أكثر من 75 ألف هجوم إلكتروني مؤكد في أول بضعة ساعات، أنظمة المستشفيات وعيادات الأطباء في بريطانيا تتوقف عن العمل، منظومة الإسعاف تخرج من الخدمة، تتوالى الأخبار بوصول الهجوم لأجهزة وزارة الداخلية الروسية، عشرات الأشخاص على مختلف الشبكات الاجتماعية ينشرون الصورة الحمراء – التي ستصبح شهيرة الأيام القادمة – ويؤكدون أن الهجوم أصاب أجهزتهم!

ماذا حدث؟ وكيف يحدث هجوم بهذه القوة والأثر في هذا الوقت الضئيل؟ وكيف نحمي أنفسنا؟


ما هو برنامج الفدية ransomware؟

برمجيات الفدية هي برمجيات خبيثة يطورها متسللون، تصيب حاسوبك فتشفر كل البيانات المحفوظة عليه وتوقفه عن العمل، ولن تستطيع استعادة تلك البيانات بأي حال إلا إذا نفذت شروط المبرمج، والتي عادة ما تكون في صورة مبالغ مالية.

تسبب في الهجوم الجاري برمجية فدية خبيثة تدعى WannaCry، وتطلب فدية مقدارها 300 دولار لفك تشفير الملفات وإعادة الجهاز للعمل. تستغل الأداة ثغرة تسمى «EternalBlue» في نظام التشغيل «ويندوز» الذي تطوره شركة «مايكروسوفت»، كُشف عنها في أبريل/نيسان الماضي، فيما عرف بتسريبات Vault7 للملفات السرية لهيئة الأمن القومي الأمريكي (NSA).

سدت «مايكروسوفت» الثغرة في شهر مارس/آذار قبل الكشف عنها للعوام، في تحديث لنظام التشغيل، لكن أغلب الأنظمة، خاصة في الهيئات والمستشفيات، قديمة وغير محدثة، وبمجرد اختراق جهاز واحد على الشبكة تقوم الأداة بالتسلل إلى باقي الأجهزة الأخرى وشل الشبكة بالكامل، ولم تتبن أي جهة مسؤوليتها عن الهجوم حتى اللحظة.


حجم الهجوم الحالي

في بضعة ساعات أعلن عن الهجوم على 75 ألف جهاز في 99 دولة (وقت كتابة التقرير منتصف ليل الثالث عشر من مايو/أيار). تضمن الهجوم أنظمة في بريطانيا وألمانيا وأمريكا والصين وروسيا وتركيا وإيطاليا والفلبين وفيتنام وإسبانيا ودولًا أخرى.

https://twitter.com/spectatorindex/status/863342550718926848?s=07

أعلنت هيئة الصحة البريطانية عن الهجوم على 16 هيئة طبية على الأقل، توقف فيها العمل، وأرسل بعض الأطباء والمرضى لبيوتهم، ومُنع استقبال حالات جديدة إلا من وصل للمشفى في حالة شديدة الخطورة. شركة FedEx للشحن أصيبت أجهزتها هي الأخرى، وأيضا مصانع سيارات نسيان في بريطانيا ورينو بفرنسا.

ونشر فريق الاستجابة الطائرة للهجمات التقنية بإسبانيا إنذارا على موقعه الرسمي، يؤكد تعرض العديد من الهيئات الأسبانية لهجوم، كما أن شركة الاتصالات الإسبانية الكبرى «Telefonica» أصيب أكثر من 85% من أجهزتها، وكذلك شركة الغاز الطبيعي.

طال الهجوم مطار ومحطة قطار فرانكفورت أيضا، لكن يبدو أن روسيا هي أكبر المتضررين، حتى اللحظة، من حيث عدد الهجمات وكذلك نوعية الهيئات المصابة، حيث أن وزارة الداخلية والأمن الروسية قد تعرضت للهجوم بالفعل بإصابة أكثر من ألف جهاز بها.

و تقول شركة كاسبرسكي المتخصصة في الحلول الأمنية أن الهجوم أكبر بكثير مما كشف عنه حتى الآن، ولا تتوافر معلومات مؤكدة حتى الآن عن إصابة أجهزة أفراد أو مؤسسات في العالم العربي، وإن كانت التقارير ترجح وقوع هجمات في المنطقة.

بدأ بعض المصابين في المنطقة العربية بالنشر على الشبكات الاجتماعية أيضا:

https://www.facebook.com/abdala.tawfik/posts/1612178152158170

ماذا يحدث لو أصبت بـ WannaCry؟

يقوم الملف بتشفير جميع ملفات الحاسوب المصاب، ويظهر للمستخدم رسالة، بلغات متعددة، تطالبه بتحويل مبلغ 300 دولار لحساب محدد للعملة المشفرة «بتكوين»، وتحدد الرسالة مدة زمنية بعدها يزداد المبلغ، ومدة أخرى يفقد الحاسوب الملفات نهائيًا.

Ransomware WannaCry هجوم أمني
لا توجد طريقة حتى الآن، حسب الشركة الأمنية سيمانتك، لفك تشفير الملفات غير الخضوع لطلب المهاجم، وتؤكد الشركة أنها تعمل بكامل طاقتها لإيجاد مخرج.

بعد دفع المبلغ توفر لك الأداة تطبيقا مخصصا لفك تشفير ملفاتك وإعادة جهازك لحالته الطبيعية.

Ransomware WannaCry هجوم أمني
وتقول بعض التقارير أن محفظة Bitcoin المرتبطة بالهجوم بدأت الأموال تتدفق عليها بالفعل.

كيف أحمي نفسي؟؟

كما قلنا فحتى الآن لا توجد طريقة لفك تشفير الملفات إذا نجحت الأداة بتشفيرها، والطريقة الوحيدة لاستعادة الملفات هي الدفع أو وجود نسخة احتياطية مؤمنة بشكل منفصل عن الشبكة المصابة، ولأن الوقاية خير من العلاج ، فإليك خطوات لحماية نفسك من الإصابة بشكل مسبق:

تحذير ميكروسوفت من مدى خطورة الهجمة

1. أصدرت ميكروسوفت في رد فعل سريعا جدا تحديثا مخصصا لمعظم أنظمة ويندوز حتى القديم منها (Windows XP, 8, and Server 2003) بجانب التحديثات المتوفرة بالفعل للنسخ الأحدث من ويندوز. التحديث لبرنامج الحماية الخاص من ويندوز Windows Defender. لتحميل التحديث بالإنجليزية لنسخ الويندوز من الروابط: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86,Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86,Windows 8 x64، وللغات أخرى غير الإنجليزية من الرابط.

2. لا توصل أجهزتك بأي شبكات عامة أو شبكات عمل هذه الأيام احتياطيًا. ويمكنك أن تتبع الخطوات اليدوية لغلق المنافذ الخاصة بالهجوم من خلال اتباع تعليمات مايكروسفت.

3. حدّث تطبيقات مضادات الفيروسات باستمرار. قم بتحديث تطبيق الجدار الناري Firewall الخاص بك وأضف بشكل يدوي منع الوصول عبر بروتوكول SMB بغلق المنافذ التالية: TCP ports 137، 139، 445, و UDP ports 137 ،138. لمعرفة الطريقة قم بالدخول للموقع تطبيق الحماية الخاصة بك في قسم المساعدة وستجد الشرح.

4. تأكد من تحديث نظام تشغيل «ويندوز» لآخر إصدار لتستفيد من التحديثات الأمنية، أو على الأقل قم بتنصيب التحديث المخصص من مايكروسوفت الذي يسد الثغرة التي يستغلها التطبيق الخبيث لإصابة جهازك.5. البريد الإكتروني ثم البريد الإكتروني، حيث يعد من أهم طرق انتشار الهجوم، فاحذر من الرسائل الخبيثة، وتأكد من أن رسائل العمل والرسائل الصديقة مرسلة من قبل العنوان الصحيح للمرسل، ولا تفتح أي روابط مشبوهة.6. لا تقم بتحميل ملفات PDF أو ملفات تطبيقات Microsoft Office هذه الأيام دون التأكد من مصدرها.7. النسخة الاحتياطية من ملفاتك الهامة هي ملاذك الأخير، هكذا حتى لو أصاب الهجوم جهازك لن تضطر للدفع، فقط ستقوم بإعادة تهيئة الجهاز واستعادة ملفاتك.

انفراجة أمل

Ransomware WannaCry هجوم أمني
Ransomware WannaCry هجوم أمني

في تدوينة لموقع malwaretech أكد أنهم بمحض صدفة قد اكتشفوا طريقة لإيقاف الهجوم تماما، وهي الطريقة التي طورها مبرمج الأداة الخبيثة لإيقاف الهجوم بنفسه وقتما يشاء. فبتحليل الشفرة المصدرية للبرمجية الخبيثة وجد الخبير الأمني بالموقع اسم نطاق Domain Name، مخفي في قلب الشفرة، وبالبحث وجد أن هذا النطاق غير مسجل ولا مالك له على الشبكة، أي أنه نطاق عشوائي بشكل أو بآخر. قام الموقع بشراء النطاق وربطه بخادم يطلق عليه sinkhole server. وجد أن هناك الآلاف من محاولات الإتصال بالخادم كادت أن تستهلك كامل قدرته.

بمزيد من التحليل وجد الموقع أن كل محاولة اختراق وتشفير للبرمجية تحدث على أحد حواسيب الضحايا، تحاول البرمجية الاتصال بالنطاق (الغير مسجل سابقا)، وعند فشل الإتصال تكمل في الهجوم، أما عند نجاحه فتوقف الهجوم، أي أن النطاق تمت برمجته كبَاب خلفي أو مفتاح سري يوقف الهجوم تماما عندما يريد صاحبه.

كشف عن كل هذا بالصدفة البحتة، ومع مزيد من التحليل تأكد malwaretech مما توصل إليه. وهو يحاول الآن الدفع بمزيد من المخدمات للنطاق لكي تتحمل الكم المهول من الإتصالات المتوقعة.

لكن، هل يعني هذا أننا أصبحنا في أمان، بالطبع لا. يمكن لصاحب الهجوم أن يطلق نسخة أخرى باسم نطاق آخر مجهول، أو حتى بطريقة إيقاف مختلفة تماما. وهذا يعني أننا مازال يتوجب علينا أن نتبع احتياطيات الأمان المذكورة بالأعلى بكل تركيز. لا مقامرات هنا.