فيروسات الابتزاز

ما المقصود بالـRansomware

فيروسات الابتزاز أو برامج المطالبة بفدية (Ransom Software) أو اختصاراً Ransomware، هي إحدى أنواع البرمجيات الخبيثة التي يستخدمها أشخاص أو جهات ذات خلفيات إجرامية، بحيث تقوم هذه البرمجيات بسرقة أو تشفير الملفات والمستندات الهامة، ومن ثم تقوم بحذف الملفات الأصلية، ولا تقوم بعكس التشفير إلا بعد أن يقوم الضحية بدفع مبلغ مالي مقابل إرسال برنامج لفك التشفير. على الرغم من ذلك، فقد تم تسجيل المئات من الحالات التي لم يتم فيها استرجاع الملفات حتى بعد دفع الفدية.

خلال الفترة السابقة، أصبحت فيروسات الابتزاز من أكثر أنواع البرمجيات الخبيثة انتشاراً وخطورة. نظراً لأن ما تقوم به من تشفير وتخريب للملفات لا يمكن عكسه، فحتى لو تم اكتشاف الفيروس وإزالته فإن هذا لن يعيد الملفات الأصلية لحالتها قبل التشفير. وعلى الرغم من ذلك، إلا أنها كمثيلاتها من البرمجيات الخبيثة المختلفة، لا يمكن أن تصيب جهاز الضحية إلا لو توفرت ظروف خاصة، وهي خداع المستخدم ودفعه إلى تحميل أو تشغيل البرامج الخبيثة من خلال الوسائل المختلفة والتي تم تناولها سابقاً.

فيروس CryptLocker

من أكثر هذه الفيروسات انتشاراً وأوسعها تغطيةً إعلامية؛ الفيروس المعروف باسم CryptLocker. فقد عمل مبرمجو ذلك الفيروس على إرساله كمرفقات عبر البريد الالكتروني لأعداد هائلة من المستخدمين، واستهدفوا مبدئياً المستخدمين في الولايات المتحدة وبريطانيا، ولكنه انتشر لاحقاً بصورة أوسع حتى وصل إلينا، فقد تم تسجيل وصوله لصناديق البريد للعديد من أكاديميي وموظفي الجامعة الإسلامية بغزة. بصورةٍ عامة، تحتوي تلك الرسائل على مرفقات على شكل ملفات مضغوطة، التي تحتوي بدورها على برنامج صغير يقوم بتحميل الفيروس من الإنترنت، ومن ثم تشغيله ليقوم بتشفير الملفات.

من أهم أسباب الشهرة الواسعة لهذا الفيروس هي قيام مبرمجوه بإصدار العديد من التحديثات على الكود الأساسي له بهدف التمويه ومنع برامج مكافحة الفيروسات من اكتشافه. كما أنه يقوم بتشفير الملفات الشائعة الاستخدام مثل (الملفات النصية، المستندات، العروض التقديمية، الملفات الصوتية، وغيرها من الملفات شائعة الاستخدام. ويمكنه أن يقوم بتشفير الملفات الموجودة على الأقراص المحلية (C:\ أو D:\) أو أقراص الشبكة أو حتى الوسائط القابلة للإزالة مثل أقراص الفلاش أو وسائط التخزين الخارجية.

أساليب الحماية

أساليب الحماية من فيروسات Ransomware هي نفسها المتبعة للحماية من البرمجيات الخبيثة على اختلافها. لكن يمكننا التركيز على ضرورة؛

1. انشاء نسخ احتياطية للملفات الهامة، والاحتفاظ بها بمكان آمن، قرص تخزين خارجي يتم استخدامه عند الحاجة مثلاً، أو بالإمكان تخزين الملفات الهامة والمستندات والأبحاث في قرص التخزين الخاص بالموظفين على الشبكة، لأنه يتم عمل نسخ احتياطية لتلك الملفات. مع العلم أن الملفات الموجودة على الأجهزة نفسها (سطح المكتب أو قرص D:\ مثلاً، لا يتم نسخها احتياطياً ضمن شبكة الجامعة).
2. الحرص في استخدام البريد الالكتروني: فلنفترض مثلاً أنك استقبلت رسالة مجهولة المصدر على بريدك الالكتروني، وهذه الرسالة تطالبك بسداد رسوم اشتراك لخدمة لم تشترك بها، ناهيك عن أنك لم تسمع بها أصلاً في حياتك، وهذه الرسالة تحتوي على مرفق أو تحتوي على روابط لمواقع على الانترنت. ففي هذه الحالة، من الأفضل أن تتخلص من فضولك وتقوم بحذف الرسالة دون أن تحاول معرفة محتواها.
3. استخدام برامج حماية محدثة باستمرار، ويمكنكم التواصل مع إدارة تكنولوجيا المعلومات والدعم الفني للحصول على المعلومات الخاصة بالبرامج المدعومة.
4. تحديث نظام التشغيل باستمرار، حتى يتم إنهاء وجود أي ثغرات محتملة، لأن تلك الثغرات تشكل نقاط ضعف قد تؤدي إلى إصابة النظام بالفيروسات.
5. استخدام خيارات الأمان المستحسنة في نظام التشغيل (وخصوصاً تفعيل خاصية UAC في نظام Windows 7، وما تلاه من أنظمة تشغيل).

التعافي من الإصابة بهذا النوع من الفيروسات

فيما لو حدثت الكارثة، وأُصيب الحاسوب بهذا النوع من الفيروسات، وتم بالفعل تشفير الملفات، فعندها لا يوجد الكثير لفعله، فإذا احتفظت بنسخ احتياطية من الملفات، فمن الجيد استرجاعها في هذه الحالة. لكن تذكر أن تقوم بتنظيف الجهاز من الفيروسات أولاً (إما من خلال تثبيت برنامج الحماية المدعوم وفحص الجهاز، أو من خلال إعادة تنصيب نظام التشغيل بشكل كامل).

في بعض الحالات، يمكن استرجاع الملفات حتى ولم تكن هناك نسخة احتياطية، تذكر أننا قلنا سابقاً بأن الملفات يتم تشفيرها ومن ثم حذف النسخ الأصلية. ففي هذه الحالة، قد تساعدنا برامج استعادة الملفات المحذوفة في استرجاع الملفات الأصلية قبل تشفيرها. ومن البرامج المجانية التي تساعد في هذا الأمر، برنامج Recuva ولكن عليك أن تعلم بأن هذه الطريقة قد لا تكون فعالة دائماً.