وفقًا للتقارير الأولى، تم تصنيف فيروس التشفير الذي قام المهاجمون بتنشيطه يوم الثلاثاء على أنه عضو في عائلة Petya المعروفة بالفعل لبرامج الفدية، ولكن تبين لاحقًا أن هذه كانت عائلة جديدة من البرامج الضارة ذات وظائف مختلفة بشكل كبير. كاسبرسكي لاب مدبلج فيروس جديدإكسبيتر.

"أظهر التحليل الذي أجراه خبراؤنا أن الضحايا لم يكن لديهم في البداية أي فرصة لاستعادة ملفاتهم. "قام باحثو كاسبرسكي لاب بتحليل جزء من كود البرمجيات الخبيثة المرتبط بتشفير الملف، ووجدوا أنه بمجرد تشفير القرص، لم يعد لدى منشئي الفيروس القدرة على فك تشفيره مرة أخرى"، حسبما أفاد المختبر.

وكما لاحظت الشركة، يتطلب فك التشفير معرفًا فريدًا لتثبيت حصان طروادة محددًا. في الإصدارات المعروفة مسبقًا من برامج التشفير المماثلة Petya/Mischa/GoldenEye، كان معرف التثبيت يحتوي على المعلومات اللازمة لفك التشفير. في حالة ExPetr، هذا المعرف غير موجود. وهذا يعني أن منشئي البرامج الضارة لا يمكنهم الحصول على المعلومات التي يحتاجونها لفك تشفير الملفات. وبعبارة أخرى، فإن ضحايا برامج الفدية ليس لديهم طريقة لاستعادة بياناتهم، كما يوضح كاسبرسكي لاب.

وقال Group-IB لـ RIA Novosti إن الفيروس يحجب أجهزة الكمبيوتر ويطلب 300 دولار من عملات البيتكوين. بدأ الهجوم يوم الثلاثاء حوالي الساعة 11:00. وبحسب تقارير إعلامية، حتى الساعة السادسة مساء الأربعاء، تلقت محفظة بيتكوين المخصصة لتحويل الأموال إلى المبتزين تسعة تحويلات. ومع الأخذ في الاعتبار عمولة التحويلات، قام الضحايا بتحويل حوالي 2.7 ألف دولار إلى المتسللين.

بالمقارنة مع WannaCry، يعتبر هذا الفيروس أكثر تدميرا، حيث ينتشر باستخدام عدة طرق - من باستخدام ويندوزأدوات الإدارة، واستغلال PsExec وEternalBlue. بالإضافة إلى ذلك، يتم تضمين برامج الفدية فائدة مجانيةميميكاتز.

أفادت شركة كاسبرسكي لاب، التي تحقق في موجة إصابات الكمبيوتر، يوم الأربعاء، أن عدد المستخدمين الذين تعرضوا لهجوم فيروس التشفير الجديد "بيتيا" الجديد وصل إلى ألفي مستخدم.

ووفقا لشركة مكافحة الفيروسات ESET، بدأ الهجوم في أوكرانيا، التي عانت أكثر من الدول الأخرى. وبحسب تصنيف الشركة للدول المتضررة من الفيروس، تأتي إيطاليا في المركز الثاني بعد أوكرانيا، وإسرائيل في المركز الثالث. وشملت المراكز العشرة الأولى أيضًا صربيا والمجر ورومانيا وبولندا والأرجنتين وجمهورية التشيك وألمانيا. احتلت روسيا المركز الرابع عشر في هذه القائمة.

وبالإضافة إلى ذلك، قال أفاست ما هو بالضبط نظام التشغيلالأكثر معاناة من الفيروس.

كان نظام التشغيل Windows 7 في المقام الأول - بنسبة 78% من جميع أجهزة الكمبيوتر المصابة. ويأتي بعد ذلك نظام التشغيل Windows XP (18%)، وWindows 10 (6%)، وWindows 8.1 (2%).

وعلى هذا فإن فيروس WannaCry لم يعلم المجتمع العالمي أي شيء تقريباً ـ فقد ظلت أجهزة الكمبيوتر غير محمية، ولم يتم تحديث الأنظمة، وذهبت جهود مايكروسوفت لإصدار التصحيحات حتى للأنظمة القديمة سدى.

اجتاحت موجة من فيروس التشفير الجديد، WannaCry (أسماء أخرى Wana Decrypt0r، Wana Decryptor، WanaCrypt0r)، جميع أنحاء العالم، والذي يقوم بتشفير المستندات على جهاز كمبيوتر ويبتز 300-600 دولار أمريكي لفك تشفيرها. كيف يمكنك معرفة ما إذا كان جهاز الكمبيوتر الخاص بك مصابًا؟ ما الذي يجب عليك فعله حتى لا تصبح ضحية؟ وماذا تفعل للتعافي؟

بعد تثبيت التحديثات، سوف تحتاج إلى إعادة تشغيل جهاز الكمبيوتر الخاص بك.

كيفية التعافي من فيروس Wana Decrypt0r Ransomware؟

عندما تكتشف أداة مكافحة الفيروسات وجود فيروس، فإنها إما ستقوم بإزالته على الفور أو تسألك عما إذا كنت تريد معالجته أم لا؟ الجواب هو العلاج.

كيفية استعادة الملفات المشفرة بواسطة Wana Decryptor؟

لا شيء مريح هذه اللحظةلا يمكننا أن نقول. لم يتم إنشاء أي أداة لفك تشفير الملفات حتى الآن. في الوقت الحالي، كل ما تبقى هو الانتظار حتى يتم تطوير برنامج فك التشفير.

وبحسب براين كريبس، خبير أمن الكمبيوتر، فإن المجرمين لم يتلقوا حتى الآن سوى 26 ألف دولار أمريكي، أي أن حوالي 58 شخصًا فقط وافقوا على دفع الفدية للمبتزين. لا أحد يعرف ما إذا كانوا قد استعادوا وثائقهم.

كيف نوقف انتشار الفيروس عبر الإنترنت؟

في حالة فيروس WannaCry، قد يكون حل المشكلة هو حظر المنفذ 445 على جدار الحماية ( جدار الحماية) ومن خلالها تحدث العدوى.

اجتاحت موجة جديدة من هجمات برامج الفدية في جميع أنحاء العالم، وكانت وسائل الإعلام الروسية والشركات الأوكرانية من بين الضحايا. وفي روسيا، عانت إنترفاكس من الفيروس، لكن الهجوم لم يؤثر إلا على جزء من الوكالة، حيث تمكنت خدمات تكنولوجيا المعلومات لديها من إغلاق جزء من البنية التحتية الحيوية، حسبما ذكرت شركة Group-IB الروسية في بيان. أطلقوا على الفيروس اسم BadRabbit.

أفاد نائب مدير الوكالة يوري بوجوريلي عن الهجوم الفيروسي غير المسبوق على إنترفاكس على صفحته على فيسبوك. وأكد اثنان من موظفي إنترفاكس لفيدوموستي أنه تم إيقاف تشغيل أجهزة الكمبيوتر. وفقا لأحدهم، تبدو الشاشة المقفلة بصريا نتيجة الإجراءات فيروس معروفبيتيا. يحذرك الفيروس الذي هاجم شركة Interfax من أنه لا ينبغي لك محاولة فك تشفير الملفات بنفسك، ويطالبك بدفع فدية قدرها 0.05 بيتكوين (285 دولارًا بسعر الأمس)، حيث يدعوك مقابل ذلك إلى موقع خاص على شبكة Tor. قام الفيروس بتعيين رمز تعريف شخصي للكمبيوتر المشفر.

وبالإضافة إلى إنترفاكس، عانت وسيلتان إعلاميتان روسيتان أخريان من فيروس التشفير، إحداهما هي صحيفة فونتانكا الصادرة في سانت بطرسبرغ، كما تعلم مجموعة-IB.

صرح رئيس تحرير Fontanka، ألكسندر جورشكوف، لـ Vedomosti أن خوادم Fontanka تعرضت لهجوم من قبل مهاجمين مجهولين. لكن جورشكوف يؤكد أنه ليس هناك شك في حدوث هجوم بواسطة فيروس فدية على Fontanka: أجهزة الكمبيوتر الخاصة بهيئة التحرير تعمل، وتم اختراق الخادم المسؤول عن تشغيل الموقع.

وقال بوجوريلي لفيدوموستي إن أقسام إنترفاكس في المملكة المتحدة وأذربيجان وبيلاروسيا وأوكرانيا، بالإضافة إلى موقع إنترفاكس للدين، تواصل العمل. وليس من الواضح سبب عدم تأثر الأقسام الأخرى بالضرر، وربما يرجع ذلك إلى طوبولوجيا شبكة إنترفاكس، حيث تقع الخوادم جغرافيا، ونظام التشغيل المثبت عليها، كما يقول.

ذكرت وكالة انترفاكس الأوكرانية بعد ظهر اليوم الثلاثاء عن هجوم القراصنة على مطار دوليأوديسا. واعتذر المطار للركاب على موقعه على الإنترنت "عن الزيادة القسرية في وقت الخدمة"، لكن بالنظر إلى لوحة النتائج على الإنترنت، فإنه استمر في إرسال واستقبال الطائرات يوم الثلاثاء.

كما أبلغ مترو كييف أيضًا عن الهجوم السيبراني على حسابه على فيسبوك، حيث كانت هناك مشاكل في دفع الأسعار البطاقات المصرفية. وذكرت فرونت نيوز أن المترو تعرض لهجوم بفيروس تشفير.

تستنتج المجموعة-IB أن هناك وباءً جديدًا. في الأشهر الأخيرة، اجتاحت العالم بالفعل موجتان من هجمات برامج الفدية: في 12 مايو، ظهر فيروس WannaCry، وفي 27 يونيو، ظهر فيروس Petya (المعروف أيضًا باسم NotPetya وExPetr). لقد اخترقوا أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي لم يتم تثبيت التحديثات عليها، وقاموا بتشفير محتويات محركات الأقراص الثابتة وطالبوا بمبلغ 300 دولار لفك التشفير. وكما اتضح لاحقاً، لم تفكر بيتيا حتى في فك تشفير أجهزة الكمبيوتر الخاصة بالضحايا. وقد أثر الهجوم الأول على مئات الآلاف من أجهزة الكمبيوتر في أكثر من 150 دولة، بينما أثر الهجوم الثاني على 12500 جهاز كمبيوتر في 65 دولة. كما أصبح الروس ضحايا للهجمات. مكبر الصوت », ايفراز , « غازبروم" و " روسنفت" كما عانت مراكز إنفيترو الطبية من الفيروس، إذ لم تقبل فحوصات المرضى لعدة أيام.

تمكنت بيتيا من جمع 18 ألف دولار فقط في شهر ونصف تقريبا. ولكن الضرر كان أكبر بما لا يقاس. وقدر أحد ضحاياه، شركة الخدمات اللوجستية الدنماركية العملاقة مولر ميرسك، الإيرادات المفقودة من الهجوم السيبراني بنحو 200 إلى 300 مليون دولار.

من بين أقسام شركة Moller-Maersk، سقطت الضربة الرئيسية على شركة Maersk Line، التي تعمل في مجال النقل البحري للحاويات (في عام 2016، حققت شركة Maersk Line ما مجموعه 20.7 مليار دولار، ويعمل في القسم 31900 شخص).

تعافت الشركات بسرعة من الهجوم، لكن الشركات والجهات التنظيمية ظلت حذرة. وهكذا، في أغسطس، الاتحادية شركة الشبكة UES (التي تدير الشبكة الكهربائية لعموم روسيا)، وبعد بضعة أيام تلقت البنوك الروسية تحذيراً مماثلاً من FinCERT (هيكل البنك المركزي الذي يتعامل مع الأمن السيبراني).

كما لاحظت شركة كاسبرسكي لاب هجوم فيروس التشفير الجديد، حيث أن معظم ضحايا الهجوم موجودون في روسيا، ولكن هناك إصابات في أوكرانيا وتركيا وألمانيا. تشير جميع الدلائل إلى أن هذا هجوم مستهدف على شبكات الشركات، كما يقول فياتشيسلاف زاكورزيفسكي، رئيس قسم أبحاث مكافحة الفيروسات في Kaspersky Lab: يتم استخدام أساليب مشابهة لأدوات ExPetr، ولكن لا يمكن تتبع أي اتصال بهذا الفيروس.

ووفقًا لشركة مكافحة الفيروسات Eset، فإن برنامج الفدية لا يزال أحد أقارب Petya. استخدم الهجوم البرنامج الضار Diskcoder.D، وهو تعديل جديد لبرنامج التشفير.

قال Pogorely أنه تم تثبيت برنامج مكافحة الفيروسات Symantec على أجهزة كمبيوتر Interfax. ولم يستجب ممثلو سيمانتيك لطلب فيدوموستي أمس.

فيسبوك

تويتر

VK

زملاء الدراسة

برقية

علم الطبيعة

فيروس WannaCry Ransomware: ماذا تفعل؟

اجتاحت موجة من فيروس التشفير الجديد، WannaCry (أسماء أخرى Wana Decrypt0r، Wana Decryptor، WanaCrypt0r)، جميع أنحاء العالم، والذي يقوم بتشفير المستندات على جهاز كمبيوتر ويبتز 300-600 دولار أمريكي لفك تشفيرها. كيف يمكنك معرفة ما إذا كان جهاز الكمبيوتر الخاص بك مصابًا؟ ما الذي يجب عليك فعله حتى لا تصبح ضحية؟ وماذا تفعل للتعافي؟

هل جهاز الكمبيوتر الخاص بك مصاب بفيروس Wana Decryptor Ransomware؟

وفقًا لـ Jacob Krustek () من Avast، تم بالفعل إصابة أكثر من 100 ألف جهاز كمبيوتر. 57% منهم في روسيا (أليست هذه انتقائية غريبة؟). تسجيل أكثر من 45 ألف إصابة. لا يقتصر الأمر على إصابة الخوادم فحسب، بل أيضًا أجهزة الكمبيوتر الخاصة بالأشخاص العاديين التي تم تثبيت أنظمة التشغيل عليها. أنظمة ويندوز XP وWindows Vista وWindows 7 وWindows 8 وWindows 10. تحتوي جميع المستندات المشفرة على البادئة WNCRY في أسمائها.

تم العثور على الحماية ضد الفيروس في شهر مارس الماضي، عندما نشرت مايكروسوفت "تصحيحًا"، ولكن، استنادًا إلى تفشي الوباء، فقد العديد من المستخدمين، بما في ذلك مسؤولي النظام، تجاهل تحديث أمان الكمبيوتر. وما حدث هو أن شركة Megafon والسكك الحديدية الروسية ووزارة الداخلية ومنظمات أخرى تعمل على معالجة أجهزة الكمبيوتر المصابة.

نظرًا للنطاق العالمي للوباء، نشرت Microsoft في 12 مايو تحديثًا لحماية المنتجات غير المدعومة منذ فترة طويلة – Windows XP وWindows Vista.

يمكنك التحقق مما إذا كان جهاز الكمبيوتر الخاص بك مصابًا باستخدام أداة مساعدة لمكافحة الفيروسات، على سبيل المثال، Kaspersky أو ​​(موصى به أيضًا في منتدى دعم Kaspersky).

كيف تتجنب الوقوع ضحية لفيروس Wana Decryptor Ransomware؟

أول شيء يجب عليك فعله هو إغلاق الحفرة. للقيام بذلك، قم بتنزيل