انتشار البرامج ضارة جديد
فقط في الشهر الماضي، واناكري قدمت عناوين الصحف في جميع أنحاء العالم بعد أن تمكن لتصيب أجهزة الكمبيوتر أكثر من 200 000 في أكثر من 150 بلدا باستخدام مشكلة عدم حصانة في Windows. اليومين الماضيين، رأينا هجوم واسع الانتشار أولاً يعتقد أن تفشي مرض رانسومواري. أنها مجموعة متنوعة من أسماء مختلفة ولكن الأكثر شيوعاً ويشار إلى Petya or NotPetya.
بيتيا معروف رانسومواري التي تم حولها لبعض الوقت ولكن المطور نفت تورطها في هذا الهجوم الجديد، ومن ثم لماذا يسمى نوتبيتيا ببعض. للوهلة الأولى، فإنه يتصرف مثل رانسومواري نموذجية، ويقوم بتشفير الملفات وثم يسألك أن الضحايا دفع لاستعادتها. عند إجراء مزيد من التحقيقات، أن الواقع يختلف تماما. وقد يأتي الباحثون إلى الاستنتاج بأن نوتبيتيا لا رانسومواري فعلا ولكن بدلاً من ذلك ممسحة الخبيثة. ما يقترحونه هو أنه لا معنى لكسب المال، والمقصود بتدمير النظم.
الشركة الأوكرانية التي يعتقد أنها كانت نقطة الصفر
ويعتقد الباحثون في مختلف شركات الأمن أن بائع برمجيات محاسبية القائمة في أوكرانيا، M.E.Doc، وانتشر بطريق الخطأ الخبيثة التي أدت إلى إصابة الآلاف من أجهزة الكمبيوتر. على الرغم من أن الشركة نفسها نفت هذا، أخصائيي البرامج الضارة نعتقد أنه تم اختراق الشركة وتم اختراق أجهزتهم. القراصنة صدر تحديث برمجيات خبيثة والعملاء الذين قاموا بتثبيت فإنه انتهى بإصابة أجهزة الكمبيوتر الخاصة بهم مع نوتبيتيا. ثم اكتسب الخبيثة وثائق التفويض للشبكات المحلية وعن طريق استخدام أدوات معينة، فتمكنت من الانتشار إلى أجهزة الكمبيوتر الموجودة على نفس الشبكة. وأفيد أيضا أن يستخدم المستخدمة من قبل واناكري، اتيرنالبلوي، جنبا إلى جنب مع اتيرنالرومانسي واستغلال في هذا الهجوم أيضا. والخبر السار أن لم ينتشر عن طريق شبكة الإنترنت، إلا عن طريق الشبكة المحلية. هذا، ومع ذلك، يثير مسألة كيف تمكنت الخبيثة امتدت إلى بلدان أخرى، حيث أن الشركات المصابة قد أي اتصال مع M.E.Doc.
كيف يعمل نوتبيتيا؟
تماما مثل رانسومواري بيتيا الأصلي، لا نوتبيتيا من تشفير الملفات واحد تلو الآخر. ماذا يفعل هو إعادة تمهيد الكمبيوتر ويقوم بتشفير محرك الأقراص الصلبة في جدول الملف الرئيسي (MFT) ويجعل من سجل التمهيد الرئيسي (MBR) غير قادر على العمل بشكل صحيح. بيتيا استبدال نسخة MBR المشفرة مع تعليمات برمجية ضارة وغير قادر على تمهيد جهاز الكمبيوتر الخاص بك. بدلاً من ذلك، يتم عرض ملاحظة فدية. هذا حيث يختلف نوتبيتيا بيتيا. ويذكر الباحث التكنولوجيات كوما سويش مات، أن يشفر رانسومواري بيتيا الأصلي على القرص بطريقة بحيث أنه يمكن عكس التغييرات إذا لزم الأمر. من ناحية أخرى، نوتبيتيا، الضرر الدائم والذي لا رجعة فيه إلى القرص.
أعتقد المتخصصين ليس المقصود نوتبيتيا لكسب المال، من المفترض أن تدمر
عند الانتهاء من العملية برمتها، وجهاز الكمبيوتر المصاب سوف تظهر ملاحظة فدية. تقول الرسالة أنه قد تم تشفير الملفات، وأن كنت بحاجة لدفع مبلغ 300 قيمتها من بيتكوين إلى عنوان المقدمة. عندما يدفع الضحية الفدية، من المفترض أن إرسال معرف الدفع بهم ومفتاح التثبيت الشخصي، مما هو منصوص عليه في المذكرة، إلى wowsmith123456@posteo.net. ومع ذلك، جعلت مزود البريد الإلكتروني الألمانية قرارا بإغلاق هذا الحساب، مما يعني أنه لا يمكنك الحصول على اتصال مع القراصنة. حتى إذا كنت تدفع، سيكون المجرمين أي وسيلة لمعرفة الذين تدفع.
وهذا ليس السبب الوحيد لماذا يجب أن لا تدفع. كشف التحقيق في البرامج الضارة أن الشعب وراء الهجوم لديه أية نية لاستعادة أية ملفات. أنها ببساطة غير ممكن. معرف مفتاح التثبيت المذكورة أعلاه جزء حاسم من عملية فك التشفير. يقوم بتخزين معلومات حول الضحية ومفتاح فك التشفير. معرف التثبيت التي تراها في مذكرة فدية من بيانات عشوائية فقط، مما يوحي بأن نوتبيتيا لا تهدف إلى كسب المال.
الباحثون الخبيثة الآن تصنيف نوتبيتيا لا رانسومواري بل ممسحة أساسا يدمر الملفات الخاصة بك بأية طريقة لاستعادتها. وفي حين أنها لا فعلا حذف أية ملفات على النظام، عندما يتم تشفير الملفات الخاصة بك، ليس هناك طريقة لفك تشفير لهم، مما يجعلها عديمة الفائدة. وهذا يعتقد أن يكون متعمدا. بمعنى أن الخوض في هذا، كانوا لا تهدف المطورين وراء العدوى لكسب المال.
أوكرانيا، على ما يبدو، مقدار أكبر من الضحايا. قد أفادت أن منطقة كارثة تشيرنوبيل إدارة الحكومة المنظمة للتبديل إلى رصد الإشعاع اليدوية لأنهم اضطروا إلى إيقاف تشغيل كافة أجهزة الكمبيوتر في Windows. شركات الطاقة الكبرى الأوكراني يبدو تأثرت أيضا. كما نرى أوكرانيا أحاطت الأشد تضررا، وحقيقة أن كل شيء بدأ هناك، فإنه يعتقد البلد كان الهدف المقصود في بعض ما نعتقد أن هجوم دولة الأمة.
ما كنت قد فعلت لمنع النتائج الكارثية؟
للنسخ الاحتياطي. إذا قد علمتنا أن الهجوم واناكري المستخدمين الفرديين والأعمال شيئا، هو أهمية وجود نسخة احتياطية. كما نرى لا توجد طريقة لفك تشفير الملفات، حتى ولو كنت تدفع، هو الشيء الوحيد الذي يمكن أن ينقذ لك كثير من المتاعب الملفات المخزنة في مكان آخر. أننا نعيش في عالم حيث الخبيثة يتربص في كل زاوية على شبكة الإنترنت ولكن الناس بعيداً عن كونه الأمن الحذر. وقد ثبت هذا كل يوم عند المستخدمين تقرير أن قد تم تشفير الملفات الخاصة بهم، وليس هناك أي نسخة احتياطية.
التهديد بالإنترنت حقيقي. بغض النظر عن الذين كانت الأهداف الرئيسية لهذا الهجوم، فإنه من المهم أن نفهم أن أنها ليست شيئا لا يمكن أن يحدث لك و ولذلك لا تحتاج إلى توخي الحذر. وحتى ندرك أن الناس والتأكد من أنهم يفعلون كل ما في وسعهم لحماية أنفسهم، لن يؤدي إلا إلى الأسوأ.
مراجع