فيروس الفدية
تواجدت فيروسات الحاسب الآلى منذ بداية دخول البشر على الإنترنت، بل يمكن القول أنها تواجدت قبل أن تصبح شبكة الإنترنت بالشكل الذي نراه الآن، سواء من الناحية التقنية أو من ناحية تفاعل البشر معها.
تواجد الفيروسات في الحياة الرقمية أصبح أمر عادي ومعتاد حدوثه من حين لآخر. كل فترة يظهر فيروس شرس؛ لا تستطيع أغلب برامج مكافحة الفيروسات اكتشافه أو القضاء عليه، ويثير الرعب بين مستخدمي الحاسب الألى لبعض الوقت.
ثم يقوم مطوري برامج مكافحة الفيروسات بتحديث نظام الحماية في هذه البرامج واكتشافه، تتكرر هذه العملية كل فترة، وأغلب وأقوى الفيروسات التي ظهرت لم تسبب الرعب للمستخدمين لفترة أكبر من عدة شهور.
لأنه حتى إن لم تتمكن برامج مكافحة الفيروسات من القضاء على الفيروس الجديد، فهناك طرق أخرى للتخلص من وجود الفيروس في أنظمة التشغيل أو حتى تحجيم عملية انتشاره، مثل محو النظام واعادة تنصيبه بعد عمل مسح شامل Format للجزء المصاب.
لكن الوضع مختلف مع فيروس الفدية الذي لن يُمحى أثره ازالة نظام التشغيل وإعادة تنصيبه.
ما هو فيروس الفدية؟
مصطلح فيروس الفدية أو Ransomware بالإنجليزية ليس بفيروس بمعنى الكلمة، بل هو برنامج خبيث يقوم عن طريقه المخترق (Hacker) بتشفير الملفات الموجودة على جهاز الحاسب الآلي الخاص بالضحية، ولفك تشفير هذه الملفات يطلب المخترق مبلغ مالي مقابل مفتاح فك التشفير.
والذي قد يتراوح سعره ما بين بضعة مئات من الدولارات ليصل أحياناً إلى آلاف الدولارات طبقاً لطبيعة الملفات وأهميتها للمستخدم، أما بالنسبة للدفع فيكون في صورة عملة رقمية غالباً ما تكون البيتكوين.
لماذا اقترن اسمه بكلمة فيروس؟ حسناً ببساطة إطلاق كلمة فيروس على كل البرامج التي تسبب ضرر للحاسب الآلي هو أمر شائع بين مستخدمي الحاسب الآلي الغير متخصصين، لكنها ليست تسمية دقيقة.
لأن هذه البرامج تنقسم إلى عدة أنواع طبقاً لما تقوم به من ضرر، وطبيعة تعاملها مع الحاسب الآلي المصاب، كما في الطبيعة تختلف البكتريا عن الفيروسات، فعلى سبيل المثال يختلف الـ spyware عن الـ malware وهكذا.
ولتسهيل الأمر سوف نشير أغلب الوقت لبرنامج الفدية على أنه فيروس في هذا المقال، وسوف نشرح في مقال قادم الفرق بين البرامج الضارة للحاسب الآلي طبقا لضررها وهدفها من إصابة الحاسب الألى، والتسمية الصحيحة لكل منها.
أهم الطرق التي يستخدمها المخترقون لارسال فيروس الفدية للضحية
هناك أساليب عديدة يستخدمها المخترقين لارسال فيروس الفدية للحاسب الآلي الخاص بالضحية، لكننا سوف نناقش أشهر هذه الطرق، والتي قد يقع فيها أي مستخدم للحاسب الآلي مهما بلغت معرفته التقنية:
1. إضافة ملف فيروس الفدية داخل تطبيق أو لعبة بعد كسر حمايته
تعتبر هذه الطريقة من أشهر الطرق للاختراق عموماً، ولإصابة الحاسب الآلي بفيروس الفدية خصوصاً. فبينما قد يتجنب البعض فتح رسائل مريبة وجدوها في بريدهم الإلكتروني، أو حتى بعد فتحها لا يقومون بتنزيل محتوياتها.
على الجانب الآخر هناك قطاع عريض من مستخدمي الحاسب الآلي على مستوى العالم يعتمدون على البرامج و الألعاب المقرصنة اعتماد شبه كلي، وهو ما يعرض أجهزة الحاسب الآلي الخاصة بهم للإصابة ببرامج وفيروسات خبيثة تتنوع في شراستها.
فبعض هذه البرامج تكون وظيفته بسيطة مثل إظهار الإعلانات المنبثقة بشكل مكثف على سطح المكتب الخاص بالحاسب الآلي المصاب، قد يقوم برنامج خبيث آخر (يعرف بفيروس التعدين) باستغلال كافة موارد الحاسب لتعدين العملات الرقمية لصالح المخترق فيما يعرف بالـ Crypto Jacking.
وهذا الفيروس وجوده شائع للغاية في الألعاب المقرصنة، نظراً لأن غالباً ما يكون المستخدم المهتم بتنزيل الألعاب المقرصنة يمتلك معالج رسومي Graphic card قوي لتشغيلها، وهو ما تقوم عليه عملية التعدين بشكل أساسي.
وبالرغم من أن ظهور إعلانات بشكل مستمر أو استخدام طاقة معالج الرسوم للتعدين هي أمور مزعجة، إلا أن التخلص منها ممكن عن طريق إزالة اللعبة أو البرنامج المسبب للإصابة مع تشغيل برنامج مكافح فيروسات محدث مثلاً.
لكن بالنسبة لفيروس الفدية فالأمر مختلف؛ فبمجرد فتح البرنامج الذي يحتوي على الفيروس يتم تشفير كل الملفات الموجودة على الحاسب الآلي الخاص بالمستخدم، وهي عملية لا يمكن عكسها بدون مفتاح لفك التشفير.
2. زيارة المواقع التي تقوم بتنزيل إجباري لملفات مشبوهة
مواقع المحتوى المقرصن تهدف دائماً لتحقيق ربح من خلال الإعلانات، وإمكانية إضافة إعلانات من شركة موثوق بها تعرض إعلانات آمنة تكاد تكون شبه معدومة لهذه المواقع.
فيتجه أصحاب هذه المواقع إلى الشبكات التي تقبل وجود إعلاناتها على مواقع المحتوى المقرصن أو حتى المحتوى الإباحي، عادة هذه الشركات لا تضع معايير آمنة أو شروط لقبول الاعلان لديها.
فقد تفتح صفحة لمشاهدة فيلم أو مسلسل حتى يبدأ تحميل تلقائي لبرنامج حجمه لا يتعدى بضعة ميجات ينتهي بامتداد exe أو msi.
وصغر الحجم هنا مهم حتى يتم تحميل ملف البرنامج على الحاسب قبل أن تتمكن من ملاحظته وتقوم بإلغاء التحميل. قد تكتشف وجود البرنامج فيما بعد داخل البرامج المحملة لديك، ويختلط عليك الأمر وتظن أنه برنامج قمت بتحميله ونسيت غرضه، فيدفعك الفضول لفتحه ليبدأ الفيروس بالعمل والانتشار.
3. اختراق جهاز الضحية من خلال ارسال ملف خبيث كملف عادي
قد تجد رسالة على بريدك الالكتروني تخبرك بأنك فزت بجائزة كبرى، ويجب أن تقوم بتنزيل ملف معين وتقوم بتعبئته ببياناتك الخاصة لارسال مبلغ الجائزة، وبمجرد تنزيل الملف وفتحه يتمكن المخترق من السيطرة على حاسبك الألى.
تكون عملية الاختراق أسهل إذا قمت بمنح الصلاحيات الإدارية لهذا الملف أثناء فتحه، هنا يتمكن المخترق من التحكم وإدارة نظام التشغيل الخاص بك بالكامل مما يسهل عملية الاختراق ويليها التشفير.
لاحظ أن المخترقون يطورون من شكل الرسالة وطبيعتها، فقد تجدها مرسلة من عنوان بريد إلكتروني يشبه عناوين بريدية خاصة بجهات موثوقة ليخدعوك، وقد تجد محتوى الرسالة عادى للغاية ويشبه رسائل تتلقاها بصورة منتظمة وتتفاعل معها بالفعل.
4. الروابط الخبيثة
قد تصلك الروابط الخبيثة بنفس فكرة الملفات المرسلة في رسالة إلكترونية التي ذكرناها في النقطة السابقة. الفرق الوحيد هو أن بعض خدمات البريد الإلكتروني أصبحت تكتشف هذه الملفات فتمنع إرسالها، لذا يقوم المخترق بارسال رابط عند الضغط عليه يقوم بتنزيل البرنامج، هذه الطريقة تعتبر مزيج من الروابط الإعلانية التي تقوم بتنزيل برامج خبيثة بشكل تلقائي، والرسائل التي تحتوي على نفس البرامج.
5. إضافات المتصفح الغير معروفة
لربما أعجبك مقطع فيديو على اليوتيوب و تود تحميله على الحاسب الآلي الخاص بك، لكنك لا تريد استخدام برنامج مقرصن أو حتى غير مقرصن لتنزيل هذا المقطع.
اقترح عليك صديق أحد إضافات جوجل كروم البسيطة لكنها مجهولة، غالباً يتم إضافتها للمتصفح يدوياً، لأنها غير متاحة رسمياً على متجر جوجل للإضافات (أظن أن هذا السبب كفيل بإدخال الشك إلى قلبك وابتعادك عن هذه الإضافة)، ولكنك تقوم بتنصيب الإضافة التي تعمل كالسحر وتعجبك للغاية.
ثم تتفاجأ بالكارثة فيما بعد، ملفات تم تشفيرها أو كلمات السر الموجودة في المتصفح تمت سرقتها، لا تسطيع الدخول على حساباتك على مواقع التواصل الاجتماعي، بل وقد يصل الأمر إلى سرقة بيانات بطاقة مصرفية قمت بحفظ بياناتها في المتصفح أثناء قيامك بعمل مشتريات عبر الإنترنت.
لا أود ازعاجك، لكن هناك عدد ضخم من الإضافات التي اعتمدتها جوجل رسمياً وقامت بضمها إلى متجر الإضافات، واتضح فيما بعد أنها إضافات خبيثة تجمع المعلومات أو تظهر اعلانات أو حتى تقوم بالتعدين.
لذا كن حذر في إضافة هذه الإضافات إلى متصفحك، واقرأ عن هذه الإضافة بشكل مركز قبل تفعيلها، وببساطة إذا كانت الإضافة تقوم بعملية مشبوهة، أو لا تسمح بها أغلب المواقع، فغالباً ما تكون إضافة مشبوهة أو تحتوي على برمجيات خبيثة.
خطورة الطرق السابقة في أنها قد تمكن المخترق من الحاسب الآلي الخاص بك بسبب تصرفات قمت أنت بفعلها بشكل اعتيادي، لذا لا يمكن التنبؤ بالوقت الذي سوف يصيبك الخطر فيه، لكن طالما تمارس أي من العادات التي ذكرناها في النقاط السابقة فحاسبك الآلي وملفاتك معرضين لأخطار متعددة، أقلها السرقة واكبرها التشفير.
هناك وسائل أخرى يستطيع من خلال المخترق الوصول إلى الحاسب الآلي الخاص بك، بل والتحكم به وارسال ملف أو تشفير ملفات وما الى ذلك. لكن اغلبها تكون ثغرات في برامج أو حتى أنظمة تشغيل وسرعان ما يتم حلها، وفي بعض الأحيان يتم تعويض الضحية.
أذكر أن نظام تشغيل ويندوز أضاف برنامج خاص للحماية من برامج الفدية داخل برنامج الحماية الخاص به، بعد انتشار هجمات فيروس الفدية الشهير Wanna Cry عام 2017 الذى استغل ثغرات في نظام ويندوز للتسلل للحواسب الآلية، كما أن نظام ابونتو الشهير أصدر تحديثات أمنية لرفع مستوى الحماية من هذا الفيروس.
كيف تحمي الحاسب الآلي الخاص بك من فيروس الفدية؟
هناك عدة خطوات أو تصرفات عامة ننصح باتباعها كونها تمكنك (بنسبة كبيرة) كمستخدم من تجنب إصابة الحاسب الآلي الخاص بك بفيروس الفدية وهي:
1. (أعتبرها شخصياً أهم وأقوى نصيحة) قم بعمل نسخة احتياطية من أهم الملفات الموجودة لديك، مثل الملفات المتعلقة بعملك أو صورك الشخصية.
حدث هذه النسخة بشكل دائم واحتفظ بها على إحدى خدمات التخزين السحابي، حتى تحميها في حالة انتشار فيروس الفدية على حاسبك الشخصي أو وحدات التخزين التي تستعملها.
2. الابتعاد عن تحميل البرامج والألعاب المقرصنة، حيث أنها تعد مصدر أساسي للبرمجيات الخبيثة ومن ضمنها فيروس الفدية.
3. تجنب الدخول إلى مواقع تحتوي على محتوى مقرصن أو غير لائق، أو حتى تحتوي على عدد كبير من الإعلانات المنبثقة.
4. قد يتمكن المخترق من الدخول إلى جهازك عبر ثغرة في نظام التشغيل، والتي غالباً ما تسرع الشركة صاحبة النظام بإصدار تحديث يقوم بأغلاقها، لذا احرص على تحديث نظام التشغيل الخاص بك بشكل دائم.
5. يندرج نظام التشغيل تحت فئة البرامج أو Software، وبالتالي يتم قرصنته شأنه شأن الألعاب والبرامج، لكن قد يهمله البعض أو لا يدرك أن النظام الذى تم كسر حمايته أو قرصنته يعتبر خطر كامن في الحاسب الآلي الخاص به.
لذلك ننصح باستعمال نظام تشغيل أصلي، أو حتى استعماله دون تفعيله في حالة كان ثمن التفعيل مرتفع بالنسبة لك، وللعلم نظام تشغيل Windows 10 لا يضيف للمستخدم مميزات تتعلق بالأداء عند تفعيله، التفعيل فقط يتيح لك التحكم في بعض المميزات الجمالية، والتي يمكن استخدام النظام بشكل طبيعي بدونها.
6. لا تقم بفتح أي رسالة بريد إلكتروني تشك في محتواها أو في عنوان البريد الإلكتروني المرسل منها، وإن فتحتها بدافع الفضول أو عن طريق الخطأ لا تضغط على أي روابط بها مهما كانت مغرية، وبالطبع لا تقم بتحميل أي برامج أو ملفات ملحقة بها.
7. استخدم برنامج مكافحة فيروسات مستقل، ولا تعتمد على برنامج Windows Defender الملحق بنظام Windows 10، والذي بالرغم من كفاءته إلا أنه لا يرتقى للبرامج المتخصصة في هذا المجال، والتي تتوافر منها نسخ مجانية.
شراء نسخ احترافيه من هذه البرامج مفيد بالطبع، ويوفر أدوات ووسائل حماية قوية ومميزات إضافية رائعة، مثل أدوات تنظيف النظام من الملفات الغير مستخدمة، وبقايا ملفات التحديثات الخاصة بالبرامج، لكن الاعتماد على النسخ المجانية كافي إذا كنت لا ترغب في دفع المال، أو لا تهمك المميزات الإضافية.
8. إذا كنت تعتمد على الأقراص المتنقلة أو وحدات التخزين المحمولة لنقل الملفات إلى حاسبك الشخصي، احرص على فحصها قبل فتحها من خلال برنامج مكافحة الفيروسات الذي تعتمد عليه.
9. لا تقوم بتنصيب برامج أو تعريفات مجهولة المصدر أو معدل عليها، فبعضها قد يحتوي على فيروس الفدية أو برامج أخرى خبيثة.
10. راجع أي إضافة متصفح تستخدمها مهما كنت تظن أنها من جهة موثوقة، ابحث عنها عن الإنترنت، وهل لاحظ أي من مستخدميها أي مشاكل نتجت عن تنصيبها أو بعد تنصيبها مباشرةً.
كيف تتصرف في حالة إصابة الحاسب الآلي الخاص بك بفيروس الفدية؟
كما شرحنا سابقاً هناك طرق عديدة يمكن من خلالها إصابة الحاسب الآلي بفيروس الفدية، وبعضها قد يكون خارج نطاق الاستخدام العادي، أو بمعنى آخر لا ينتج من خلال تصرف خاطئ أو ممارسة غير آمنة قام بها المستخدم، فهل هناك حلول في حالة حدوث هذا الأمر؟
بعد بحث مطول بين المواقع وقراءة نصائح المتخصصين، يمكن القول أن هناك ثلاثة حلول تنصح بإتباعها أغلب المواقع المتخصصة وخبراء المجال في حالة إصابة حاسبك الشخصي بفيروس الفدية.
وأغلب الحلول إن لم يكن كلها لا يضمن إنهاء المشكلة كلياً، بل يوفر حل لجزء معين من أثر فيروس الفدية طبقاً لتأثيره وطبيعته ومدى ضرره بالنسبة للمستخدم.
فمثلا هناك مستخدم لا يهتم بملفاته، لأنه يستطيع تحميلها مجدداً ويهمه إعادة سيطرته على النظام وحماية بياناته الخاصة، البعض لا يهتم بالنظام ويود فك تشفير الملفات بأي شكل وهكذا، فكل حل يناسب وجهة نظر وحالة محددة.
والآن إليك الحلول المتاحة في حالة إصابة جهازك بفيروس الفدية:
1. الاستعانة ببرامج فك التشفير
هل ذكرنا صعوبة أو شبه استحالة فك تشفير الملفات سابقا في هذا المقال؟ إذاً كيف نقول الآن أن هناك برامج لفك التشفير؟
حسناً لم نكذب أو نخفي حقائق؛ كل ما في الأمر أن فيروس الفدية يرجع تاريخ ظهوره إلى عام 1989، ومنذ ذلك الوقت ظهرت أشكال وأنواع مختلفة منه تستخدم طرق وأساليب مختلفة للتشفير.
وكونه مختلف عن بقية فيروسات الحاسب الآلي؛ يجعل ازالته واكتشافه لا تعني القضاء على أثره، فدور برامج المكافحة هو اكتشافه وإزالته فقط، والذي لا يتم بشكل فوري إلا في حالة كان هذا الإصدار أو النوع من الفيروس معروف، ولكن برامج المكافحة لا تقوم بفك التشفير.
لذلك ظهر الاعتماد على برامج أخرى تعمل على فك أو محاولة فك التشفير الذي قام به فيروس الفدية، لكن هل تنجح؟ أحياناً. هل تفشل؟ نعم كثيراً.
إذن ما هو الفيصل في نجاحها أو فشلها؟
ببساطة كل مخترق له أسلوب معين وطريقة محددة في التشفير، لذلك عندما يتم التعرف على الطريقة يتم فهمها، وبالتالي يتم تصميم برنامج لفك تشفيرها، نفس فكرة الأمراض والأمصال، لذلك قد تنجح في حالة أن المخترق أسلوبه معروف أو استخدم طريقة تشفير تم استخدامها من قبل.
2. إعادة سيطرة المستخدم على الحاسب الآلي الخاص به
هذا الحل يفترض أنك تود القيام بعملية تنظيف الحاسب الآلي الخاص بك من الفيروس فقط، ولا يعنيك الملفات المشفرة أو تستطيع الوصول إلى نسخة احتياطية منها، وبالتالي تكون الخطوة الأولى في هذا الحل هي عمل مسح شامل للقرص الذي قمت بتنصيب نظام التشغيل عليه.
هناك من يشرح بخطوات دقيقة كيفية استعادة السيطرة على النظام بعد اختراقه، لكن في رأيي هذا لا يعد أكثر الإجراءات اماناً، بل وقد يمنعك الفيروس نفسه من القيام بالخطوات اللازمة لهذا الأمر.
لذلك أفضل حل هو محو القرص الذي عليه نظام التشغيل، هذا بافتراض أنك قمت بتنصيب نظام التشغيل في drive أو مساحة منفصلة عن بقية محتويات القرص الصلب، وهو أمر أغلب مستخدمي الحاسب الآلي والتقنين يقومون به.
بعد المحو وإعادة التنصيب للنظام الجديد قم بتنصيب برنامج مكافحة البرمجيات الخبيثة malware، مثل Malwarebytes وابدأ بفحص بقية القرص الصلب للتأكد من خلوه من أي برامج خبيثة أو فيروسات.
كما أوضحت هذا الحل هدفه إعادة سيطرتك كمستخدم على جهاز الحاسب الآلي الخاص بك، وهو أمر هام للغاية ويعتبر بالنسبة لبعض المستخدمين أهم من فك تشفير الملفات.
وذلك لأن سيطرة المخترق على جهازك قد تؤدى لمشاكل كبيرة، منها استخدام بياناتك الشخصية وبيانات جهازك في اغراض اجرامية، أو بيع هذه البيانات على الإنترنت المظلم، وقد تصل أحياناً الى توريطك في جرائم إلكترونية قام بها المخترق.
لاحظ أنه عند اتباع الحل الثاني قد تفقد أي فرصة للتواصل مع المخترق وفك تشفير الملفات، وهو ما يقودنا للحل الثالث والأخير.
3. الاستلام أو التفاوض؟
للأسف يعتمد هذا الحل على دفع المبلغ المطلوب لارسال مفتاح فك التشفير، خاصة إذا كانت الملفات المشفرة هامة لك أو تقدر بمبلغ كبير من المال، مثل ملفات تحتوي على بيانات مالية أو مشاريع هندسية تكلف وقتاً ومجهوداً كبيراً لتنفيذها مجدداً.
حسنا نعرف أن هذا الحل قد يغضبك كثيراً، لأنك تبحث عن حل سحري لفك تشفير الملفات دون دفع قرش واحد. هذا مفهوم ومعك حق في البحث عنه، لكن هذا الحل قد يكون غير موجود في حالة أن المخترق استخدم طريقة تشفير جديدة أو غير معروفة.
في هذه الحالة الأدوات المناسبة لفك التشفير (مثل التي تحدثنا عنها في الحل الأول) لن تكون متوفرة إلا بعد فترة طويلة، لا أحد يعلم مدتها قد يصدر برنامج ثوري في المستقبل (أو حتى غداً؟) يقوم بفك أي تشفير في ثواني، لكن حتى الآن لا يوجد مثل هذا البرنامج.
لاحظ أن فيروس الفدية يقع ضحيته مؤسسات حكومية وجامعات شهيرة، وأحياناً مؤسسات وشركات عالمية، وفى أوقات كثيرة الحل الوحيد يكون التفاوض أو دفع المبلغ المطلوب أو حتى جزء منه.
ملحوظة هامة: الحل الثالث غير مضمون، هناك حالات كثيرة لشركات وأفراد دفعوا المبالغ المطلوبة ولم يستلموا مفتاح فك التشفير، وهناك من دفع واستلم بالطبع لكن وجب التنبيه.
خاتمة
التعرض لفيروس الفدية ومحاولة فك التشفير وفقدان كمية ضخمة من البيانات يعد أمر محبط، خصوصاً لو كانت الملفات المشفرة ملفات شخصية أو ملفات يصعب الحصول عليها مرة أخرى.
ربما لم يتوصل الخبراء بعد إلى حل جذري لصد هذا الفيروس بشكل نهائي، لكن هذا لا يدعو للخوف من الإنترنت أو عدم الاستمتاع بمزاياه.
بدأت استخدام الحاسب الآلي من أكثر من عشرون عاماً، ومنذ ذلك الحين صادفني عدد كبير من الفيروسات والبرامج الخبيثة التي لم يجد لها العلم أي حلول وقت صدورها.
لكنها أصبحت الآن عتيقة، ويمكن اكتشافها بأضعف برامج مكافحة الفيروسات، هذا معناه أن هناك أمل في وجود حلول جذرية وبرامج تفك التشفير، وحتى ذلك الوقت ننصحك باتباع النصائح التي ذكرناها في هذا المقال لحماية حاسبك الشخصي وملفاتك، وأهمها إنشاء نسخة احتياطية من ملفاتك ورفعها على إحدى خدمات التخزين السحابي.
هل تعرض الحاسب الآلي الخاص بك لهجمة من فيروس شرس من قبل؟ كيف تصرفت؟ وما هو برنامج مكافحة الفيروسات الذي اعتمدت عليه وساعدك في التخلص من هذا الفيروس بسهولة؟
