ماذا تعرف عن فايروس WannaCry؟

البرمجيات الخبيثة موجودة منذ وجود الحواسيب الأولى والإنترنت، وتتواجد بأشكال مختلفة، وتستهدف حالياً كافة أنواع الإلكترونيات الذكية، الهواتف الذكية، أجهزة التابلت، أجهزة الكمبيوتر الشخصية، وأجهزة اللابتوب؛ بعض تلك البرمجيات تهدف التخريب فقط، وبعضها يهدف الابتزاز، وبعضها قد يكون بهدف التجسس؛ والآن تجتاح العالم برمجية الفدية (Ransomware)، تحت مسمى (WannaCry).

يوم الجمعة؛ 12 أيار/مايو 2017، استيقظ العالم على خبر انتشار فايروس الفدية WannaCry على عدد كبير جداً من الحواسيب، وخصوصاً في شركات ومنظمات كبيرة، مستغلاً ثغرة ضعف في نظام ويندوز، حيث وصل عدد الحواسيب المصابة خلال ثلاثة أيام فقط إلى ما يقارب 200 ألف حاسوب؛ وفي هذا المقال سنتعرف على كل ما تحتاج معرفته عن هذه البرمجية الخبيثة.

ما هي فيروسات الفدية Rasomware؟

فيروسات الفدية هي برمجيات خبيثة تصيب نظام التشغيل، وتقوم باستنساخ نفسها، ومن ثم قوم بتشفير كافة الملفات الموجودة على الجهاز؛ ولا يمكن التخلص منها إلا باستخدام مفتاح فك التشفير (Kill Switch)، أو بحذف الملفات نهائياً، وإعادة تهيئة الجهاز المصاب، وتثبيت نسخة جديدة من نظام التشغيل.

تقوم البرمجية بالإضافة إلى تشفير الملفات، ببعثرتها وإعادة تسميتها، وتغيير "لاحقة الملف" أو الـ "File extension"؛ فمثلاً تستبدل ملفات (.exe) لتصبح فرضاً (.PNG)، والطريقة الوحيدة لفك تشفير الملفات هي عن طريق دفع فدية، مبلغ من المال، مقابل الحصول على مفتاح فك التشفير.

ما هو فايروس الفدية WannaCry؟

كما كافة فايروسات الفدية، يستغل هذا الفايروس ثغرة في نظام التشغيل، وفي حالتنا هذه، استغلت البرمجية ثغرة في نظام التشغيل الأشهر عالمياً ويندوز Windows، وهذه الثغرة ناتجة عن خلل في النظام وتسمى "الأزرق الأبدي" أو "EternalBlue"، وقد كانت شركات الأمن المعلوماتي على علم بهذا الخلل، وقامت شركة مايكروسوفت Microsoft قبل فترة من انتشار الفايروس بإرسال تحديث لكافة أنظمتها لإغلاق هذه الثغرة في النظام، ولكن يبدو أن الأجهزة المصابة لم تكن قد ثبّتت التحديثات بعد.

ما الذي يقوم الفايروس بعمله؟

بعد إصابة الحاسوب بالفايروس، فإنه سيقوم بتشفير كافة الملفات كما أسلفنا، بعد ذلك ستتغير الخلفية، ويوضع ملف نصي (.txt)، يحتوي بعض التعليمات التي تطلب منك تشغيل تطبيق يسمى Wanna Decryptor 1.0، وهو تطبيق مبرمج من قبل صنّاع الفايروس أنفسهم.

داخل التطبيق؛ توجد شروط فك تشفير الملفات التي قام الفايروس بتشفيرها، والتي تقتضي تحويل ما قيمته 300 دولار أمريكي بعملة افتراضية تعرف في عالم الاقتصاد بـ "بيتكوين" أو "Bitcoin" -وهي عملة لا تتواجد على أرض الواقع كما أسلفنا، وإنما فقط عبر شبكة الإنترنت، وتبلغ قيمة الـ بيتكوين الواحد حوالي 2000 دولار أمريكي- إلى مبرمجي الفايروس، وبالمقابل تستعيد ملفاتك بأمان، ولطمأنة أصحاب الأجهزة المصابة؛ يسمح التطبيق بفك تشفير بعض من الملفات، ولكن يجب الدفع لفك تشفير الملفات كافة.

يعطي التطبيق مهلة ثلاثة أيام للدفع، وفي حال التخلف، سترتفع الفدية إلى 600 دولار أمريكي، وفي حال تجاوز السبعة أيام دون الدفع، فالملفات سيتم فقدانها للأبد.

هل انتهى الهجوم؟

في الواقع؛ إن الإجابة على هذا السؤال هي لا؛ مع الإشارة إلى أن الفايروس أصاب خلال اليوم الأول ما يقارب 57 ألف حاسوب في أكثر من 150 دولة، وكانت الدول الأوربية هي الأكثر تضرراً من ناحية عدد الإصابات، فقد أصابت البرمجية البنوك والمنظمات الحكومية والمشافي وغيرها؛ ولكن هذا لا ينفي أنه تم إبطاء انتشار الفايروس بشكل كبير؛ فكيف حدث ذلك؟

تم إبطاء انتشار الفايروس من خلال قيام أحد الباحثين الشباب في إنجلترا -والذي تبقى هويته مجهولة- عند إلقاءه النظر على عيّنة من البرمجية بملاحظة أن الفايروس يتصل مع نطاق غير مسجّل، فقام بشرائه بسعر 10.69 دولار أمريكي فقط!

عند شراء النطاق، وبالتالي تسجيله؛ يتم تعقب حركة البيانات عبر الموقع، وبذلك تم اكتشافه، وإبطاء حركته بشكل كبير للغاية، حيث أن العدوى ستنتشر ببطء عن طريق البريد الإلكتروني والروابط الملغّمة فحسب.

ما الذي يمكن القيام به للحماية من الفايروس؟

كما ذكرنا سابقاً، فإن مايكروسوفت قد عالجت هذه الثغرة مسبقاً، وذلك عبر تحديث صغير يتم تثبيته على نظام تشغيل ويندوز، وهذا سيكون كافياً للحماية من هجوم جديد مستقبلاً.

لكن لأخذ الحرص والأمان، ينصح بتشغيل الجدار الناري أو Firewall الخاص الموجود في نظام التشغيل ويندوز، وبالطبع تثبيت برنامج مضاد فيروسات جيد مثل ESET NOD32 أو Avast سيفي بالغرض؛ وما تبقى سيكون على عاتقك بعدم الضغط على أي نوع من الروابط غير الموثوقة، سواء من البريد الإلكتروني أو من المتصفح عبر أحد المواقع.

ختاماً.. رغم أن خطر انتشار الفايروس قد تضاءل بشكل كبير، إلا أنه يمكن بسهولة تعديل البرمجية وإعادة إطلاقها من جديد، فقد توعد فريق الاختراق المسمى (Shadow Brokers) بهجوم جديد، وهذا الهجوم سيستهدف أيضاً أنظمة تشغيل أخرى غير ويندوز.