• بيت
  •  > 
  • أسئلة
  •  > 
  • فيروس Wanna Cry واسع النطاق (WCrypt) - كيفية إزالة الفيروس والتخلص منه. كيفية تحييد جهاز الكمبيوتر الخاص بك من فيروس Wanna Cry؟ فيروس Wannacry - كيف تحمي نفسك وتستعيد البيانات

فيروس Wanna Cry واسع النطاق (WCrypt) - كيفية إزالة الفيروس والتخلص منه. كيفية تحييد جهاز الكمبيوتر الخاص بك من فيروس Wanna Cry؟ فيروس Wannacry - كيف تحمي نفسك وتستعيد البيانات

جديد فيروس الفدية WannaCryأو WanaDecryptor 2.0، الذي يترك ملفات .wncry مشفرة بدلا من بيانات المستخدم، يهز شبكة الإنترنت. تتأثر مئات الآلاف من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة حول العالم. ولم يتأثروا فقط المستخدمين العاديينولكن شبكات الشركات الكبيرة مثل Sberbank وRostelecom وBeeline وMegafon والسكك الحديدية الروسية وحتى وزارة الشؤون الداخلية الروسية.

تم ضمان هذا الانتشار الواسع النطاق لفيروس الفدية من خلال استخدام نقاط الضعف الجديدة في أنظمة التشغيل عائلة ويندوزوالتي تم رفع السرية عنها بوثائق المخابرات الأمريكية.

WanaDecryptor أو Wanna Cry أو WanaCrypt أو Wana Decryptor - ما هو الاسم الصحيح؟

في الوقت الذي بدأت فيه هجوم الفيروسعلى شبكة الإنترنت العالمية، لم يكن أحد يعرف بالضبط ما هو اسم العدوى الجديدة. في البداية اتصلوا بها وانا فك التشفير0rباسم نافذة الرسالة التي ظهرت على سطح المكتب. في وقت لاحق إلى حد ما، ظهر تعديل جديد للمشفر - أريد فك التشفير 2.0. ولكن مرة أخرى، هذه نافذة برامج الفدية التي تبيع للمستخدم بالفعل مفتاح فك التشفير، والذي يجب أن يصل نظريًا إلى الضحية بعد أن يقوم بتحويل المبلغ المطلوب إلى المحتالين. الفيروس نفسه، كما اتضح، يسمى أريد البكاء (حافة الحمام).
لا يزال بإمكانك العثور على أسماء مختلفة لها على الإنترنت. علاوة على ذلك، غالبًا ما يستخدم المستخدمون الرقم "0" بدلاً من الحرف "o" والعكس صحيح. كما يأتي الكثير من الالتباس من عمليات التلاعب المختلفة بالمسافات، على سبيل المثال WanaDecryptor و وانا فك التشفيرأو WannaCry وWanna Cry.

كيف يعمل واناديكريبتور

يختلف مبدأ تشغيل برنامج الفدية هذا بشكل أساسي عن فيروسات برامج الفدية السابقة التي واجهناها. في السابق، لكي تبدأ العدوى في العمل على جهاز كمبيوتر، كان لا بد من إطلاقها أولاً. وهذا يعني أن المستخدم طويل الأذن تلقى رسالة عبر البريد تحتوي على مرفق ماكر - وهو نص يتنكر في شكل مستند ما. كان الرجل يطلق ملف تنفيذيوبالتالي تنشيط عدوى نظام التشغيل. يعمل فيروس Bath Edge بشكل مختلف. لا يحتاج إلى محاولة خداع المستخدم؛ يكفي أن تكون هناك ثغرة أمنية حرجة في الخدمة متاحة له الوصول العامإلى ملفات SMBv1 باستخدام المنفذ 445. بالمناسبة، أصبحت هذه الثغرة الأمنية متاحة بفضل المعلومات من أرشيفات وكالات الاستخبارات الأمريكية المنشورة على موقع ويكيليكس.
بمجرد وصول WannaCrypt إلى جهاز الكمبيوتر الخاص بالضحية، يبدأ في تشفير الملفات بشكل جماعي باستخدام خوارزمية قوية جدًا. تتأثر التنسيقات التالية بشكل رئيسي:

مفتاح، crt، odt، ماكس، ods، odp، sqlite3، sqlitedb، sql، accdb، mdb، dbf، odb، mdf، asm، cmd،bat، vbs، jsp، php، asp، java، jar، wav، swf، fla، wmv، mpg، vob، mpeg، asf، avi، mov، mkv، flv، wma، mid، djvu، svg، psd، nef، tiff، tif، cgm، الخام، gif، png، bmp، jpg، jpeg، vcd، iso، النسخ الاحتياطي، zip، rar، tgz، tar، bak، tbk، gpg، vmx، vmdk، vdi، sldm، sldx، sti، sxi، hwp، snt، dwg، pdf، wks، rtf، csv، txt، Edb، eml، msg، ost، pst، وعاء، pptm، pptx، ppt، xlsx، xls، dotx، dotm، docx، doc

يتغير امتداد الملف المشفر إلى .wncry. يمكن لفيروس برامج الفدية إضافة ملفين آخرين إلى كل مجلد. الأول عبارة عن تعليمات تصف كيفية فك تشفير ملف wncry Please_Read_Me.txt، والثاني هو تطبيق فك التشفير WanaDecryptor.exe.
يعمل هذا الشيء السيئ بهدوء وسلام حتى يؤثر على القرص الصلب بأكمله، وبعد ذلك تظهر نافذة WanaDecrypt0r 2.0 تطالب بالمال. إذا لم يسمح المستخدم بالانتهاء وتمكن برنامج مكافحة الفيروسات من إزالة برنامج التشفير، فستظهر الرسالة التالية على سطح المكتب:

أي أنه يتم تحذير المستخدم من أن بعض ملفاته قد تأثرت بالفعل، وإذا كنت تريد استعادتها، فأعد التشفير مرة أخرى. نعم الآن! لا تفعل هذا تحت أي ظرف من الظروف، وإلا فسوف تفقد الباقي. انتباه! لا أحد يعرف كيفية فك تشفير ملفات WNCRY. الوداع. ربما سيظهر لاحقًا نوع من أدوات فك التشفير - سننتظر ونرى.

الحماية من فيروس Wanna Cry

بشكل عام، تم إصدار تصحيح Microsoft MS17-010 للحماية ضد برنامج الفدية Wanna Decryptor في 12 مايو، وإذا كانت الخدمة على جهاز الكمبيوتر الخاص بك تحديثات ويندوزيعمل بشكل جيد بعد ذلك
على الأرجح أن نظام التشغيل محمي بالفعل. بخلاف ذلك، ستحتاج إلى تنزيل تصحيح Microsoft هذا لجهازك إصدارات ويندوزوتثبيته على الفور.
ثم يُنصح بتعطيل دعم SMBv1 تمامًا. على الأقل حتى تنحسر موجة الوباء ويهدأ الوضع. يمكن القيام بذلك إما من سطر الأوامر باستخدام حقوق المسؤول عن طريق إدخال الأمر:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

مثله:

أو من خلال لوحة تحكم الويندوز. هناك تحتاج إلى الانتقال إلى قسم "البرامج والميزات"، وتحديد "تشغيل أو إيقاف تشغيله" من القائمة مكونات ويندوز" ستظهر نافذة:

ابحث عن العنصر "دعم مشاركة الملفات SMB 1.0/CIFS"، وقم بإلغاء تحديده وانقر على "موافق".

إذا ظهرت مشكلات فجأة عند تعطيل دعم SMBv1، فيمكنك اتباع مسار مختلف للحماية من Wanacrypt0r 2.0. قم بإنشاء قاعدة في جدار الحماية المستخدم في النظام والتي تحظر المنافذ 135 و 445. ل جدار الحماية القياسيفي نظام التشغيل Windows، تحتاج إلى إدخال ما يلي في موجه الأوامر:

إضافة جدار الحماية netsh advfirewall قاعدة dir=قيد التنفيذ=بروتوكول الحظر=منفذ TCP المحلي=اسم 135=»Close_TCP-135″
إضافة جدار الحماية netsh advfirewall قاعدة dir=قيد التنفيذ=بروتوكول الحظر=منفذ TCP المحلي=اسم 445=»Close_TCP-445″

خيار آخر هو استخدام تطبيق مجاني خاص لـ Windows Worms Doors Cleaner:

لا يتطلب التثبيت ويسمح لك بسهولة بسد الثغرات الموجودة في النظام والتي يمكن من خلالها لفيروس التشفير الدخول إليه.

وبالطبع، لا يمكننا أن ننسى الحماية من الفيروسات. استخدم فقط تلك التي أثبتت جدواها منتجات مكافحة الفيروسات-دكتور ويب كاسبيرسكي إنترنتالأمن، E-SET Nod32. إذا كان لديك بالفعل برنامج مكافحة فيروسات مثبتًا، فتأكد من تحديث قاعدة البيانات الخاصة به:

وأخيرا، سأقدم لك نصيحة صغيرة. إذا كانت لديك بيانات مهمة للغاية ومن غير المرغوب فيه للغاية أن تفقدها، فاحفظها الصلبة القابلة للإزالةالقرص ووضعه في الخزانة. على الأقل طوال مدة الوباء. هذه هي الطريقة الوحيدة لضمان سلامتهم بطريقة أو بأخرى، لأنه لا أحد يعرف ما هو التعديل التالي.

بالأمس، 12 مايو، تعرضت أجهزة الكمبيوتر التي تعمل بأنظمة تشغيل Windows حول العالم لأكبر هجوم في التاريخ. مؤخرا. نحن نتحدث عن برنامج ينتمي إلى فئة Ransomware، وهو برنامج فدية ضار يقوم بتشفير ملفات المستخدم ويطلب فدية لاستعادة الوصول إليها. في في هذه الحالةنحن نتحدث عن مبالغ تتراوح من 300 دولار إلى 600 دولار، والتي يجب على الضحية تحويلها إلى محفظة محددة بعملة البيتكوين. يعتمد حجم الفدية على الوقت الذي انقضى منذ الإصابة - بعد فترة زمنية معينة يزداد.

وفق « كاسبيرسكي لاب » وكان فيروس WannaCry الأكثر انتشارًا في روسيا

لتجنب الانضمام إلى صفوف أولئك الذين أصيبت أجهزة الكمبيوتر الخاصة بهم، من الضروري فهم كيفية اختراق البرامج الضارة للنظام. ووفقاً لشركة Kaspersky Lab، فإن الهجوم يستفيد من ثغرة أمنية في بروتوكول SMB، والذي يسمح بتنفيذ تعليمات برمجية عن بعد. وهو يعتمد على استغلال EternalBlue، الذي تم إنشاؤه داخل جدران وكالة الأمن القومي الأمريكية (NSA) وتم إتاحته للجمهور من قبل المتسللين.

قدمت Microsoft إصلاحًا لمشكلة EternalBlue في النشرة رقم MS17-010 بتاريخ 14 مارس 2017، لذا يجب أن يكون الإجراء الأول والأهم للحماية من WannaCry هو تثبيت هذا التحديث الأمني ​​لنظام التشغيل Windows. إنها حقيقة أن العديد من المستخدمين و مسؤولي النظاملم تقم بذلك بعد، وكانت بمثابة السبب لمثل هذا الهجوم واسع النطاق، والذي لم يتم تقييم الأضرار الناجمة عنه بعد. صحيح أن التحديث مصمم لإصدارات Windows التي لم يتوقف دعمها بعد. ولكن أيضًا لأنظمة التشغيل القديمة مثل Windows XP وWindows 8 و مشغل برامج وندوزفي عام 2003، أصدرت مايكروسوفت أيضًا تصحيحات. يمكنك تنزيلها من هذه الصفحة.

يوصى أيضًا بتوخي الحذر فيما يتعلق بالرسائل البريدية التي تصل عبر البريد الإلكتروني والقنوات الأخرى، واستخدام برنامج مكافحة فيروسات محدث في وضع المراقبة، وإذا أمكن، التحقق من النظام بحثًا عن التهديدات. إذا تم اكتشاف نشاط MEM:Trojan.Win64.EquationDrug.gen وإزالته، فأعد تشغيل النظام ثم تأكد من تثبيت MS17-010. حاليا، ثمانية أسماء معروفة للفيروس:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.

فايروس « يملك » العديد من اللغات

يجب ألا ننسى العادية دعمبيانات مهمة. يرجى ملاحظة أن WannaCry يستهدف فئات الملفات التالية:

  • المستندات المكتبية الأكثر شيوعًا (.ppt، .doc، .docx، .xlsx، .sxi).
  • بعض أنواع المستندات الأقل شيوعًا (.sxw، و.odt، و.hwp).
  • الأرشيفات وملفات الوسائط (.zip، .rar، .tar، .bz2، .mp4، .mkv)
  • ملفات بريد إلكتروني(.eml، .msg، .ost، .pst، .edb).
  • قواعد البيانات (.sql، .accdb، .mdb، .dbf، .odb، .myd).
  • ملفات المشروع و رموز المصدر(.php، .java، .cpp، .pas، .asm).
  • مفاتيح التشفير والشهادات (.key، .pfx، .pem، .p12، .csr، .gpg، .aes).
  • تنسيقات الرسومات (.vsd، .odg، .raw، .nef، .svg، .psd).
  • ملفات الجهاز الظاهري (.vmx، .vmdk، .vdi).

وفي الختام: إذا لم يكن من الممكن تجنب العدوى، فلا يزال بإمكانك الدفع للمهاجمين. أولاً، حتى لو تم تحويل الأموال إلى محفظة Bitcoin المحددة، فلا أحد يضمن فك تشفير الملفات. ثانيًا، لا يمكنك التأكد من عدم تكرار الهجوم على نفس الكمبيوتر، وأن مجرمي الإنترنت لن يطلبوا فدية كبيرة. وأخيرًا، ثالثًا، فإن الدفع مقابل "خدمة" إلغاء الحظر سوف يكافئ أولئك الذين يقومون بأنشطة إجرامية على الإنترنت ويكون بمثابة حافز لهم لتنفيذ هجمات جديدة.

لقد تم بالفعل وصف هذا الهجوم السيبراني بالأكبر في التاريخ. أكثر من 70 دولة، وعشرات الآلاف من أجهزة الكمبيوتر المصابة. فيروس الفدية المسمى Wanna Cry ("أريد أن أبكي") لا يستثني أحدًا. المستشفيات والسكك الحديدية والوكالات الحكومية تتعرض للهجوم.

في روسيا، كان الهجوم هو الأكثر ضخامة. تشبه الرسائل الواردة الآن التقارير الواردة من واجهات الكمبيوتر. من الأحدث: ذكرت السكك الحديدية الروسية أن الفيروس حاول اختراق نظام تكنولوجيا المعلومات الخاص بها، وقد تم تحديد موقعه بالفعل ويحاولون تدميره. كما تحدث البنك المركزي ووزارة الداخلية ووزارة حالات الطوارئ وشركات الاتصالات عن محاولات القرصنة.

هذا هو شكل الفيروس الذي يصيب عشرات الآلاف من أجهزة الكمبيوتر حول العالم بالشلل. واجهة واضحة ونص مترجم إلى عشرات اللغات - "لديك ثلاثة أيام فقط للدفع". ويتطلب البرنامج الخبيث الذي يقوم بتشفير الملفات، بحسب مصادر مختلفة، ما بين 300 إلى 600 دولار لفتحها. فقط بالعملة السيبرانية. الابتزاز هو حرفيا على وشك الحياة والموت.

يقول باتريك وارد: "كنت مستعدًا تمامًا للعملية، حتى أنهم قاموا بوضع أنبوب وريدي، ثم يأتي الجراح ويقول إن لديهم مشاكل في المعدات بسبب هجوم إلكتروني".

اللقاحات من فيروس الكمبيوترولم يتم العثور على أي منهما في العيادات البريطانية الأربعين التي كانت أول من تعرض للهجوم، ولا في أكبر شركة اتصالات إسبانية، تليفونيكا. آثار، كما يقول الخبراء، لواحدة من أكبر هجمات القراصنة في تاريخ العالم، حتى على شاشات عرض محطات القطار في ألمانيا. في أحد مراكز التحكم السبعة التابعة لشركة السكك الحديدية الألمانية Deutsche Bahn، فشل نظام التحكم. العواقب يمكن أن تكون كارثية.

في المجموع، أصبحت 74 دولة بالفعل ضحايا للهجمات السيبرانية. والدول الوحيدة التي لم تمسها هي أفريقيا والعديد من الدول في آسيا وأمريكا اللاتينية. هل هو حقا فقط في الوقت الراهن؟

"يتم كل هذا من أجل كسب المال للجريمة المنظمة. ليس هناك أجندة سياسية أو دوافع خفية. يقول بن راب، خبير مكافحة الفيروسات بشركة تكنولوجيا المعلومات: "الابتزاز الخالص".

لكن وسائل الإعلام البريطانية وجدت على الفور دافعًا سياسيًا. وألقوا باللوم على المتسللين الروس في كل شيء، رغم عدم وجود أي دليل، وربطوا الهجوم السيبراني بضربة جوية أمريكية في سوريا. يُزعم أن فيروس الفدية أصبح انتقامًا لموسكو. وفي الوقت نفسه، وبحسب وسائل الإعلام البريطانية نفسها، فإن روسيا هي التي عانت أكثر من غيرها في هذا الهجوم. ومن الصعب للغاية الجدال مع هذا. وقد تعرض أكثر من ألف جهاز كمبيوتر للهجوم في وزارة الداخلية وحدها. ومع ذلك، دون جدوى.

لقد صدنا هجمات على وزارة حالات الطوارئ ووزارة الصحة في سبيربنك وميغافون”. مشغل للهاتف النقالحتى أنني أوقفت عمل مركز الاتصال لبعض الوقت.

"المرسوم الرئاسي بشأن إنشاء الجزء الروسي من الشبكة هو إنترنت مغلقحول المسؤولين الحكوميين. لقد كانت صناعة الدفاع وراء هذا الدرع لفترة طويلة. على الأرجح، أعتقد أنه عانى أجهزة كمبيوتر بسيطة الموظفين العاديين. قال مستشار الرئيس الروسي لتطوير الإنترنت جيرمان كليمينكو: "من غير المحتمل أن يكون الوصول إلى قواعد البيانات هو الذي تأثر - فهي، كقاعدة عامة، موجودة على أنظمة تشغيل أخرى وعادة ما تكون موجودة مع مقدمي الخدمة".

البرنامج، وفقا لمطوري برامج مكافحة الفيروسات، يصيب جهاز الكمبيوتر إذا قام المستخدم بفتح خطاب مشبوه ولم يقم بتحديث Windows بعد. يظهر هذا بوضوح في مثال الصين المتضررة بشدة - من المعروف أن سكان المملكة الوسطى لديهم حب خاص لأنظمة التشغيل المقرصنة. ولكن ما إذا كان الأمر يستحق الدفع عن طريق النقر بالماوس دون تفكير، فإنهم يتساءلون في جميع أنحاء العالم

"إذا لم يكن لدى الشركة نسخة احتياطية، فقد تفقد إمكانية الوصول إلى البيانات. أي، على سبيل المثال، إذا تم تخزين قاعدة بيانات لمرضى المستشفى إلى جانب التاريخ الطبي في نسخة واحدة على هذا الخادم الذي دخل إليه الفيروس، فلن تقوم المستشفى بعد الآن باستعادة هذه البيانات بأي شكل من الأشكال،" كما يقول خبير الأمن السيبراني إيليا سكاتشكوف. .

حتى الآن، كما اكتشف المدونون، في المحفظة الإلكترونيةالمحتالين لا يزيد عن أربعة آلاف دولار. تافه، بالنظر إلى قائمة الضحايا - من الواضح أن تكاليف اختراق محركات الأقراص الثابتة الخاصة بهم غير قابلة للمقارنة. أشارت الطبعة البريطانية من صحيفة فايننشال تايمز إلى أن فيروس الفدية ليس أكثر من برنامج خبيث تابع لوكالة الأمن القومي الأمريكية تم تعديله بواسطة المهاجمين. ذات مرة تم إنشاؤها من أجل اختراق الأنظمة الأمريكية المغلقة. وهذا ما أكده أيضًا موظفه السابق إدوارد سنودن.

من تغريدة سنودن على تويتر: "واو، قرار وكالة الأمن القومي بإنشاء أدوات هجوم ضد البرامج الأمريكية يعرض الآن حياة مرضى المستشفيات للخطر."

ومع ذلك، حذر موقع ويكيليكس مراراً وتكراراً من أن وكالات الاستخبارات الأمريكية، بسبب الرغبة الجنونية في مراقبة العالم أجمع، تقوم بتوزيع البرمجيات الخبيثة. ولكن حتى لو لم يكن الأمر كذلك، فإنه يثير تساؤلات حول كيفية وصول برامج وكالة الأمن القومي إلى أيدي المهاجمين. شيء آخر مثير للاهتمام. وتقترح وكالة استخبارات أمريكية أخرى، وهي وزارة الأمن الداخلي، إنقاذ العالم من الفيروس.

ومهما كان الأمر، لا يزال يتعين تقييم الحجم الحقيقي لهذا الهجوم. تستمر إصابة أجهزة الكمبيوتر حول العالم. لا يوجد سوى "لقاح" واحد هنا - الحذر والتدبر. ومن المهم عدم فتح المرفقات المشبوهة. وفي الوقت نفسه، يحذر الخبراء: سيكون هناك المزيد في المستقبل. سوف يزداد تواتر وحجم الهجمات السيبرانية.

كل بضع سنوات، يظهر فيروس على الشبكة يمكنه إصابة العديد من أجهزة الكمبيوتر. المدى القصير. هذه المرة، كان مثل هذا الفيروس هو "Wanna Cry" (أو كما يسميه المستخدمون من روسيا أحيانًا - "هناك"، "أريد البكاء"). أصابت هذه البرامج الضارة حوالي 57000 ألف جهاز كمبيوتر في جميع دول العالم تقريبًا في غضون أيام قليلة. مع مرور الوقت، انخفضت نسبة الإصابة بالفيروس، لكن لا تزال تظهر أجهزة جديدة أصيبت. على هذه اللحظةتأثر أكثر من 200.000 جهاز كمبيوتر - سواء المستخدمين الخاصين أو المؤسسات.

أريد البكاء هو الأكثر خطورة تهديد الكمبيوترإنه عام 2017 وما زال من الممكن أن تقع ضحية له. سنخبرك في هذا المقال ما هو Wanna Cry وكيف ينتشر وكيف تحمي نفسك من الفيروس.

يقوم WannaCry بتشفير معظم أو حتى جميع الملفات الموجودة على جهاز الكمبيوتر الخاص بك. يقوم البرنامج بعد ذلك بعرض رسالة محددة على شاشة جهاز الكمبيوتر الخاص بك تطالب بفدية قدرها 300 دولار لفك تشفير ملفاتك. يجب أن يتم الدفع بتاريخ محفظة بيتكوين. إذا لم يدفع المستخدم الفدية خلال 3 أيام، فسيتم مضاعفة المبلغ إلى 600 دولار. وبعد 7 أيام، سيقوم الفيروس بحذف كافة الملفات المشفرة وسيتم فقدان كافة البيانات الخاصة بك.

نشرت شركة Symantec قائمة بجميع أنواع الملفات التي يمكن لـ Wanna Cry تشفيرها. تتضمن هذه القائمة جميع تنسيقات الملفات الشائعة بما في ذلك .xlsx، .xls، .docx، .doc، .mp4، .mkv، .mp3، .wav، .swf، .mpeg، .avi، .mov، .mp4، . .mkv، .flv، .wma، .mid، .djvu، .png، .jpg، .jpeg، .iso، .zip، .rar. القائمة الكاملةهو تحت المفسد.

  • .accdb
  • .دعم
  • .فصل
  • .دجفو
  • .docb
  • .docm
  • .docx
  • .dotm
  • .دوتكس
  • .جافا
  • .jpeg
  • .lay6
  • .mpeg
  • .onetoc2
  • .potm
  • .بوتكس
  • .ppam
  • .ppsm
  • .ppsx
  • .pptm
  • .pptx
  • .sldm
  • .sldx
  • .sqlite3
  • .sqlitedb
  • .شجار
  • .vmdk
  • .vsdx
  • .xlsb
  • .xlsm
  • .xlsx
  • .xltm
  • .xltx

كما ترون، يمكن للفيروس تشفير أي ملف تقريبًا على القرص الصلب لجهاز الكمبيوتر الخاص بك. بعد اكتمال التشفير، تنشر Wanna Cry تعليمات لفك تشفير الملفات، والتي تتضمن دفع فدية معينة.

اكتشفت وكالة الأمن القومي الأمريكية (NSA) ثغرة تسمى "EternalBlue"، لكنها اختارت إخفاءها هذه الحقيقةلاستخدامها لصالحك. في أبريل 2017، نشرت مجموعة القراصنة Shadow Brokers معلومات حول الاستغلال.

تريد الفيروسيتم توزيع Cry غالبًا بالطريقة التالية: تتلقى بريدًا إلكترونيًا يحتوي على مرفق. قد يحتوي المرفق على صورة أو ملف فيديو أو مقطوعة موسيقية. ومع ذلك، إذا ألقيت نظرة فاحصة على الملف، يمكنك أن تفهم أن الامتداد هذا الملفهو .exe (ملف قابل للتنفيذ). وبالتالي، بعد إطلاق الملف، يصاب النظام، وبفضل الثغرة التي تم اكتشافها مسبقًا، يتم تنزيل فيروس يقوم بتشفير بيانات المستخدم.

ومع ذلك، ليست هذه هي الطريقة الوحيدة التي يمكن أن ينتشر بها فيروس Wanna Cry (الفيروس "هناك"). ليس هناك شك في أنه يمكنك أيضًا تنزيل ملف مصاب من متتبعات التورنت أو استلامه في رسائل خاصة على الشبكات الاجتماعية.

كيف تحمي نفسك من فيروس Wanna Cry؟

كيف تحمي نفسك من فيروس Wanna Cry؟

  • أولا وقبل كل شيء، تحتاج إلى تثبيت كافة التحديثات المتوفرة لنظام التشغيل الخاص بك. على وجه الخصوص، يجب على مستخدمي Windows الذين يستخدمون أنظمة التشغيل Windows XP أو Windows 8 أو Windows Server 2003 تثبيت التحديث الأمني ​​الخاص بنظام التشغيل الذي تم إصداره على الفور شركة مايكروسوفت.
  • بالإضافة إلى ذلك، كن منتبهًا للغاية لجميع الرسائل التي تصل إليك عنوان البريد الإلكتروني. لا ينبغي أن تقلل من يقظتك، حتى لو كان المرسل إليه معروفًا لك. لا تفتح مطلقًا الملفات ذات الامتدادات .exe و.vbs و.scr. ومع ذلك، يمكن إخفاء امتداد الملف كفيديو أو مستند عادي ويبدو مثل avi.exe أو doc.scr.
  • يُنصح بتمكين خيار "إظهار امتدادات الملفات" في إعدادات ويندوز. سيساعدك هذا على رؤية امتداد الملف الحقيقي، حتى لو حاول المجرمون إخفاءه.
  • من غير المرجح أن يساعدك التثبيت على تجنب العدوى. الحقيقة هي أن فيروس Wanna Cry يستغل ثغرة أمنية في نظام التشغيل، لذا تأكد من تثبيت كافة التحديثات لنظام التشغيل Windows الخاص بك - ومن ثم يمكنك تثبيت برنامج مكافحة الفيروسات.
  • تأكد من حفظ جميع البيانات المهمة على محرك أقراص ثابت خارجي أو على السحابة. حتى في حالة إصابة جهاز الكمبيوتر الخاص بك، ستحتاج فقط إلى إعادة تثبيت نظام التشغيل للتخلص من الفيروس الموجود على جهاز الكمبيوتر الخاص بك.
  • تأكد من استخدام أحدث قواعد البيانات لبرنامج مكافحة الفيروسات الخاص بك. Avast، Dr.web، Kaspersky، Nod32 - جميع برامج مكافحة الفيروسات الحديثة تقوم بتحديث قواعد بياناتها باستمرار. الشيء الرئيسي هو التأكد من أن ترخيص برنامج مكافحة الفيروسات الخاص بك نشط ويتم تحديثه.
  • تحميل وتثبيت فائدة مجانيةبرنامج Kaspersky Anti-Ransomware من شركة Kaspersky Lab. يحميك هذا البرنامج من برامج الفدية في الوقت الفعلي. بجانب، هذه الأداةيمكن استخدامه في وقت واحد مع برامج مكافحة الفيروسات التقليدية.

كما كتبت بالفعل، أصدرت Microsoft تصحيحًا يغلق نقاط الضعف في نظام التشغيل ويمنع فيروس Wanna Cry من تشفير بياناتك. يجب تثبيت هذا التصحيح بشكل عاجل على نظام التشغيل التالي:

نظام التشغيل Windows XP أو Windows 8 أو Windows Server 2003، Windows Embedded

إذا كان لديك إصدار مختلف من Windows، فما عليك سوى تثبيت كافة التحديثات المتوفرة.

من السهل إزالة فيروس Wanna Cry من جهاز الكمبيوتر الخاص بك. للقيام بذلك، ما عليك سوى فحص جهاز الكمبيوتر الخاص بك باستخدام أحدهم (على سبيل المثال، Hitman Pro). ومع ذلك، في هذه الحالة، ستظل مستنداتك مشفرة. لذلك، إذا كنت تخطط لدفع الفدية، فقم بإزالة البرنامج @ [البريد الإلكتروني محمي]من الأفضل الانتظار. إذا لم تكن بحاجة إلى بيانات مشفرة، فإن أسهل طريقة هي القيام بذلك التنسيق الصعبالقرص وتثبيت نظام التشغيل مرة أخرى. سيؤدي هذا بالتأكيد إلى تدمير كل آثار الفيروس.

عادةً ما تقوم برامج Ransomware (التي تتضمن Wanna Cry) بتشفير بياناتك باستخدام مفاتيح 128 أو 256 بت. مفتاح كل كمبيوتر فريد من نوعه، لذا قد يستغرق فك تشفيره في المنزل عشرات أو مئات السنين. في الواقع، هذا يجعل من المستحيل على المستخدم العادي فك تشفير البيانات.

بالطبع، نود جميعًا أن يكون لدينا برنامج فك تشفير Wanna Cry في ترسانتنا، لكن مثل هذا الحل غير موجود حتى الآن. على سبيل المثال، ظهر برنامج مماثل منذ عدة أشهر، لكن أداة فك التشفير الخاصة به لا تزال غير متوفرة في الطبيعة.

لذلك، إذا لم تكن مصابًا بعد، فعليك أن تعتني بنفسك وتتخذ الإجراءات الوقائية ضد الفيروس الموضحة في المقال. إذا أصبحت بالفعل ضحية للعدوى، فلديك عدة خيارات:

  • دفع الفدية. السلبيات هذا القرار- نسبياً غالي السعرللبيانات؛ إنها ليست حقيقة أنه سيتم فك تشفير كافة البيانات
  • ضع القرص الصلب على الرف وأتمنى أن يظهر برنامج فك التشفير. بالمناسبة، تم تطوير برامج فك التشفير بواسطة Kaspersky Lab وتم نشرها على موقع No Ransom الإلكتروني. لا يوجد برنامج فك تشفير لـ Wanna Cry حتى الآن، ولكنه قد يظهر بعد مرور بعض الوقت. سنقوم بالتأكيد بتحديث المقالة عندما يصبح هذا الحل متاحًا.
  • إذا كنت كذلك مستخدم مرخصمنتجات Kaspersky Lab، فيمكنك تقديم طلب لفك تشفير الملفات التي تم تشفيرها بواسطة فيروس Wanna Cry.
  • أعد تثبيت نظام التشغيل. العيوب - سيتم فقدان جميع البيانات
  • استخدم إحدى طرق استعادة البيانات بعد الإصابة بفيروس Wanna Cry (سأنشرها على موقعنا كمقالة منفصلة في غضون يومين). ومع ذلك، ضع في اعتبارك أن فرص استعادة البيانات منخفضة للغاية.

كيفية علاج فيروس أريد البكاء؟

كما فهمت بالفعل من المقال، فإن علاج فيروس Wanna Cry بسيط للغاية. تقوم بتثبيت واحد منهم، ويقوم بفحص القرص الصلب الخاص بك ويزيل كافة الفيروسات. لكن المشكلة هي أن جميع بياناتك ستبقى مشفرة. بالإضافة إلى التوصيات المقدمة مسبقًا لإزالة وفك تشفير Wanna Cry، يمكن تقديم ما يلي:

  1. يمكنك الرجوع إلى منتدى Kaspersky Lab. في الموضوع الموجود على الرابط تم إنشاء عدة مواضيع حول Wanna Cry. يجيب ممثلو المطور في المنتدى، لذلك ربما يمكنهم إخبارك بشيء مفيد أيضًا.
  2. يجب أن تنتظر - ظهر الفيروس منذ وقت ليس ببعيد، ربما سيظهر برنامج فك التشفير. على سبيل المثال، منذ ما لا يزيد عن ستة أشهر، تمكن Kaspersky من هزيمة برنامج التشفير CryptXXX. من الممكن أنه بعد مرور بعض الوقت سيصدرون برنامج فك التشفير لـ Wanna Cry.
  3. الحل الأساسي هو تهيئة القرص الصلب، وتثبيت نظام التشغيل، وفقدان كافة البيانات. هل صورك من حفل شركتك الأخير مهمة جدًا بالنسبة لك؟)

وكما ترون من الرسوم البيانية المقدمة، فإن معظم أجهزة الكمبيوتر المصابة بفيروس Wanna Cry موجودة في روسيا. ومع ذلك، هذا ليس مفاجئا - في بلدنا النسبة المئوية لمستخدمي نظام التشغيل "المقرصن" مرتفعة للغاية. في أغلب الأحيان، يكون لدى هؤلاء المستخدمين تحديث أوتوماتيكيمما جعل العدوى ممكنة.

كما أصبح معروفًا، في روسيا لم يتأثر المستخدمون العاديون فحسب، بل تأثروا أيضًا مؤسسات الدولةوالشركات الخاصة. ويذكر أن من بين الضحايا وزارة الداخلية ووزارة حالات الطوارئ والبنك المركزي، بالإضافة إلى شركات ميغافون وسبيربنك والسكك الحديدية الروسية.

وفي المملكة المتحدة، تأثرت شبكة المستشفيات، مما جعل من المستحيل إجراء بعض العمليات.

كان من السهل حماية نفسك من العدوى - ففي شهر مارس، أصدرت Microsoft تحديثًا أمنيًا لنظام التشغيل Windows أدى إلى إغلاق "الثغرات" في نظام التشغيل. ويعمل الفيروس من خلالها. إذا لم تقم بذلك بعد، فتأكد من تثبيت جميع التحديثات لنظام التشغيل لديك، بالإضافة إلى تصحيح خاص للتحديثات القديمة إصدارات ويندوزالتي ذكرتها أعلاه.

بعض مستخدمي غرفة العمليات أنظمة لينكسيتساءلون: هل يمكن أن تصاب أجهزة الكمبيوتر الخاصة بهم بفيروس Wanna Cry؟ أستطيع أن أطمئنهم: أجهزة الكمبيوتر تحت الخدمة السيطرة على لينكس هذا الفيروسليس مخيفا. في الوقت الحالي، لم يتم اكتشاف أي اختلافات في الفيروس لنظام التشغيل هذا.

خاتمة

لذا، تحدثنا اليوم عن فيروس Wanna Cry. لقد تعلمنا ما هو هذا الفيروس، وكيفية حماية نفسك من العدوى، وكيفية إزالة الفيروس واستعادة الملفات، ومن أين يمكن الحصول على برنامج فك التشفير Wanna Cry. بالإضافة إلى ذلك، اكتشفنا مكان تنزيل التصحيح لنظام التشغيل Windows الذي سيحميك من الإصابة. آمل أن هذا المقالتبين أنها مفيدة لك.

إذا أصيب جهاز الكمبيوتر الخاص بك أو العديد من الأجهزة الموجودة على شبكة منزلك أو عملك بفيروس Wannacry، فاقرأ مقالتنا.

ستتعلم هنا كيفية حماية نفسك ومنع الإصابة، بالإضافة إلى كيفية فك تشفير البيانات المشفرة بشكل صحيح.

وتتأكد أهمية هذه المعرفة من خلال معلومات حول إصابة أكثر من 150 ألف جهاز كمبيوتر في عام 2017، بما في ذلك نظام التشغيلالذي ضربته رمز WC الخبيث.

وعلى الرغم من توقف الانتشار العالمي للتهديد، فمن الممكن أن يصبح الإصدار التالي من برنامج الفدية أكثر فعالية، ويستحق الاستعداد لظهوره مسبقًا.

محتويات:

عواقب

العلامات الأولى لإصابة الكمبيوتر بفيروس الفدية تم اكتشافه في 12 مايو 2017عندما قام برنامج غير معروف بالتدخل في عمل آلاف المستخدمين ومئات المنظمات المختلفة حول العالم.

بدأ الرمز الخبيث في الانتشار في الساعة 8:00 صباحًا، وخلال اليوم الأول أصاب أكثر من 50 ألف جهاز كمبيوتر.

حدثت معظم الإصابات في - على الرغم من أن البيانات الأولى جاءت من المملكة المتحدة، ومن بين المنظمات المتضررة كانت شركات الاتصالات الإسبانية والبرتغالية وحتى قلق السيارات "رينو".

في روسيا هاجم المشغلين الاتصالات المتنقلة "مكبر الصوت", "الخط المباشر"و "ذرة"الوزارة حالات طارئة، وزارة الداخلية والإدارة السكك الحديدية.

ولهذا السبب، تم إلغاء اختبارات رخص القيادة في بعض مناطق البلاد، كما أوقفت عدد من المؤسسات عملها مؤقتا.

تسجيل اسم النطاق مكتوبًا بكود الفيروس، وجعل من الممكن وقف انتشاره. بعد ذلك، لم يعد بإمكان البرنامج الوصول إلى مجال معين ولم يعمل. صحيح، فقط قبل التخرج نسخة جديدة، حيث لم يعد يوصف للاتصال بعنوان محدد.

متطلبات مطوري البرمجيات الخبيثة

وكانت نتيجة الإصابة بأجهزة الكمبيوتر حجب أغلبية من عليها. محركات الأقراص الصلبةملفات.

ونظرًا لعدم القدرة على استخدام المعلومات، قام المستخدمون بترجمة اسم تطبيق WannaCry على أنه "أريد أن أبكي"، لكن لا "أريد التشفير"(Wanna Cryptor) كما حدث بالفعل.

ولكن نظرًا لأن الملفات غير المشفرة من المحتمل أن تكون غير قابلة للاسترداد، فقد بدا الخيار المخصص أكثر ملاءمة.

ظهر Windows على سطح مكتب الكمبيوتر المصاب مع مطالبات بالدفع للمحتالين لفتح المعلومات.

في البداية، طلب المهاجمون 300 دولار فقط، وبعد فترة ارتفع المبلغ إلى 500 دولار - وبعد الدفع لم يكن هناك ضمان بأن الهجوم لن يحدث مرة أخرى - لأن الكمبيوتر كان لا يزال مصابًا.

ولكن إذا رفضت الدفع، فسيتم فقدان البيانات المشفرة بعد 12 ساعة من ظهور التحذير.

طرق نشر التهديد

المطورين البرمجيات الخبيثةتستخدم لإصابة أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows بثغرة أمنية في نظام التشغيل هذا، والتي تم إغلاقها باستخدام التحديث MS17-010.

وكان الضحايا بشكل رئيسي هؤلاء المستخدمين الذين لم يقوموا بتثبيت هذا الإصلاح في مارس 2017.

بعد تثبيت التحديث (اليدوي أو التلقائي). الوصول عن بعدإلى الكمبيوتر تم إغلاقه.

وفي الوقت نفسه، لم يوفر تصحيح مارس الحماية الكاملة لنظام التشغيل. خاصة إذا فتحه المستخدم بنفسه - فهذه هي الطريقة التي ينتشر بها الفيروس أيضًا.

وبعد إصابة جهاز كمبيوتر واحد، استمر الفيروس في الانتشار بحثًا عن نقاط الضعف - ولهذا السبب، لم يكن المستخدمون الأفراد هم الأكثر عرضة للخطر، بل الشركات الكبيرة.

الوقاية من العدوى

على الرغم من الخطر الكبير المتمثل في وصول الفيروس (وإصداراته الجديدة) إلى أي جهاز كمبيوتر تقريبًا، إلا أن هناك عدة طرق لتجنب إصابة نظامك.

وللقيام بذلك، ينبغي اتخاذ التدابير التالية:

  • تأكد من تثبيت أحدث تصحيحات الأمان لديك، وإذا كانت مفقودة، فقم بإضافتها يدويًا. بعد ذلك، يجب عليك بالتأكيد تمكين التحديثات التلقائية - على الأرجح، تم إيقاف تشغيل هذا الخيار؛

  • لا تفتح رسائل البريد الإلكتروني التي تحتوي على مرفقات من مستخدمين غير مألوفين؛
  • لا تنقر على الروابط المشبوهة – خاصة إذا كان برنامج مكافحة الفيروسات الخاص بك يحذر من خطورتها؛
  • إنشاء الجودة برنامج مضاد للفيروسات- على سبيل المثال، أو نسبة اكتشاف Bath Edge التي لديها الحد الأقصى. معظم الأقل شهرة وخاصة تطبيقات مجانيةحماية المنصة أسوأ؛

  • بعد الإصابة، افصل جهاز الكمبيوتر الخاص بك على الفور عن الإنترنت، وخاصةً عن الشبكة المحلية، لحماية الأجهزة الأخرى من انتشار برامج الفدية.

بالإضافة إلى ذلك، يجب على المستخدم حفظ البيانات المهمة بشكل دوري عن طريق إنشاء نسخ احتياطية.

إذا كان ذلك ممكنا، فهو يستحق نسخ المعلومات إلى محركات أقراص فلاش USB أو بطاقات الذاكرة أم لا (خارجية أو داخلية قابلة للإزالة).

إذا كان من الممكن استعادة المعلومات، فسيكون الضرر الناجم عن الفيروس في حده الأدنى - في حالة إصابة جهاز كمبيوتر، يكفي تهيئة جهاز التخزين الخاص به.

علاج جهاز الكمبيوتر المصاب

إذا كان الكمبيوتر مصابًا بالفعل، فيجب على المستخدم محاولة علاجه والتخلص من العواقب إجراءات واناكراي.

بعد كل شيء، بعد برنامج الفيروساتحصلت في النظام، ويحدث مع تغيير في ملحقاتها.

وعند محاولة تشغيل التطبيقات أو فتح المستندات، يفشل المستخدم، مما يضطره إلى التفكير في حل المشكلة عن طريق دفع المبلغ المطلوب وهو 500 دولار.

أساسي مراحل حل المشكلات:

1 بدء تشغيل الخدمات المضمنة في نظام التشغيل Windows.فرصة ل نتيجة ايجابيةفي هذه الحالة، فهو صغير، لذلك على الأرجح سيتعين عليك استخدام خيارات أخرى؛

2 إعادة تثبيت النظام.في هذه الحالة، يجب عليك تنسيق كل شيء - فمن الممكن أن يتم فقدان جميع المعلومات؛

3 انتقل إلى فك تشفير البيانات- يستخدم هذا الخيار في حالة وجود بيانات مهمة على القرص.

4 عملية استرداد الملفيبدأ بتنزيل التحديثات المناسبة وقطع الاتصال بالإنترنت. بعد ذلك، يجب على المستخدم تشغيل سطر الأوامر (عبر "يبدأ"والقسم "معيار"أو من خلال القائمة "يجري"و ) وحظر المنفذ 445، مما يمنع مسار دخول الفيروس. يمكن القيام بذلك عن طريق إدخال الأمر أضف قاعدة جدار الحماية netsh advfirewall dir=قيد التنفيذ=بروتوكول الحظر=tcp localport=اسم 445=»Block_TCP-445.

5 يتبع الآن يجري .للقيام بذلك، اضغط باستمرار على المفتاح أثناء التحميل F8للانتقال إلى قائمة بدء تشغيل الكمبيوتر وتحديد العنصر المناسب. في هذا الوضع، يتم فتح مجلد يحتوي على تعليمات برمجية ضارة، والذي يقع باستخدام اختصار الفيروس الذي يظهر على سطح المكتب. بعد حذف جميع الملفات الموجودة في الدليل، يجب عليك إعادة تشغيل النظام وتشغيل الإنترنت مرة أخرى.

فك تشفير الملف

بعد إيقاف WannaCry، يُطلب من المستخدم استعادة كافة الملفات المشفرة.

تجدر الإشارة إلى أن الوقت الآن أكثر بكثير من 12 ساعة - لذلك، إذا لم تتمكن من إرجاع البيانات بنفسك، فيمكنك الاتصال بالمتخصصين في غضون أيام أو أشهر قليلة.

الخيار الأفضل - استعادة البيانات من نسخ احتياطية. إذا لم يتوقع المستخدم احتمال الإصابة ولم يقم بنسخ البيانات المهمة، فيجب عليك تنزيل برنامج فك التشفير:

  • Shadow Explorer، الذي يعتمد على استعادة نسخ "الظل" من الملفات (المستندات في المقام الأول)؛

أرز. 6. إطلاق البرنامج

الشكل 9. تشغيل برنامج استعادة بيانات الويندوز.

أرز. 10. استرداد الملفات من خلال البرنامج بنقرة واحدة

  • الأدوات المساعدة التي تنتجها Kaspersky Lab خصيصًا لاستعادة المعلومات المشفرة.

أرز. 11. قم بتشغيل الأداة المساعدة

الشكل 12. عملية استعادة البيانات

يجب ان تعرف:يجب أن يتم تشغيل البرنامج فقط بعد إزالة الفيروس نفسه. إذا لم تتمكن من إيقاف Vanna Edge، فيجب عليك عدم استخدام وحدة فك التشفير.