«الفدية الإلكترونية».. القصة شبه الكاملة لهجمات «وانا كراي» غير المسبوقة

بدأت – الجمعة الماضية – هجمات إلكترونية «غير مسبوقة» لبرمجيات «الفدية الخبيثة» من نوع « ransomware»، استهدفت عشرات الدول والمؤسسات حول العالم من بينها شركات اتصالات ومستشفيات، وتضرر منها عشرات الآلاف من الحواسب الآلية. وفي هذا التقرير نوضح كيف تعمل تلك البرمجيات، وسبل انتشارها، وآثارها عالميًا، ونقدم نصائح للوقاية من تلك الفيروسات.

 

ما هي برمجيات «ransomware»؟ وكيف تعمل؟

 

تعتبر برمجيات «ransomware» (رانزوم وير) برمجية خبيثة، تشفر كافة الملفات بحاسبك الآلي وتعميها عنك، وتستهدف بشكل أساسي الحواسب الآلية التي تعمل بنظام ويندوز التابع لشركة «مايكروسوفت»، وفي الهجمات الإلكترونية الأخيرة حملت تلك البرمجيات اسم «WannaCry» (وانا كراي) وهي أحد أنواع برمجيات الـ« ransomware » التي تعتمد على طلب الفدية لفك تشفير بيانات الجهاز التي أصابتها البرمجية الخبيثة.

 

وعندما تصيب تلك البرمجية جهازك يظهر على الشاشة ما حدث له من تشفير للملفات، والفدية المطلوبة لفك التشفير، مصحوب بطريقة الدفع، ويبلغ حجم الفدية 300 دولار، تُدفع بالبتكوين، ويمكن أن تتضاعف إذا تأخر الدفع.

 

 

صورة توضح ما يظهر على جهاز الضحية التي شُفرت ملفاته

 

ليس هذا فحسب، وإنما يضع القراصنة أيضًا حدًا زمنيًا مدته ثلاثة أيام للدفع، وإن لم تدفع الضحية الفدية المطلوبة قبل انتهاء الحد الزمني، تتضاعف لتصل إلى 600 دولار، أما إذا تأخر الضحية عن الدفع قبل مرور نحو سبعة أيام من تشفير الملفات؛ فإنه سيفقدها تمامًا بحسب القراصنة.

 

وقد وصفت وكالة تطبيق القانون الأوروبية التي تعرف باسم «اليوروبول» تلك الهجمات الإلكترونية الضخمة بأنها «غير مسبوقة»، وأفادت الوكالة السبت بأن الهجمات تتطلب تحقيقًا دوليًا معقدًا للتعرف على القراصنة الذين يقفون وراءها.

 

وتجدر الإشارة إلى أن جماعة قراصنة يطلقون على أنفسهم اسم «ذي شادو بروكور» سرقوا أدوت للقرصنة وبرامج خبيثة من وكالة الأمن القومي الأمريكي في أبريل (نيسان) الماضي، وجعلوها متاحة مجانًا للجميع، وأفاد خبراء بأن تلك الهجمات استغلت الثغرات التي وفرتها جماعة القراصنة.

 

كيف تنتشر تلك البرمجيات؟

 

يصيب برنامج «رانزوم وير» الجهاز عادةً إما عن طريق النقر على ملف خبيث أو تحميله؛ مما يُشفر ملفات جهازك، طالبًا فدية مالية لفك تشفيرها، ولكن مع هجمات «وانا كراي» الأخيرة، رجّح عدد من الباحثين المختصين في مجال الأمن المعلوماتي، بأن تكون البرمجيات الخبيثة انتشرت عن طريق فيروس ينتشر بنفسه، في أجهزة الكمبيوتر الموجودة في نفس المكان، من خلال شبكات مترابطة، أكثر من كونها انتشرت عن طريق فعل إنساني بنقر على رابط خبيث.

 

ويمكن لبعض أشكال برمجيات الفدية الخبيثة أن تغلق جهازك تمامًا وتظهر فقط الرسالة التي تحمل حجم الفدية، وطريقة دفعها كي تتمكن من فتح جهازك، فيما يتخذ البعض الآخر شكل أيقونة كبيرة تحمل الرسالة التي تحمل حجم الفدية وطريقة دفعها، ويصعب التخلص من تلك الأيقونة؛ مما يجعل من الصعب – أو المستحيل – استخدام الجهاز دون دفع الفدية، ويحذر خبراء أمنيون بأنه لا توجد أية ضمانة بأنك إذا دفعت الفدية ستتمكن من فك تشفير ملفات جهازك.

 

إلى أي مدى انتشرت الـ«وانا كراي»؟ وكيف ردّت مايكروسوفت؟

 

لاقت تلك البرمجيات الخبيثة انتشارًا واسعًا حول العالم، وقدّرت شركة أفاست للبرمجيات ومضادات الفيروسات، وصول الـ«وانا كراي» إلى 99 دولة حول العالم، وإصابتها لــ57 ألف جهاز عالميًا، ووصلت برمجيات الفدية الخبيثة إلى دول كالولايات المتحدة وبريطانيا والصين وإسبانيا والبرتغال وإيطاليا وفيتنام، فيما كانت دول: روسيا وأوكرانيا وتايوان الأكثر استهدافًا بالبرمجيات الخبيثة.

 

 

خريطة تظهر انتشار الـوانا كراي حول العالم (المصدر: نيو يورك تايمز)

 

ومن أبرز المؤسسات التي تعرضت لتلك الهجمات الإلكترونية، في إسبانيا هي شبكة الاتصالات الإسبانية «تيليفونيكا» التي قالت في بيان لها: إنها تعرضت لـ«حادثة تتعلق بالأمن الإلكتروني، لكن العملاء والخدمات لم يتأثروا»، وشركة الطاقة «إبيردرولا» وشركة غاز «ناتورال»؛ مما دفع العاملين لغلق الحواسب التي كانوا يعملون عليها.

 

أما في روسيا، فكان مشغل الشبكات الخلوية الروسية «ميجافون»، التي دفعتها الهجمات لغلق عدد من خوادم شبكتها الحاسوبية، بالإضافة إلى تضرر وزارتي الداخلية والصحة، وشركة القطارات الروسية الحكومية، وعدد من البنوك المحلية.

 

أما في بريطانيا، فقد تضررت مستشفيات هيئة الرعاية الصحية البريطانية (إن إتش إس)؛ مما دفع تلك المستشفيات لتعطيل خدماتها بتوقف أجهزتها وإلغاء عمليات جراحية، وأفادت الإذاعة البريطانية بي بي سي بأن عدد تلك المنظمات الصحية التي تعرضت للهجمات الإلكتورنية وصل إلى نحو 40 منظمة، وقالت رئيسة الوزراء البريطانية تريزا ماي: إن الهجوم كان دوليًا «طال بلدنا ومنظمات عدة».

 

وفي رد فعل لشركة مايكروسوفت، أكدت الشركة الأمريكية أنها حدّثت أنظمة تشغيل ويندوز ومضاد الفيروسات المجاني الخاص بها كـ«ويندوز ديفندر» و«Microsoft Security Essentials» لنظام ويندوز «7،8،10،rt» لحماية المستخدمين من الهجمات الإلكترونية، وأفادت الشركة بأن التحميل سيُحدث مباشرةً بمجرد تواصل الجهاز بإنترنت فعال، كما أكدت الشركة أنها ستحِّدث النسخ القديمة من برامجها، والتي «لم تعد تستقبل الدعم العام» الذي تقدمه مثل: ويندوز إكس بي، وويندوزز سيرفر 2003.

 

كيف تحمي جهازك من الإصابة بتلك الهجمات؟

 

ينصح باتخاذ عدد من التدابير الاحترازية لحماية جهازك من تلك الهجمات، وفي هذا الصدد ينصح مركز مايكروسوفت للحماية من البرامج الضارة، بتثبيت واستخدام برنامج مضاد للفيروسات، مثل « Microsoft Security Essentials» والتأكد من أن نظام التشغيل مُحدث، وتجنب النقر على روابط من أشخاص وجهات لا تعرفهم، وفتح شاشة ذكية على «إنترنت إكسبلورر»؛ مما يساعد في تحديد البرامج الخبيثة، واتخاذ القرارات السليمة بشأن المواد التي تحملها، وتثبيت مانع للنوافذ المنبثقة «pop-up blocker» على متصفح الويب الخاص بك.

 

وأحد أبرز النصائح الهامة في هذا الصدد: نقل الملفات الهامة بشكل دوري إلى أداة تخزين منفصل عن الجهاز، مثل الهارد الخارجي، أو اليو إس بي؛ لتسهيل استرجاعها؛ لأن أكثر مصادر الإزعاج من تلك الهجمات فقدان الملفات الهامة على جهازك، وفي مثال عملي لذلك تعرض شاب مصري يدعى عبد الله توفيق إلى هجوم «وانا كراي»، وساعده نقل الملفات الهامة بشكل أسبوعي على أداة تخزين مختلفة من استرجاع 70% من ملفاته المشفرة، بحسب ما كتبه على صفحته الشخصية في موقع التواصل الاجتماعي «فيسبوك».

 

وفي سياق متصل، تمكن باحث في الأمن الإلكتروني صاحب حساب يحمل اسم «MalwareTech» على موقع التواصل الاجتماعي «تويتر»، من وقف الـ«وانا كراي» عن طريق الصدفة، بتسجيل اسم «نطاق» (domain) باسم أحد الأكواد المستخدمة من البرمجيات الخبيثة؛ مما أدى لتوقفها، ويحمل اسم النطاق الذي سجله «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com»، ولفت الباحث إلى أن الأجهزة التي تضررت لن تستفيد من ذلك الحل.

 

إلا أنه قال لـ«الجارديان» و«وكالة الأنباء الفرنسية»: إن المشكلة لم تنتهِ بعد؛ لأن القراصنة لو غيروا من كود البرمجية الخبيثة؛ فإنها ستستعيد قدرتها على العمل، وكتب الباحث البريطاني الذي يبلغ من العمر (22عامًا) فقط، على تويتر: «سأعترف بأنني لم أكن على علم بأن تسجيل النطاق سيوقف البرمجيات الخبيثة، حتى بعدما سجلته بالفعل، لذلك – مبدئيًا – الأمر كان من قبيل الصدفة».

 

كما نشر عدد من الصفحات الشخصية والعامة المهتمة بالأمن الإلكتروني، عددًا من المنشورات المكتوبة بالعربية، التي لاقت انتشارًا واسعًا على موقع التواصل الاجتماعي «فيسبوك» وتضمنت نصائح لما يمكن عمله للوقاية من تلك الهجمات الإلكترونية.

 

بدأت – الجمعة الماضية – هجمات إلكترونية «غير مسبوقة» لبرمجيات «الفدية الخبيثة» من نوع « ransomware»، استهدفت عشرات الدول والمؤسسات حول العالم من بينها شركات اتصالات ومستشفيات، وتضرر منها عشرات الآلاف من الحواسب الآلية. وفي هذا التقرير نوضح كيف تعمل تلك البرمجيات، وسبل انتشارها، وآثارها عالميًا، ونقدم نصائح للوقاية من تلك الفيروسات.

 

ما هي برمجيات «ransomware»؟ وكيف تعمل؟

 

تعتبر برمجيات «ransomware» (رانزوم وير) برمجية خبيثة، تشفر كافة الملفات بحاسبك الآلي وتعميها عنك، وتستهدف بشكل أساسي الحواسب الآلية التي تعمل بنظام ويندوز التابع لشركة «مايكروسوفت»، وفي الهجمات الإلكترونية الأخيرة حملت تلك البرمجيات اسم «WannaCry» (وانا كراي) وهي أحد أنواع برمجيات الـ« ransomware » التي تعتمد على طلب الفدية لفك تشفير بيانات الجهاز التي أصابتها البرمجية الخبيثة.

 

وعندما تصيب تلك البرمجية جهازك يظهر على الشاشة ما حدث له من تشفير للملفات، والفدية المطلوبة لفك التشفير، مصحوب بطريقة الدفع، ويبلغ حجم الفدية 300 دولار، تُدفع بالبتكوين، ويمكن أن تتضاعف إذا تأخر الدفع.

 

 

صورة توضح ما يظهر على جهاز الضحية التي شُفرت ملفاته

 

ليس هذا فحسب، وإنما يضع القراصنة أيضًا حدًا زمنيًا مدته ثلاثة أيام للدفع، وإن لم تدفع الضحية الفدية المطلوبة قبل انتهاء الحد الزمني، تتضاعف لتصل إلى 600 دولار، أما إذا تأخر الضحية عن الدفع قبل مرور نحو سبعة أيام من تشفير الملفات؛ فإنه سيفقدها تمامًا بحسب القراصنة.

 

وقد وصفت وكالة تطبيق القانون الأوروبية التي تعرف باسم «اليوروبول» تلك الهجمات الإلكترونية الضخمة بأنها «غير مسبوقة»، وأفادت الوكالة السبت بأن الهجمات تتطلب تحقيقًا دوليًا معقدًا للتعرف على القراصنة الذين يقفون وراءها.

 

وتجدر الإشارة إلى أن جماعة قراصنة يطلقون على أنفسهم اسم «ذي شادو بروكور» سرقوا أدوت للقرصنة وبرامج خبيثة من وكالة الأمن القومي الأمريكي في أبريل (نيسان) الماضي، وجعلوها متاحة مجانًا للجميع، وأفاد خبراء بأن تلك الهجمات استغلت الثغرات التي وفرتها جماعة القراصنة.

 

كيف تنتشر تلك البرمجيات؟

 

يصيب برنامج «رانزوم وير» الجهاز عادةً إما عن طريق النقر على ملف خبيث أو تحميله؛ مما يُشفر ملفات جهازك، طالبًا فدية مالية لفك تشفيرها، ولكن مع هجمات «وانا كراي» الأخيرة، رجّح عدد من الباحثين المختصين في مجال الأمن المعلوماتي، بأن تكون البرمجيات الخبيثة انتشرت عن طريق فيروس ينتشر بنفسه، في أجهزة الكمبيوتر الموجودة في نفس المكان، من خلال شبكات مترابطة، أكثر من كونها انتشرت عن طريق فعل إنساني بنقر على رابط خبيث.

 

ويمكن لبعض أشكال برمجيات الفدية الخبيثة أن تغلق جهازك تمامًا وتظهر فقط الرسالة التي تحمل حجم الفدية، وطريقة دفعها كي تتمكن من فتح جهازك، فيما يتخذ البعض الآخر شكل أيقونة كبيرة تحمل الرسالة التي تحمل حجم الفدية وطريقة دفعها، ويصعب التخلص من تلك الأيقونة؛ مما يجعل من الصعب – أو المستحيل – استخدام الجهاز دون دفع الفدية، ويحذر خبراء أمنيون بأنه لا توجد أية ضمانة بأنك إذا دفعت الفدية ستتمكن من فك تشفير ملفات جهازك.

 

إلى أي مدى انتشرت الـ«وانا كراي»؟ وكيف ردّت مايكروسوفت؟

 

لاقت تلك البرمجيات الخبيثة انتشارًا واسعًا حول العالم، وقدّرت شركة أفاست للبرمجيات ومضادات الفيروسات، وصول الـ«وانا كراي» إلى 99 دولة حول العالم، وإصابتها لــ57 ألف جهاز عالميًا، ووصلت برمجيات الفدية الخبيثة إلى دول كالولايات المتحدة وبريطانيا والصين وإسبانيا والبرتغال وإيطاليا وفيتنام، فيما كانت دول: روسيا وأوكرانيا وتايوان الأكثر استهدافًا بالبرمجيات الخبيثة.

 

 

خريطة تظهر انتشار الـوانا كراي حول العالم (المصدر: نيو يورك تايمز)

 

ومن أبرز المؤسسات التي تعرضت لتلك الهجمات الإلكترونية، في إسبانيا هي شبكة الاتصالات الإسبانية «تيليفونيكا» التي قالت في بيان لها: إنها تعرضت لـ«حادثة تتعلق بالأمن الإلكتروني، لكن العملاء والخدمات لم يتأثروا»، وشركة الطاقة «إبيردرولا» وشركة غاز «ناتورال»؛ مما دفع العاملين لغلق الحواسب التي كانوا يعملون عليها.

 

أما في روسيا، فكان مشغل الشبكات الخلوية الروسية «ميجافون»، التي دفعتها الهجمات لغلق عدد من خوادم شبكتها الحاسوبية، بالإضافة إلى تضرر وزارتي الداخلية والصحة، وشركة القطارات الروسية الحكومية، وعدد من البنوك المحلية.

 

أما في بريطانيا، فقد تضررت مستشفيات هيئة الرعاية الصحية البريطانية (إن إتش إس)؛ مما دفع تلك المستشفيات لتعطيل خدماتها بتوقف أجهزتها وإلغاء عمليات جراحية، وأفادت الإذاعة البريطانية بي بي سي بأن عدد تلك المنظمات الصحية التي تعرضت للهجمات الإلكتورنية وصل إلى نحو 40 منظمة، وقالت رئيسة الوزراء البريطانية تريزا ماي: إن الهجوم كان دوليًا «طال بلدنا ومنظمات عدة».

 

وفي رد فعل لشركة مايكروسوفت، أكدت الشركة الأمريكية أنها حدّثت أنظمة تشغيل ويندوز ومضاد الفيروسات المجاني الخاص بها كـ«ويندوز ديفندر» و«Microsoft Security Essentials» لنظام ويندوز «7،8،10،rt» لحماية المستخدمين من الهجمات الإلكترونية، وأفادت الشركة بأن التحميل سيُحدث مباشرةً بمجرد تواصل الجهاز بإنترنت فعال، كما أكدت الشركة أنها ستحِّدث النسخ القديمة من برامجها، والتي «لم تعد تستقبل الدعم العام» الذي تقدمه مثل: ويندوز إكس بي، وويندوزز سيرفر 2003.

 

كيف تحمي جهازك من الإصابة بتلك الهجمات؟

 

ينصح باتخاذ عدد من التدابير الاحترازية لحماية جهازك من تلك الهجمات، وفي هذا الصدد ينصح مركز مايكروسوفت للحماية من البرامج الضارة، بتثبيت واستخدام برنامج مضاد للفيروسات، مثل « Microsoft Security Essentials» والتأكد من أن نظام التشغيل مُحدث، وتجنب النقر على روابط من أشخاص وجهات لا تعرفهم، وفتح شاشة ذكية على «إنترنت إكسبلورر»؛ مما يساعد في تحديد البرامج الخبيثة، واتخاذ القرارات السليمة بشأن المواد التي تحملها، وتثبيت مانع للنوافذ المنبثقة «pop-up blocker» على متصفح الويب الخاص بك.

 

وأحد أبرز النصائح الهامة في هذا الصدد: نقل الملفات الهامة بشكل دوري إلى أداة تخزين منفصل عن الجهاز، مثل الهارد الخارجي، أو اليو إس بي؛ لتسهيل استرجاعها؛ لأن أكثر مصادر الإزعاج من تلك الهجمات فقدان الملفات الهامة على جهازك، وفي مثال عملي لذلك تعرض شاب مصري يدعى عبد الله توفيق إلى هجوم «وانا كراي»، وساعده نقل الملفات الهامة بشكل أسبوعي على أداة تخزين مختلفة من استرجاع 70% من ملفاته المشفرة، بحسب ما كتبه على صفحته الشخصية في موقع التواصل الاجتماعي «فيسبوك».

 

وفي سياق متصل، تمكن باحث في الأمن الإلكتروني صاحب حساب يحمل اسم «MalwareTech» على موقع التواصل الاجتماعي «تويتر»، من وقف الـ«وانا كراي» عن طريق الصدفة، بتسجيل اسم «نطاق» (domain) باسم أحد الأكواد المستخدمة من البرمجيات الخبيثة؛ مما أدى لتوقفها، ويحمل اسم النطاق الذي سجله «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com»، ولفت الباحث إلى أن الأجهزة التي تضررت لن تستفيد من ذلك الحل.

 

إلا أنه قال لـ«الجارديان» و«وكالة الأنباء الفرنسية»: إن المشكلة لم تنتهِ بعد؛ لأن القراصنة لو غيروا من كود البرمجية الخبيثة؛ فإنها ستستعيد قدرتها على العمل، وكتب الباحث البريطاني الذي يبلغ من العمر (22عامًا) فقط، على تويتر: «سأعترف بأنني لم أكن على علم بأن تسجيل النطاق سيوقف البرمجيات الخبيثة، حتى بعدما سجلته بالفعل، لذلك – مبدئيًا – الأمر كان من قبيل الصدفة».

 

كما نشر عدد من الصفحات الشخصية والعامة المهتمة بالأمن الإلكتروني، عددًا من المنشورات المكتوبة بالعربية، التي لاقت انتشارًا واسعًا على موقع التواصل الاجتماعي «فيسبوك» وتضمنت نصائح لما يمكن عمله للوقاية من تلك الهجمات الإلكترونية.