ضحايا فايروس Petya لن يمكّنهم دفع الفدية من استعادة ملفاتهم

بعد أن تسبب فايروس Petya  بآلاف الإصابات (لمزيد من المعلومات عن الفايروس اقرأ المقالة من هنا ولكن لا تنسى العودة لقراءة باق الخبر) ، مشكلة جدية تواجه ضحايا فايروس الفدية Petya حيث قام مزود البريد الألماني Posteo بحظر البريد الإلكتروني الذي يستخدمه مصمموا الفايروس من أجل إتمام عملة دفع الفدية .

الخبراء نصحوا الضحايا بعدم دفع أي مبلغ من أجل فك التشفير وذلك لأنه من غير الواضح فيما إذا كان الهاكرز بإمكانهم أن يفكوا تشفير النظام عند هذه النقطة .

المشكلة تكمن في أن Petya تستخدم طريقة فريدة ومغايرة من أجل الحصول على أموال الفدية . حيث أن معظم برامج الفدية تستخدم محفظة مفردة لتلقي الأموال بعملة البيتكوين وذلك من أجل كل إصابة جاعلة من السهل معرفة من هو الضحية المسؤول عن كل عملية دفع .

الفايروس Petya يطلب من الضحايا دفع 300 دولار إلى نفس محفظة البيتكوين ثم يطلب من المستخدمين إرسال بريد إلكتروني إلى الإيميل wowsmith123456@posteo.net يحوي رقم الدفع والمعرف النوعي من أجل تأكيد عملية الدفع واستقبال رمز فك التشفير .

الشركة الألمانية Posteo أعلنت بعيد انتشار الهجمات  أنها حظرت البريد الإلكترني الخاص بالمبتزين مانعة إياهم من استقبال أو قراءة أي رسالة . كما قامت بحظر أي بريد إلكتروني مرسل إلى الإيميل السابق .

” نحن لن نتسامح مع سوء استخدام خدماتنا “ عقبت الشركة الألمانية وأضافت ” الحظر المباشر للحسابات البريدية التي تسيء استخدام الخدمة هو الإجراء الضروري في مثل هكذا حالات “.

الضحايا الآن في وضع صعب . بعض الضحايا نجحوا في في دفع الفدية من أجل فك تشفير ملفاتهم بطريقة أو بأخرى ولكن الانتشار الواسع للفايروس عبر العالم تجعل مثل هكذا دفع مستحيلا دون الاعتماد على البريد الالكتروني .

من غير الواضح إذا ما تم فك تشفير الأنظمة المصابة بعد الدفع وذلك قبل حظر البريد الإلكتروني الخاص بالمخترقين على الرغم أن حوالي 20 ضحية قد دفعوا الفدية .

الشركات مازال بإمكانها أن تدفع الأموال إلى عنوان البيتكوين الذي يظهر في شاشة طلب الفدية للحواسيب المصابة . ولكن مع حظر البريد الإلكتروني فإنه من الصعب لوجيستياً بالنسبة للمهاجمين أن يفوا بوعدهم ويقوموا بفك التشفير .

بعد “ WannaCry” . فايروس فدية جديد يستهدف نظام التشغيل Windows

لم يمض وقت كبير على الانتشار غير المسبوق لفيروس الفدية WannaCry حتى حل فيروس جديد ومشابه له وبعدوانية أكبر هذه المرة . . في هذا المقال سنتعرف على فيروس Petya الجديد الذي أصاب آلاف الأجهزة في الساعات الأخيرة من خلال مجموعة من الأسئلة…

ما هو فيروس Petya :

هو عبارة عن برنامج فدية صريح حيث أنه حالماً يصيب أي جهاز فإنه سوف يشفر كل شيء موجود في حاسوبك ( حتى ملفات النظام ) بواسطة رمز خاص جاعلاً منه غير قابل للاستخدام بشكل كلي حتى يتم فك التشفير .

البرنامج يطلب من المستخدم أن يدفع 300 دولار على شكل حقيبة بيتكوين ترسل مع رمز التنصيب عبر الإيميل إلى الهاكرز (الذي يستخدمون إيميلا تابعاً لشركة Posteo ) . شركة blockchain سجلت حوالي 20 تحويلاً ولكنه من غير الواضح فيما إذا تم فك التشفير بشكل ناجح بعد الدفع أم لا .

ما هو مبدأ عمل الفايروس ؟

يستخدم الفايروس تقنية معقدة تستغل ثغرة EternalBlue المتواجدة على أنظمة التشغيل ويندوز وهي نفس الثغرة المستخدمة من قل فيروس WannaCry، ورغم أن العديد من الشركات المستهدفة قد أغلقت هذه الثغرة بعد الباتش الذي أصدرته مايكروسوفت في وقت سابق  بحيث أصبحت أقل حساسية للإصابة بالفيروس .

إلا أن  Petya يعتمد على اختراق أحد الأجهزة غير المحمية في شبكة محلية معينة من أجل أن ينتشر عبر جميع الحواسيب المتصلة بهذه الشبكة وبسرعة فائقة حيث سجلت إصابة أكثر من 5 آلاف نظام بأقل من 10 دقائق .

حيث يستهدف نظام تبادل الملفات SMB الخاص بويندوز  وهو ما يميزه عن Wannacry والذي يستهدف فقط الأجهزة غير المحمية المتصلة بشبكة الانترنت وبشكل مفرد .

من استهدفت الهجمات ؟ 

معظم الهجمات استهدفت المصالح الاقتصادية الأوكرانية مثل البنك المركزي الأوكراني ، الاتصالات المحلية ، مطار Boryspil في كييف ، شبكة المترو ، ماكينات البيع الآلية ، الصرافات … . الهجوم استهدف أيضاً أنظمة التشغيل الخاصة بمزودات الطاقة لمفاعل تشورنوبل النووي والذي تم تحويل المراقبة الشعاعية فيه إلى النظام اليدوي  .

الهجمات لم تقتصر على أوكرانيا إنما انتشرت بشكل عالمي ، حيث استهدفت مؤسسات اقتصادية عدة في أوربا والولايات المتحدة الأمريكية فمثلا في روسيا ( مثلا شركة النفط الروسية Rosneft ) والولايات المتحدة الأمريكية ( مثلا ًشركة Merck الدوائية و مشفى Pittsburgh ) وفي الدانمارك استهدفت شركة الشحن الشهيرة Maersk ..

ماذا عن تقرير عملاق الحماية Kaspersky ؟

تقرير مبكر من مركز أبحاث Kaspersky عرّف الفيروس على أنه شكل معدل عن فيروس Petya وليس فيروس Petya الأصلى حيث أطلق عليه في تقرير لاحق اسم NotPetya وأشار إلى أن أكثر من 2000 مستخدم قد أصيبوا بهجمات من هذا الفيروس مساء الثلاثاء الماضي فقط .

كيف ينتشر الفايروس ؟ 

يعتمد عدة تقنيات من أجل الانتشار ، وواحدة من هذه الطرق اعتمدت على ثغرة تم إغلاقها من خلال تحديث وصل لكافة أنظمة ويندوز من xp حتى ويندوز 10 . الفيروس ينتشر بشكل نموذجي عن طريق الإميل لذلك عليك أن تكن حذرا في فتح أي ملف غير معروف المصدر .

بينما Wannacry يستهدف الأنظمة غير المحمية . فإن Petya يبدو أنه يضرب بقوة عبر الشبكات المحلية الكبيرة . شيء قد يشرح مدى الانتشار الواسع لهذا الفيروس هو أنه حالما يصاب جهاز ما على شبكة محلية معية فإن هذا الفيروس Petya ،  يهيمن على بعض الأدوات الشبكية مثل WMI و PsExec ليصيب باقي الحواسيب على نفس الشبكة وحتى لو كانت محمية ضد ثغرة EternalBlue فإنها تبقى عرضة للإصابة أحيانا .. برنامج WMI فعال جداً من أجل هجمات الهاكر البعيدة ، إنه برنامج مدمج ونادراً ما يُحظر عن طريق أدوات الحماية “

أين ظهر أول مرة ؟

النقطة الخلافية هنا : أين ضرب الفيروس لأول مرة . حسب بحث قدمه معهد Talos Intelligence فإن أول ظهور للفيروس كان من خلال تحديث مزور وصل إلى النظام المصرفي الأوكراني MeDoc إلا أن MeDoc نفت هذا الإدعاء .

هل هناك طريقة للقضاء على الفيروس دون دفع ؟

حتى الآن لا يوجد أي طريقة رسمية من أجل القضاء على الفيروس واستعادة نظام التشغيل والملفات .