إذا كنت واحداً من آلاف الناس الذي تأثروا بهجوم برمجية الفدية WannaCry ، فهناك وسيلة لك لإصلاح ذلك – فقط إذا كنت لم تقم بإعادة إقلاع حاسوبك .
وسيلة الإصلاح هذه تم صنعها من قبل باحث الحماية Benjamin Delpy ، المعروف بـ “gentilkiwi ” وتدعى هذه الوسيلة “wanakiwi ” . هي مبنية على وسيلة قديمة تسمى ” WannaKey ” تم صنعها من قبل Adrien Guinet ، وتعمل على ويندوز Windows من نسخة اكس بي XP حتى نسخة ويندوز 7 Windows .
إليك طريقة عملها : إنها تبحث في ذاكرة الحاسوب من أجل أرقام رئيسية التي هي أساس التشفير ، والتي ستكون قد مسحت إذا كنت قد أعدت تشغيل حاسوبك . ثم تقوم باستعمال هذه الأرقام لتوليد مفاتيح فتح القفل unlock keys للملفات المشفرة . إنها نسبياً سهلة للفهم ، ومجانية في Github .
مركز يورو بول Europol للجريمة الالكترونية جربها ، ووجدها ناجحة بطريقة أو بأخرى .
إنها لن تساعد الجميع – فنحن لن نلومك إذا كان أحد أول الأمور التي قمت بها لتجرب وتصلح حاسوبك هو أن تعيد تشغيله . لكن كلنا نأمل أنها ستساعد بعض الأشخاص الذين لا يستطيعون (أو لا يودون ) دفع فدية 300$ بيتكوين bitcoin التي يطالب بها المهاجمون حالياً .
خلال الأيام الماضية ، برنامج مطالبة فدية يدعى WannaCry أوقف أكثر من 75000 حاسوباً عن العمل في 99 بلداً التفاصيل في مقالة ذكرناها سابقاً هنا , متضمناً عدداً من المشافي في المملكة المتحدة ووحدات هامة لتوزيع الغاز والماء في اسبانيا . لكن بالرغم من المقياس الهائل للهجوم ، تبين أن إيقاف العدوى الجديدة من الهجوم سهلة كـ حجز عنوان ويب واحد (نطاق) Domain .
حيث أن الباحثين أعلنوا أنهم قد وجدوا زر قتل في شيفرة برنامج مطالبة الفدية والذي هو نطاق Domain واحد والذي عند حجزه يمكنه أن يمنع حدوث إصابات جديدة . لا يبدو جلياً إذا كان التسجيل في ذلك المجال سيمنع كامل العدوى ، لكنه يجب أن يحد بشكل كبير الانتشار العالمي للهجوم .
عنوان الويب المهم وُجد في قسم صغير من الشيفرة ، والذي لا يزال الهدف من وجوده غير واضح .
فقط فإنه عندما يعدي البرنامج حاسوباً جديداً ، يقوم بالبداية بالتحقق من عنوان ويب غامض وهو iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ليتأكد من أن المجال Domain قد تم حجزه (تسجيله) . وطالما بقي المجال غير محجوزاً أي متوفراً فإن العدوى تستمر ، لتقوم بتشفير القرص الصلب للحاسوب وإغلاقه إلى أن يتم دفع الفدية .
هذه الميزة لوحظت أولاً من قبل باحث انكليزي عمره 22 عاماً الذي يكتب تحت اسم MalwareTech . كتجربة ، قام الباحث MalwareTech بتسجيل المجال (النطاق) ؛
الآن عندما يقوم البرنامج بتحققه ، يجد أن عنوان الويب (النطاق) الدومين Domain قد تم حجزه (تسجيله) وهو قيد الاستعمال . لاحقاً ظهر جلياً أثر هذه الحركة : حيث أن حجز ذلك المجال منع أي عدوى جديدة من التأثير . عندما تكتشف برمجية الفدية أن المجال (الدومين) محجوز ، فهي توقف فوراً عملية التثبيت ، تاركةً النظام الأكبر بدون تأثير .
نتيجة هذه العملية هي حماية كبرى للحواسيب التي لم تتأثر بعد ببرمجية مطالبة الفدية حيث أنه إذا وصلت برمجية الفدية إلى حاسوبك ، فإن زر القتل (حجز النطاق) سيوقف البرمجية من وضعك تحت رهن الفدية .
لا يزال غير واضح لم تضمنت برمجية الفدية مثل زر القتل هذا . البعض تكهنوا أنها طريقة من قبل الصانع ليوقفها عن العمل عن بعد ، رغم ذلك لا يوجد أي مؤشر أنه قد قرر فعل ذلك .
الباحث MalwareTech لديه نظرية مختلفة : التحقق من المجال (النطاق) كان طريقة ليبقي برمجية الفدية بعيداً عن الملاحظة من باحثي البرمجيات الخبيثة . إذا كان البرنامج يتم تشغيله في بيئة متحكم بها “Sandbox” والذي يتم استعماله بشكل شائع من قبل الباحثين لفحص الشيفرات بدون فضح أنفسهم للبرمجيات الخبيثة ، فإن المجال قد يستجيب أنه محجوز كنتيجة لمحدودية لـ Sandbox (عدم قدرته على الاتصال بالإنترنيت) . في تلك الحالات ، منع التثبيت كان ليكون خدعة نافعة .
ضغط مفتاح القتل قد لا يوقف برمجية الفدية WannaCry كلياً .
إنه لمن غير الواضح كيف أن العديد من الإصابات الملاحظة كانت نتيجة سلسلة محددة من البرمجية الخبيثة التي تم تحليلها من قبل الباحث MalwareTech . أكثر من ذلك ، فإنه سيكون سهلاً للمؤلفين أن يرسلوا إصداراً جديداً من برمجية انتزاع الفدية مع مجال مختلف أو بدون بروتوكول زر القتل كله .