بعد “ WannaCry” . فايروس فدية جديد يستهدف نظام التشغيل Windows

لم يمض وقت كبير على الانتشار غير المسبوق لفيروس الفدية WannaCry حتى حل فيروس جديد ومشابه له وبعدوانية أكبر هذه المرة . . في هذا المقال سنتعرف على فيروس Petya الجديد الذي أصاب آلاف الأجهزة في الساعات الأخيرة من خلال مجموعة من الأسئلة…

ما هو فيروس Petya :

هو عبارة عن برنامج فدية صريح حيث أنه حالماً يصيب أي جهاز فإنه سوف يشفر كل شيء موجود في حاسوبك ( حتى ملفات النظام ) بواسطة رمز خاص جاعلاً منه غير قابل للاستخدام بشكل كلي حتى يتم فك التشفير .

البرنامج يطلب من المستخدم أن يدفع 300 دولار على شكل حقيبة بيتكوين ترسل مع رمز التنصيب عبر الإيميل إلى الهاكرز (الذي يستخدمون إيميلا تابعاً لشركة Posteo ) . شركة blockchain سجلت حوالي 20 تحويلاً ولكنه من غير الواضح فيما إذا تم فك التشفير بشكل ناجح بعد الدفع أم لا .

ما هو مبدأ عمل الفايروس ؟

يستخدم الفايروس تقنية معقدة تستغل ثغرة EternalBlue المتواجدة على أنظمة التشغيل ويندوز وهي نفس الثغرة المستخدمة من قل فيروس WannaCry، ورغم أن العديد من الشركات المستهدفة قد أغلقت هذه الثغرة بعد الباتش الذي أصدرته مايكروسوفت في وقت سابق  بحيث أصبحت أقل حساسية للإصابة بالفيروس .

إلا أن  Petya يعتمد على اختراق أحد الأجهزة غير المحمية في شبكة محلية معينة من أجل أن ينتشر عبر جميع الحواسيب المتصلة بهذه الشبكة وبسرعة فائقة حيث سجلت إصابة أكثر من 5 آلاف نظام بأقل من 10 دقائق .

حيث يستهدف نظام تبادل الملفات SMB الخاص بويندوز  وهو ما يميزه عن Wannacry والذي يستهدف فقط الأجهزة غير المحمية المتصلة بشبكة الانترنت وبشكل مفرد .

من استهدفت الهجمات ؟ 

معظم الهجمات استهدفت المصالح الاقتصادية الأوكرانية مثل البنك المركزي الأوكراني ، الاتصالات المحلية ، مطار Boryspil في كييف ، شبكة المترو ، ماكينات البيع الآلية ، الصرافات … . الهجوم استهدف أيضاً أنظمة التشغيل الخاصة بمزودات الطاقة لمفاعل تشورنوبل النووي والذي تم تحويل المراقبة الشعاعية فيه إلى النظام اليدوي  .

الهجمات لم تقتصر على أوكرانيا إنما انتشرت بشكل عالمي ، حيث استهدفت مؤسسات اقتصادية عدة في أوربا والولايات المتحدة الأمريكية فمثلا في روسيا ( مثلا شركة النفط الروسية Rosneft ) والولايات المتحدة الأمريكية ( مثلا ًشركة Merck الدوائية و مشفى Pittsburgh ) وفي الدانمارك استهدفت شركة الشحن الشهيرة Maersk ..

ماذا عن تقرير عملاق الحماية Kaspersky ؟

تقرير مبكر من مركز أبحاث Kaspersky عرّف الفيروس على أنه شكل معدل عن فيروس Petya وليس فيروس Petya الأصلى حيث أطلق عليه في تقرير لاحق اسم NotPetya وأشار إلى أن أكثر من 2000 مستخدم قد أصيبوا بهجمات من هذا الفيروس مساء الثلاثاء الماضي فقط .

كيف ينتشر الفايروس ؟ 

يعتمد عدة تقنيات من أجل الانتشار ، وواحدة من هذه الطرق اعتمدت على ثغرة تم إغلاقها من خلال تحديث وصل لكافة أنظمة ويندوز من xp حتى ويندوز 10 . الفيروس ينتشر بشكل نموذجي عن طريق الإميل لذلك عليك أن تكن حذرا في فتح أي ملف غير معروف المصدر .

بينما Wannacry يستهدف الأنظمة غير المحمية . فإن Petya يبدو أنه يضرب بقوة عبر الشبكات المحلية الكبيرة . شيء قد يشرح مدى الانتشار الواسع لهذا الفيروس هو أنه حالما يصاب جهاز ما على شبكة محلية معية فإن هذا الفيروس Petya ،  يهيمن على بعض الأدوات الشبكية مثل WMI و PsExec ليصيب باقي الحواسيب على نفس الشبكة وحتى لو كانت محمية ضد ثغرة EternalBlue فإنها تبقى عرضة للإصابة أحيانا .. برنامج WMI فعال جداً من أجل هجمات الهاكر البعيدة ، إنه برنامج مدمج ونادراً ما يُحظر عن طريق أدوات الحماية “

أين ظهر أول مرة ؟

النقطة الخلافية هنا : أين ضرب الفيروس لأول مرة . حسب بحث قدمه معهد Talos Intelligence فإن أول ظهور للفيروس كان من خلال تحديث مزور وصل إلى النظام المصرفي الأوكراني MeDoc إلا أن MeDoc نفت هذا الإدعاء .

هل هناك طريقة للقضاء على الفيروس دون دفع ؟

حتى الآن لا يوجد أي طريقة رسمية من أجل القضاء على الفيروس واستعادة نظام التشغيل والملفات .

تعليقات
جاري تحميل التعليقات ...