كما ذكرت وسائل إعلام روسية، تعطل عمل إدارات وزارة الداخلية في عدة مناطق في روسيا بسبب برنامج فدية أصاب العديد من أجهزة الكمبيوتر ويهدد بتدمير جميع البيانات. بالإضافة إلى ذلك، تعرضت شركة الاتصالات Megafon للهجوم.

نحن نتحدث عن حصان طروادة لبرنامج الفدية WCry (WannaCry أو WannaCryptor). يقوم بتشفير المعلومات الموجودة على الكمبيوتر ويطلب فدية قدرها 300 دولار أو 600 دولار من عملة البيتكوين لفك التشفير.

@[البريد الإلكتروني محمي]، الملفات المشفرة، الامتداد WNCRY. مطلوب تعليمات الأداة المساعدة وفك التشفير.

يقوم WannaCry بتشفير الملفات والمستندات ذات الامتدادات التالية عن طريق إضافة .WCRY إلى نهاية اسم الملف:

Lay6، .sqlite3، .sqlitedb، .accdb، .java، .class، .mpeg، .djvu، .tiff، .backup، .vmdk، .sldm، .sldx، .potm، .potx، .ppam، .ppsx، .ppsm، .pptm، .xltm، .xltx، .xlsb، .xlsm، .dotx، .dotm، .docm، .docb، .jpeg، .onetoc2، .vsdx، .pptx، .xlsx، .docx

هجوم WannaCry حول العالم

وتم تسجيل الهجمات في أكثر من 100 دولة. وتواجه روسيا وأوكرانيا والهند أكبر المشاكل. ترد تقارير عن الإصابة بالفيروس من المملكة المتحدة والولايات المتحدة الأمريكية والصين وإسبانيا وإيطاليا. ويشار إلى أن هجوم القراصنة أثر على المستشفيات وشركات الاتصالات حول العالم. تتوفر خريطة تفاعلية لانتشار تهديد WannaCrypt على الإنترنت.

كيف تحدث العدوى؟

وكما يقول المستخدمون، يصل الفيروس إلى أجهزة الكمبيوتر الخاصة بهم دون أي إجراء من جانبهم وينتشر عبر الشبكات دون حسيب ولا رقيب. يشيرون في منتدى Kaspersky Lab إلى أنه حتى برنامج مكافحة الفيروسات الممكّن لا يضمن الأمان.

يُذكر أن هجوم برنامج الفدية WannaCry (Wana Decryptor) يحدث من خلال الثغرة الأمنية في Microsoft Security Bulletin MS17-010. ثم تم تثبيت برنامج rootkit على النظام المصاب، والذي استخدمه المهاجمون لإطلاق برنامج تشفير. تكتشف جميع حلول Kaspersky Lab هذا البرنامج الجذري باعتباره MEM:Trojan.Win64.EquationDrug.gen.

ومن المفترض أن الإصابة حدثت قبل بضعة أيام، لكن الفيروس لم يظهر إلا بعد أن قام بتشفير جميع الملفات الموجودة على الكمبيوتر.

كيفية إزالة WanaDecryptor

ستتمكن من إزالة التهديد باستخدام أحد برامج مكافحة الفيروسات، حيث ستكتشف معظم برامج مكافحة الفيروسات التهديد بالفعل. التعريفات الشائعة:

أفاست Win32: واناكراي-A، متوسط Ransom_r.CFY، أفيرا TR/FileCoder.ibtft، BitDefender Trojan.Ransom.WannaCryptor.A، DrWebحصان طروادة.التشفير.11432، مضاد الفيروسات ايسيت نود 32 Win32/Filecoder.WannaCryptor.D، كاسبيرسكي Trojan-Ransom.Win32.Wanna.d, البرامج الضارة Ransom.WanaCrypt0r, مايكروسوفتالفدية:Win32/WannaCrypt، البانداترج/رانسومكريبت.F، سيمانتيك Trojan.Gen.2، Ransom.Wannacry

إذا قمت بالفعل بإطلاق التهديد على جهاز الكمبيوتر الخاص بك وتم تشفير ملفاتك، فإن فك تشفير الملفات يكاد يكون مستحيلاً، حيث أن استغلال الثغرة الأمنية يؤدي إلى تشغيل برنامج تشفير الشبكة. ومع ذلك، تتوفر بالفعل عدة خيارات لأدوات فك التشفير:

ملحوظة: إذا تم تشفير ملفاتك ولا توجد نسخة احتياطية، ولم تساعد أدوات فك التشفير الموجودة، فمن المستحسن حفظ الملفات المشفرة قبل تنظيف التهديد من جهاز الكمبيوتر الخاص بك. ستكون مفيدة إذا تم إنشاء أداة فك التشفير التي تناسبك في المستقبل.

مايكروسوفت: قم بتثبيت تحديثات Windows

قالت Microsoft إن المستخدمين الذين تم تمكين برنامج مكافحة الفيروسات المجاني الخاص بالشركة وتحديث نظام Windows لديهم سيكونون محميين من هجمات WannaCryptor.

تعمل التحديثات بتاريخ 14 مارس على إصلاح ثغرة النظام التي يتم من خلالها توزيع حصان طروادة لبرنامج الفدية. تمت إضافة الكشف اليوم إلى قواعد بيانات مكافحة الفيروسات Microsoft Security Essentials/Windows Defender للحماية من البرامج الضارة الجديدة المعروفة باسم Ransom:Win32.WannaCrypt.

• تأكد من تشغيل برنامج مكافحة الفيروسات لديك وتثبيت آخر التحديثات.
• قم بتثبيت برنامج مكافحة فيروسات مجاني إذا لم يكن جهاز الكمبيوتر الخاص بك يتمتع بأي حماية.
• قم بتثبيت آخر تحديثات النظام باستخدام Windows Update:
  • ل ويندوز 7، 8.1من القائمة "ابدأ"، افتح "لوحة التحكم" > "Windows Update" وانقر فوق "البحث عن التحديثات".
  • ل ويندوز 10انتقل إلى الإعدادات > التحديث والأمان وانقر على "التحقق من وجود تحديثات".
• إذا قمت بتثبيت التحديثات يدويًا، فقم بتثبيت تصحيح Microsoft الرسمي رقم MS17-010، والذي يعالج ثغرة خادم SMB المستخدمة في هجوم برنامج الفدية WanaDecryptor.
• إذا كان برنامج مكافحة الفيروسات الخاص بك يحتوي على حماية من برامج الفدية، فقم بتشغيله. لدينا أيضًا قسم منفصل على موقعنا الإلكتروني، وهو قسم الحماية من برامج الفدية، حيث يمكنك تنزيل الأدوات المجانية.
• قم بإجراء فحص مكافحة الفيروسات لنظامك.

ويشير الخبراء إلى أن أسهل طريقة لحماية نفسك من الهجوم هي إغلاق المنفذ 445.

• اكتب sc stop lanmanserver ثم اضغط على Enter
• أدخل لنظام التشغيل Windows 10: sc config lanmanserver start=معطل، بالنسبة للإصدارات الأخرى من Windows: sc config lanmanserver start= معطل واضغط على Enter
• قم بإعادة تشغيل جهاز الحاسوب الخاص بك
• في موجه الأوامر، أدخل netstat -n -a | findstr "الاستماع" | findstr ":445" للتأكد من تعطيل المنفذ. إذا كانت هناك خطوط فارغة، فهذا يعني أن المنفذ لا يستمع.

إذا لزم الأمر، افتح المنفذ مرة أخرى:

• قم بتشغيل موجه الأوامر (cmd.exe) كمسؤول
• أدخل لنظام التشغيل Windows 10: sc config lanmanserver start=auto، بالنسبة للإصدارات الأخرى من Windows: sc config lanmanserver start= auto واضغط على Enter
• قم بإعادة تشغيل جهاز الحاسوب الخاص بك

ملحوظة: يستخدم Windows المنفذ 445 لمشاركة الملفات. لا يؤدي إغلاق هذا المنفذ إلى منع الكمبيوتر من الاتصال بموارد بعيدة أخرى، ولكن لن تتمكن أجهزة الكمبيوتر الأخرى من الاتصال بالنظام.