أريد البكاء العدوى. فيروس WannaCry: الأعراض، مبدأ العمل، طرق الحماية. كيف يعمل الفيروس وما الذي يقوم بتشفيره

13.04.2022

فيروس واناكراي"رعد" في جميع أنحاء العالم يوم 12 مايو، في هذا اليوم أعلنت عدد من المؤسسات الطبية في المملكة المتحدة أن شبكاتها قد أصيبت، وأبلغت شركة الاتصالات الإسبانية ووزارة الداخلية الروسية عن صد هجوم قراصنة.

ينتمي WannaCry (الذي أطلق عليه عامة الناس اسم Wona's Edge) إلى فئة فيروسات برامج الفدية (cryptors)، والتي، عندما تصل إلى جهاز الكمبيوتر، تقوم بتشفير ملفات المستخدم باستخدام خوارزمية تشفير، مما يجعل من المستحيل قراءة هذه الملفات.

حاليًا، من المعروف أن امتدادات الملفات الشائعة التالية تخضع لتشفير WannaCry:

  1. شائع ملفات مايكروسوفتمكتب (.xlsx، .xls، .docx، .doc).
  2. ملفات الأرشيف والوسائط (.mp4، .mkv، .mp3، .wav، .swf، .mpeg، .avi، .mov، .mp4، .3gp، .mkv، .flv، .wma، .mid، .djvu، .png، .jpg، .jpeg، .iso، .zip، .rar).

WannaCry – كيف ينتشر الفيروس

سبق أن ذكرنا هذه الطريقة لنشر الفيروسات في مقال عنها، وهذا ليس بالأمر الجديد.

على صندوق البريديتلقى المستخدم رسالة تحتوي على مرفق "غير ضار" - يمكن أن يكون صورة أو مقطع فيديو أو أغنية، ولكن بدلاً من ذلك التمديد القياسيبالنسبة لهذه التنسيقات، سيكون للمرفق امتداد ملف قابل للتنفيذ - exe. عند فتح مثل هذا الملف وتشغيله، يكون النظام "مصابًا"، ومن خلال ثغرة أمنية، يتم تحميل الفيروس مباشرة إلى نظام التشغيل Windows، مما يؤدي إلى تشفير بيانات المستخدم.

وقد لا تكون هذه هي الطريقة الوحيدة لنشر فيروس WannaCry، إذ يمكن أن تصبح ضحية عن طريق تنزيل الملفات "المصابة" على شبكات التواصل الاجتماعي وبرامج تعقب التورنت والمواقع الأخرى.

WannaCry – كيف تحمي نفسك من فيروس الفدية

1. قم بتثبيت التصحيح لـ مايكروسوفت ويندوز. في 14 مايو، أصدرت Microsoft تصحيحًا طارئًا للإصدارات التالية - Vista، 7، 8.1، 10، خادم ويندوز. يمكنك تثبيت هذا التصحيح ببساطة عن طريق تشغيل تحديث النظام من خلال خدمة Windows Update.

2. استخدام برامج مكافحة الفيروسات مع قواعد بيانات محدثة. لقد أصدر مطورو برامج الأمان المشهورون، مثل Kaspersky وDr.Web، بالفعل تحديثًا لمنتجاتهم يحتوي على معلومات حول WannaCry، وبالتالي حماية مستخدميهم.

3. احفظ البيانات المهمة في وسيلة منفصلة. إذا كان جهاز الكمبيوتر الخاص بك لا يدعم ذلك بعد، فيمكنك حفظ الملفات الأكثر أهمية على وسيط منفصل (محرك أقراص محمول، قرص). مع هذا النهج، حتى لو أصبحت ضحية، فسوف تقوم بحفظ الملفات الأكثر قيمة من التشفير.

في هذه اللحظة كل هذه معروفة طرق فعالةالحماية ضد واناكراي.

برنامج فك تشفير WannaCry، أين يمكن تنزيله وهل من الممكن إزالة الفيروس؟

تنتمي فيروسات Ransomware إلى فئة الفيروسات الأكثر "شرًا"، لأنها... في معظم الحالات، يتم تشفير ملفات المستخدم باستخدام مفتاح 128 بت أو 256 بت. أسوأ ما في الأمر هو أنه في كل حالة يكون المفتاح فريدًا، ويتطلب فك تشفير كل مفتاح قوة حاسوبية هائلة، مما يجعل من المستحيل تقريبًا التعامل مع المستخدمين "العاديين".

ولكن ماذا لو أصبحت ضحية لـ WannaCry وتحتاج إلى برنامج فك التشفير؟

1. اتصل بمنتدى دعم Kaspersky Lab - https://forum.kaspersky.com/ مع وصف المشكلة. يضم المنتدى ممثلين عن الشركة ومتطوعين يساعدون بنشاط في حل المشكلات.

2. كما هو الحال مع برنامج التشفير CryptXXX المعروف، تم العثور على حل عالمي لفك تشفير الملفات التي تم تشفيرها. لم يمر أكثر من أسبوع منذ اكتشاف فيروس WannaCry، ولم يتمكن المتخصصون من مختبرات مكافحة الفيروسات حتى الآن من إيجاد مثل هذا الحل له.

3. الحل الأساسي سيكون - إزالة كاملةنظام التشغيل من جهاز كمبيوتر تليها تثبيت نظيفجديد. في هذه الحالة، يتم فقدان جميع ملفات المستخدم وبياناته بالكامل، بالإضافة إلى إزالة WannaCry.

ربما اليوم، ربما لا يعرف سوى الأشخاص البعيدين جدًا عن الإنترنت عن الإصابات الجماعية لأجهزة الكمبيوتر باستخدام حصان طروادة التشفير WannaCry ("أريد أن أبكي") والذي بدأ في 12 مايو 2017. وأود أن أقسم رد فعل أولئك الذين يعرفون إلى فئتين متعارضتين: اللامبالاة والذعر. ماذا يعني هذا؟

وحقيقة أن المعلومات المجزأة لا توفر فهمًا كاملاً للوضع تثير التكهنات وتترك وراءها أسئلة أكثر من الإجابات. من أجل فهم ما يحدث بالفعل، ولمن وما الذي يهدده، وكيفية حماية نفسك من العدوى وكيفية فك تشفير الملفات التي تضررت بسبب WannaCry، تم تخصيص مقال اليوم له.

هل "الشيطان" مخيف حقًا؟

لا أفهم سبب كل هذه الضجةواناكراي؟ هناك العديد من الفيروسات، تظهر فيروسات جديدة باستمرار. ما هو المميز في هذا؟

WannaCry (أسماء أخرى WanaCrypt0r، Wana Decrypt0r 2.0، WannaCrypt، WNCRY، WCry) ليس برنامجًا ضارًا إلكترونيًا عاديًا. سبب سمعته السيئة هو الكميات الهائلة من الضرر الذي تسبب فيه. ووفقا ليوروبول، فقد عطلت عمل أكثر من 200 ألف جهاز كمبيوتر تحت الأرض التحكم بالويندوزفي 150 دولة حول العالم، وبلغت الأضرار التي لحقت بأصحابها أكثر من 1,000,000,000 دولار، وهذا فقط في أول 4 أيام من التوزيع. ومعظم الضحايا في روسيا وأوكرانيا.

أعلم أن الفيروسات تدخل أجهزة الكمبيوتر من خلال مواقع البالغين. أنا لا أزور مثل هذه الموارد، لذلك أنا لست في خطر.

فايروس؟ لدي مشكلة أيضا. عندما تظهر الفيروسات على جهاز الكمبيوتر الخاص بي، أقوم بتشغيل الأداة المساعدة *** وبعد نصف ساعة يصبح كل شيء على ما يرام. وإذا لم يساعد، أقوم بإعادة تثبيت Windows.

الفيروس يختلف عن الفيروس. WannaCry هو برنامج فدية طروادة، وهو عبارة عن دودة شبكية يمكنها الانتشار عبر الشبكات المحلية والإنترنت من كمبيوتر إلى آخر دون تدخل بشري.

تبدأ معظم البرامج الضارة، بما في ذلك برامج الفدية، في العمل فقط بعد أن "يبتلع المستخدم الطعم"، أي أن ينقر على رابط، ويفتح ملفًا، وما إلى ذلك. لكي تصاب بفيروس WannaCry، لا تحتاج إلى القيام بأي شيء على الإطلاق!

بمجرد وصول البرنامج الضار إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows، يقوم بتشفير الجزء الأكبر من ملفات المستخدم في وقت قصير، وبعد ذلك يعرض رسالة تطالب بفدية تتراوح بين 300 و600 دولار، والتي يجب تحويلها إلى المحفظة المحددة في غضون 3 أيام. وفي حالة التأخير يهدد بجعل فك تشفير الملفات مستحيلاً خلال 7 أيام.


وفي الوقت نفسه، تبحث البرمجيات الخبيثة عن ثغرات لاختراق أجهزة الكمبيوتر الأخرى، وإذا وجدتها، فإنها تصيب الشبكة المحلية بأكملها. وهذا يعني ذلك النسخ الاحتياطيةكما تصبح الملفات المخزنة على الأجهزة المجاورة غير قابلة للاستخدام.

إزالة الفيروس من الكمبيوتر لا تؤدي إلى فك تشفير الملفات!إعادة تثبيت نظام التشغيل أيضًا. على العكس من ذلك، إذا كنت مصابًا ببرنامج الفدية، فقد يحرمك كلا الإجراءين من القدرة على استعادة الملفات حتى لو كان لديك مفتاح صالح.

لذا، نعم، كلمة "اللعنة" مخيفة جدًا.

كيف ينتشر فيروس WannaCry

أنت تكذب. لا يمكن للفيروس أن يصل إلى جهاز الكمبيوتر الخاص بي إلا إذا قمت بتنزيله بنفسي. وأنا يقظ.

العديد من البرامج الضارة قادرة على إصابة أجهزة الكمبيوتر (والأجهزة المحمولة، بالمناسبة أيضًا) من خلال نقاط الضعف - أخطاء في كود مكونات وبرامج نظام التشغيل التي تفتح الفرصة للمهاجمين السيبرانيين لاستخدام جهاز بعيد لأغراضهم الخاصة. ينتشر فيروس WannaCry، على وجه الخصوص، من خلال ثغرة أمنية مدتها 0 يوم في بروتوكول الشركات الصغيرة والمتوسطة (نقاط ضعف اليوم صفر هي أخطاء لم يتم إصلاحها في الوقت الذي تم استغلالها بواسطة البرامج الضارة/برامج التجسس).

أي أنه لإصابة جهاز كمبيوتر بفيروس فدية، هناك شرطان كافيان:

  • اتصالات بشبكة توجد بها أجهزة أخرى مصابة (الإنترنت).
  • وجود الثغرة المذكورة أعلاه في النظام.

ومن أين أتت هذه العدوى أصلاً؟ هل هذا عمل قراصنة روس؟

بحسب بعض التقارير (لست مسؤولاً عن صحتها)، هناك ثغرة في بروتوكول شبكة الشركات الصغيرة والمتوسطة، وهو ما يخدم المصالح القانونية الوصول عن بعدللملفات والطابعات في نظام التشغيل Windows، كانت وكالة الأمن القومي الأمريكية أول من اكتشفها. بدلًا من إبلاغ مايكروسوفت بذلك حتى يتمكنوا من إصلاح الخطأ، قررت وكالة الأمن القومي استخدامه بنفسها وطورت برنامج استغلال لهذا (برنامج يستغل الثغرة الأمنية).


تصور لديناميكيات توزيع WannaCry على موقع الويب intel.malwaretech.com

بعد ذلك، سرق المتسللون هذا الاستغلال (الذي يحمل الاسم الرمزي EternalBlue)، والذي خدم وكالة الأمن القومي لبعض الوقت لاختراق أجهزة الكمبيوتر دون علم أصحابها، وشكل الأساس لإنشاء برنامج الفدية WannaCry. وهذا يعني أنه بفضل الإجراءات غير القانونية والأخلاقية التي اتخذتها الوكالة الحكومية الأمريكية، تعلم مؤلفو الفيروسات عن الثغرة الأمنية.

لقد قمت بتعطيل تثبيت التحديثاتويندوز. لماذا هو ضروري عندما يعمل كل شيء بدونهم.

والسبب في هذا الانتشار السريع والواسع النطاق للوباء هو عدم وجود "التصحيح" في ذلك الوقت - تحديثات ويندوزقادرة على إغلاق ثغرة Wanna Cry. بعد كل شيء، استغرق تطويره وقتا طويلا.

اليوم يوجد مثل هذا التصحيح. المستخدمون الذين يقومون بتحديث النظام يحصلون عليه تلقائيًا خلال الساعات الأولى من الإصدار. وأولئك الذين يعتقدون أن التحديثات ليست ضرورية ما زالوا معرضين لخطر الإصابة.

من هو المعرض للخطر من هجوم WannaCry وكيفية الحماية منه

بقدر ما أعرف، أكثر من 90٪ من أجهزة الكمبيوتر المصابةواناكراي، التي تديرهاWindows 7. لدي "عشرة"، مما يعني أنني لست في خطر.

الجميع معرضون لخطر الإصابة بفيروس WannaCry أنظمة التشغيلالذين يستخدمون بروتوكول الشبكةالشركات الصغيرة والمتوسطة الإصدار 1. هذا:

  • ويندوز إكس بي
  • ويندوز فيستا
  • ويندوز 7
  • ويندوز 8
  • ويندوز 8.1
  • ويندوز ار تي 8.1
  • ويندوز 10 فولت 1511
  • ويندوز 10 v1607
  • ويندوز سيرفر 2003
  • ويندوز سيرفر 2008
  • ويندوز سيرفر 2012
  • ويندوز سيرفر 2016

اليوم، مستخدمي الأنظمة التي لا تملك التحديث الأمني ​​المهم MS17-010(متاح للتنزيل مجانًا من موقع technet.microsoft.com المرتبط به). يمكن تنزيل تصحيحات أنظمة التشغيل Windows XP وWindows Server 2003 وWindows 8 وأنظمة التشغيل الأخرى غير المدعومة من هذه الصفحة support.microsoft.com. كما يصف أيضًا طرق التحقق من وجود تحديث منقذ للحياة.

إذا كنت لا تعرف إصدار نظام التشغيل على جهاز الكمبيوتر الخاص بك، فاضغط على مجموعة المفاتيح Win+R وقم بتشغيل الأمر winver.


لتعزيز الأمان، وإذا لم يكن من الممكن تحديث النظام الآن، توفر Microsoft إرشادات للتعطيل المؤقت لإصدار بروتوكول SMB 1. وهي موجودة و. بالإضافة إلى ذلك، ولكن ليس بالضرورة، يمكنك إغلاق منفذ TCP 445، الذي يخدم الشركات الصغيرة والمتوسطة، من خلال جدار الحماية.

لدي أفضل برنامج مكافحة فيروسات في العالم ***، يمكنني من خلاله فعل أي شيء ولست خائفًا من أي شيء.

يمكن أن يحدث انتشار فيروس WannaCry ليس فقط عن طريق البندقية ذاتية الدفع الموصوفة أعلاه، ولكن أيضًا بالطرق المعتادة- خلال وسائل التواصل الاجتماعي, بريد إلكترونيوموارد الويب المصابة والتصيدية وما إلى ذلك. وهناك مثل هذه الحالات. إذا قمت بتنزيل برنامج ضار وتشغيله يدويًا، فلن ينقذك برنامج مكافحة الفيروسات أو التصحيحات التي تغلق نقاط الضعف من الإصابة.

كيف يعمل الفيروس وما الذي يقوم بتشفيره

نعم، دعه يشفر ما يريد. لدي صديق وهو مبرمج، وسوف يقوم بفك كل شيء بالنسبة لي. كملاذ أخير، سوف نجد المفتاح باستخدام القوة الغاشمة.

حسنًا، فهو يقوم بتشفير ملفين، فماذا في ذلك؟ وهذا لن يمنعني من العمل على الكمبيوتر.

لسوء الحظ، لن يتم فك التشفير، حيث لا توجد طرق لكسر خوارزمية التشفير RSA-2048 التي يستخدمها Wanna Cry ولن تظهر في المستقبل المنظور. وسوف يقوم بتشفير ليس فقط بضعة ملفات، ولكن كل شيء تقريبًا.

يقود وصف تفصيليلن أناقش عمل البرمجيات الخبيثة؛ يمكن لأي شخص مهتم قراءة تحليلها، على سبيل المثال، على مدونة خبير مايكروسوفت مات سويش. سألاحظ فقط اللحظات الأكثر أهمية.

يتم تشفير الملفات ذات الامتدادات التالية: .doc، .docx، .xls، .xlsx، .ppt، .pptx، .pst، .ost، .msg، .eml، .vsd، .vsdx، .txt، .csv، .rtf، .123، .wks ، .wk1، .pdf، .dwg، .onetoc2، .snt، .jpeg، .jpg، .docb، .docm، .dot، .dotm، .dotx، .xlsm، .xlsb، .xlw، .xlt، . xlm، .xlc، .xltx، .xltm، .pptm، .pot، .pps، .ppsm، .ppsx، .ppam، .potx، .potm، .edb، .hwp، .602، .sxi، .sti، .sldx، .sldm، .sldm، .vdi، .vmdk، .vmx، .gpg، .aes، .ARC، .PAQ، .bz2، .tbk، .bak، .tar، .tgz، .gz، .7z ، .rar، .zip، .backup، .iso، .vcd، .bmp، .png، .gif، .raw، .cgm، .tif، .tiff، .nef، .psd، .ai، .svg، . djvu، .m4u، .m3u، .mid، .wma، .flv، .3g2، .mkv، .3gp، .mp4، .mov، .avi، .asf، .mpeg، .vob، .mpg، .wmv، .fla، .swf، .wav، .mp3، .sh، .class، .jar، .java، .rb، .asp، .php، .jsp، .brd، .sch، .dch، .dip، .pl ، .vb، .vbs، .ps1، .bat، .cmd، .js، .asm، .h، .pas، .cpp، .c، .cs، .suo، .sln، .ldf، .mdf، . Ibd، .myi، .myd، .frm، .odb، .dbf، .db، .mdb، .accdb، .sql، .sqlitedb، .sqlite3، .asc، .lay6، .lay، .mml، .sxm، .otg، .odg، .uop، .std، .sxd، .otp، .odp، .wb2، .slk، .dif، .stc، .sxc، .ots، .ods، .3dm، .max، .3ds ، .uot، .stw، .sxw، .ott، .odt، .pem، .p12، .csr، .crt، .key، .pfx، .der.

كما ترون، هناك مستندات وصور ومقاطع صوتية وفيديو وأرشيفات وبريد وملفات تم إنشاؤها في برامج مختلفة... تحاول البرامج الضارة الوصول إلى كل دليل في النظام.

تتلقى الكائنات المشفرة امتدادًا مزدوجًا مع التذييل WNCRY، على سبيل المثال، "Document1.doc.WNCRY".


بعد التشفير، ينسخ الفيروس إلى كل مجلد ملف قابل للتنفيذ @[البريد الإلكتروني محمي] - من المفترض أن يتم فك التشفير بعد الفدية، كذلك وثيقة نصية @[البريد الإلكتروني محمي] مع رسالة للمستخدم.

بعد ذلك، يحاول تدمير نسخ الظل والنقاط استعادة ويندوز. إذا كان النظام يقوم بتشغيل UAC، فيجب على المستخدم تأكيد هذه العملية. إذا قمت برفض الطلب، فلا تزال هناك فرصة لاستعادة البيانات من النسخ.

ينقل WannaCry مفاتيح التشفير الخاصة بالنظام المصاب إلى مراكز القيادة، يقع في شبكات تور، ثم يقوم بحذفها من الكمبيوتر. للبحث عن الأجهزة الأخرى المعرضة للخطر، يقوم بمسح الشبكة المحلية ونطاقات IP التعسفية على الإنترنت، وبمجرد العثور عليها، يخترق كل ما يمكنه الوصول إليه.

اليوم، يعرف المحللون العديد من التعديلات على WannaCry مع آليات توزيع مختلفة، ويجب أن نتوقع ظهور تعديلات جديدة في المستقبل القريب.

ماذا تفعل إذا أصاب فيروس WannaCry جهاز الكمبيوتر الخاص بك بالفعل؟

أرى ملفات تغير امتداداتها. ماذا يحدث؟ كيف نوقف هذا؟

لا تتم عملية التشفير مرة واحدة، على الرغم من أنها لا تستغرق وقتًا طويلاً. إذا تمكنت من ملاحظة ذلك قبل ظهور رسالة برنامج الفدية على شاشتك، فيمكنك حفظ بعض الملفات عن طريق إيقاف تشغيل طاقة الكمبيوتر على الفور. ليس عن طريق إغلاق النظام، ولكن عن طريق فصل القابس من المقبس!

في تحميل ويندوزفي الوضع العادي، سيستمر التشفير، لذا من المهم منعه. يجب أن يحدث بدء تشغيل الكمبيوتر التالي إما في الوضع الآمن، حيث لا تكون الفيروسات نشطة، أو من وسائط أخرى قابلة للتمهيد.

ملفاتي مشفرة! الفيروس يطالب بفدية لهم! ما يجب القيام به، وكيفية فك التشفير؟

لا يمكن فك تشفير الملفات بعد WannaCry إلا إذا كان لديك مفتاح سري، والذي يعد المهاجمون بتقديمه بمجرد قيام الضحية بتحويل مبلغ الفدية إليهم. ومع ذلك، فإن مثل هذه الوعود لا يتم الوفاء بها أبدًا: لماذا يجب على موزعي البرامج الضارة أن يزعجوا أنفسهم إذا كانوا قد حصلوا بالفعل على ما يريدون؟

في بعض الحالات، يمكن حل المشكلة دون فدية. حتى الآن، تم تطوير برنامجين لفك تشفير WannaCry: واناكي(بقلم أدريان جينيه) و واناكيوي(بقلم بنيامين ديلبي) الأول يعمل فقط في نظام التشغيل Windows XP، والثاني، الذي تم إنشاؤه على أساس الأول، يعمل في نظام التشغيل Windows XP و Vista و 7 x86، وكذلك في الأنظمة الشمالية 2003 و 2008 و 2008R2 x86.

تعتمد خوارزمية التشغيل لكلا فكي التشفير على البحث عن المفاتيح السرية في ذاكرة عملية التشفير. هذا يعني أن أولئك الذين لم يكن لديهم الوقت لإعادة تشغيل الكمبيوتر هم فقط من لديهم فرصة لفك التشفير. وإذا لم يمر وقت طويل منذ التشفير (لم تتم الكتابة فوق الذاكرة بواسطة عملية أخرى).

لذلك إذا كنت مستخدم ويندوز XP-7 x86، أول شيء يجب فعله بعد ظهور رسالة الفدية هو قطع اتصال الكمبيوتر به الشبكة المحليةوالإنترنت وتشغيل برنامج فك التشفير WanaKiwi الذي تم تنزيله على جهاز آخر. قبل إزالة المفتاح، لا تقم بأي إجراءات أخرى على الكمبيوتر!

يمكنك قراءة وصف عمل أداة فك التشفير WanaKiwi في مدونة أخرى كتبها Matt Suiche.

بعد فك تشفير الملفات، قم بتشغيل برنامج مكافحة الفيروسات لإزالة البرامج الضارة وتثبيت التصحيح الذي يغلق مسارات التوزيع الخاصة به.

اليوم، أصبح WannaCry معروفًا لدى الجميع تقريبًا برامج مكافحة الفيروسات، باستثناء تلك التي لم يتم تحديثها، لذلك سيفي أي منها تقريبًا بالغرض.


كيف تعيش هذه الحياة أبعد من ذلك

لقد فاجأ هذا الوباء ذاتي الدفع العالم. بالنسبة لجميع أنواع الأجهزة الأمنية، اتضح أنه غير متوقع، مثل بداية فصل الشتاء في 1 ديسمبر بالنسبة لعمال المرافق. والسبب هو الإهمال والعشوائية. وتتمثل العواقب في فقدان البيانات والأضرار التي لا يمكن إصلاحها. وبالنسبة لمنشئي البرامج الضارة، يعد هذا حافزًا للاستمرار بنفس الروح.

وفقًا للمحللين، جلب WanaCry أرباحًا جيدة جدًا للموزعين، مما يعني أن مثل هذه الهجمات ستتكرر. وأولئك الذين ينجرفون الآن لن ينجرفوا بالضرورة لاحقًا. بالطبع، إذا كنت لا تقلق بشأن ذلك مقدما.

لذا، حتى لا تضطر أبدًا إلى البكاء على الملفات المشفرة:

  • لا ترفض تثبيت تحديثات نظام التشغيل والتطبيقات. سيؤدي هذا إلى حمايتك من 99% من التهديدات التي تنتشر عبر نقاط الضعف غير المصححة.
  • احتفظ بها.
  • إنشاء نسخ احتياطية ملفات مهمةوتخزينها على وسيط مادي آخر، أو الأفضل من ذلك، على عدة. في شبكات الشركات، من الأمثل استخدام قواعد بيانات تخزين البيانات الموزعة التي يمكن للمستخدمين المنزليين استخدامها مجانًا الخدمات السحابيةمثل قرص ياندكس، جوجل درايفوOneDrive وMEGASynk وما إلى ذلك. لا تبقي هذه التطبيقات قيد التشغيل عندما لا تستخدمها.
  • اختر أنظمة تشغيل موثوقة. نظام التشغيل Windows XP ليس هكذا.
  • ثَبَّتَ مكافحة الفيروسات الشاملةفصل أمن الإنترنتوحماية إضافية ضد برامج الفدية، مثل Kaspersky Endpoint Security. أو نظائرها من مطورين آخرين.
  • قم بزيادة مستوى معرفتك بالقراءة والكتابة في مكافحة أحصنة طروادة لبرامج الفدية. على سبيل المثال، قام مزود برامج مكافحة الفيروسات Dr.Web بإعداد دورات تدريبية لمستخدمي ومسؤولي الأنظمة المختلفة. يوجد الكثير من المعلومات المفيدة، والأهم من ذلك، الموثوقة في مدونات مطوري الصوت والفيديو الآخرين.

والأهم من ذلك: حتى لو عانيت، لا تقم بتحويل الأموال إلى المهاجمين لفك التشفير. احتمال خداعك هو 99٪. علاوة على ذلك، إذا لم يدفع أحد، فإن أعمال الابتزاز ستصبح بلا معنى. وإلا فإن انتشار مثل هذه العدوى سوف ينمو فقط.

(WannaCrypt، WCry، WanaCrypt0r 2.0، Wanna Decryptor) - البرامج الضارة ودودة الشبكة وبرامج الفدية نقدي. يقوم البرنامج بتشفير جميع الملفات المخزنة على الكمبيوتر تقريبًا ويطلب فدية لفك تشفيرها. البرامج الضارةوتم تسجيل عدد كبير من هذا النوع في السنوات الأخيرة، لكن فيروس WannaCry يبرز عنهم من حيث حجم انتشاره والتقنيات المستخدمة.

بدأ فيروس التشفير هذا في الانتشار في حوالي الساعة 10 صباحًا، وفي مساء يوم 12 مايو، بدأت وسائل الإعلام في الإبلاغ عن العديد من الإصابات. منشورات مختلفة تكتب أنه تم ارتكابها هجوم القراصنةإلى أكبر الحيازات، بما في ذلك سبيربنك.

سؤال المستخدم. "جهاز الكمبيوتر المحمول الشخصي الحالي الخاص بي، الذي يعمل بنظام التشغيل Windows 7 Home Premium، يقوم بتثبيت العديد من التصحيحات تلقائيًا عندما أقوم بإيقاف تشغيله...

ويقوم جهاز W10 اللوحي الذي أمتلكه بتثبيت تصحيحات جديدة تلقائيًا عند تشغيله... ألا تقوم أجهزة الكمبيوتر المكتبية الخاصة بالشركة بتحديث نظام التشغيل الخاص بها تلقائيًا عند تشغيله أو إيقاف تشغيله؟ حقًا - لماذا؟

بعد فترة من الوقت مجموعة كاملةتم إتاحة الثغرات للجمهور جنبًا إلى جنب مع مقاطع الفيديو التدريبية. يمكن لأي شخص استخدامه. وهذا بالضبط ما حدث. تتضمن مجموعة الاستغلال أداة DoublePulsar. مع المنفذ 445 مفتوحا وليس التحديث المثبت MS 17-010، باستخدام ثغرة أمنية في فئة تنفيذ التعليمات البرمجية عن بُعد (القدرة على إصابة جهاز كمبيوتر عن بُعد (استغلال NSA EternalBlue))، من الممكن اعتراض مكالمات النظام وحقن تعليمات برمجية ضارة في الذاكرة. لا حاجة لتلقي أي بريد إلكتروني- إذا كان لديك جهاز كمبيوتر متصل بالإنترنت، مع خدمة التشغيل SMBv1 وبدون تثبيت تصحيح MS17-010، سيجدك المهاجم بنفسه (على سبيل المثال، عن طريق العناوين الغاشمة).

تحليل واناكراي

يقوم حصان طروادة WannaCry (المعروف أيضًا باسم WannaCrypt) بتشفير الملفات بامتدادات معينة على جهاز الكمبيوتر الخاص بك ويطلب فدية قدرها 300 دولار من عملات البيتكوين. يتم إعطاء ثلاثة أيام للدفع، ثم يتضاعف المبلغ.

يتم استخدام خوارزمية AES الأمريكية بمفتاح 128 بت للتشفير.

في وضع الاختبار، يتم إجراء التشفير باستخدام مفتاح RSA ثانٍ مضمن في حصان طروادة. في هذا الصدد، فك تشفير ملفات الاختبار ممكن.

أثناء عملية التشفير، يتم اختيار عدة ملفات بشكل عشوائي. ويعرض حصان طروادة فك تشفيرها مجانًا، بحيث يمكن إقناع الضحية بأنه يمكنه فك تشفير الباقي بعد دفع الفدية.

لكن هذه الملفات الانتقائية والباقي يتم تشفيرها بمفاتيح مختلفة. ولذلك، ليس هناك ضمان لفك التشفير!

علامات الإصابة بفيروس WannaCry

بمجرد وصوله إلى الكمبيوتر، يعمل حصان طروادة كنظام خدمة ويندوزالمسمى mssecsvc2.0 (الاسم المرئي - خدمة Microsoft Security Center (2.0)).

الدودة قادرة على قبول الحجج سطر الأوامر. إذا تم تحديد وسيطة واحدة على الأقل، فسيحاول فتح خدمة mssecsvc2.0 وتكوينها لإعادة التشغيل في حالة حدوث خطأ.

بعد التشغيل، يحاول إعادة تسمية الملف C:\WINDOWS\tasksche.exe إلى C:\WINDOWS\qeriuwjhrf، وحفظه من موارد طروادة الخاصة ببرنامج التشفير إلى الملف C:\WINDOWS\tasksche.exe وتشغيله باستخدام /i المعلمة. أثناء بدء التشغيل، يتلقى حصان طروادة عنوان IP الخاص بالجهاز المصاب ويحاول الاتصال بمنفذ TCP رقم 445 لكل عنوان IP داخل الشبكة الفرعية - فهو يبحث عن الأجهزة الموجودة في الشبكة الداخليةويحاول نقل العدوى إليهم.

بعد 24 ساعة من إطلاقه خدمة النظامتخرج الدودة تلقائيًا.

لنشر نفسه، يقوم البرنامج الضار بتهيئة Windows Switches وCryptoAPI وإطلاق عدة سلاسل رسائل. يسرد أحدهم جميع واجهات الشبكة الموجودة على جهاز الكمبيوتر المصاب ويستطلع آراء المضيفين المتاحين على الشبكة المحلية، بينما يقوم الباقي بإنشاء عناوين IP عشوائية. تحاول الدودة الاتصال بهذه المضيفات البعيدة باستخدام المنفذ 445. إذا كان متاحًا، فإنها تصيب مضيفي الشبكة في مؤشر ترابط منفصل باستخدام ثغرة أمنية في بروتوكول SMB.

مباشرة بعد الإطلاق، تحاول الدودة إرسال طلب إلى الخادم البعيد، الذي تم تخزين مجاله في حصان طروادة. إذا تم تلقي استجابة لهذا الطلب، فإنه ينتهي.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

الحماية ضد WannaCrypt وبرامج الفدية الأخرى

للحماية من فيروس الفدية WannaCry وتعديلاته المستقبلية، يجب عليك:

  1. تعطيل الخدمات غير المستخدمة، بما في ذلك SMB v1.
  • من الممكن تعطيل SMBv1 باستخدام PowerShell:
    Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • عبر التسجيل:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters، معلمة SMB1 من النوع DWORD = 0
  • يمكنك أيضًا إزالة الخدمة نفسها، المسؤولة عن SMBv1 (نعم، خدمة منفصلة عن SMBv2 هي المسؤولة شخصيًا عنها):
    sc.exe config lanmanworkstation تعتمد=bowser/mrxsmb20/nsi
    بدء تكوين sc.exe mrxsmb10 = معطل
  1. إغلاق العناصر غير المستخدمة بجدار الحماية منافذ الشبكة، بما في ذلك المنافذ 135، 137، 138، 139، 445 (منافذ SMB).

الشكل 2. مثال على حظر المنفذ 445 باستخدام جدار الحمايةويندوز

الشكل 3. مثال على حظر المنفذ 445 باستخدام جدار الحمايةويندوز

  1. استخدم أحد برامج مكافحة الفيروسات أو جدار الحماية لتقييد وصول التطبيق إلى الإنترنت.

الشكل 4. مثال لتقييد الوصول إلى الإنترنت لتطبيق ما باستخدام جدار حماية Windows



مقالات ذات صلة
أنواع
  • التعليمات
  • مقارنة
  • مفتاح مجاني
  • المعاينة الفنية
  • أخبار
مقالات شعبية
مقالات جديدة