باحثون وجدوا وسيلة لإصلاح بعض الحواسيب المصابة بـ WannaCray

إذا كنت واحداً من آلاف الناس الذي تأثروا بهجوم برمجية الفدية WannaCry ، فهناك وسيلة لك لإصلاح ذلك – فقط إذا كنت لم تقم بإعادة إقلاع حاسوبك .

وسيلة الإصلاح هذه تم صنعها من قبل باحث الحماية Benjamin Delpy ، المعروف بـ “gentilkiwi  ”  وتدعى هذه الوسيلة “wanakiwi  ” . هي مبنية على وسيلة قديمة تسمى ” WannaKey ” تم صنعها من قبل  Adrien Guinet ، وتعمل على ويندوز Windows من نسخة اكس بي XP حتى نسخة ويندوز 7 Windows .

إليك طريقة عملها : إنها تبحث في ذاكرة الحاسوب من أجل أرقام رئيسية التي هي أساس التشفير ، والتي ستكون قد مسحت إذا كنت قد أعدت تشغيل حاسوبك .  ثم تقوم باستعمال هذه الأرقام لتوليد مفاتيح فتح القفل unlock keys للملفات المشفرة . إنها نسبياً سهلة للفهم ، ومجانية في Github .

مركز يورو بول Europol للجريمة الالكترونية جربها ، ووجدها ناجحة بطريقة أو بأخرى .

إنها لن تساعد الجميع – فنحن لن نلومك إذا كان أحد أول الأمور التي قمت بها لتجرب وتصلح حاسوبك هو أن تعيد تشغيله . لكن كلنا نأمل أنها ستساعد بعض الأشخاص الذين لا يستطيعون (أو لا يودون ) دفع فدية 300$ بيتكوين bitcoin التي يطالب بها المهاجمون حالياً .

وسيلة الإصلاح من هنا .

كيف تمكن الباحثون من إيقاف برمجية مطالبة الفدية WannaCry

خلال الأيام الماضية ، برنامج مطالبة فدية يدعى WannaCry أوقف أكثر من 75000 حاسوباً عن العمل في 99 بلداً التفاصيل في مقالة ذكرناها سابقاً هنا , متضمناً عدداً من المشافي في المملكة المتحدة ووحدات هامة لتوزيع الغاز والماء في اسبانيا . لكن بالرغم من المقياس الهائل للهجوم ، تبين أن إيقاف العدوى الجديدة من الهجوم سهلة كـ حجز عنوان ويب واحد (نطاق) Domain .

حيث أن الباحثين أعلنوا أنهم قد وجدوا زر قتل في شيفرة برنامج مطالبة الفدية والذي هو نطاق Domain واحد والذي عند حجزه يمكنه أن يمنع حدوث إصابات جديدة . لا يبدو جلياً إذا كان التسجيل في ذلك المجال سيمنع كامل العدوى ، لكنه يجب أن يحد بشكل كبير الانتشار العالمي للهجوم .

عنوان الويب المهم وُجد في قسم صغير من الشيفرة ، والذي لا يزال الهدف من وجوده غير واضح .

فقط فإنه عندما يعدي البرنامج حاسوباً جديداً ، يقوم بالبداية بالتحقق من عنوان ويب غامض وهو iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ليتأكد من أن المجال Domain قد تم حجزه (تسجيله) . وطالما بقي المجال غير محجوزاً أي متوفراً فإن العدوى تستمر ، لتقوم بتشفير القرص الصلب للحاسوب وإغلاقه إلى أن يتم دفع الفدية .

هذه الميزة لوحظت أولاً من قبل باحث انكليزي عمره 22 عاماً الذي يكتب تحت اسم MalwareTech . كتجربة ، قام الباحث MalwareTech بتسجيل المجال (النطاق) ؛

الآن عندما يقوم البرنامج بتحققه ، يجد أن عنوان الويب (النطاق) الدومين Domain قد تم حجزه (تسجيله) وهو قيد الاستعمال . لاحقاً ظهر جلياً أثر هذه الحركة : حيث أن حجز ذلك المجال منع أي عدوى جديدة من التأثير . عندما تكتشف برمجية الفدية أن المجال (الدومين) محجوز ، فهي توقف فوراً عملية التثبيت ، تاركةً النظام الأكبر بدون تأثير .

نتيجة هذه العملية هي حماية كبرى للحواسيب التي لم تتأثر بعد ببرمجية مطالبة الفدية حيث أنه إذا وصلت برمجية الفدية إلى حاسوبك ، فإن زر القتل (حجز النطاق) سيوقف البرمجية من وضعك تحت رهن الفدية .

لا يزال غير واضح لم تضمنت برمجية الفدية مثل زر القتل هذا . البعض تكهنوا أنها طريقة من قبل الصانع ليوقفها عن العمل عن بعد ، رغم ذلك لا يوجد أي مؤشر أنه قد قرر فعل ذلك .

الباحث MalwareTech لديه نظرية مختلفة : التحقق من المجال (النطاق) كان طريقة ليبقي برمجية الفدية بعيداً عن الملاحظة من باحثي البرمجيات الخبيثة . إذا كان البرنامج يتم تشغيله في بيئة متحكم بها “Sandbox” والذي يتم استعماله بشكل شائع من قبل الباحثين لفحص الشيفرات بدون فضح أنفسهم للبرمجيات الخبيثة ، فإن المجال قد يستجيب أنه محجوز كنتيجة لمحدودية لـ Sandbox (عدم قدرته على الاتصال بالإنترنيت) . في تلك الحالات ، منع التثبيت كان ليكون خدعة نافعة .

ضغط مفتاح القتل قد لا يوقف برمجية الفدية WannaCry كلياً .

إنه لمن غير الواضح كيف أن العديد من الإصابات الملاحظة كانت نتيجة سلسلة محددة من البرمجية الخبيثة التي تم تحليلها من قبل الباحث MalwareTech . أكثر من ذلك ، فإنه سيكون سهلاً للمؤلفين أن يرسلوا إصداراً جديداً من برمجية انتزاع الفدية مع مجال مختلف أو بدون بروتوكول زر القتل كله .

برمجية دفع الفدية WannaCry التي أصابت الأجهزة العاملة بنظام التشغيل ويندوز

أصابت البرمجية آلاف الشركات والمؤسسات في مختلف أنحاء العالم ، حيث يعتقد أنها أكبر حملة اختراق حصلت حتى الآن .

برمجية دفع الفدية حملت اسم WannaCry أو ‘Wana Decrypt0r’ ‘WannaCryptor’ ‘WCRY’ .

تقوم البرمجية بتشفير كافة ملفاتك ولاتستطيع الوصول إليها من جديد حتى تقوم بدفع مبلغ من المال (قدره 300$ وأكثر) ويتضاعف المبلغ كل فترة زمنية محددة .

وحسب مصادر ، ارسل أكثر من 5 مليون بريد الكتروني في الساعة تحوي البرمجية الخبيثة .

حتى اللحظة ، حدثت أكثر من 100 الف حالة اختراق حول العالم .

صورة تظهر انتشار البرمجية داخل جامعة ميلانو بيكوكا الإيطالية .

حتى محطة القطارات لم تسلم ، صورة تظهر اصابة محطة قطارات ألمانية بالبرمجية

نقدم لك مجموعة من النصائح تحميك من البرمجية :

• بدايةً ، قم بتفقد إن كان جهازك قد حصل على آخر التحديثات وتحديداً التحديث الذي يحمل اسم MS17-010 والذي صدر البارحة .

• وصلك بريد الكتروني مجهول ؟ لا تقم بتحميل المرفقات الخاصة به دون التأكد من مصدرها .

• لا تقم بفتح روابط مجهولة تجدها غالباً على مواقع التواصل الاجتماعي .

• تأكد من تثبيت آخر التحديثات لمضاد الفيروسات لديك .

ختاماً ، احتفظ بملفاتك بقرص تخزين خارجي لضمان سلامتها .