تعتبر فيروسات الفدية نوع من أنواع البرمجيّات الخبيثة و يطلق عليها مصطلح Malware في اللغة الأنجليزية , و تقوم هذه البرمجيات على أساس إبتزاز المستخدمين أو الضحايا و ذلك بتشفير الملفات و منع المستخدم من الوصول إليها عن طريق إستخدام خوارزميّات خاصّة لتشفير البيانات , بحيث إنّه يضع المستخدم بين خيارين إمّا خسارة تلك الملفّات أو دفع فدية عن طريق أليّة دفع يحددها المبرمج و في الغالب الدّفع يكون عن طريق تحويل الفدية إلى حساب Bitcoin الخاص بالمبرمج .

البرمجيّات الخبيثة

يمكن أن يصاب المستخدم بهذه البرمجيّات الخبيثة بعدّة طرق و وسائل مختلفة , على سبيل المثال و ليس الحصر يمكن أن يتم تحميل هذه البرامج الخبيثة تلقائيّا في بعض الأحيان بإستغلال بعض الثغراث في متصفّحات الإنترنت , او يمكن أن يصاب به المستخدم عند زيارته لموقع مشبوه او غير موثوق به , يمكن أيضا أن يكون ملف مرسلا على البريد الإلكتروني , أو غيره من الطرق الأخرى .
بمجرّد أن يبدأ عمل أو تنفيذ هذه البرمجيّة الخبيثة لمرّة واحدة فقط على جهاز الحاسوب سوف يتم تشفير ملفّاتك بالكامل أو إغلاق حاسوبك بطرق و خوارزميات معقّدة , و من ثم يتم إظهار رسالة مفادها أنّك قد تعرّضت للإختراق و يتوجّب عليك دفع مبلغ محدّد من المال يحدّده المبرمج حتّى يقوم بإلغاء تشفير الملفّات أو فتح جهازك من جديد …
تاريخ و تطوّر البرمجيّات الخبيثة Ransomeware

10 سنوات

منذ حوالي 10 سنوات تمّ إكتشاف هذا النوع من البرمجيات الخبيثة في روسيا لأوّل مرّة بين عاميّ 2005 – 2006 , حيث نشرت شركة TrendMicro عن حالة إصابة بهذا الفيروس في سنة 2006 , حيث أنّه في تلك الحالة قام الفيروس بمسح كلّ الملفّات الأصليّة بعد أن أخد منها نسخة و وضعها تحت ملف مضغوط مقفل بكلمة مرور و مشفّر تشفيراّ كاملاّ, و تاركاَ ملف نصّي للضحيّة مفاده دفع فدية و قدرها 300$ لإسترجاع تلك الملفّات .
في بداية الأمر كانت تلك البرمجيّات الخبيثة أو الفيروسات تقوم بتشفير الملفّات ذات الإمتدادات المعروفة مثل الصورة و المستندات النصيّة PDF , DOC , JPG , PNG …
و حيث أنّه في تقرير أخر لنفس الشركة تم التبليغ عن حالات من هذه البرمجيّات تقوم بإصابة Master Boot Record (MBR) في الأجهزة المصابة , و الذي بدوره يمنع نظام التشغيل من البدء في عمله بشكل صحيح , و إستمرّت تلك البرمجيّات الخبيثة في دولة روسيا فقط حتّى عام 2011 – 2012 حيث إنتقلت تلك البرمجيّات إلى أوروبا , حيث لاحظة شركة TrendMicro في بداية عام 2012 إنتشار تلك البرمجيّات في أوروبّا و أمريكا الشماليّة , و على غرار البرمجيّات السابقة كانت تلك التي اجتاحت أوروبا تظهر رسالة للمستخدم و كأنّها من الشرطة المحليّة و ليست رسالة فدية عاديّة كما كان الحال سابقّا مع تلك البرمجيّات , كما تطوّرت طرق إنتشار البرمجيّات حتّى شملت في عام 2012 الموقع الإلكتروني لمتجر حلويّات فرنسي شهير و سبّب ذلك إنتشار واسعا للفيروس في فرنسا و اليابان , و بدلاّ من نشر رسالة الفدية كما ذكرت سلفاّ يقوم الفيروس بنشرأو إظهار رسالة و كأنّها موجّهة من الشرطة المحليّة الفرنسية …
تطوّر CryptoLocker , Crypto-Ransomeware

في أواخر سنة 2013 ظهر نوع جديد من البرمجيّات الخبيثة لتشفير الملفّات بدلاّ من إيقاف النّظام عن العمل , حيث أن تشفير الملفّات كان يجبر الضحايا على دفع الفدية حتّى لو تم تعقّب و حذف الفيروس , و بسبب ذلك الإسلوب الجديد الذّي إتّبعته تلك البرمجيّات تم إطلاق إسم CryptoLocker عليها , و الصورة التالية توضّح الرسالة الّتي تظهر للضحية عند الإصابة بتلك البرمجيّة …

بالرغم من أنّ رسالة الفدية في CryptoLocker تحدد فقط مفتاح RSA-2048 كوسيلة أو طريقة لتشفير البيانات , و لكن تحليل تلك البرمجيّة أظهر أنه يتم إستخدام تشفير AES + RSA .
البعض لربّما يكون في حيرة من أمره أو يتسائل ما هو RSA / AES ؟
RSA عبارة عن مفتاح تشفير غير متماثل, بمعنى أنّه يستخدم مفتاحين مختلفين , المفتاح الأول لتشفير البيانات و المفتاح الأخر لفك التشفير حيث أنّه المفتاح الأول يسمى بالمفتاح العمومي أو المفتاح العام Public Key و هذا المفتاح يكون متاح لأي طرف أخر , أمّا المفتاح الأخر يبقى لدى المستخدم و يسمّى بالمفتاح الخاص Private Key , أمّا AES فيستخدم مفاتيح متماثلة او متطابقة أي بمعنى مفتاح واحد يستخدم لتشفير و فك تشفير البيانات …
تستخدم تلك البرمجيّة الخبيثة مفتاح AES للتشفير , و مفتاح AES لفك التشفير يكون مكتوب او مسجّل في الملفّات المشفّرة نفسها بواسطة البرمجيّة , و مع ذلك أيضاَ يتم تشفير ذلك المفتاح بمفتاح عمومي RSA Public Key مدمج مع الفيروس أو البرمجيّة نفسها , مما يعني وجود مفتاح خاص لفك التشفير …
و كشفت بعض الأبحاث إن الطريقة الأكثر شيوعا لإنتشار ذلك النّوع من البرمجيّات هو Spam , حيث أنه يتم إرفاق فيروس من نوع TROJ_UPATRE مع تلك الرَسائل المزعجة او المتطفّلة و هو نوع من البرمجيات الخبيثة معروف ب صغرالحجم حيث أنّه لا يتجاوز KB معدودة و وظائفه في التحميل , فهو يقوم بتحميل ZBOT و الذي بدوره يقوم بتحميل تلك البرمجيّة الخبيثة CryptoLocker .
إنّ CryptoLocker لا يقوم بإصابة الملفات التنفيدية ذات الإمتداد exe , بل يقوم بإصابة كل الملفّات الغير تنفيديّة بمختلف الإمتدادات المرفقة في كود البرمجيّة الخبيثة.
انظر الصورة التالية

كيفية الحماية أو تفادي CryptoLocker

كما ذكرت سلفاَ إنّ أكثر الطرق شيوعا لإنتشار تلك البرمجيّة هي عن طريق البريد الإلكتروني و بإستخدام أدوات الهندسة الإجتماعية أو مايعرف بـ Social Engineering Toolkit , لذلك أسرد عليكم الخطوات التالية لتفادي الإصابة بهذه البرمجيّة او التقليل من خطرها و الحماية منها:
1) عدم تحميل أي مستندات او ملفات مرفقة من البريد الإلكتروني دون التأكّد من مصدر و مصداقية تلك الملفّات أولاَ .
2) أخد الحيطة والحذر في تصفّح الإنترنت و عدم زيارة المواقع الغير موثوقة و التي لا تعتمد على بروتوكول HTTPS يقلّل من نسبة إصابتك بالفيروس .
3) البرامج المقرصنة و الألعاب و غيرها تعتبر بيئة خصبة لتلك البرمجيّات , لذلك يفضّل شراء المنتجات الأصليّة أو تحميل منتجات مجانيّة تؤدّي نفس الوظيفة و التي تصنف تحت مصطلح Freeware و التي تعني البرمجيّات المجانيّة .
4) في حالة الإصابة بتلك البرمجيّة يمكنك تحميل أداة Sophos Virus Removal Tool (SRV) , حيث تقوم هذه الأداة بفحص الذاكرة العشوائيّة و محاولة إيجاد تلك البرمجّة الخبيثة إذا كانت نشطة , و في حالة عدم وجود نشاط لتلك البرمجيّة في الذاكرة العشوائية يتم فحص كافّة الأقراص في جهاز الحاسب و التأكّد من سلامتها , و بمجرّد أن تلتقط الأداة ذلك الفيروس أو البرمجيّة يمكنك بضغطة زر واحدة إزالة تلك البرمجيّة تماما من جهازك و بشكل نهائي .
5) يوجد طريقة أخرى ألا و هي إنشاء ألة إفتراضية لتجربة الكراك أو الباتش أو لفتح الملفات المحمّلة عبر البريد الالكتروني , و بذلك حتّى إذا كان الملف مصاب لا يتأثر الجهاز بالفيروس , و تعتبر هذه الطريقة هي طريقة موجّهة للمستخدم المتوسّط أو المتقدّم .
6) إنشاء نسخة إحتياطيّة من ملفّاتك المهمّة بشكل دوري و وضعها في وسيلة نقل خارجيّة بعيدة عن الجهاز .
7) التأكد من تحديث نظام التشغيل بشكل مستمر .

و هذه كانت نبذة مختصرة عن فيروسات الفدية Ransomeware , و شرح عن برمجيّة CryptoLocker , و سوف نتناول في المقالات القادمة فيروس wannaCry الذي إجتاح عدداّ كبيراّ من الأجهزة مؤخراّ و ذلك بإستخدام ثغراث مسرّبة من وكالة الأمن القومي National Security Agency .

أتمنّى أن تكونوا قد أستفدتم من هذه المقالة الخفيفة …

References
TrendMicro
ESET
Security Researches

فيديو فيروسات الفدية Ransomeware