كيف تكتشف اصابه جهاز الحاسب الالى بفيروس الفدية؟.. وكيفية الحماية ؟
الأربعاء، 17 مايو 2017 08:00 م مروة الغول
نظرا لوجود هجمات الكترونية ضخمة لفيروس الفدية الألكترونى (Ransomware)على مستوى العالم، والذى يطلق عليها اسم "WannaCry" والذى أصاب أكثر من 100 دولة فى جميع أنحاء العالم و مصر من البلدان المستهدفة لذلك الهجوم، ننشر فيما يلى توضيح لكيفية الإصابة بهذا الفيروس:
ينتشر الفيروس الألكترونى من خلال الفيروس التلقائى الأنتشار (worm) ومن خلال رسائل البريد الإلكتروني الخادعة المرسلة (Phishing e-mails)إلى المستخدمين مع مرفق ضار يحتوى على هذا الفيروس ويصيب الجهاز بمجرد فتح المرفق.
يتكون هذا الفيروس من جزئيين : فيروس تلقائي الانتشار و فيروس الفدية الالكترونية.
بعد إصابة جهاز المستخدم، فإنه يستغل ثغرة في أنظمة التشغيل (Windows) المعروفة باسم "MS17-010" لتصيب أجهزة أخرى على نفس الشبكة أو خارجها من أجل تحقيق أنتشار سريع للفيروس الألكترونى باستخدام برنامج الاختراق “EternalBlue exploit” وبرنامج لفتح ثغرة خلفية " DOUBLEPULSAR backdoor".
تحميل حزمة تحديثات” Microsoft patch” لايمنع من الاصابة عن طريق الجزء الثاني من الفيروس (فيروس الفدية الالكترونية)ولكن يمنع الأنتشار التلقائى .
فى حالة إصابة جهاز المستخدم بهذا الهجوم الألكترونى فإنه سيتم تشفير كافة الملفات الموجودة على جهاز الحاسب ويطلب منك دفع 600$-300$ بيتكوين فدية ليكون المستخدم قادر على استرداد الملفات الخاصة به.
يحتوي الفيروس على خاصية "kill switch" يستخدمها الفيروس لايقاف نفسه تلقائيا اذا كان النطاق “domain”المسجل في الفيروس “online” بالاضافة لظهور نسخة اخرى من الفيروس لا تحتوي على هذه الخاصية يوم 14-5-2017
يقوم الفيروس بتنزيل و استخدام الملفات المتعلقة بشبكة “Tor”
يمكن لهذا الفيروس أن يصيب كل الأجهزة الألكترونية الى تعمل بنظام تشغيل ويندوز(XP to Win7 &2003-2008 R2 server)
قام الفيروس باصابة 100 بلد مثل المانيا، روسيا ،اسبانيا،المملكة المتحدة ،سويسرا والولايات المتحدة الامريكية.
حوالي 16 مستشفى بالمملكة المتحدة على الاقل.
اصيب بالفيروس حوالي 230000 على مستوى العالم حتى وقتنا الحالي.
لحماية الشبكات و الاجهزة من هذا الهجوم واسع المدى يرجى القيام بالتالي:
عدم فتح اي رسائل الكترونية أو ملفات مجهولة المصدر.
فحص جميع الرسائل الالكترونية المرسلة والواردة والملفات الملحقة باستخدام برامج حماية محدثة (Antivirus).
يجب الأحتفاظ بنسخة من الملفات والبيانات الألكترونية الهامة دوريا على جهاز خارجى منفصل عن الشبكة حتى يتم استعادتها بشكل صحيح فى حالة الأصابة.
التأكد من تحميل حزمة تحديثات "Patch" مايكروسوفت MS17-010. لاغلاق الثغرة المستغلة فى الهجوم الألكترونى.
التأكد من تحديث برامج الحماية الخاصة بالمستخدمين antiviruses and IPS
قامت ميكروسوفت باصدار حزمة تحديثات طارئة للاصدارات لجميع اصدارات الويندوز السابقة
التأكد من اغلاق المنافذ الأتية على الخوادم “port 445,139” باستخدام الجدار الناري"firewall"
يستخدم الفيروس النطاقات التالية في TOR C&C
ogx7ekbenv2riucmf.onion
o57g7spgrzlojinas.onion
oXxlvbrloxvriy2c5.onion
o76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
sqjolphimrr7jqw6.onion
النطاق المتعلق بخاصية kill switch “ “هو
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com يوصي بمراقبة كل السجلات الخاصة بالشبكة “proxy ,DNS and other logs” من خلال ” “SEIM
لملاحظة كل الاتصالات التي يقوم بها الجهاز.
تطبيق قواعد اقل الصلاحيات على جميع الاجهزة least privilege rules
استخدام ” “spam filters لحماية الشبكة من الرسائل الالكترونية الخادعةphishing mails واستخدام التقنيات الخاصة بالتاكد من صحة الرسائل الالكترونية من الرسائل مثل Sender Policy Framework (SPF)
التحقق من وجود الملفات المتعلقة بالفيروس على جميع الاجهزة من خلال المقارنة مع known hashes الموجودة فى الرابط التالى:
https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a
ايقاف تشغيل SMBv1 protocol
استخدام نظام تقسيم الشبكات network segmentation عن طريق نظام تنقية الشبكات المناسب network filtering
استخدام strict ACLs لمنع الاتصال باستخدام SMB
القيام باختبارات دورية penetration testingللانظمة والشبكات لاكتشاف الثغرات قبل الهاكرز
تحديث أجهزة الحماية الخاصة بالشبكات للحماية من الهجوم الألكترونى مثل (IDS,IPS,Firewalls)
متابعة دلالات الأصابة بأستخدام Yara rules
يجب فصل الأجهزة المصابة بهذا الفيروس بشكل فوري عن الشبكة وذلك تجنبا لأنتشار تلك الهجمة الألكترونية