الإشراف العام
إلهام أبو الفتح
رئيس التحرير
أحمــد صبـري
الإشراف العام
إلهام أبو الفتح
رئيس التحرير
أحمــد صبـري

"Petya" فيروس "فدية" جديد يُشفر "الهارد ديسك" في نصف دقيقة.. "معلومات الوزراء" يحذر من خطورته ويعرض طرق الحماية.. وخبير أمن إلكتروني: الفيروس "هجين" مهمته التشفير والانتشار السريع

صدى البلد

  • مركز معلومات مجلس الوزراء يحذر من الفيروس الجديد.. ويعرض طرق الحماية
  • خبير أمن إلكتروني: فيروس جديد يُشفر "الهارد ديسك" في نصف دقيقة.. وجميع نسخ "ويندوز" مهددة

باتت الهجمات الالكترونية مؤرقًا للعديد من الدول والحكومات والشركات العالمية، فبعد نحو شهر ونصف فقط من الهجوم الذي تعرضت له نحو 99 دولة في وقت واحد من أحد الفيروسات التي تستهدف تشفير الملفات والذي يدخل ضمن قائمة فيروسات الفدية الخبيثة، حذر مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء جميع المؤسسات من تطبيق الفدية الخبيث الجديد petya وقال إنه يجب على الجميع وبخاصة المؤسسات أن تأخذ الحذر من تطبيق الفدية الخبيث الجديد Petya.

ويعد الفيروس الجديد أخطر من سابقيه لأنه يستهدف تشفير "الهارد ديسك" كاملًا وينتشر بسرعة كبيرة، لذلك يدخل ضمن قائمة الفيروسات "الهجينة" (تشفير وانتشار) وبحسب خبراء أمن المعلومات فإن هذا الفيروس يصيب الجهاز ويشفره معلوماته في فترة لا تتجاوز الدقيقة وبعدها تبدأ عمليات التفاوض على الدفع مقابل فك التشفير.

ويستغل فيروس "Petya" الثغرة الخاصة بـ WannaCry الموجودة فى بعض إصدارات نظام التشغيل ويندوز تحمل اسم Eternal Blue والتى تم تسريبها بواسطة مجموعة Shadow Brokers من NSA او وكالة الأمن القومي الأمريكية، وتقوم باستغلال Open Shares على الشبكة الداخلية من خلال PSEXEC و WMIC.

وبحسب مركز معلومات مجلس الوزراء فإن Petya لديه نظام جديد فى تشفير الملفات حيث لا يقوم بتشفير ملف عقب الآخر مثل WannaCry، بل يقوم بتشفير الـ Master Boot Record أو MBR الخاصة بالهارد ديسك بالكامل (فى حالة الحصول على صلاحيات Administrator) حيث انها تمنع الـ loader من قراءة file tables او جداول الملفات التى يكون بها كل معلومات الملفات الموجوده على جهازك بالكامل ويقوم بعرض رسالة تفيد أن الـ MBR تم تشفيره بالكامل ويجب أن تدفع 300 دولار فدية لكي تسترد ملفاتك، أما فى حالة عدم حصول Petya على صلاحيات Admin يقوم بتشفير الملفات بطريقة عادية جدا مثل اى ransomware.

وأوضح المركز أن طريقة تشفير Petya لـ MBR ليست جديدة وهي أخطر كثيرا من تشفير الملفات لأنه يصعب المهمة على الـ researchers فى إيجاد علاج لهذا النوع بشكل سريع، تطبيق الفدية Petya.

من جانبه قال المهندس وليد عبدالمقصود استشاري أمن المعلومات إن فيروس petya الجديد الذي حذر منه مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء هو أحد الفيروسات التي تندرج تحت تطبيق الفدية الخبيث مؤكدًا أنه أخطر من الفيروس السابق الذي هاجم 99 دولة وبنسخة محدثة.

وأضاف عبد المقصود في تصريحات لـ"صدى البلد" بأن مكمن الخطورة في الفيروس الجديد أنه فيروس هجين يعمل على تشفير الملفات وينشر العدوى بشكل سريع جدًا خصوصًا من خلال الشبكات الداخلية لأجهزة الكمبيوتر المتصلة ببعضها (نت وورك).

وأشار عبدالمقصود إلى أن الفيروس يصيب الأجهزة من خلال إرساله عبر الإيميل ومرفق به ملف وبمجرد فتحه ينتشر الفيروس ويصيب الجهاز ومن ثم يعمل على تشفير الهارد ديسك ولا يقتصر على الملفات فقط وينتشر في باقي الأجهزة المتصلة بالشبكة التي أصيب أحد أجهزتها وكل ذلك يستغرق من نصف دقيقة إلى دقيقة واحدة.

وأوضح استشاري أمن المعلومات أن جميع نسخ "ويندوز" معرضة للإصابة بهذا الفيروس ما عدا نسخة ويندوز 10 المحدثة هي فقط القادرة على تفاديه، لافتًا إلى أن أي مستخدم لأجهزة الكمبيوتر التي تعمل بتلك النسخ عليه الحذر وألا يفتح أي رابط مرسل إليه من إيميل مجهول.

ولفت عبد المقصود إلى أن فيروس petya يستهدف في المقام الأول المؤسسات والشركات وبالتالي يطلب فدية مالية نظير فك تشفير "الهارد ديسك".

وعرض مركز معلومات مجلس الوزراء عدة نقاط لتحقيق الحماية من هذا النوع من الـ Ransomwares هي كالآتى:
1- يجب تحديث نظام التشغيل ويندوز الخاص بك بآخر التحديثات وتحديدا التحديث الذي يقوم بسد الثغرة الموضحه اعلاه.
(التحديث ومعلومات عن الثغرة نفسها موجود هنا: https://goo.gl/orDfJL)
2- يجب تعطيل بروتوكول SMB الإصدار 1 (مايكروسوفت قامت بتعطيله بالفعل فى اخر اصدار سيتم إصداره من ويندوز 10) طرق تعطيل البروتوكول بجميع اصداراته هنا: https://goo.gl/wNoNCN
3- حاول التأكد أنه ليس لديك اى فولدرات او اى موارد تمت مشاركتها على الشبكة المحلية وحاول أن تغلق الـ sharing بالكامل وتفعل الـ firewall الخاص بويندوز (ليس مجديا دائما لكنه ينفع أحيانًا).

4- يجب ألا يتم تحميل تطبيقات او استلام ملفات من أشخاص غير معلومين ولا يتم الضغط على اى لينكات مشبوهة.
5- النسخ الاحتياطى فى أماكن معزولة عن الانترنت بالكامل.

وطرح المركز آلية العلاج في حالة إصابة جهازك بـ Petya Ransomware كالآتى:
"اى جهاز يصاب بـ الرانسوموير Petya يحاول بعدها ان يعيد تشغيل جهازك وتظهر لك الرسالة الخاصة بالدفع وفى ذات الوقت تحديدا يبدأ Petya بتشفير ملفات الهارد درايف او ال MBR على حسب الصلاحيات التي وصل لها قبل الـ restart فيجب في هذا التوقيت بدلا من ان تعيد التشغيل او تبوت او boot من الهارد درايف الخاص بالجهاز، حاول تنزيل Hiren's Boot CD او اى Live CD وعدل خيارات الـ boot فى جهازك بحيث يتم التشغيل من الـ Live CD ثم يتم عمل نسخ احتياطى او ريكوفر للملفات الخاصة بالجهاز على قرص صلب خارجى مع عدم محاولة القيام بالتشغيل boot من القرص الصلب المتاح اطلاقًا".