ماذا نفعل اذا أُصبنا ببرمجيات الفدية الإلكترونيّة ؟ وماهي أهم الممارسات للوقاية منها؟

ماهي برامج الفدية Ransomware؟

برامج الفدية Ransomware هي أحد أنواع البرمجيات الخبيثة التي تقوم بتشفير الملفات على الجهاز المصاب وجعلها بذلك غير متاحة لصاحبها وفي الحين ذاته طالبة حوالة مالية مقابل فك تشفير الملفات وإتاحتها لصاحبها. إذا تقوم هذه البرمجيات الخبيثة باحتجاز الملفات كرهائن عبر تشفيرها وطلب مبلغ مالي لفك تشفيرها وإطلاق سراح الرهائن

تعتبر هذه البرامج من البرامج الخبيثة الحديثة إذ أنها تعتمد على عملة رقميّة مشفّرة لاستقبال وإرسال الحوالات المالية بشكل معمّى عبر الانترنت. بهذه الطريقة، يمكن لصاحب البرنامج المسئ تجنب الملاحقة والإبقاء على سرية شخصيته عند استهداف ضحاياه.

تختلف هذه البرامج حسب الملفات التي تقوم بتشفيرها، فبعضها يقوم بتشفير كل الملفات داخل مجلد Documents وبعضها يقوم بالبحث عن ملفات الميديا كالصور والأفلام وملفات الصوت أو الملفات المكتبية مثل الملفات النصية والجداول وملفات الـ PDF. تختلف أيضا حسب طريقة إصابة الجهاز فبعضها يكون معدا لإصابة جهاز شخص محدد يعرف المهاجم أن لديه القدرة على دفع الفدية وبعضها يصيب عددا كبيرا من الأجهزة بنفس الوقت ضمن مؤسسة أو شركة مثلا ويطلب المهاجم الفدية من الشركة وبعضها يستهدف أي شخص كان سواء عرف المهاجم قدرته أم لم يعرف.

كيف تصيبني برمجيات الفدية Ransomware؟

تشبه برامج الفدية الفيروسات في طريقة إصابتها لجهاز الضحية. وتعتمد في معظمها على أسلوب حصان طروادة Trojan. حيث يستغل المهاجم ثغرة Vulnerability في نظام التشغيل مثلا أو أن يقوم المهاجم بالاحتيال على الضحية عبر أساليب الهندسة الاجتماعية Social Engineering ليخلق لنفسه، إن نجح، موطئ قدم على جهاز الضحية، ليقوم المهاجم بعد ذلك بتحميل برنامج الفدية على جهاز الضحية وتشغيله لتشفير الملفات وطلب الفدية.

ماهي أنواع برمجيات الفدية؟

فيما يلي ثلاثة أنواع رئيسية من برامج الفدية، تتراوح شدتها من التعطيل البسيط إلى التشفير الكامل والمعقد للملفات:

  • البرمجيات الفزّاعة Scareware

كما يتّضح من اسمها، تقوم البرمجيات الفزّاعة Scareware بإخافة المستخدمين و وايحائهم بأنه قد تم اكتشاف برامج ضارّة في أجهزتهم. والطريقة الوحيدة للتخلص منها هي الدفع. تظهر عادةَ للمستخدمين عند تصفّح الانترنت  كنافذة منبثقة تدّعي أنها من فريق الدعم الفني لشركة ما. وا إذا لم تفعلوا شيئاً، فمن المحتمل أن تستمر النوافذ المنبثقة بالظهور لكم، ولكن في الحقيقة ملفاتكم آمنة.

  • قافلات الشاشة Screen lockers:

تقوم برمجيات قافلات الشاشة Screen lockers  بتقييد تسجيل الدخول أو الوصول إلى ملفاتنا كما تطلب بالدفع عن طريق العملة الرقمية المشفرة، لرفع هذه القيود. عند بدء تشغيل جهاز الكمبيوتر المصاب الخاص بكم، ستظهر نافذة كاملة الحجم، بعضها تكون مصحوبة بخاتم مكتب التحقيقات الفدرالي الرسمي أو ختم وزارة العدل الأمريكية تقول أنه تم اكتشاف نشاط غير قانوني على جهاز الكمبيوتر الخاص بكم ويجب عليكم دفع غرامة. أو قد تعلن بشكل صريح أنها برمجيات فدية و عليكم أن تدفعوا ان أردتم فتح الجهاز الخاص بكم.

  • برمجيات الفدية المُشفِّرة Encrypting ransomware:

وهو النوع الأكثر شيوعاً والأكثر ضرراً. حيث يتم فيها استخدام خوارزميات تشفير متقدمة لتشفير جميع البيانات المحفوظة في الجهاز المصاب. كما يقوم بعضها بخلط جميع أسماء الملفات مما يجعل من الصعب عليكم التمييز بين الملفات التي تأثرت والتي لم تتأثر بالهجوم. وتكمن خطورة هذا النوع من برامج الفدية هو أنه بمجرد حصول المجرمين على ملفاتكم ، لا يمكن لأي برنامج أمان أو استعادة النظام أن يعيدهم إليكم. ما لم تُدفع الفدية. وحتى إذا قمتم بالدفع ، فلا يوجد ضمان بأن القراصنة سيعيدون إليكم هذه الملفات.

ما الذي يمكننا القيام به إذا أصبتم ببرمجيات الفدية ؟

لا تقوموا بدفع الفدية على الفور:

بغض النظر عن أهمية الملفات التي تم تشفيرها أو قفلها. يجب عليكم التمهّل وعدم الاستجابة لمطالب المهاجمين، حيث هناك أنواع كثيرة من برمجيات الفدية يمكن تجاوزها و فتح الملفات من دون دفع الفدية.

قوموا بعزل الأجهزة المصابة:

افصلوا الجهاز عن الشبكة (سواءً كانت شبكة سلكية أو WiFi) حتى لا تنتشر برامج الفدية إلى أجهزة أخرى على شبكتكم المحليّة أو إلى خدمات مزامنة الملفات مثل Dropbox أو Drive

حددّوا نوع برنامج الفدية الذي استهدفكم

في أغلب الأحيان تعرّف برامج الفدية نفسها عندما تطلب فدية. لكن هناك العديد من المواقع التي تساعدكم على التعرف على برنامج الفدية ، منها ID Ransomware حيث يتطلب منكم رفع الملف الذي يقوم بعرض رسالة الفدية. بالإضافة إلى أداة مأمور التشفير  Crypto Sheriff من مشروع No More Ransomware للمساعدة في تحديد نوع برنامج الفدية. يساعد التعرف على نوع برنامج الفدية على فهم آلية عمل البرمجيّة التي لديكم وكيفية انتشارها وأنواع الملفات التي يقوم بتشفيرها، وربما عرض بعض الخيارات لإزالة البرنامج الخبيث.

قوموا بتبليغ السلطات في المكان الذي تعيشون فيه

اجمعوا المعلومات اللازمة للتبليغ عن الحادثة لمكتب مكافحة الجرائم الالكترونية في البلد الذي تعيشون فيه. على سبيل المثال يمكن التقاط صورة لرسالة الفدية التي تُعرض لكم، بالإضافة إلى استخدام نوع برمجية الفدية في الخطوة السابقة لدعم البلاغ المقدّم للسلطات.

اتخذوا القرار فيما كنتم تريدون دفع الفدية، أو محاولة إزالة البرمجية الخبيثة، أو مسح نظام التشغيل واعادة تنصيبه من جديد:

إذا قررتم دفع الفدية: 

لا يوجد أي ضامن على أن دفع الفدية قد يؤدي الى استرجاع الملفات وازالة البرنامج الخبيث كلياً، لذا لابد من التفكير مليّاً قبل اتخاذ هكذا قرار.
كما يمكنكم دوماً المساومة على السعر كما في أي صفقة أخرى، ففي حادثة نادرة عام 2018  قام مطوّر برمجيّة الفدية الخبيثة المشهورة غاندكراب GandCrab بإطلاق مفاتيح فك تشفير الملفات بشكل مجاني لجميع السورييّن على أحد منتديات الجريمة السيبرانيّة. وذلك بعد أن قام مستخدم سوري بطلب المساعدة على تويتر لاستعادة صور وفيديوهات أبناءه الذين فُقدوا بالحرب في سوريا.

إذا قررتم إزالة برمجيّة الخبيثة:

بعد معرفة نوع برمجية الفدية في الخطوة الثالثة تحققوا من توفر أدوات فك تشفير خاصة بالبرنامج الذي أصاب أجهزتكم. يمكن ذلك من خلال الانتقال إلى قائمة أدوات فك التشفير على موقع No More Ransom ومعرفة ما إذا كان هناك أداة فك تشفير مطابقة. إذا لم تجدوا أداة فك التشفيرالموافقة للبرنامج الذي أصابكم، يمكنكم تجريب بعض مواقع الويب الأخرى التي تجمع أجهزة فك تشفير برامج الفدية ومنها هذه المقالة أو هذا المصدر
يمكنكم أيضاً تجربة صفحات فك التشفير المتوفرة على مواقع شركات مكافحة الفيروسات المختلفة مثل:
أدوات فك التشفير من كاسبرسكي
أدوات فك التشفير من امسيسوفت

أدوات فك التشفير من AVG

إذا قررتم مسح نظام التشغيل:

لإزالة برنامج الفدية من نظام التشغيل بشكل كلي يمكن القيام بمسح كامل وإعادة تثبيت نظام التشغيل. يتيح Windows 10 “إعادة ضبط إعدادات المصنع” للعديد من الأجهزة، ولكن مع أنظمة التشغيل الأخرى، سيتعين عليكم استخدام أقراص التثبيت أو أجهزة USB.إذا كنتم تقومون بالنسخ الاحتياطي السحابي بشكل دوري وبشكل معزول عن أجهزة الكمبيوتر المحلية، فغالباً ما يكون لديكم نسخ احتياطية سليمة من جميع المستندات والوسائط والملفات المهمة حتى وقت الإصابة. تأكد من تحديد تاريخ الإصابة، حددوا نسخة احتياطية أو نسخ احتياطية تم إجراؤها قبل تاريخ الإصابة الأولية ببرنامج الفدية. وقوموا باسترجاعها.

أفضل الممارسات للوقاية من الإصابة ببرامج الفدية:

  • قوموا بعمل نسخ احتياطية متكررة وشاملة لجميع الملفات الهامة وعزلها عن الشبكات المحلية والمفتوحة.
  • استخدموا برامج مكافحة الفيروسات وبرامج مكافحة البرامج الضارة واحرصوا على تحديثها بشكل منظم
  • توخي الحذر عند فتح مرفقات وروابط البريد الإلكتروني. يمكن معاينة المواقع وروابط تحميل الملفات للتأكد من مصداقيتها وسلامتها. خلال موقع فايروس توتال وهي خدمة مجانية لفحص وتحليل الملفات والروابط المشبوهة.
  • قسّموا شبكاتكم إلى أجزاء لعزل أجهزة الكمبيوتر المهمة ومنع انتشار البرامج الضارة في حالة حدوث هجوم. قوموا بإيقاف تشغيل مشاركات الشبكة غير الضرورية.
  • استخدموا جدار النار Firewall جيد أو فعلوا جدار الحماية المدمج بنظام التشغيل
  • تابعوا أخبار الثغرات والتحديثات على صفحة مشروع سلامتك وغيرها من المصادر حول أمن المعلومات
  • علموا أنفسكم و موظفيكم وعائلاتكم أفضل الممارسات لإبعاد البرامج الضارة عن أجهزتكم. وابقو على اطّلاع بأحدث حيل الخداع بالبريد الإلكتروني والهندسة الاجتماعية