ما هو رانسوم وير؟

رانسوم وير عبارة عن هجوم إلكتروني (فيروس) يُستخدم لابتزاز المستخدم وتحريضه على دفع المال. كان المجرمون في البداية يستخدمون رانسوم وير كوسيلة ابتزاز لجني الأموال من الأفراد الذين يريدون استرداد معلوماتهم الشخصية. واليوم يستخدم المجرمون رانسوم وير كوسيلة ابتزاز لجني الأموال من الشركات التي تريد استرداد معلوماتها الحساسة. لا يوجد جهاز محصّن من رانسوم وير. فقد ابتز المجرمون الأفراد لتحريضهم على دفع الأموال مقابل استرداد معلوماتهم الشخصية أو الطبية من مزوّدي الرعاية الصحية ومنعوا الضيوف من الدخول إلى غرفهم في الفنادق. حتى أن الأنظمة الصناعية أثبتت حساسيّتها اتجاه فيروس رانسوم وير.

كان فيروس رانسوم وير في السابق يمنع الضحية من الوصول إلى سطح مكتبه أو متصفّح الإنترنت الخاص به. ثم بدأ مهاجمو الإنترنت يستخدمون برنامج رانسوم وير - السرّي الأكثر تعقيدًا لتشفير المعلومات على أجهزة الحاسوب أو الهواتف المحمولة. ويرسل كلا البرنامجين إشعار ابتزاز إلى المستخدم: اشتري برنامج فك التشفير أو مفتاح فك التشفير أو ستخسر بياناتك للأبد.

تحليل هجوم فيروس رانسوم وير

تعتبر الملحقات الخبيثة المرتبطة برسائل البريد الإلكتروني إحدى الطرق الشائعة لوصول فيروس رانسوم وير إلى جهاز المستخدم. حيث يتم إقناع المستخدمين – عبر وسائل الهندسة الاجتماعية – لفتح الملحق. الملحق عبارة عن شكل من أشكال البرمجيات الخبيثة التي يتم تحميلها تلقائيًا على جهاز المستخدم وعادة ما تُعرف باسم ملف تحميل الفيروسات أو فيروس حصان طروادة. فور تنزيل هذه البرمجيات، يُدرج ملف التحميل في شبكة المهاجمين الإلكترونيين (بوت نت) عبر الاتصال بنظام التحكم والأوامر (C2) الخاص بهذه الشبكة. وعند الاتصال بالشبكة، يولّد نظام التحكم والأوامر (C2) رمز تشفير لملف تحميل فيروس رانسوم وير (بالإضافة إلى رموز خبيثة إضافية). سوف يستخدم ملف تحميل فيروس رانسوم وير الرموز لتشفير المعلومات الشخصية الموجودة على الجهاز المتضرر. وبعدها يُرسل الفيروس إشعار ابتزاز يُطالب فيه الضحية بدفع فدية للحصول على مفتاح لفك تشفير البيانات التي لا يستطيع المستخدم الوصول إليها.

يهدد العديد من مهاجمي رانسوم وير الضحايا بأنهم سيخسرون جميع ملفاتهم الشخصية بشكل دائم إن لم تُدفع الفدية خلال 24 ساعة. كما يجسّد المهاجم في بعض الأحيان دور الجهات الحكومية وجهات تنفيذ القوانين لخداع الضحايا، حيث يطالب المستخدم بدفع غرامة.

يستخدم رانسوم وير نظام اسم النطاق العام

تستخدم ملفات تحميل رانسوم وير في بعض الأحيان بروتوكولات وعناوين الإنترنت الثابتة للاتصال بنظام التحكم والأوامر (C2). وعندما يتم استخدام عناوين البروتوكولات الثابتة، يمكن للمحققين استخدامها للتحقق من هوية مستخدمي شبكة البوت نت وقطع الاتصال بها على الفور. ولأغراض التهرب، تحدد برامج رانسوم وير المتقدّمة نظام التحكم والأوامر (C2) عبر توليد أسماء النطاقات بشكل حسابي. وتستخدم ملفات تحميل فيروس رانسوم وير الحديثة نظام اسم النطاق (DNS) لتحديد أسماء النطاقات التي يغيّرها مهاجمو الإنترنت بشكل متكرر وبهذا يتمكنون من الاختباء من المحققين.

لا تدفعوا الفدية!

تتفق جهات تنفيذ القوانين وخبراء الأمن على عدم دفع الفدية! لا يوجد سبب يدفعك للتأكد بأن مهاجم الإنترنت سيزوّدك بوسائل فك تشفير الملفات الشخصية التي يجب أن تدفع مقابل الحصول عليها. حيث يمكن لمهاجم الإنترنت أن يختفي ويتابع ابتزازك أو يرسل لك مفتاح فك تشفير لا يعمل.

احمي جهازك من رانسوم وير

احتفظ بـ"نسخ احتياطية" لتحمي جهازك من رانسوم وير. حيث أنك لن تتأثر بالتهديدات التي يرسلها لك مهاجمو الإنترنت عند تخزين البيانات الشخصية أو الحساسة في جهاز خارجي بشكل دوري. وكن حريصًا على الاحتفاظ بنسخ احتياطية من هذه الملفات عند السفر.

ثم استخدم الإنترنت بشكل آمن. خذ هذه التدابير بعين الاعتبار لتقليل احتمال الإصابة بفيروس رانسوم وير:

• حدّث البرامج الموجودة على حاسوبك المحمول بشكل دوري.
• لا تشارك ملفاتك مع الآخرين.
• حدّث برامج مكافحة الفيروسات.
• استخدم محللًا موثوقًا لنظام اسم النطاق (DNS).
• عطّل خيار التنفيذ الكلّي.
• جرّب استخدام برامج الوقاية من فيروس رانسوم وير.

وتأكد بعد ذلك بأن لديك الوسائل التي تمكّنك من استعادة نظام التشغيل والتطبيقات والبيانات المخزنة على الفور في حال تعرّض جهازك لفيروس رانسوم وير. يجب على الشركات والأفراد التحقق مما يعرف باسم خدمات استعادة الصور.

يمكنك حماية نفسك بطرق أخرى; اطّلع على 22 طريقة للوقاية من فيروس رانسوم وير.

إذا أجبرت على دفع الفدية…

تذكّر: لا تدفع! اتصل بأحد أصدقائك التقنيين أو إحدى الجهات الموثوقة بتقديم خدمات تصليح الحواسيب أو قسم تكنولوجيا المعلومات في شركتك لمساعدتك على تحديد الفيروس. كما يمكنهم مساعدتك في تحديد المستودعات الموثوقة لاسترداد الملفات المحذوفة أو حماية البرمجيات أو توفير أدوات التخلص من فيروس رانسوم وير أو برامج فك التشفير والمستودعات الإلكترونية المزوّدة لمفاتيح فك التشفير. ورغم المظهر غير الاعتيادي لهذا الموقع الإلكتروني https://www.nomoreransom.org/ إلّا أنه مصدر موثوق.

لا تكن الضحية

مع استخدام مهاجمي الإنترنت لوسائل أكثر تعقيدًا لشنّ هجمات رانسوم وير، يجب على المستخدمين أن يكونوا أكثر حذرًا ويفعلوا كل ما بوسعهم للوقاية من هذه الهجمات. كن مطّلعًا على المعلومات المتعلقة بهذا الموضوع. وابقى متيقظًا.