اختر لونك

حل مشكلة الرانسوم وير| ما لا تعرفه عن فيروس الفدية Ransomware 2023

حجم الخط
قد سمع الكثير من مستخدمي الكمبيوتر عن فيروس الفدية رانسوم وير وما يفعله هذا الفيروس من تشفير كامل للملفات وعدم اتاحة التحكم فيها للمستخدم، أي قد ذهبت جميع البيانات إلى نقطة اللا رجوع...؛ لكن هناك بعض الأسئلة التي تتبادر عليها الأفكار ولكن لا جواب؛ مثل ما هي ألية عمل الرانسوم وما هي الميكانيكية المتبعة في سلوكه؛ وكيفية التشفير وأنظمة التشغيل المعرضة لتهديده..، وماذا أفعل إذا أصيب جهازي بفيروس الرانسوم وير، وكيفية الوقاية وفك تشفير فيروس الفدية، في هذا الموضوع سنتطرق للكثير من هذه الإجابات مع استفاضة كاملة عن فيروس الرانسوم وير....

ما هو فيرس الفدية Ransomeware

فيروس الفدية هو نوع من أنواع الملفات الخبيثة Malware تصيب الأجهزة بطرق مختلفة فتقوم بتشفير معظم الملفات وتغير امتدادات الملفات المختلفة الموجودة بالكمبيوتر المصاب إلى امتدادات مبهمة؛ فتقيد المستخدم من استخدام ملفاته الاستخدام الطبيعي؛ ولا يمكن الوصول إلى البيانات مرة أخرى إلا بعد الاتصال بمطور الفيروس والموافقة على الابتزاز الذي وضعك فيه بدفع فدية ما بين 200 إلى 1000 دولار كي تستعيد ملفاتك بشكل طبيعي كما كانت، يمكنك الاستزادة عن فيروس الرانسوم وير من خلال ويكيبيديا.

تاريخ فيروس الرانسوم وير

فيروس الفدية ليس حديث الظهور ولكن يضرب بظهورة في عمق تاريخ التكنولوجيا الرقمية، فقد ظهر لأول مرة في الولايات المتحدة الأمريكية عام 1990؛ وذلك عن طريق استهداف بعض الأشخاص وابتزازهم لدفع الفدية...، لكن كانت الطرق غير ممهدة لاستمرار ظهور هذا النوع من الفيروسات بسبب تخلف وسائل الاتصال وقتها وبدائية اساليب الدفع، فلم تكن هناك طرق اتصال أو بنوك الكترونية كثيرة مثل الأن أو حتى عملات الكترونية مثل البتكوين.

ومع مزيد من التطور عاد فيروس الفدية إلى الظهور عام 2007 ثم تجلى عام 2009 وكان يستهدف بعض الشركات الصغيرة أو المستخدمين الذين يتم انتقائهم بعنايةززز، إلى أن ظهر بشهدة عام 2013 ومنذ ذلك الوقت بدأت شركات الأمن والحماية في النظر بعناية إلى هذا النوع من الفيروس؛ زعمت شركة مكافي أنها جمعت أكثر من 250 ألف عينة من فيروس الفدية ويتم تحليل تلك العينات في معاملها (لا تأخذ الاحصائية على محمل الجد خاصة أن شركة مكافي محدودة الفائدة في فيروس الفدية عن غيرها من الشركات الأخرى).

ظهرت الطامة الكبرى من هذا النوع من الفيروس في صبيحة يوم 12 من مايو عام 2017 بظهور هذا الفيروس تحت مسمى واناكراي WannaCrypt ليطيح بأكثر من 200 ألف جهاز في أكثر من 90 دولة بالعالم حسب احصائيات وكالة الأمن الأوروبية يوري بول، وذلك بسبب استغلال مطوروا الفيروس أحد البروتوكولات المستخدمة من قبل ميكروسوفت في تحديث الأنظمة وهو بروتوكول SMB1 خلال تحديث رقم  (MS17-010)؛ مما استدعى ميكروسوفت بتنزيل ترقيع أمني لسد هذه الثغرة في جميع أنظمتها حتى شمل هذا التحديث ويندوز XP الذي تخلت ميكروسوفت عن دعمها له في ابريل عام 2014؛ وهذه سابقة لم تحدث من ميكروسوفت ولكن يبين لنا مدى الفاجعة التي حدثت.
يمكنكم الاطلاع على مجلة ميكروسوفت لتنزيل الترقيعات الأمنية لسد الثغرات أمام الواناكراي وأعداد أخرى من الرانسوم وير
تتابعت الهجمات واختلفت الأساليب والمسميات لتظهر مناورة كاملة كأنها حرب ضروس بين مطوري الرانسوم وير من جهة وبين الشركات الأمنية من جهة أخرى وسنرى خلال الأسطر القادمة مدى التقدم من الطرفين.
أيضا هذا الموقع الجميل يطرح تاريخ انتشار كل نوع من أنواع الرانسوم وير

أنواع فيروس الفدية Ransomware

ينقسم فيروس الفدية إلى 3 أنواع مختلفة في الأداء والعمل وتختلف مدى خطورتها من مجرد ابتزاز دعائي حتى ابتزاز كامل عن طريق تشفير الملفات ومنها

1. برمجيات الترهيب Scareware

هذه برمجيات تظهر أثناء تصفحك الأنترنت أو استخدامك لبرامج الدسك توب وتبلغك برسائل مختلفة أن هناك بعض أنواع الفيروس الخطيرة قد تم اكتشافها ويمكنك تحميل برنامج ما لحذف تلك الفيروسات المزعومة ولكن يجب عليك دفع جزء بسيط من المال للحماية القصوى فالدفع هو الطريقة الوحيدة التي ستخلصك من هذه الفيروسات الخطيرة... (قابلتني هذه الملفات شخصيا وقد تمكن أحد البرامج من تثبيت نفسه ولكن لم أقم بتنشيطه ومن ثم حذفته ولم أتضرر بحمد الله)، ولكن يكثر هذا النوع من الفيروس في الهواتف الذكية خاصة نظام تشغيل الأندرويد.

2. برمجيات قفل الشاشة Screen lockers

هذه البرمجيات تقوم بتجميد وصولك إلى البيانات الخاصة بك؛ فتظهر نافذة بالحجم الكامل للشاشة مختومة بختم مكتب التحقيق الفيدرالي أو وزارة العدل الأمريكية وتبلغك بأن الكمبيوتر الخاص بك قد تم اكتشافه في عملية مشبوهة أو غير شرعية مثل القرصنة وما خلافه  وتفرض عليك ابتزاز كنوع من أنواع دفع الغرامة التي يجب دفعها؛ وهذا مستحيل فالمؤسسات الكبرى تتخذ النهج القانوني وليس الابتزاز أو الغرامات المفروضة بالإجبار.

3. برمجيات التشفير Encrypting ransomware

هذه هي أسوأ الأنواع وأكثرها انتشار، فبمجرد الوصول إلى بياناتك فسيتم تشفيرها بالكامل وليس هناك أدنى حيلة إلا الدفع والانصياع لكل التهديد والابتزاز ودفع الفدية؛ لكن ليس هناك أدنى ضمان لاسترجاع بياناتك؛ والأدهى والأمر في ذلك أن أعتى برامج الأنتي فيروس لا تستطيع إيقاف مثل هذا النوع من الفيروس وإذا تم اكتشافه فسيكون ذلك عقب تشفير كامل البيانات أي هناك مثل مصري يقول (بعد خراب مالطة) أي قد حلت المصائب على الملفات.
قد كانت هذه البرمجيات تخصص لها نافذة لتوضوح طرق الدفع ولكن أصبحت الأن تستخدم المفكرة notepad للتوضيح والتعليق الكامل على طرق الاتصال.
يتبع...
للموضوع بقية

آلية تمكن فيروس الفدية من البيانات (كيف يصيب الفدية البيانات)

لفيروس الفدية أساليب متطورة وكثير للولوج إلى بياناتك، فمنذ استغلال واناكراي لثغرات الترقيعات الأمنية لميكروسوفت عام 2017، وباتت هذه الفيروسات في تطور فكري من قبل المطورين السيئين الخلق، وباتوا يبتدعون فيها طرق عدة للوصول إلى البيانات لتشفيرها وابتزاز أصحابها، ومن تلك الطرق:

1. استغلال الثغرات الأمنية للويندوز.
يعتمد الفدية في العموم على ثغرات الويندوز، للوصول إلى البيانات من خلال اتصال بين سيرفر التشفير والمطور، ولكن بات هذا النوع هو الأصعب في الوصول؛ نظرا لكثرة تحديثات ميكروسوفت، فخطأ 2017 جعلها تنظر نصب عينيها إلى الثغرات البينية وبشدة، وسعت لترقيع هذه الثغرات من خلال اضافات كثيرة عمت جميع الأنظمة والإصدارات، حتى ويندوز اكس بي الذي وارا الثرى منذ 3 سنوات من وقتها، لم تنسه ميكروسوفت وعملت على ترقيع ثغراته، ولما لا وكان عدد مستخدمي اكس بي كبيرا وقتها. ورغم قلة هذا النوع من الدخول للبيانات لكنه يعد الأخطر من حيث التشفير، لأنه يربط السيرفر بقاعدة بيانات كاملة.

2. البريد الالكتروني:
هذا النوع من التصيد هو الأشهر والذي يعتمد عليه جميع مطوري الفيروسات وليس الفدية فحسب، فكثيرا ما يقع المستخدم في خطأ فتح الرسائل وتحميل ملفات مجهولة عن طريق ميلات تقنع بشئ ما.

3. الإعلانات:
هذا النوع من الانتشار بات هو المجدي في نشر فيروس الفدية ولحقته الفيروسات المختلفة في ذلك، فيعمل مطوروا الفيروس على توليده ومن ثم نشره في مواقع التحميل عن طريق البوبس أندر، فينتشر الفيروس كالنار في الهشيم ويحقق مكاسب مهولة، الطريف في الموضوع أن كثيرا من مواقع التحميل العربية والغربية لا تتوانى في نشر هذا النوع من الاعلانات بكل اسف.

4. ترقيع الفيروس بأحد ملفات التفعيل
هذا النوع منتشر جدا من الوصول إلى البيانات، فالكثير يبحث عن كراكات أو باتشات لتفعيل الويندوز أو البرامج المختلفة، فيصدموا عند استخدام هذا التفعيل بتقييد البيانات وتشفيرها، ومن أكثر الكراكات المستهدفة لمطوري الفيروس هي كراكات الويندوز وكراكات الاوفيس وكبرنامج التحميل IDM و كل منتجات شركة أدوب ADobe، لذا وجب الحرص وعدم تنزيل كراكات من مصادر غير موثوقة.

5. توصيل ميديا مصابة بالفيروس:
إن توصيل ميديا مصابة تلحق الضرر الجم على الهارد السليم، فبمجرد انتشار فيروس الفدية فإن الملفات تشفر أولا بأول، لذا وجب الحرص عن استخدام الفلاشات أو أي وسيلة نقل خارجية.

وهناك طرق أخرى لا يمكن حصرها في نشرفيروس الفدية لذلك لابد من الاطلاع على وسائل الحماية من فيروس الفدية في السطور القادمة.
6. عن طريق أحد الروابط الملغة التي يتم تحميلها تلقائيا عند فتح الرابط، وهذا النوع مشهور جدا وقد لمحنا له في النقطة رقم 3.

طرق وصول فيروس الرانسوم "الفدية" إلى البيانات



هناك أنواع مختلفة من فيروس الرانسوم وير وذلم من حيث السلوك العام لتشفير البيانات، فبات دراسة السلوك أكبر من الفيروس نفسه، لأن كل مطور وله طريقة في تشفير البيانات مختلفة عن الأخر، فبعدما كان التشفير يتم أوف لاين بمجرد تفعيل الفيروس بالجهاز، فقد ظهر حديثا ما يسمي بالتشفير الشبكي "أونلاين" وذلك النوع من الفيروسات قد أخذ اسم Udjvu، وهو من النوع عالي الخطورة، حيث يتم التشفير عن طريق خادوم شبكي يضع الأيبي في ملف هوست الويندوز ليسهل الولوج إلى نظامك" ستجد ملف الهوست في هذا المسار c:\windows\system32\drivers\etc\hosts" حيث يقوم بإلصاق الامتداد الخاص بالتشفير إلى الملفات وذلك عن طريق وضع شفرات قد تكون بقوة الهاش في الأداء.
عند ولوج فيروس الفدية إلى الويندوز والضغط عليه من قبل المستخدم يقوم الفيروس بعمل الأتي:
1. تشفير أكثر من 200 امتداد مختلف للملفات، وهناك بعض الأنواع التي تشفر جميع الامتدادات حتى الغريبة وذلك بفكرة *.*.extention.
2. توليد ملفات نوتس "رسالة للفدية" لطريقة الاتصال مع المطور، وأحيانا يتم إصدار صورة للفدية ومن ثم التعديل على الريجيستري لجعلها كخلفية مثل ما فعل بيتيا أو إصدار مربع حواري وتشغيله مع الدخول إلى الويندوز مثل ما فعل واناكراي.
3. بعض الانواع من الفديا تقوم بتشفير الوصول إلى الويندوز نفسه عن طريق تغيير قيم ماستر بوت ريكورد، ووضع رسالة التشفير للمستخدم بدلا من الدخول إلى الويندوز.
4. سينبهك الأنتي فيروس بوجود نشاط مريب ويرسل لك الكثير من الرسائل التحذيرة باختراق نظام الحماية، لكن كل شئ قد انتهى.
وبات أمامك الأن خياران أولهما دفع الفدية، ثانيهما حذف البيانات لأنها أضحت بلاقيمة.

طريقة استعادة البيانات المشفرة

إذا اصاب فيروس الفدية بياناتك، فلابد من المحاولة وعدم اليأس، وذلك عن طريق بعض الخطوات التي لابد من فعلها في طريق استعادة البيانات، لكن إياك ثم إياك أن تدفع الفدية لاسترجاع بياناتك.
ليكن في علمك أيضا 
1. اعزل جهازك عن الانترنت؛ ثم قم باستخدام أي اسطوانة للطوارئ للأنتي فيروس اطلع على هذا الموضوع لأفضل 10 اسطوانات إنقاذ للأنتي فيروس، وذلك لحذف الفيروس، وليكن في العلم أن حذف الفيروس يختلف عن فك تشفير البيانات، عموما فيروس الفدية بعد التشفير يكون ضعيف جدا لأنه كشف عن نفسه وبات سلوكه جليا أمام الأنتي فيروس، لذلك يمكنك أيضا عمل فحص للجهاز من خلال الوضع الأمن safe mode.
2. بعد تنظيف الجهاز من الفيروسات النشطة يمكنك الان الدخول الى الويندوز وعمل استعادة لنقطة سابقة، لعل الفيروس يكون ضعيف التكويد، مع استبعاد هذا الاحتمال، لكن تعلق بأي شئ.
3. قم بالتصال بشركات الحماية كشركة كاسبر أو أفاست أو مكافي وغيرهم وقم برفع ملف مشفر صغير الحجم مع إرفاق رسالة التشفير، وانتظر ردهم.
4. قم بالبحث عن فك تشفير للملفات وذلك بأكثر من طريقة سنسردها 
  • أدخل على موقع Ransom ID  وهو من دعم موقع الأمن السيبراني bleeping computer والعشرات من شركات مكافحة الفيروس ويبحث عن امتداد التشفير، حيث يعمل على الإدلاء عن كيفية فك التشفير من خلال إرشادك إلى الأداة المناسبة لاسترداد ملفاتك. فالموقع به ما يقارب 900 امتداد مشهور يمكنه فك تشفيرهم.
  • أيضا هناك موقع No More Ransom، وهذا الموقع مثل سابقه يرشد إلى اداوات لفك بعض الأنواع من التشفير وهو برعاية اليوريبول وشركة مكافي وأكثر من 150 شريك آخرون، والموقعان مكملان لبعضهما البعض حيث يختلفان في أنواع فك تشفير الملفات لفيروسات مختلفة، لكن الهدف واحد وهو مساعدتك لاسترجاع بياناتك المشفرة.
  • راسل جميع شركات الأنتي فيروس عن طريق إرفاق صورة ما مشفرة مع رسالة الفدية، وستجدهم جميعا يحاولون مساعدتك مجانا دون دفع أي أموال، ومن أهم الشركات التي ستساعدك كاسبر، أفاست، بت ديفيندر، تريند مايكرو؛ فإنهم يجتهدون كثيرا في هذا المجال.
  • قم بتحميل هذه الاداة CryptoSearch لفحص جهازك إن كان به ملفات مشفرة أم لا، وإمكانية البحث عن طرق لفك تشفير الملفات.

يمكنك التحميل من موقع الخليج، أو من  ميديا فير
  • يمكنك البحث بنفسك عن امتداد التشفير من خلال هذا الموقع ، ستجد به الألاف من أنواع التشفير مع أهم الادوات التي تعمل على فكها.
  • يمكنك أيضا البحث عن الامتداد من خلال هذا الموقع وتحميل الأداة الخاصة به لمعرفة المزيد من الامتدادات ومحاولة الإرشاد.
  • كما أن هناك المئات من برامج حذف الرانسوم وير في هذه الصفحة.
* لابد أن كل فيروس له أداة مختلفة وحتى إصدارة من نفس النوع من الفيروس قد تحتاج إلى أداة مختلفة تماما عن الاصدارات السابقة، ولنا في Gandcrab عظة في ذلك.
5. إذا لم تجد امتداد تشفير ملفاتك أو انقطعت بك السبل في استعادة بياناتك ن خلال كل هذه المواقع المساعدة، بات أمامك خيار واحد، هو العمل على برامج استعادة البيانات، نعم بعض أنواع الفدية يقوم بعمل dump files او ملفات غبية لتضليل الويندوز في قراءة البيانات، وبطبيعة الحال كل البيانات مخزنة على سكتورز الهارد ديسك، والملفات الغبية لا تستطيع حذف البيانات وأخذ أماكنها في السيكتورز، لذا فعليك المحاولة في ذلك، ويحب استخدام برامج استعادة قوية الخوارزمات لاستعادة افضل للملفات.
6. إذا لم ينفع جميع ماسبق وحل بك اليأس ونرجو أن لا يحدث ذلك فعليك خيار واحد فقط هو حفظ الملفات التي تم تشفيرها في مكان أمن، للمستقبل، فعاجلا أم آجلا ستظهر أداوت جديدة لفك هذه البيانات.

كيف تحمي جهازك من فيروس الفدية ransomware؟

إن الحماية من فيروس الفدية أمر بسيط لطالما تملك بعض الخبرات لمفهوم الأمن السيبراني، فالفيروس بطبيعة الحال لا يقدم إلى الجهاز إلا إذا ذهبت أنت إلى منبعه، وجميع أنواع الأنتي فيروس الموجودة في العالم لن تستطيع حمايتك وحدها، فلابد من التأني في الكثير من القرارات التي تتخذها بشأن التعامل مع التحميلات خاصة الكراكات والباتشات، وهناك خطوات احترازية ستساعدك في الوقاية من فيروس الفدية، ومنها:
  1. عمل نسخة احتياطية لبياناتك المهمة، أو على أقله قم بحفظ البيانات المهمة على احد الهاردات الخارجية، واستغل رخص ثمن الهاردات المستعملة في ذلك، فحفظ البيانات سيكفيك الكثير من العواقب والأزمات، وسيوفر عليك الكثير من الوقت، ونرشح لك في ذلك برنامج CloneDisk؛ فهو صغير الحجم ومجاني، ويوقم بالمهمة خير قيام نهيك عن سرعته في الأداء.
  2. اضبط الأنتي فيروس لديك لتقوية جدر الحماية له واطلع على التحديثات باستمرار، وليس ذلك فحسب، بل يمكنك استخدام طبقة ثانية من برامج الحماية مثل سماداف مثلا أو مالوير بايت، والأول أرخص سعرا ولكنه غشيم جدا وهذا ما يعجبني فيه رغم مساوء سلوكه، اطلع على هذه المقال لتحديد أفضل أنتي فيروس لجهازك .
  3. لا تفتح أي رسالة مجهولة أو سبام لبريدك الألكتروني، ولا تضغط على أي رابط يبلغك كسب من المال أو ربح الجوائز وغيرها من أفعال التضليل؛ فكن حذرا..
  4. قم بفحص أي برنامج أو ملف مجهول قبل استخدامه وذلك عن طريق محركات البحث الأونلاين مثل فيروس توتال، إليك 4 من أهم محركات البحث والكشف عن الفيروسات أونلاين، أو تحميل تطبيق فيروس توتال ليكون في يدك دائما عبر إلحاقه بقائمة كليك يمين.
  5. اظهر امتدادات الملفات لديك من خيارات الويندوز لتعرف لواحق الملف، فقد تقوم بتحميل ملف كتابي مثلا بامتداد file.docx.exe وفي تلك الحالة لن تلاحظ امتداد .exe لأنه مخفي، والأصلح أن تظهر امتداد الملفات من خلال الويندوز بهذه الطريقة  ادخل على أي مجلد ومن خلال الريبون اختار تبويب view ومنه اختار options  ثم اختر view ثم قم بحذف العلامة من أمام خيار hide extentions from known files types

     5. أتمم تحديثاتك الأمنية باستمرار، سواء للويندوز أو الأنتي فيروس، أو البرامجيات التي تعمل بها.
     6. لا تفعل مزامنة one drive باستمرار إذا كنت تستخدمها، وفعلها عند الحاجة كي لا يؤثر الفيروس على الملفات المتزامنة           فيتم تشفيرها هي الأخرى.
     7. قم بتعطيل بعض اتتمة الويندوز مثل Windows Script Host و Windows PowerShell وذلك لتأثيرهما الإيجابي في عمل الرانسوم، حيث يعتمد الكثير من مطوري الفدية بهذه البرمجيات الحديثة بالويندوز خاصة Windows PowerShell، يمكنك الاستغناء عن هذه الخطوة إذا كنت على دراية بـ Windows PowerShell وتستخدمه في عمله.
      8. قم بتثبيت غضافات منع الإعلانات للمتصفح الخاص بك، أفضل لك إضافة مانع الإعلانات من أفيرا، فهي كفيلة بحماية بنسبة 90% من الرانسوم وير
       9. استخدم برنامج Deep Freeze أو Toolwiz Time Freeze أو ما يشابههما لتجميد الملفات، أو برامج غلق المجلدات مثل Folder guard وSecure Folders، حيث أثبتت هذه البرامج كفاءة قوية لصد الرانسوم ويروتلاشي أثرها، حتى وإن كان التشفير أون لاين، كما يمكنك الاستغناء عن هذه الببرامج جميعها وحظر الكتابة على برتيشنات الويندوز من خلال هذه الخطواط:
قم بالضغط على البرتشن واختيار خصائص propertise ومنها اختر تبويب الأمان security ثم اختر Edit ومنه قم بتغيير الأذونات بوضع العلامات تحت بند Deny وبذلك قد منعت الكتابة أو القراءة من البرتشن بالكامل، يمكنك الاستغناء عن هذه الخطواط باستخدام هذا التطبيق، كما يمكنك تفعيل خاصية AppLocker بالويندوز، أو إذا أردت الحفاظ على مجلد بعينه أو ملف بعينه يمكنك عمل مفتاح تشفير له عن طريق خاصية  Encrypting File System (EFS) وذلك عن طريق فتح محث الدوس وكتابة هذا الأمر لتشفير أي مجلد بمفتاح خاص به
cipher /e /s:full path of folder
مثلا 
cipher /e /s:"c:\hd boot"
وإذا أردت تشفير ملف بعينه يمكنك استخدام هذا الأمر
cipher /e "full path of file.*"
مثلا cipher /e "c:\hdboot.exe"      لا تنس كتابة امتداد الملف
بعد كتابة الأوامر سيظهر لك المربع الحواري لإكمال الإعدادات ووضع كلمة سر للتشفير، ولابد من الاحتفاظ بالمفتاح لفك تشفير الملف
* حيلة جميلة وبسيطة لا يقدر عليها الفدية هي إلغاء الإمتداد عن الملفات المهمة مثلا إلغاء اللاحقة .docx من ملف word.docx ليكون word فقط بدون أي امتداد؛ ببساطة لأنها غير واردة في ملف التشفير لأي فيروس فدية وبهذه الحيلة تستطيع حماية ملفاتك بدون الخوف عليها.
     10. إذا كان لابد من تجربة أحد الملفات المشبوهة فيمكنك تجربتها من خلال برامج النظام الأفتراضية مثل virtual box أو VMWare وذلك حتى لا يتضرر جهازك إذا حدث أي مكروه.
     11. قعل خيارات الرانسوم وير من إعدادات الويندوز إذا كنت تستخدم ويندوز 10 الأصدار 1903 وما بعده.
     12. إلغ تنشيط التشغيل التلقائي للفلاشة أو السيدي، برنامج سماداف المذكور سابقا، يقوم بهذا تلقائيا.
     13. قم بتعطيل الخدمات عن بعد مثل Remote Desktop Protocol.
     14. قم بتعطيل الإتصالات اللاسلكية مثل البلوتوث، ومنافذ الاشعة تحت الحمراء عموما لمنع استغلالها.
     15. قم بتعطيل مشاركة الملفات، كي لا تتاثر بالشبكة المحلية في حالة إصابة أحد الأجهزة.
     16. هناك قاعدة حماية تقول فكرة مرتين قبل اتخاذ القرار، وحدد ما ستربحه وما ستخسره، وبناء عليه اتخذ قرارك في فتح أي ملف             أو رابط جديد.
     17. قم بحماية قطاع الماستر بوت ريكورد للهارد ديسك MBR وذلك عبر MBR Filter، أو إرجاع قيمه الافتراضية من              خلال MBR Repair Tool وذلك أن هناك العديد من انواع الفدية التي تتعلق بالماستر بوت ريكورد ومنع الوصول 
          إلى الويندوز وتشفير البرتيشنات مثل فيروس بيتيا petya.
أيضا وجب التنوية إلى شركة knowbe4  التي صممت محاكي RanSim لقياس قوة جهازك في ردع الرانسوم وير، وذلك عبر قياسات افتراضية كأن الجهاز قد تعرض للعديد من أنواع الفيروس ومن ثم قياس مستوى الإصابة أو الصمود ضد الفيروس، أعتقد أنها فكرة جميلة لقياس مدى فاعلية الانتي فيروس في صد الرانسوم وير.

كيفية صنع وبرمجة فيروس الفدية Ransomware بدون لغات برمجة.

صناعة الرانسوم وير تعتمد على ما يسمى بالتشفير، حيث يختلف برمجته وصناعته من بيئة برمجة الى اخرى فمثلا مبرمجي الرانسوم يستخدمون بيئات مشهورة كالبرمجة بسي بلس وسي شارب، وجافا، وبايثون وغيرهم لأنها لغات ذات مصدر ثقة لجميع الانتي فيروس، هناك بيئات برمجة مثل اوتو ات autoit يتم تصنيف برامجها كنوع من الفيروس حتى لو اول برنامج بها hello world, هناك بعض الانتي فيروس يحتسبه تروجان، رغم مناشدات مطوريها ومراسلتهم لشركات الانتي فيروس، الا ان بعض محركات الانتي فيروس المغمورة لاتزال تصنفها كبرمجيات ضارة.
الطريف ان تشفير الملفات يبدأ بتغيير امتدادها، مثلا يمكن صناعة رانسوموير عن طريق ملف دفعي batch، ولن يتم كشفه ابدا بأي انتي فيروس، سيكون تشفير متخلف جدا لكنه سيرعب الجميع.
هناك الكثير من الطرق لصناعة الرانسوم وير، لكن الالية واحدة في العمل، وهي اما تشفير كل الملفات ونشر الرسالة عن طريق الريجيستري عند بدأ الويندوز گ واناكراي، او تشفير الملفات ومنع دخول الويندوز گ بيتيا، ولكن في كل الحالات لقد انتهت ملفاتك.
فكرت في طرح أي نوع من الصناعة سنقوم بها، ولكن قبل البدأ اتفقت مع نفسي أن نصمم رانسوم وير في سبيل التعليم وليس الضرر، أيضا لكل نوع من الترهيب الذي سيتم عمله سيكون هناك لاحقة له لكسره وإعادة الأمور إلى نصابها كما أن شيئا لم يحدث.
كما أنني لم اطرح أفكار متقدمة كي لا يستخدمها ذووا القلوب الضعيفة في أذية البعضأ وأشهد الله أنه للتعلم فقط وبطريقة متخلفة، وأنا أبرأ من أي تفكير أو فعل مستلهم من هذا الشرح في أذية الغير.

سنقوم بعمل فيروس للفدية بدون برمجة من خلال الريجيستري فقط، وللعلم فإن لغات البرمجة أثناء تطوير الرانسوم وير لابد أن تعتمد على الريجيستري، وتحته طريقه كسره واستعادة الأمر مرة أخرى.
  • الطريقة الأولى
آلية خطوات وسلوك الرانسوم وير الذي سنصنعه:
سنقوم بتغيير بعض قيم الريجيستري، لطرح رسالة قبل الدخول إلى الويندوز بإبلاغ المستخدم "رسالة البلاغ"، ثم نقوم بإخفاء أحد البرتيشنات وليكن برتيشن D.

خطوات صناعة فيروس الفدية 
نقوم بفتح ملف نوت باد في أي مكان بالجهاز، ومن ثم سنقوم بنسخ هذه الأسطر بها 
يتبع

هذا دليل مساعدة كاملة من شركة ميكروسوفت لوقف الإجرام الذي يرتكبه مطوروا الرانسوم وير، حيث تضع ميكروسوفت فيه الكثير من الخبرات في مواجهة الانسوم وير


















كتابة تعليق