فيروسات الفدية Ransomware تجتاح العالم في الفترة الاخيرة وهي عبارة عن برمجيات خبيثة تتسلل الي جهاز الكمبيوتر الخاص بك بأي طريقة كانت مثلها كأي فيروس عادي وتقوم بتشفير جميع ملفاتك علي الهارد ديسك ثم تقوم بطلب فدية ( مال ) منك لتقوم بدفعه بطريقة معينة ( غالبا باستخدام متصفح Tor ) وباستخدام عملة خاصة علي الانترنت ( البتكوين ) الي مجموعة الاشخاص الذين قاموا بتطوير هذا الفيروس لكي يتم اعطاءك مفتاح التشفير وتقوم بفك تشفير ملفاتك وتستردها ولا تعتقد ان فيروسات الفدية تلك وليدة هذه الايام , بل هي موجودة منذ اكثر من 10 اعوام علي الاقل وباشكال مختلفة ولذلك اليوم باذن الله سنلقي نظرة عن تاريخ هذه الفيروسات وكيف بدأت ومن اين وكيف انتشرت ؟؟
فيروس الفدية Ransomware الاول : هناك في روسيا حيث بدأ كل شئ
اول فيروس فدية Ransomware تم اكتشافه في روسيا في الفترة مابين 2005 و 2006 وتم انشاءه بواسطة مجرمين روسيين منظمين وكان يستهدف الضحايا الروس في الاساس كما انتشر الي بعض الدول المجاورة ايضا مثل بلغاريا واوكرانيا وكازخستان واحد فيروسات الفدية في تلك الفترة كان يسمي TROJ_CRYZIP.A وتم اكتشافه في عام 2006 وقام باصابة اكثر الاجهزة التي كانت تعمل بنظام تشغيل ويندوز 98 و ويندوز ME وويندوز NT و 2000 و ويندوز XP و Server 2003 وبمجرد انتشار الفيروس وتشغيله علي جهاز الكمبيوتر كان يقوم بالتعرف علي نوع معين من الملفات ثم يقوم بنقلهم الي ملف ZIP محمي بباسورد ويقوم بحذف تلك الملفات من مكانها الاصلي بحيث تبقي نسخة واحدة فقط منها في هذا الملف المضغوط المحمي بكلمة مرور ولكي يحصل الضحية علي ملفاته مرة اخري فكان عليه دفع مبلغ 300 دولار الي حساب E-Gold
يمكننا تعريف الـ E-Gold علي انه الاب السابق للبيتكوين Bitcoin وهي عملة رقمية تم انشاءها بواسطة شركة في فلوريدا Florida ولكن بعد ذلك تم استغلالها من قبل الهاكرز ومجرمي الالكترونيات لاستغلال ضحاياهم والدفع من خلالها مما ادي بالحكومة الامريكية الي تعليقها في 2009 ولم تقم بعد ذلك مرة اخري
فيما بعد , اصبحت فيروسات الفدية تطلب الدفع عن طريق اما عملة البيتكوين او بطاقات الخصم المدفوعة مسبقا او حتي رصيد علي ارقام الهواتف
بالنسبة الي فيروس TROJ_RANSOM.AQB فهو مثال اخر لفيروسات الفدية وتم اكتشافه في عام 2012 وطريقة اصابته للجهاز هي ان يقوم باستبدال سجل الاقلاع الرئيسي MBR للويندوز بالكود الخبيث الخاص بالفيروس وعندما يتم اقلاع الكمبيوتر يجد الضحية رسالة الفدية باللغة الروسية وعليه دفع 920 Hryvnia وهي العملة الاوكرانية وعندما يقوم بالدفع بالطريقة المطلوبة يتم اعطاءه كود والذي يقوم باستخدامه لارجاع جهازه الي حالته الطبيعية بدون تشفير مرة اخري
فيروسات الفدية ومنهج رجال الشرطة
منذ عام 2000 الي عام 2010 تم التعرف علي فيروسات الفدية بانها تصيب ضحايا عالمية وافراد عشوائيين ولكن في خلال فترة ما انتشرت طريقة عمل اخري غريبة لفيروسات الفدية حيث كان الفيروس يخترق جهاز الضحية ويقوم بتشفير ملفاته ثم يخبره انه تم اتهامه بمخالفة القوانين سواء بانتهاك حقوق ملكية لاي شئ ما او المساهمة في نشر المحتوي الاباحي او لاي سبب اخر وان ملفاته تم تشفيرها وهي تحت التحقيق والتحري والتفتيش الان لاي دلائل عنه وما عليه في هذه الحالة الا دفع غرامة لكي يسترجع ملفاته مرة اخري واذا قام الضحية بالتأخر بالدفع فانه يتم مضاعفة الغرامة واذا رفض تماما فان الفيروس يقوم بتهديده بالقبض عليه ولعل اشهر الفيروسات التي سلكت هذا النهج هو فيروس Reveton
فيروس CryptoLocker : اول فيروس فدية ضخم وعلي نطاق اوسع
هذا الفيروس كان يستخدم نظام تشفير غير قابل لفك تشفيره تقريبا وحتي اذا تم التخلص من الفيروس من علي الجهاز فان الملفات تظل مشفرة مما يجبر الضحية علي الدفع رغما عنه وفي كل الاحوال وهذا الفيروس هو اول فيروس ضخم جدا وواسع الانتشار وظهر في نهايات عام 2013 وقد تم انتشار هذا الفيروس من خلال ملحق البريد الالكتروني e-mail Attachments وكذلك شبكات الـ botnet وبمجرد اختراق جهاز الضحية يتم تشفير الوثائق وملفات الميديا وعلي الضحية ان يقوم بدفع مبلغ 400 دولار او 400 يورو او من خلال البيتكوين وذلك في خلال مدة معينة يعطيها له الفيروس واذا لم يتم الدفع خلال 72 ساعة فيتم حذف ملف التشفير مما يجعل استعادة تلك الملفات مرة اخري مستحيلا
TorrentLocker و CryptoWall : فيروسات الفدية اصبحت اكثر ذكاءا
بعد سقوط فيروس Cryptolocker ظهر فيروس جديد بفترة قصيرة وهو TorrentLocker وكان العامل الرئيسي حول هجماته علي اجهزة الكمبيوتر هو ملحقات البريد الالكتروني e-mail Attachments وخصوصا ملفات الورد Word وعندما يتم اختراق جهاز الضحية فانه يتم تسفير ملفات الميديا وملفات الورد علي هذا الجهاز بتشفير AES ولكن الاختلاف بين هذا الفيروس وغيره من الفيروسات الاخري هو انه يقوم بعرض الفدية بعملة بلد الضحية فمثلا اذا كان الضحية من امريكا فانه يطلب الفدية بالدولار او من اوروبا فتكون باليورو وهكذا وهذا الفيروس قام بتغيير طريقة اصابته للملفات حيث يقوم بتغيير اسماء الملفات المصابة وهكذا يمنع المستخدم من معرفة الملفات التي تم تشفيرها من غيرها مما يجعل صعبا عليه القيام باستعادة ملفاته من نسخة احتياطية Backup
فيروسات الفدية تتجه تجاه ماك ولينكس
من المعروف ان نظامي ويندوز علي اجهزة الكمبيوتر ونظام الاندرويد علي الهواتف المحمولة من اكثر انظمة التشغيل شيوعا ولذلك فهي جذابة جدا لمصممي الفيروسات ولكن منذ عامين تقريبا اتجهت فيروسات الفدية الي انظمة تشغيل جديدة تماما مثل اللينكس والماك ولعل من اشهرها فيروس Linux.Encoder.1 والذي تم اكتشافه في نوفمبر 2015 والذي كان يصل الي اجهزة اللينكس ليقوم بتشفير بعض انواع الملفات مثل ملفات الميديا والاوفيس وكذلك الملفات المرتبطة بتطبيقات الويب ولكي يتم اعادة فك التشفير مرة اخري فعلي الضحية دفع فدية من خلال عملة البتكوين وفي بدايات عام 2016 شاهدنا ظهور فيروس KeRanger والذي استهدف اجهزة الماك
فيروسات الفدية هذه الايام
في العام السابق ظهر فيروس Petya Ransomware ولكن بشكل خفيف نسبيا ولكن في الفترة الحالية ظهر وبقوة مرة اخري . اي انه كان موجودا من قبل وقبل ان يعود للظهور كان قد ظهر فيروس فدية اسمه Wannacry والذي لابد انكم قد سمعتم عنه والذي انتشر بسبب ثغرة في بروتوكول مشاركة الملفات SMB 1.0/CIFS File Sharing Support ثم يقوم بالانتشار داخل الشبكة الداخلية للمستخدمين ويقوم بتشفير ملفات الهارد ديسك كل ملف بذاته بينما علي الجانب الاخر ظهر فيروس Petya والذي اجتاح المؤسسات الكبري والشركات المشهورة و بنفس فكرة الانتشار لفيروس Wannacry ولكنه هذه المرة اشد خطورة حيث يقوم بتشفير سجل الاقلاع الرئيسي MBR الذي يتحكم في الهارد ونظام التشغيل بالكامل .. هذه الفيروسات سنخصص لها موضوع قادم باذن الله لكي تفهم كيفية الوقاية منه وحماية جهازك من هجمات مثل هذه الفيروسات فانتظرونا
يمكنك الاستفادة من هذه المواضيع ايضا :-
لماذا لا يجب عليك استخدام اكثر من انتي فيروس في وقت واحد ؟؟