في يوم الجمعة الموافق 12 مايو، أصيبت مئات الآلاف من أجهزة الكمبيوتر حول العالم بفيروس WannaCry (المعروف أيضًا باسم WCry وWanaCrypt0r 2.0). لقد "هاجمت" أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows وانتشرت في جميع أنحاء العالم في غضون ساعات قليلة. لقد أثر الفيروس الجديد على أجهزة الكمبيوتر الخاصة بالأفراد وأجهزة الكمبيوتر الخاصة بالمؤسسات الحكومية والشركات الكبيرة. وكانت روسيا هي الأكثر معاناة من الفيروس، حيث تأثرت أجهزة الكمبيوتر في العديد من الجهات الحكومية.

حقيقة مثيرة للاهتمام: بعد انتشار فيروس WannaCry في روسيا، بدأت التقارير ترد حول تعليق إصدار رخص القيادة بسبب تلف أجهزة الكمبيوتر التابعة لوزارة الداخلية. بالإضافة إلى ذلك، أصيبت أجهزة الكمبيوتر الخاصة بلجنة التحقيق والعديد من الشركات الكبرى، بما في ذلك شركة Megafon.

ما هو فيروس WannaCry؟

يعد فيروس WannaCry بمثابة "برنامج فدية بيانات" نموذجي. ويعتبر هذا النوع من الفيروسات من أخطر وأصعب أنواع الفيروسات مواجهته. تهدف هذه الفيروسات في أغلب الأحيان إلى ابتزاز الأموال من المستخدمين الذين أصيبت أجهزة الكمبيوتر الخاصة بهم بالعدوى، وفيروس WannaCry ليس استثناءً.

حقيقة مثيرة للاهتمام: في الوقت الحالي، لا يُعرف بالضبط من هو مبتكر فيروس WannaCry. وفي الوقت نفسه، لا يتم وضع الافتراضات عبر الإنترنت فحسب، بل على مستوى الدولة أيضًا. وعلى وجه الخصوص، اتهم الرئيس الروسي فلاديمير بوتين وكالات الاستخبارات الأمريكية بنشر التهديد.

عندما يصل فيروس WannaCry إلى جهاز الكمبيوتر الخاص بالمستخدم، يقوم بتشفير البيانات الموجودة عليه. الملفات التي تم تشفيرها تتلقى الامتداد ".WNCRY". تظهر الرسالة التالية في بداية اسم الملفات المشفرة: "واناكري!". يكاد يكون من المستحيل فك تشفير هذه الملفات باستخدام برامج مكافحة الفيروسات وبرامج فك التشفير القياسية المستخدمة لمكافحة البرامج الضارة الأخرى المشابهة.

بعد تشفير بيانات المستخدم على جهاز الكمبيوتر، يقوم فيروس WannaCry بعرض نافذة رسالة على الشاشة "عفوًا، لقد تم تشفير ملفاتك!". ويلي ذلك معلومات حول ماهية الفيروس، وما إذا كان من الممكن استرداد الملفات، وما إلى ذلك.

حقيقة مثيرة للاهتمام: اعتنى مبتكرو فيروس WannaCry بالمستخدمين في مناطق مختلفة من خلال توطين رسالة المعلومات لهم. وفي روسيا، يشرح الفيروس للمستخدمين باللغة الروسية كيفية فتح الملفات المصابة بفيروس WannaCry.

كيفية فتح الملفات المصابة بفيروس WannaCry

لقد وفر منشئو فيروس WannaCry القدرة على فتح ملفات المستخدم، ولكن مقابل المال فقط ولفترة محدودة:

• خلال بعد 3 أيام من إصابة الكمبيوتريمكنك إرسال ما يعادل 300 دولار إلى محفظة BitCoin المحددة لمنشئي الفيروسات لفتح الملفات؛
• إذا لم يستلم المبتزون الأموال خلال 3 أيام، سيرتفع سعر الفتح إلى ما يعادل 600 دولار من عملات البيتكوين؛
• لو في اليوم السابع من الإصابة بالفيروسلن يقوم مستخدم الكمبيوتر WannaCry بتحويل الأموال إلى المبتزين، وسيتم تدمير ملفاته.

تجدر الإشارة إلى أن نافذة المعلومات الخاصة بفيروس WannaCry تحتوي على عدادات تقوم بالعد التنازلي للوقت حتى تزيد تكلفة إلغاء القفل وتدمير البيانات.

حقيقة مثيرة للاهتمام: على الرغم من أن فيروس WannaCry أصاب مئات الآلاف من أجهزة الكمبيوتر في اليوم الأول، وفقًا لصحيفة الغارديان، إلا أن حوالي مائة شخص فقط وافقوا على دفع مبلغ 300 دولار لبرنامج الفدية لفتح بياناتهم.

ما هي أجهزة الكمبيوتر المتأثرة بفيروس WannaCry؟

يؤثر فيروس WannaCry حصريًا على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows. وفي الوقت نفسه، فإنه يهاجم أجهزة الكمبيوتر التي تستخدم الإصدارات القديمة من نظام التشغيل Windows – XP، Server 2003، 8.

حقيقة مثيرة للاهتمام: في شهر مارس الماضي، أصدرت Microsoft تحديثًا يساعد على حماية أجهزة الكمبيوتر من التعرض لفيروس WannaCry. ولكن تم إصدار هذا التصحيح فقط لأنظمة التشغيل التي تدعمها الشركة - وهي Windows 7 وWindows 10 في إصدارات مختلفة. أما بالنسبة للمستخدمين الذين لديهم إصدارات أخرى من Windows، فقد كانوا في خطر وتأثروا. حرفيًا في اليوم التالي بعد اكتشاف الإصابة الجماعية بفيروس WannaCry لأجهزة الكمبيوتر، أصدرت Microsoft تحديثًا لنظام التشغيل Windows XP والأنظمة الأقدم الأخرى، والذي انتهى دعمه رسميًا.

يصيب فيروس WannaCry أجهزة الكمبيوتر من خلال البرامج النصية التي يتم إرسالها عبر البريد وعبر مواقع الويب المختلفة.

هام: إذا رأيت رسالة في البريد (خاصة من مرسل غير معروف) تحتوي على ملفات مرفقة (بامتداد .exe أو .js)، فلا تقم بتنزيلها على جهاز الكمبيوتر الخاص بك، حتى إذا كان برنامج مكافحة الفيروسات المدمج في متصفحك لا يرى مشاكل مع الملفات!

كيفية حماية جهاز الكمبيوتر الخاص بك من فيروس WannaCry

بالإضافة إلى حقيقة أنك لا تحتاج إلى زيارة المواقع التي لم يتم التحقق منها وتنزيل الملفات المشكوك فيها من البريد الإلكتروني، هناك العديد من التوصيات التي ستساعدك على تجنب إصابة جهاز الكمبيوتر الخاص بك بفيروس WannaCry:

الجدير بالذكر: هناك عدة أشكال لفيروس WannaCry. يمكن التخلص من بعضها إذا قمت بتمهيد الكمبيوتر في الوضع الآمن باستخدام برامج تشغيل الشبكة، ثم قم بفحص الكمبيوتر باستخدام أداة SpyHunter Anti-Malware Tool، أو Malwarebytes Anti-malware أو STOPZilla، ثم حدد برنامج فك التشفير لفك تشفير البيانات. لكن هذه الطريقة صالحة فقط إذا كان جهاز الكمبيوتر الخاص بك مصابًا بإصدارات سابقة من فيروس WannaCry.

كل بضع سنوات، يظهر فيروس على الشبكة يمكنه إصابة العديد من أجهزة الكمبيوتر في وقت قصير. هذه المرة، كان مثل هذا الفيروس هو "Wanna Cry" (أو كما يسميه المستخدمون من روسيا أحيانًا - "هناك"، "أريد البكاء"). أصابت هذه البرامج الضارة حوالي 57000 ألف جهاز كمبيوتر في جميع دول العالم تقريبًا في غضون أيام قليلة. مع مرور الوقت، انخفضت نسبة الإصابة بالفيروس، لكن لا تزال تظهر أجهزة جديدة أصيبت. في الوقت الحالي، تأثر أكثر من 200.000 جهاز كمبيوتر - سواء المستخدمين الخاصين أو المؤسسات.

يعد Wanna Cry أخطر تهديد للكمبيوتر لعام 2017 ولا يزال من الممكن أن تقع ضحية له. سنخبرك في هذا المقال ما هو Wanna Cry وكيف ينتشر وكيف تحمي نفسك من الفيروس.

يقوم WannaCry بتشفير معظم أو حتى جميع الملفات الموجودة على جهاز الكمبيوتر الخاص بك. يقوم البرنامج بعد ذلك بعرض رسالة محددة على شاشة جهاز الكمبيوتر الخاص بك تطالب بفدية قدرها 300 دولار لفك تشفير ملفاتك. يجب أن يتم الدفع إلى محفظة بيتكوين. إذا لم يدفع المستخدم الفدية خلال 3 أيام، فسيتم مضاعفة المبلغ إلى 600 دولار. وبعد 7 أيام، سيقوم الفيروس بحذف كافة الملفات المشفرة وسيتم فقدان كافة البيانات الخاصة بك.

نشرت شركة Symantec قائمة بجميع أنواع الملفات التي يمكن لـ Wanna Cry تشفيرها. تتضمن هذه القائمة جميع تنسيقات الملفات الشائعة بما في ذلك .xlsx، .xls، .docx، .doc، .mp4، .mkv، .mp3، .wav، .swf، .mpeg، .avi، .mov، .mp4، . .mkv، .flv، .wma، .mid، .djvu، .png، .jpg، .jpeg، .iso، .zip، .rar. القائمة الكاملة تحت المفسد.

• .accdb
• .دعم
• .فصل
• .دجفو
• .docb
• .docm
• .docx
• .dotm
• .دوتكس
• .جافا
• .jpeg
• .lay6
• .mpeg
• .onetoc2
• .potm
• .بوتكس
• .ppam
• .ppsm
• .ppsx
• .pptm
• .pptx
• .sldm
• .sldx
• .sqlite3
• .sqlitedb
• .شجار
• .vmdk
• .vsdx
• .xlsb
• .xlsm
• .xlsx
• .xltm
• .xltx

كما ترون، يمكن للفيروس تشفير أي ملف تقريبًا على القرص الصلب لجهاز الكمبيوتر الخاص بك. بعد اكتمال التشفير، تنشر Wanna Cry تعليمات لفك تشفير الملفات، والتي تتضمن دفع فدية معينة.

اكتشفت وكالة الأمن القومي الأمريكية (NSA) ثغرة تسمى "EternalBlue"، لكنها اختارت إخفاء هذه الحقيقة من أجل استخدامها لصالحها. في أبريل 2017، نشرت مجموعة القراصنة Shadow Brokers معلومات حول الاستغلال.

ينتشر فيروس Wanna Cry غالبًا بالطريقة التالية: تتلقى بريدًا إلكترونيًا يحتوي على مرفق. قد يحتوي المرفق على صورة أو ملف فيديو أو مقطوعة موسيقية. ومع ذلك، إذا ألقيت نظرة فاحصة على الملف، يمكنك أن تفهم أن امتداد هذا الملف هو .exe (ملف قابل للتنفيذ). وبالتالي، بعد إطلاق الملف، يصاب النظام، وبفضل الثغرة التي تم اكتشافها مسبقًا، يتم تنزيل فيروس يقوم بتشفير بيانات المستخدم.

ومع ذلك، ليست هذه هي الطريقة الوحيدة التي يمكن أن ينتشر بها فيروس Wanna Cry (الفيروس "هناك"). ليس هناك شك في أنه يمكنك أيضًا تنزيل ملف مصاب من متتبعات التورنت أو استلامه في رسائل خاصة على الشبكات الاجتماعية.

كيف تحمي نفسك من فيروس Wanna Cry؟

كيف تحمي نفسك من فيروس Wanna Cry؟

• أولا وقبل كل شيء، تحتاج إلى تثبيت كافة التحديثات المتوفرة لنظام التشغيل الخاص بك. وعلى وجه الخصوص، يجب على مستخدمي Windows الذين يستخدمون أنظمة التشغيل Windows XP أو Windows 8 أو Windows Server 2003 تثبيت التحديث الأمني ​​لنظام التشغيل هذا الذي أصدرته Microsoft على الفور.
• بالإضافة إلى ذلك، كن منتبهًا للغاية لجميع الرسائل التي تصل إلى عنوان بريدك الإلكتروني. لا ينبغي أن تقلل من يقظتك، حتى لو كان المرسل إليه معروفًا لك. لا تفتح مطلقًا الملفات ذات الامتدادات .exe و.vbs و.scr. ومع ذلك، يمكن إخفاء امتداد الملف كفيديو أو مستند عادي ويبدو مثل avi.exe أو doc.scr.
• يُنصح بتمكين خيار "إظهار امتدادات الملفات" في إعدادات Windows. سيساعدك هذا على رؤية امتداد الملف الحقيقي، حتى لو حاول المجرمون إخفاءه.
• من غير المرجح أن يساعدك التثبيت على تجنب العدوى. الحقيقة هي أن فيروس Wanna Cry يستغل ثغرة أمنية في نظام التشغيل، لذا تأكد من تثبيت كافة التحديثات لنظام التشغيل Windows الخاص بك - ومن ثم يمكنك تثبيت برنامج مكافحة الفيروسات.
• تأكد من حفظ جميع البيانات المهمة على محرك أقراص ثابت خارجي أو على السحابة. حتى في حالة إصابة جهاز الكمبيوتر الخاص بك، ستحتاج فقط إلى إعادة تثبيت نظام التشغيل للتخلص من الفيروس الموجود على جهاز الكمبيوتر الخاص بك.
• تأكد من استخدام أحدث قواعد البيانات لبرنامج مكافحة الفيروسات الخاص بك. Avast، Dr.web، Kaspersky، Nod32 - جميع برامج مكافحة الفيروسات الحديثة تقوم بتحديث قواعد بياناتها باستمرار. الشيء الرئيسي هو التأكد من أن ترخيص مكافحة الفيروسات الخاص بك نشط ويتم تحديثه.
• قم بتنزيل وتثبيت الأداة المساعدة المجانية Kaspersky Anti-Ransomware من Kaspersky Lab. يحميك هذا البرنامج من برامج الفدية في الوقت الفعلي. بالإضافة إلى ذلك، يمكن استخدام هذه الأداة في وقت واحد مع برامج مكافحة الفيروسات التقليدية.

كما كتبت بالفعل، أصدرت Microsoft تصحيحًا يغلق نقاط الضعف في نظام التشغيل ويمنع فيروس Wanna Cry من تشفير بياناتك. يجب تثبيت هذا التصحيح بشكل عاجل على نظام التشغيل التالي:

نظام التشغيل Windows XP أو Windows 8 أو Windows Server 2003، Windows Embedded

إذا كان لديك إصدار مختلف من Windows، فما عليك سوى تثبيت كافة التحديثات المتوفرة.

من السهل إزالة فيروس Wanna Cry من جهاز الكمبيوتر الخاص بك. للقيام بذلك، ما عليك سوى فحص جهاز الكمبيوتر الخاص بك باستخدام أحد هذه الأدوات (على سبيل المثال، Hitman Pro). ومع ذلك، في هذه الحالة، ستظل مستنداتك مشفرة. لذلك، إذا كنت تخطط لدفع الفدية، فقم بإزالة البرنامج @ [البريد الإلكتروني محمي]من الأفضل الانتظار. إذا لم تكن بحاجة إلى بيانات مشفرة، فإن أسهل طريقة هي تهيئة القرص الصلب وتثبيت نظام التشغيل مرة أخرى. سيؤدي هذا بالتأكيد إلى تدمير كل آثار الفيروس.

عادةً ما تقوم برامج Ransomware (التي تتضمن Wanna Cry) بتشفير بياناتك باستخدام مفاتيح 128 أو 256 بت. مفتاح كل كمبيوتر فريد من نوعه، لذا قد يستغرق فك تشفيره في المنزل عشرات أو مئات السنين. في الواقع، هذا يجعل من المستحيل على المستخدم العادي فك تشفير البيانات.

بالطبع، نود جميعًا أن يكون لدينا برنامج فك تشفير Wanna Cry في ترسانتنا، لكن مثل هذا الحل غير موجود حتى الآن. على سبيل المثال، ظهر برنامج مماثل منذ عدة أشهر، ولكن لا يوجد حتى الآن برنامج فك تشفير متاح له.

لذلك، إذا لم تكن مصابًا بعد، فعليك أن تعتني بنفسك وتتخذ الإجراءات الوقائية ضد الفيروس الموضحة في المقال. إذا أصبحت بالفعل ضحية للعدوى، فلديك عدة خيارات:

• دفع الفدية. عيوب هذا الحل هي السعر المرتفع نسبياً للبيانات؛ إنها ليست حقيقة أنه سيتم فك تشفير كافة البيانات
• ضع القرص الصلب على الرف وأتمنى أن يظهر برنامج فك التشفير. بالمناسبة، تم تطوير برامج فك التشفير بواسطة Kaspersky Lab ونشرها على موقع No Ransom الإلكتروني. لا يوجد برنامج فك تشفير لـ Wanna Cry حتى الآن، ولكنه قد يظهر بعد مرور بعض الوقت. سنقوم بالتأكيد بتحديث المقالة عندما يصبح هذا الحل متاحًا.
• إذا كنت مستخدمًا مرخصًا لمنتجات Kaspersky Lab، فيمكنك تقديم طلب لفك تشفير الملفات التي تم تشفيرها بواسطة فيروس Wanna Cry.
• أعد تثبيت نظام التشغيل. العيوب - سيتم فقدان جميع البيانات
• استخدم إحدى طرق استعادة البيانات بعد الإصابة بفيروس Wanna Cry (سأقوم بنشرها على موقعنا كمقالة منفصلة في غضون يومين). ومع ذلك، ضع في اعتبارك أن فرص استعادة البيانات منخفضة للغاية.

كيفية علاج فيروس أريد البكاء؟

كما فهمت بالفعل من المقال، فإن علاج فيروس Wanna Cry بسيط للغاية. تقوم بتثبيت واحد منهم، ويقوم بفحص القرص الصلب الخاص بك ويزيل كافة الفيروسات. لكن المشكلة هي أن جميع بياناتك ستبقى مشفرة. بالإضافة إلى التوصيات المقدمة مسبقًا لإزالة وفك تشفير Wanna Cry، يمكن تقديم ما يلي:

1. يمكنك الرجوع إلى منتدى Kaspersky Lab. في الموضوع الموجود على الرابط تم إنشاء عدة مواضيع حول Wanna Cry. يجيب ممثلو المطور في المنتدى، لذلك ربما يمكنهم إخبارك بشيء مفيد أيضًا.
2. يجب أن تنتظر - ظهر الفيروس منذ وقت ليس ببعيد، ربما سيظهر برنامج فك التشفير. على سبيل المثال، منذ ما لا يزيد عن ستة أشهر، تمكن Kaspersky من هزيمة برنامج التشفير CryptXXX. من الممكن أنه بعد مرور بعض الوقت سيصدرون برنامج فك التشفير لـ Wanna Cry.
3. الحل الأساسي هو تهيئة القرص الصلب، وتثبيت نظام التشغيل، وفقدان كافة البيانات. هل صورك من حفل شركتك الأخير مهمة جدًا بالنسبة لك؟)

وكما ترون من الرسوم البيانية المقدمة، فإن معظم أجهزة الكمبيوتر المصابة بفيروس Wanna Cry موجودة في روسيا. ومع ذلك، هذا ليس مفاجئا - في بلدنا النسبة المئوية لمستخدمي أنظمة التشغيل "المقرصنة" مرتفعة للغاية. في أغلب الأحيان، يتم تعطيل التحديثات التلقائية لدى هؤلاء المستخدمين، مما يجعل الإصابة ممكنة.

وكما أصبح معروفًا، لم يتأثر المستخدمون العاديون في روسيا فحسب، بل تأثرت أيضًا المؤسسات المملوكة للدولة والشركات الخاصة. ويذكر أن من بين الضحايا وزارة الداخلية ووزارة حالات الطوارئ والبنك المركزي، بالإضافة إلى شركات ميغافون وسبيربنك والسكك الحديدية الروسية.

وفي المملكة المتحدة، تأثرت شبكة المستشفيات، مما جعل من المستحيل إجراء بعض العمليات.

كان من السهل حماية نفسك من العدوى - ففي شهر مارس، أصدرت Microsoft تحديثًا أمنيًا لنظام التشغيل Windows أدى إلى إغلاق "الثغرات" في نظام التشغيل. ويعمل الفيروس من خلالها. إذا لم تقم بذلك بعد، فتأكد من تثبيت كافة التحديثات لنظام التشغيل لديك، بالإضافة إلى التصحيح الخاص للإصدارات الأقدم من Windows، والتي ذكرتها أعلاه.

يتساءل بعض مستخدمي نظام التشغيل Linux: هل يمكن أن تصاب أجهزة الكمبيوتر الخاصة بهم بفيروس Wanna Cry؟ يمكنني أن أطمئنهم: أجهزة الكمبيوتر التي تعمل بنظام التشغيل Linux ليست خائفة من هذا الفيروس. في الوقت الحالي، لم يتم اكتشاف أي اختلافات في الفيروس لنظام التشغيل هذا.

خاتمة

لذا، تحدثنا اليوم عن فيروس Wanna Cry. لقد تعلمنا ما هو هذا الفيروس، وكيفية حماية نفسك من العدوى، وكيفية إزالة الفيروس واستعادة الملفات، ومكان الحصول على برنامج فك تشفير Wanna Cry. بالإضافة إلى ذلك، اكتشفنا مكان تنزيل التصحيح لنظام التشغيل Windows الذي سيحميك من الإصابة. أتمنى أن تجد هذه المقالة مفيدة.

يُطلق على فيروس Wanna Cry اسم فيروس برامج الفدية لأنه يخطف جهاز الكمبيوتر الخاص بك دون إذن، ويقوم بتشفير جميع البيانات الموجودة على محرك الأقراص الثابتة لديك دون علمك. وللحصول على حق الوصول إلى معلوماتك الخاصة، فإنهم يطلبون فدية على شكل عملات البيتكوين. لقد عانى سكان 74 دولة من هذا الإرهابي الافتراضي. اكتشف الموقع سبب خطورة هذا الفيروس وما إذا كان من الممكن هزيمته.

تشفير لي تماما

تتمتع Wanna Cry بطبيعة غير معتادة جدًا بالنسبة للبرامج الضارة. وكما قال إيليا فيليمونوف، متخصص في أمن الشبكات، للموقع، فإن هذا ليس فيروسًا في الأساس. لذلك فإن الطرق التقليدية لحماية أجهزة الكمبيوتر لن تساعدك هنا.

"إنه مجرد برنامج يقوم بتشفير البيانات"، يشرح إيليا فيليمونوف. "إنه يعمل دون علم المستخدم. إنه يحتوي على خوارزمية تشفير مدمجة تعمل باستخدام مفتاح 1024 بت. إنه عبارة عن سلسلة من الأحرف المتتالية من المستحيل تخمينه دون معرفة المفتاح. لذا فإن Wanna Cry ليس فيروسًا حقًا، بل هو برنامج، والأشخاص الذين أطلقوه ليسوا قراصنة. ولفك تشفير بياناتك، تحتاج إلى إدخال المفتاح الأساسي انهم يبيعون.

يعد Wanna Cry اختراعًا بسيطًا إلى حد ما - ليس من الضروري أن تكون عبقريًا لتتمكن من إنشائه. ويكاد يكون من المستحيل التعرف على هذا البرنامج.

"الأشخاص الذين أنشأوا Wanna Cry أخذوا بكل بساطة الأكواد المتاحة للعامة وقاموا ببساطة بكتابتها، باستخدام ثغرة أمنية في نظام Windows، لإجبار برنامجهم على التنفيذ. يشغل هذا البرنامج مساحة صغيرة جدًا، ويمكن وضعه في مستند بسيط أو ملف pdf يقول إيليا فيليمونوف: "على سبيل المثال، سوف تتلقى نوعًا من العقد من عنوان تعرفه".

لا يمكن لأي مضاد فيروسات علاج هذا.

إذا كنت لا تزال تكتشف Wanna Cry عن طريق فتح الرسالة الأكثر عادية أو الذهاب إلى أي موقع ويب، فإن برامج مكافحة الفيروسات، كما يقول المبرمجون، لن تساعدك كثيرًا.

"لا يمكن لبرنامج مكافحة الفيروسات تعقبه، لأنه لا يوجد رمز فيروس داخل البرنامج، وتستخدم وكالات الاستخبارات هذه الخوارزمية حتى أن المحلل التجريبي في برنامج مكافحة الفيروسات لا يتعرف عليها، لأن هذه فئة من البرامج "على العكس من ذلك، فهي تحمي بيانات المستخدم، في الشركات الكبيرة، تُستخدم مثل هذه البرامج لحماية بيانات الموظفين التي لا يمكن معالجتها بواسطة أي برنامج مكافحة فيروسات"، لخص إيليا فيليمونوف.

كيف لا تصاب بالعدوى

الشيء الوحيد الذي يمكنك القيام به لحماية نفسك من Wanna Cry هو تثبيت آخر تحديث لـ Microsoft رقم MS17-010. هذا التصحيح مصمم خصيصًا لمثل هذه الحالات. لكن هذا لا يعمل إلا إذا لم يكن نظام Windows الخاص بك مقرصنة.

"وإذا كان مقرصنة، فيمكنك تثبيت Acronis TrueImage، فهو يأتي مزودًا بسعة تخزينية سحابية تبلغ تيرابايت كهدية. قم بعمل نسخة احتياطية كاملة لجميع مستنداتك أو قم فقط بتشغيل TrueImage وفي غضون 15 إلى 20 دقيقة سيكون جهاز الكمبيوتر الخاص بك جاهزًا "الشكل الأصلي مرة أخرى،" ينصح إيليا فيليمونوف.

الصورة من موقع mozgokratia.ru

لا يزال بإمكان كاسبيرسكي المساعدة

يقول متخصصو Kaspersky Lab، ردًا على تصريحات حول عدم جدوى برامج مكافحة الفيروسات في مكافحة Wanna Cry، إن هذا ليس صحيحًا تمامًا. يمكن للإصدارات الجديدة من برامج مكافحة الفيروسات حظر برامج الفدية بالفعل.

"تمنع جميع حلول Kaspersky Lab كلاً من برامج الفدية الخبيثة وبرامج الفدية هذه بالأحكام التالية: Trojan.Win64.EquationDrug.ge; Tr,ojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr ; PDM:Trojan. "Win32.Generic"، يوضح يوري ناميستنيكوف، رئيس مركز الأبحاث الروسي في Kaspersky Lab، "ولكن للكشف عن هذا المكون الخبيث، يجب تمكين مراقب النظام".

ومع ذلك، فإن إيليا فيليمونوف يشكك في كلام ممثلي Kaspersky Lab، قائلًا إن تحديث برنامج مكافحة الفيروسات ظهر بعد وقوعه، عندما كان العالم مصابًا بالفعل بـ Wanna Cry.

يقول إيليا فيليمونوف: "في السابق، لم يكن برنامجهم يحظر التشفير، والآن يمنعه من العمل للتشفير، لكنه لا يزيله أو يعالجه لأنه لا يوجد شيء يمكن علاجه".

توقف الهجوم مؤقتا

إذا كان الفيروس موجودًا بالفعل على جهاز الكمبيوتر الخاص بك وظهرت رسالة فدية مشؤومة، فليس هناك الكثير مما يمكنك فعله حيال ذلك. ومع ذلك، ليست هناك حاجة للذعر على الفور. يقول الخبراء أنه يمكنك حفظ بعض البيانات، نظرًا لأن Wanna Cry لا يقوم بتشفيرها دفعة واحدة، بل تدريجيًا. لذلك سيكون لديك الوقت لإخلاء المعلومات التي تهمك بشكل عاجل.

كما يقول المبرمج يوري يامبولسكي، لا ينبغي عليك دفع عملات البيتكوين المطلوبة تحت أي ظرف من الظروف. لأنك مازلت لن تتلقى مفتاح البيانات المشفرة. وعلى أية حال، لم تكن هناك مثل هذه السوابق حتى الآن.

وأوضح يوري يامبولسكي: "الشيء الرئيسي هو عدم دفع أي شيء لأي شخص". "لأنك ستدفع، لكنهم ما زالوا لن يعطوك أي شيء لفك التشفير. الآن توقف الهجوم، كما تعلمون". لقد تتبع العنوان الذي تم توجيه الفيروس إليه، وسجل المجال باستخدامه، ولكن على الأرجح، سيبدأ الهجوم مرة أخرى قريبًا. الآن تم إيقاف المتسللين، ولكن بمجرد قيام المتسللين بتغيير رمز الفيروس. يمكنهم بدء الهجوم مرة أخرى."

لتتمكن من الوصول إلى بياناتك مرة أخرى، سيتعين عليك الانتظار حتى تكتشف شركات مكافحة الفيروسات الخوارزمية التي تولد مفتاح البيانات المشفرة وتنشرها. ولكن هذا أيضًا لا يضمن المساعدة - فقد يتغير المفتاح بمرور الوقت.

اتضح أن Wanna Cry لا يقهر تقريبًا. وأفضل طريقة لحفظ بياناتك هي عدم التقاطها.

في هذه المقالة، ستتعرف على ما يجب عليك فعله إذا تعرض جهاز الكمبيوتر الخاص بك لهجوم بواسطة فيروس Wanna Cry، بالإضافة إلى الإجراءات التي يجب اتخاذها لتجنب فقدان ملفاتك الموجودة على محرك الأقراص الثابتة لديك.

فيروس وكريبتهو برنامج فدية يقوم بتأمين جميع الملفات الموجودة على أجهزة الكمبيوتر أو الشبكات المصابة ويطلب فدية مقابل حل لاستعادة البيانات.

ظهرت الإصدارات الأولى من هذا الفيروس في فبراير 2017، والآن له أسماء مختلفة مثل WannaCry، Wcry، Wncry، WannaCryptor، WannaCrypt0r، WanaCrypt0r 2.0، Wana Decrypt0r، Wana Decrypt0r 2.0 أو حتى DarkoderCrypt0r.

بمجرد أن يتسلل هذا البرنامج الخطير إلى نظام الكمبيوتر، فإنه يقوم بتشفير جميع البيانات المخزنة عليه في غضون ثوان. أثناء هذا الإجراء، قد يقوم الفيروس بإضافة ملحقات ملفات ‎.Wcrypt إلى الملفات المتأثرة.

ومن المعروف أن الإصدارات الأخرى من هذا الفيروس تضيف امتدادات الملفات ‎.wcry أو ‎.wncry. الغرض من إجراء التشفير هذا هو جعل بيانات الضحية عديمة الفائدة والمطالبة بفدية. ويمكن للضحية تجاهل أداة برامج الفدية بسهولة في حال كان لديه نسخة احتياطية من بياناته.

ومع ذلك، في معظم الحالات، ينسى مستخدمو الكمبيوتر إنشاء هذه النسخ من البيانات في الوقت المناسب. في مثل هذه الحالة، الطريقة الوحيدة لاستعادة ملفاتك المشفرة هي الدفع لمجرمي الإنترنت، لكننا نوصي بشدة بعدم القيام بذلك.

تذكر أن المحتالين عادةً لا يهتمون بالتفاعل مع الضحية بعد تلقي الفدية لأن المال هو كل ما يبحثون عنه. بدلاً من ذلك، نقترح إزالة برامج الفدية باستخدام أدوات مكافحة البرامج الضارة مثل Reimage أو Plumbytes وفقًا لدليل إزالة Wcrypt الذي قدمناه أدناه.

بعد تشفير جميع ملفات النظام المستهدف، يقوم الفيروس بتغيير خلفية سطح المكتب إلى صورة سوداء مع بعض النص الذي يشير إلى أن البيانات المخزنة على الكمبيوتر قد تم تشفيرها.

وتشرح الصورة، المشابهة للإصدارات الأحدث من برنامج Cryptolocker، كيفية استرداد الملف @WanaDecryptor.exe، إذا قام برنامج مكافحة الفيروسات بعزله. ثم تطلق البرامج الضارة رسالة إلى الضحية تقول: "أوه، لقد تم تشفير ملفاتك!"ويوفر عنوان محفظة Bitcoin وسعر الفدية (من 300 دولار) وتعليمات شراء Bitcoin. لا يقبل الفيروس سوى الفدية بعملة البيتكوين المشفرة.

ومع ذلك، يجب على الضحية أن يدفعها خلال ثلاثة أيام من الإصابة. يعد الفيروس أيضًا بحذف جميع الملفات المشفرة إذا لم يدفع الضحية خلال أسبوع. ولذلك، نقترح عليك إزالة Wcrypt في أقرب وقت ممكن حتى لا يؤدي ذلك إلى إتلاف الملفات الموجودة على جهاز الكمبيوتر أو الكمبيوتر المحمول الخاص بك.

كيف ينتشر فيروس Wcrypt؟

صدم برنامج Wcrypt، المعروف أيضًا باسم WansCry Ransomware، المجتمع الافتراضي في 12 مايو 2017. في مثل هذا اليوم، تم تنفيذ هجوم إلكتروني واسع النطاق ضد مستخدمي Microsoft Windows. استخدم المهاجمون ثغرة EternalBlue لإصابة أنظمة الكمبيوتر والتقاط جميع ملفات الضحية.

بالإضافة إلى ذلك، تعمل الميزة نفسها كمهمة تبحث عن أجهزة الكمبيوتر المتصلة وتنسخها. وبينما يبدو أن برنامج الفدية لم يعد يستهدف ضحايا جدد في الوقت الحالي (حيث أوقف باحث أمني الهجوم السيبراني عن طريق الخطأ)، أفاد الخبراء أنه من السابق لأوانه أن نبتهج.

ربما يخفي مؤلفو البرامج الضارة طريقة أخرى لنشر الفيروس، لذا يجب على مستخدمي الكمبيوتر اتخاذ جميع التدابير الممكنة لحماية أجهزة الكمبيوتر الخاصة بهم من مثل هذا الهجوم السيبراني. على الرغم من أننا نوصي عمومًا بتثبيت برنامج لحماية جهاز الكمبيوتر الخاص بك من البرامج الضارة وتحديث جميع البرامج الموجودة عليه بانتظام.

لا يستحق شيئاأننا، مثل أي شخص آخر، نوصي بإنشاء نسخة من بياناتك القيمة ونقلها إلى جهاز تخزين خارجي.

كيفية إزالة فيروس Wcrypt؟ ماذا علي أن أفعل إذا ظهر Wcrypt على جهاز الكمبيوتر الخاص بي؟

للأسباب المذكورة أعلاه، تحتاج إلى إزالة فيروس Wcrypt في أسرع وقت ممكن. ليس من الآمن الاحتفاظ بجهاز كمبيوتر على النظام لأنه يمكن نسخه بسرعة على أجهزة كمبيوتر أخرى أو أجهزة محمولة إذا قام شخص ما بتوصيلها بجهاز كمبيوتر مخترق.

الطريقة الأكثر أمانًا لإكمال إزالة Wcrypt هي إجراء فحص كامل للنظام باستخدام برنامج مكافحة الفيروسات. لتشغيله، يجب عليك أولاً إعداد جهاز الكمبيوتر الخاص بك. اتبع هذه التعليمات لإزالة الفيروس بالكامل.

الطريقة الأولى: إلغاء تثبيت WCrypt في الوضع الآمن عبر الشبكة

• الخطوة 1: أعد تشغيل جهاز الكمبيوتر الخاص بك في الوضع الآمن باستخدام الشبكة.

ويندوز 7 / فيستا / إكس بي

1. انقر يبدأ → اطفيء → إعادة تشغيل → نعم.
2. عندما تظهر الشاشة، ابدأ بالضغط F8 .
3. اختر من القائمة الوضع الآمن مع تحميل برامج تشغيل الشبكة.

ويندوز 10/ويندوز 8

1. يحول "اعادة التشغيل."
2. الآن حدد "استكشاف الأخطاء وإصلاحها" → "خيارات اضافية" → "إعدادات البدء"و اضغط .
3. "تمكين الوضع الآمن مع تحميل برامج تشغيل الشبكة"فى الشباك "خيارات التمهيد".

• الخطوة 2: إزالة WCrypt

قم بتسجيل الدخول إلى حسابك المصاب وقم بتشغيل المتصفح الخاص بك. أو أي برنامج شرعي آخر لمكافحة برامج التجسس. قم بتحديثه قبل إجراء فحص كامل للنظام وإزالة الملفات الضارة.

إذا قام WCrypt بحظر الوضع الآمن من تحميل برامج تشغيل الشبكة، فجرب طريقة مختلفة.

الطريقة الثانية: إلغاء تثبيت WCrypt باستخدام "استعادة النظام".

• الخطوة 1: أعد تشغيل جهاز الكمبيوتر الخاص بك في الوضع الآمن باستخدام موجه الأوامر.

ويندوز 7 / فيستا / إكس بي

1. انقر يبدأ → اغلق → اعادة التشغيل → نعم.
2. عندما يصبح جهاز الكمبيوتر الخاص بك نشطًا، ابدأ بالنقر F8عدة مرات حتى ترى نافذة "خيارات التمهيد المتقدمة".
3. يختار "الوضع الآمن مع دعم سطر الأوامر"من القائمة.

ويندوز 10/ويندوز 8

1. اضغط على زر الطاقة الموجود على شاشة تسجيل الدخول لنظام Windows. الآن اضغط مع الاستمرار يحولالموجود على لوحة المفاتيح، ثم اضغط على "اعادة التشغيل".
2. الآن حدد "استكشاف الأخطاء وإصلاحها" → "خيارات اضافية" → "إعدادات البدء"و اضغط .
3. بمجرد أن يصبح جهاز الكمبيوتر الخاص بك نشطًا، حدد "تمكين الوضع الآمن مع دعم سطر الأوامر"فى الشباك "خيارات التمهيد".

• الخطوة 2: استعادة ملفات النظام والإعدادات.

1. عندما تظهر نافذة موجه الأوامر، اكتب استعادة القرص المضغوطو اضغط يدخل.

2. أدخل الآن rstrui.exeواضغط مرة أخرى يدخل.

3. عندما تظهر نافذة جديدة، انقر فوق "إضافي"وحدد نقطة استعادة قبل تسلل WCrypt. بعد ذلك انقر "إضافي".

4. انقر الآن "نعم"لمواصلة العملية.

5. بعد ذلك، انقر على الزر "مستعد"لبدء استعادة النظام.

• بعد استعادة النظام الخاص بك إلى تاريخ سابق، قم بتشغيل جهاز الكمبيوتر الخاص بك وفحصه باستخدام Reimage وتأكد من نجاح إزالة WCrypt.

نأمل أن تساعدك هذه المقالة في حل مشكلة فيروس WCrypt!

فيديو: فيروس Wanna Cry يواصل إصابة أنظمة الكمبيوتر حول العالم

كما ذكرت وسائل إعلام روسية، تعطل عمل إدارات وزارة الداخلية في عدة مناطق في روسيا بسبب برنامج فدية أصاب العديد من أجهزة الكمبيوتر ويهدد بتدمير جميع البيانات. بالإضافة إلى ذلك، تعرضت شركة الاتصالات Megafon للهجوم.

نحن نتحدث عن حصان طروادة لبرنامج الفدية WCry (WannaCry أو WannaCryptor). يقوم بتشفير المعلومات الموجودة على الكمبيوتر ويطلب فدية قدرها 300 دولار أو 600 دولار من عملة البيتكوين لفك التشفير.

@[البريد الإلكتروني محمي]، الملفات المشفرة، الامتداد WNCRY. مطلوب تعليمات الأداة المساعدة وفك التشفير.

يقوم WannaCry بتشفير الملفات والمستندات ذات الامتدادات التالية عن طريق إضافة .WCRY إلى نهاية اسم الملف:

Lay6، .sqlite3، .sqlitedb، .accdb، .java، .class، .mpeg، .djvu، .tiff، .backup، .vmdk، .sldm، .sldx، .potm، .potx، .ppam، .ppsx، .ppsm، .pptm، .xltm، .xltx، .xlsb، .xlsm، .dotx، .dotm، .docm، .docb، .jpeg، .onetoc2، .vsdx، .pptx، .xlsx، .docx

هجوم WannaCry حول العالم

وتم تسجيل الهجمات في أكثر من 100 دولة. وتواجه روسيا وأوكرانيا والهند أكبر المشاكل. ترد تقارير عن الإصابة بالفيروس من المملكة المتحدة والولايات المتحدة الأمريكية والصين وإسبانيا وإيطاليا. ويشار إلى أن هجوم القراصنة أثر على المستشفيات وشركات الاتصالات حول العالم. تتوفر خريطة تفاعلية لانتشار تهديد WannaCrypt على الإنترنت.

كيف تحدث العدوى؟

وكما يقول المستخدمون، يصل الفيروس إلى أجهزة الكمبيوتر الخاصة بهم دون أي إجراء من جانبهم وينتشر عبر الشبكات دون حسيب ولا رقيب. يشيرون في منتدى Kaspersky Lab إلى أنه حتى برنامج مكافحة الفيروسات الممكّن لا يضمن الأمان.

يُذكر أن هجوم برنامج الفدية WannaCry (Wana Decryptor) يحدث من خلال الثغرة الأمنية في Microsoft Security Bulletin MS17-010. ثم تم تثبيت برنامج rootkit على النظام المصاب، والذي استخدمه المهاجمون لإطلاق برنامج تشفير. تكتشف جميع حلول Kaspersky Lab هذا البرنامج الجذري باعتباره MEM:Trojan.Win64.EquationDrug.gen.

ومن المفترض أن الإصابة حدثت قبل بضعة أيام، لكن الفيروس لم يظهر إلا بعد أن قام بتشفير جميع الملفات الموجودة على الكمبيوتر.

كيفية إزالة WanaDecryptor

ستتمكن من إزالة التهديد باستخدام أحد برامج مكافحة الفيروسات؛ وستكتشف معظم برامج مكافحة الفيروسات التهديد بالفعل. التعريفات الشائعة:

أفاست Win32: واناكراي-A، متوسط Ransom_r.CFY، أفيرا TR/FileCoder.ibtft، BitDefender Trojan.Ransom.WannaCryptor.A، DrWebحصان طروادة.التشفير.11432، مضاد الفيروسات ايسيت نود 32 Win32/Filecoder.WannaCryptor.D، كاسبيرسكي Trojan-Ransom.Win32.Wanna.d, البرامج الضارة Ransom.WanaCrypt0r, مايكروسوفتالفدية:Win32/WannaCrypt، البانداترج/رانسومكريبت.F، سيمانتيك Trojan.Gen.2، Ransom.Wannacry

إذا قمت بالفعل بإطلاق التهديد على جهاز الكمبيوتر الخاص بك وتم تشفير ملفاتك، فإن فك تشفير الملفات يكاد يكون مستحيلاً، حيث أن استغلال الثغرة الأمنية يؤدي إلى تشغيل برنامج تشفير الشبكة. ومع ذلك، تتوفر بالفعل عدة خيارات لأدوات فك التشفير:

ملحوظة: إذا تم تشفير ملفاتك ولا توجد نسخة احتياطية، ولم تساعد أدوات فك التشفير الموجودة، فمن المستحسن حفظ الملفات المشفرة قبل تنظيف التهديد من جهاز الكمبيوتر الخاص بك. ستكون مفيدة إذا تم إنشاء أداة فك التشفير التي تناسبك في المستقبل.

مايكروسوفت: قم بتثبيت تحديثات Windows

قالت Microsoft إن المستخدمين الذين تم تمكين برنامج مكافحة الفيروسات المجاني الخاص بالشركة وتحديث نظام Windows لديهم سيكونون محميين من هجمات WannaCryptor.

تعمل التحديثات بتاريخ 14 مارس على إصلاح ثغرة النظام التي يتم من خلالها توزيع حصان طروادة لبرنامج الفدية. تمت إضافة الكشف اليوم إلى قواعد بيانات مكافحة الفيروسات Microsoft Security Essentials/Windows Defender للحماية من البرامج الضارة الجديدة المعروفة باسم Ransom:Win32.WannaCrypt.

• تأكد من تشغيل برنامج مكافحة الفيروسات لديك وتثبيت آخر التحديثات.
• قم بتثبيت برنامج مكافحة فيروسات مجاني إذا لم يكن جهاز الكمبيوتر الخاص بك يتمتع بأي حماية.
• قم بتثبيت آخر تحديثات النظام باستخدام Windows Update:
  • ل ويندوز 7، 8.1من القائمة "ابدأ"، افتح "لوحة التحكم" > "Windows Update" وانقر فوق "البحث عن التحديثات".
  • ل ويندوز 10انتقل إلى الإعدادات > التحديث والأمان وانقر على "التحقق من وجود تحديثات".
• إذا قمت بتثبيت التحديثات يدويًا، فقم بتثبيت تصحيح Microsoft الرسمي رقم MS17-010، والذي يعالج ثغرة خادم SMB المستخدمة في هجوم برنامج الفدية WanaDecryptor.
• إذا كان برنامج مكافحة الفيروسات الخاص بك يحتوي على حماية من برامج الفدية، فقم بتشغيله. لدينا أيضًا قسم منفصل على موقعنا الإلكتروني، وهو قسم الحماية من برامج الفدية، حيث يمكنك تنزيل الأدوات المجانية.
• قم بإجراء فحص مكافحة الفيروسات لنظامك.

ويشير الخبراء إلى أن أسهل طريقة لحماية نفسك من الهجوم هي إغلاق المنفذ 445.

• اكتب sc stop lanmanserver ثم اضغط على Enter
• أدخل لنظام التشغيل Windows 10: sc config lanmanserver start=معطل، بالنسبة للإصدارات الأخرى من Windows: sc config lanmanserver start= معطل واضغط على Enter
• قم بإعادة تشغيل جهاز الحاسوب الخاص بك
• في موجه الأوامر، أدخل netstat -n -a | findstr "الاستماع" | findstr ":445" للتأكد من تعطيل المنفذ. إذا كانت هناك خطوط فارغة، فهذا يعني أن المنفذ لا يستمع.

إذا لزم الأمر، افتح المنفذ مرة أخرى:

• قم بتشغيل موجه الأوامر (cmd.exe) كمسؤول
• أدخل لنظام التشغيل Windows 10: sc config lanmanserver start=auto، بالنسبة للإصدارات الأخرى من Windows: sc config lanmanserver start= auto واضغط على Enter
• قم بإعادة تشغيل جهاز الحاسوب الخاص بك

ملحوظة: يستخدم Windows المنفذ 445 لمشاركة الملفات. لا يؤدي إغلاق هذا المنفذ إلى منع الكمبيوتر من الاتصال بموارد بعيدة أخرى، ولكن لن تتمكن أجهزة الكمبيوتر الأخرى من الاتصال بالنظام.