WannaCry هو دودة رانسومواري التي تنتشر بسرعة عبر شبكات الكمبيوتر المتعددة في مايو 2017. بعد أن أصيبت بعض
أ جهزة الكمبيوتر ويندوز ،وبعد اصابة الجهاز مباشرة فإنه يقوم بتشفير الملفات على القرص الصلب بجميع أقسامه ، مما يجعلها غير قابلة للوصول إلى الملفات الخاصة بالمستخدم ، وبعد ذالك يرغم المستخدم بدفع فدية بالعملة الافتراضية البتكوين لصعوبة الوصول والتعرف علة مبرمج الفايروس الخبيث. لفك تشفيرها.
وهناك عدد من العوامل جعلت الإصدار الأولي لـهاذا الفايروس مميزًا بشكل خاص: فقد أثر على عدد من الأنظمة المهمة والشديدة المستوى ، بما في ذلك العديد من الخدمات الصحية البريطانية ؛و تم اكتشافه من قبل وكالة الأمن القومي الأمريكية. سيمانتيك وباحثون أمنيون آخرون و مجموعة لازاروس ، وهي منظمة جرائم إلكترونية يمكن ربطها بحكومة كوريا الشمالية.
ما هو WannaCry Ransomware؟
WannaCry Ransomware يتكون من عدة مكونات. يصل على الكمبيوتر المصاب في شكل قطارة ، برنامج مستقل يستخرج المكونات الأخرى للتطبيق مضمن في نفسه. هذه المكونات تشمل:
تطبيق يقوم بتشفير وفك تشفير البيانات
الملفات التي تحتوي على مفاتيح التشفير
نسخة من تور
رمز البرنامج غير غامض ومن السهل نسبياً تحليله لمهنيي الأمان. بمجرد بدء التشغيل ، يحاول WannaCry الوصول إلى عنوان URL مشفر (ما يسمى مفتاح إيقاف التشغيل). إذا لم يكن كذلك ، فإنه يبحث عن الملفات في مجموعة متنوعة من التنسيقات الهامة ويقوم بتشفيرها ، من ملفات Microsoft Office إلى ملفات MP3 و MKV ، مما يجعلها غير قابلة للوصول إلى المستخدم. ثم يقوم بنشر مذكرة فدية ، مطالباً بـ 300 دولار في Bitcoin لفك تشفير الملفات.
كيف تصيب WannaCry أجهزة الكمبيوتر؟
متجه الهجوم من WannaCry أكثر إثارة للاهتمام من رانسومواري نفسها. توجد مشكلة عدم الحصانة التي يستغل WannaCry في تطبيق Windows من بروتوكول Server Message Block (SMB). يساعد بروتوكول SMB عقدًا مختلفة على الشبكة للاتصال ، ويمكن أن يتم خداع تنفيذ Microsoft بواسطة حزم مصممة خصيصًا لتنفيذ تعليمات برمجية عشوائية.
ويعتقد أن وكالة الأمن القومي الأمريكي قد اكتشفت هذا الضعف ، وبدلاً من إبلاغها لمجتمع المعلومات ، قامت بتطوير رمز لاستغلاله ، يسمى EternalBlue. وقد سرق هذا الاستغلال بدورها مجموعة من المتسللين المعروفين باسم Shadow Brokers ، مما جعله غامضًا في رسالة إعلامية سياسية في 8 أبريل 2017. وقد اكتشفت شركة Microsoft هذه الثغرة قبل شهر وأصدرت التصحيح. بدأ WannaCry ، الذي استخدم EternalBlue لإصابة أجهزة الكمبيوتر ، في الانتشار بسرعة يوم 12 مايو. في أعقاب تفشي المرض ، انتقدت مايكروسوفت الحكومة الأمريكية لفشلها في مشاركة معرفتها بالضعف في وقت سابق.
حتى لو تم إصابة جهاز الكمبيوتر بنجاح ، فلن يبدأ WannaCry بالضرورة في تشفير الملفات. ويرجع ذلك إلى أنه ، كما ذكر أعلاه ، يحاول أولاً الوصول إلى عنوان URL طويل ومعقد للغاية قبل البدء في العمل. إذا تمكنت من الوصول إلى هذا النطاق ، فسيتم إغلاق WannaCry. الغرض من هذه الميزة غير محدد بشكل واضح. يعتقد بعض الباحثين أنه كان من المفترض أن تكون هذه طريقة للمبدعين الخبيثين لوقف الهجوم. ومع ذلك ، ماركوس هوتشينز ، باحث الأمن البريطاني الذي اكتشف أن WannaCry كان يحاول الاتصال بهذا العنوان ، يعتقد أنه كان من المفترض أن يجعل تحليل الكود أكثر صعوبة. سيعمل العديد من الباحثين على تشغيل برامج ضارة في بيئة "وضع الحماية" ، حيث سيظهر أي عنوان URL أو عنوان IP يمكن الوصول إليه ؛ من خلال الترميز الثابت ، قم بمحاولة الاتصال بعنوان URL غير معقول لم يكن من المفترض أن يكون موجودًا ، وكان منشئوه يأملون ألا تمر البرامج الضارة دون أن يلحظها أحد من قبل الباحثين للنظر فيها.
[الاستعداد لتصبح محترف معتمد في أمن المعلومات مع هذه الدورة الشاملة عبر الإنترنت من PluralSight. امنح الآن نسخة تجريبية مجانية لمدة 10 أيام! ]
لم تكتشف Hutchins عنوان URL ذي الرمز الثابت فقط ، بل دفعت 10.96 دولارًا أمريكيًا لتسجيل النطاق وتثبيت موقع ، مما ساعد على الحد من انتشار البرامج الضارة دون إيقافها. بعد فترة وجيزة من الترحيب به كبطل لهذا ، ألقي القبض هاتشينز بتهمة تطوير البرمجيات الخبيثة المختلفة في عام 2014. أعلن براءته.
WannaCry التصحيح
ومن المفارقات ، أن الإصلاح اللازم لمنع عدوى WannaCry كان متاحًا بالفعل قبل بدء الهجوم: قامت نشرة أمان Microsoft MS17-010 ، التي تم إصدارها في 14 مارس 2017 ، بتحديث تطبيق Windows لبروتوكول SMB لمنع حدوث الهجوم. العدوى عن طريق EternalBlue. ومع ذلك ، على الرغم من حقيقة أن Microsoft قد حددت الإصلاح على أنه حرج ، فإن العديد من الأنظمة لم يتم إصلاحها بعد من مايو 2017 ، عندما بدأت WannaCry تنتشر بسرعة.
بالنسبة للأنظمة غير المصححة المصابة ، هناك حلول قليلة بعد استعادة الملفات من نسخة احتياطية آمنة. هذا درس يجب عليك دائمًا الاحتفاظ بنسخة احتياطية عن ملفاتك. في حين أن أولئك الذين يراقبون محافظ بيتكوين التي تم تحديدها في رسالة الابتزاز يقولون إن بعض الناس يدفعون فدية ، فلا يوجد دليل على أنهم يستطيعون الوصول إلى ملفاتهم.
WannaCry وويندوز 10
كما ذكرنا ، أصدرت Microsoft تصحيحًا لثغرة SMB التي يستغلها WannaCry قبل شهرين من بدء الهجوم. في حين أن أنظمة Windows 10 غير المضبوطة كانت ضعيفة .
ليست هناك تعليقات:
إرسال تعليق