جلياً إذا كان التسجيل في ذلك المجال سيمنع كامل العدوى ، لكنه يجب أن يحد بشكل كبير الانتشار العالمي للهجوم .
عنوان الويب المهم وُجد في قسم صغير من الشيفرة ، والذي لا يزال الهدف من وجوده غير واضح .
فقط فإنه عندما يعدي البرنامج حاسوباً جديداً ، يقوم بالبداية بالتحقق من عنوان ويب غامض وهو iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ليتأكد من أن المجال Domain قد تم حجزه (تسجيله) . وطالما بقي المجال غير محجوزاً أي متوفراً فإن العدوى تستمر ، لتقوم بتشفير القرص الصلب للحاسوب وإغلاقه إلى أن يتم دفع الفدية .
هذه الميزة لوحظت أولاً من قبل باحث انكليزي عمره 22 عاماً الذي يكتب تحت اسم MalwareTech . كتجربة ، قام الباحث MalwareTech بتسجيل المجال (النطاق) ؛
الآن عندما يقوم البرنامج بتحققه ، يجد أن عنوان الويب (النطاق) الدومين Domain قد تم حجزه (تسجيله) وهو قيد الاستعمال . لاحقاً ظهر جلياً أثر هذه الحركة : حيث أن حجز ذلك المجال منع أي عدوى جديدة من التأثير . عندما تكتشف برمجية الفدية أن المجال (الدومين) محجوز ، فهي توقف فوراً عملية التثبيت ، تاركةً النظام الأكبر بدون تأثير .
نتيجة هذه العملية هي حماية كبرى للحواسيب التي لم تتأثر بعد ببرمجية مطالبة الفدية حيث أنه إذا وصلت برمجية الفدية إلى حاسوبك ، فإن زر القتل (حجز النطاق) سيوقف البرمجية من وضعك تحت رهن الفدية .
لا يزال غير واضح لم تضمنت برمجية الفدية مثل زر القتل هذا . البعض تكهنوا أنها طريقة من قبل الصانع ليوقفها عن العمل عن بعد ، رغم ذلك لا يوجد أي مؤشر أنه قد قرر فعل ذلك .
الباحث MalwareTech لديه نظرية مختلفة : التحقق من المجال (النطاق) كان طريقة ليبقي برمجية الفدية بعيداً عن الملاحظة من باحثي البرمجيات الخبيثة . إذا كان البرنامج يتم تشغيله في بيئة متحكم بها “Sandbox” والذي يتم استعماله بشكل شائع من قبل الباحثين لفحص الشيفرات بدون فضح أنفسهم للبرمجيات الخبيثة ، فإن المجال قد يستجيب أنه محجوز كنتيجة لمحدودية لـ Sandbox (عدم قدرته على الاتصال بالإنترنيت) . في تلك الحالات ، منع التثبيت كان ليكون خدعة نافعة .
ضغط مفتاح القتل قد لا يوقف برمجية الفدية WannaCry كلياً .
إنه لمن غير الواضح كيف أن العديد من الإصابات الملاحظة كانت نتيجة سلسلة محددة من البرمجية الخبيثة التي تم تحليلها من قبل الباحث MalwareTech . أكثر من ذلك ، فإنه سيكون سهلاً للمؤلفين أن يرسلوا إصداراً جديداً من برمجية انتزاع الفدية مع مجال مختلف أو بدون بروتوكول زر القتل كله .
