انتشرت وبشكل سريع جدًا فيروسات الفدية بأجهزة الكمبيوتر الشخصية خلال السنوات الأخيرة... فقد خسر مئات الآلاف من المستخدمين الملايين من الملفات والصور والمستندات المهمة والتي تم تشفيرها كلها عن طريق أخطاء بسيطة يمكن للجميع أن يقع فيها فتسمح لبرمجية خبيثة بأن تتمكن من الوصول إلى جهازك مختبئةً داخل لعبة أو تطبيق أو ترخيص مجاني لأحد البرامج المشهورة وقد قمت بتنزيله من على الإنترنت بدون أن يخطر على بالك بأنك على مشارف حدوث كارثة ستحل على كل ملفاتك المهمة وتقوم بتشفيرها بأصعب وأعقد الخوارزميات... فما هي فيروسات الفدية؟ وكيف تحمي نفسك منها؟ وما هي الخطوات التي يجب عليك أن تتبعها في حالة إصابة جهازك بها؟ كل ذلك وأكثر سنتعرف عليه في هذا الموضوع
ما هي فيروسات الفدية؟
يمكن تعريف فيروس الفدية بكل بساطة على أنه برمجية خبيثة، تقوم على الأغلب بمنعك من الوصول إلى ملفاتك المخزنة على جهاز الكمبيوتر وذلك عن طريق تشفيرها بأصعب وأعقد الخوارزميات المستخدمة حاليًا في عالم الحواسيب، ومن ثم يطالبك منشئ الفيروس بدفع مبلغ من المال قد يصل إلى آلاف الدولارات حتى يقوم بإرسال أداة فك التشفير إليك مع مفتاح خاص فتتمكن من استعادة ملفاتك، وغالبًا سيطلب منك إرسال الأموال إليه عن طريق العملات المشفرة مثل البيتكوين وذلك حتى لا تتمكن السلطات من ملاحقته أو تحديد هويته فمن المستحيل نظريًا القيام بتتبع عمليات تداول تلك العملات المشفرة والتي تستخدم نظام سلسلة الكتل Blockchain، وفي النهاية لا يوجد أي ضمان حقيقي بأن هذا الشخص سيرسل إليك أداة فك التشفير فعلاً، وفي هذه الحالة ستكون قد خسرت أموالك وملفاتك معًا للأسف الشديد
من أين تأتي فيروسات الفدية؟
تأتي فيروسات الفدية كعادة أي فيروسات أخرى مختبئةً داخل ملف آخر قمت بتنزيله من على الإنترنت، سواء كان ذلك الملف تطبيقًا أو لعبة أو ترخيصًا مجانيًا لأحد البرامج المشهورة أو أي ملف آخر، يقوم الفيروس ببدء تشغيل نفسه عند فتحك للملف ومن المفترض هنا أن يقوم برنامج الحماية من الفيروسات المجاني المدمج مع نظام التشغيل مايكروسوفت ويندوز أو أي برنامج حماية آخر قمت بتثبيته على الجهاز بمنع الملف من بدء التشغيل بمجرد فتحك له، ولكن في حالة أنك كنت قد عطلت نظام الحماية بشكل مؤقت أو قمت باستثناء الملف والسماح لبرنامج الحماية بتجاهله اعتقادًا منك بأنه مجرد إنذار كاذب وأن الملف آمن فهنا ستكون الكارثة، فما هي إلا مجرد دقائق أو حتى ساعات حتى تلاحظ ظهور نوافذ وأشياء غريبة تحدث في الخلفية ومن ثم تفاجئ بأن كل الملفات الموجودة على جهازك قد تم تشفيرها بالكامل وتغيير امتداداتها إلى امتداد موحد غريب وغير مألوف وبالطبع حتى إذا حاولت إعادة تسمية أي ملف وقمت بإزالة ذلك الامتداد الغريب وأعدته إلى امتداده الأصلي فلن تتمكن من فتح الملف وسيخبرك نظام التشغيل بأن الملف تالف، وستلاحظ أيضًا انتشار ملف نصي في كل مكان يكون اسمه غالبًا readme.txt ويحتوي ذلك الملف على رسالة من منشئ الفيروس يخبرك فيها بأن ملفاتك قد تم تشفيرها بالكامل وأنه هو الوحيد القادر على فك التشفير عنها مقابل مبلغ محدد من المال وربما كذلك يقدم لك خصمًا يصل إلى 50% إذا دفعت المبلغ في الأيام الأولى من تعرضك للهجوم
كيف تحمي نفسك من فيروسات الفدية؟
الطريقة الأسهل والأبسط هي استخدام برنامج حماية من الفيروسات على الجهاز حتى ولو كان برنامج الحماية المجاني المدمج مع نظام التشغيل أو أي برنامج حماية آخر مثل كاسبر سكاي والذي أفضله شخصيًا عن بقية برامج الحماية، مع التأكد من عدم تعطيل نظام الحماية داخل البرنامج بشكل مؤقت أبدًا والإبقاء على حماية البرنامج مفعلة طيلة الوقت وعدم تجاهل أي تحذير من البرنامج لأي ملف يقوم بالكشف عنه بأنه ملف ضار إلا إذا كنت متأكدًا من أنه إنذار كاذب وواثق بنسبة 100% من مصدر الملف الذي قمت بتنزيله منه وأنه من غير الممكن أن يحتوي على برمجيات خبيثة، ففي هذه الحالة يمكنك تجاهل التحذير واستخدام الملف، ولكن يفضل بشدة أن تختبر الملف أولاً في بيئة معزولة مثل نظام تشغيل وهمي سواء كان محليًا على الجهاز باستخدام برامج مثل Oracle VM VirtualBox و Windows Sandbox أو على الإنترنت عن طريق مواقع استئجار السيرفرات وأجهزة الكمبيوتر للتحكم فيها عند بعد وذلك حتى تتأكد بأن الملف آمن ولن يسبب لك أي أضرار
في بعض الحالات قد تضطر إلى عدم استخدام أي برامج حماية من الفيروسات على الجهاز فقد يكون جهازك مثلاً قديمًا جدًا وإمكانياته محدودة للغاية لدرجة أن برامج الحماية تقوم بإبطاء الجهاز وتقلل من قدرته وأداءه بشكل كبير، ففي هذه الحالة ستحتاج أن تتبع عدة خطوات احترازية لكي تحمي ملفاتك، وهي كالتالي:
• احذر من الملفات التي قد يتم تنزيلها بشكل تلقائي من الإعلانات الضارة فعلى الأغلب تحتوي هذه الملفات على برمجيات خبيثة ومن ضمنها فيروسات الفدية
• لا تقم بتنزيل أي ملف من على الإنترنت إلا إذا كنت واثقًا من مصدره بنسبة 100% وأنه من غير الممكن أن يحتوي على برمجيات خبيثة
• في حالة أنك غير متأكد من كون الملف ضارًا أم لا، فيفضل أن تختبر الملف في بيئة معزولة مثل نظام تشغيل وهمي سواء كان محليًا على الجهاز باستخدام برامج مثل Oracle VM VirtualBox و Windows Sandbox أو على الإنترنت عن طريق مواقع استئجار السيرفرات وأجهزة الكمبيوتر للتحكم فيها عند بعد
• يفضل أن تقوم بين الحين والآخر بأخذ نسخة احتياطية من ملفاتك المهمة على خدمة سحابية مثل Google Drive و OneDrive
ما هي الخطوات التي يجب عليك أن تتبعها في حالة إصابة جهازك بفيروس من فيروسات الفدية؟
• قم بفصل الإنترنت تمامًا عن الجهاز
• قم بتثبيت نسخة ويندوز جديدة مع التأكد من عمل فورمات لقرص الـ C فقط والإبقاء على باقي الأقراص وما تحتويه من ملفات مشفرة كما هي (في حالة وجود أي ملف مهم على سطح المكتب أو داخل القرص C قم بنقله لأي قرص آخر لكي لا يتم حذفه في عملية الفورمات)
• القيام بفحص شامل على الجهاز بواسطة برنامج حماية من الفيروسات سواء كان برنامج الحماية المجاني المدمج مع نظام التشغيل أو أي برنامج حماية آخر ستقوم أنت بتثبيته مع التأكد من تحديث قاعدة البيانات الخاصة بالبرنامج إلى آخر إصدار قبل بداية الفحص
• لا تقم بحذف ملفاتك المشفرة نهائيًا اعتقادًا منك بأنه من المستحيل فك التشفير عنها إلا إذا كنت في حاجة ماسة إلى مساحة تخزين إضافية، في الواقع قد تتمكن بطريقة ما من فك التشفير عن ملفاتك مثلما فعلت أنا... تابع تجربتي الكاملة مع أحد أشهر أنواع فيروسات الفدية على الإطلاق وهو نوع STOP Djvu في الأسطر التالية
تجربتي الكاملة مع فيروس فدية من نوع STOP Djvu وكيف تمكنت من فك التشفير عن 90% من ملفاتي مجانًا
نعم عزيزي القارئ... حتى أنا أصبت بفيروس الفدية اللعين، وكان الفيروس من نوع STOP Djvu وهو أحد أكثر الأنواع انتشارًا في مصر على حد علمي ومشاهدتي للعديد من المنشورات على مواقع التواصل الاجتماعي لأشخاص كثر جدًا أصيبت أجهزتهم بمثل هذا النوع، يستخدم هذا النوع مئات الامتدادات المختلفة للملفات المشفرة وبالطبع لن أذكرها كلها لأنها كثيرة جدًا ولكنها تكون على هذه الشاكلة
.djvu, .rumba, .radman, .gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .kuub, .noos, .reco, .xoza, .bora, .leto, .werd, .nols, .coot
لم يصب جهازي الأساسي بالفيروس وإنما أصيب جهاز قديم يستخدمه والدي ووالدتي، للأسف الجهاز قديم وضعيف للغاية لدرجة أن برامج الحماية تقوم بإبطاء الجهاز وتقلل من قدرته وأداءه بشكل كبير لذلك لم يكن هناك أي برنامج حماية مثبت على ذلك الجهاز، لا أدري من قام بتنزيل الملف الضار الذي جعل الفيروس يصيب الجهاز ولكن في ذلك اليوم أتذكر أن الجهاز كان بطيئًا جدًا بشكل غير اعتيادي، لم أكن أدري ما يحصل ولكنني لحسن الحظ قمت بفصل الإنترنت عن الجهاز (وكان هذا من ضمن عوامل قدرتي على فك تشفير كمية كبيرة جدًا من الملفات لاحقًا)، وبعد عدة ساعات وفجأة وبدون أي مقدمات فوجئنا جميعًا بأن كل الملفات التي على الجهاز قد تم تشفيرها وتحولت كل الملفات إلى صيغة .kvag
بالطبع أصبت بالهلع وكنت حزينًا جدًا بسبب أن الجهاز يحتوي على العديد من الملفات المهمة للغاية والكثير من الذكريات التي لا يمكن أن تعوض، وعندما هدأ بالي واستعدت أعصابي اتبعت الخطوات التي وضحتها بالأعلى، فقمت بتثبيت نسخة ويندوز جديدة مع التأكد من عمل فورمات لقرص الـ C فقط والإبقاء على باقي الأقراص وما تحتويه من ملفات مشفرة كما هي وبعد ذلك القيام بفحص شامل على الجهاز بواسطة برنامج حماية من الفيروسات بقاعدة بيانات محدثة لآخر إصدار، وبعد التأكد من أن الفيروس لم يعد موجودًا على الجهاز قمت بتوصيل الإنترنت واستعنت بموقع جميل جدًا اسمه ID Ransomware يمكنك زيارته بالنقر هنا
يستطيع الموقع تحديد نوع الفيروس وكذلك توضيح إمكانية فك تشفيره أم لا وعرض أي أخبار أو تحديثات متعلقة بهذا الفيروس، قمت باتباع الخطوات المطلوبة وقمت برفع الملف النصي الذي يحمل اسم readme.txt بالإضافة إلى أي ملف مشفر من ملفاتي وكذلك أي بريد إلكتروني أو روابط مرفقة داخل الملف النصي readme.txt، وخلال ثوان معدودة أظهر الموقع أمامي أن نوع الفيروس هو STOP Djvu وكذلك أعطاني رابطًا لتنزيل أداة تقوم بفك التشفير عن الملفات المصابة بهذا النوع من الفيروسات، في الواقع لم تعمل الأداة للأسف ولكنني لم أفقد الأمل وكنت أتابع الموقع بين الحين والآخر إلى أن أضافوا أداة جديدة تابعة لشركة أمنية اسمها Emsisoft تقوم كذلك بفك التشفير عن الملفات المصابة بهذا النوع من الفيروسات، وكانت المفاجأة بأن الأداة نجحت في فك التشفير عن ملفاتي!
كانت تلك لحظة سعيدة للغاية... لا أدري، ربما كنت محظوظًا جدًا عندما قمت بفصل الإنترنت عن الجهاز بينما كان الفيروس يقوم بتشفير الملفات لأن هذا جعل فك التشفير عن 90% من ملفاتي ممكنًا فقد تم تشفيرها بمفتاح من نوع Offline، بينما للأسف ظلت بعض الملفات غير قابلة لفك التشفير بسبب أنه تم تشفيرها باستخدام مفتاح من نوع Online
ربما تساعدك تجربتي في إلهامك وإعطائك أملاً بأن كل شيء ممكن وأن لا شيء مستحيل، من يدري؟... ربما في يوم من الأيام قد يتم إلقاء القبض على منشئ الفيروس الذي أصاب ملفاتك، وقد يتم إصدار أدوات جديدة تتمكن بواسطتها من فك التشفير عن ملفاتك واستعادتها، وحتى ذلك الحين... إياك أن تفقد الأمل
تعليقات
إرسال تعليق