في السنوات القليلة الماضية قد كثر الكلام حول فيروس الفديه أو كما يصطلح عليه بالـ Ransomware، ومتأكد أنك قد قرأت أكثر من خبر على مواقع التواصل الاجتماعي وعبر الإنترنت يتحدث عن فيروس الفديه أو عن هجمات فيروس الفديه وكيف أنها أصابت شركات ضخمة ومؤسسات حكومية معروفة وحتى مئات آلاف المستخدمين حول العالم، وأرغمت شركات ومؤسسات عالمية عملاقة على إعلان الهزيمة عبر دفع مبالغ مالية ضخمة لأصحاب هذه البرمجيات الخبيثة حتى يتخلصوا منها. أو لربما قد كنت أنت أحد ضحايا هذه الهجمات وقد أصاب أحدها جهازك.
فما قصة فيروس الفديه هذا الذي أثار هذه الضجة الكبيرة؟ وما هي أنواعه؟ وماهي الطرق التي يتبعها للانتشار وإصابة الأجهزة؟ وكيف تقي نفسك وتحمي جهازك حتى لا يصيبك مستقبلا؟ وإن حدث وأصاب جهازك أحد فيروسات الفدية، فما هي الخطوات التي يجب اتباعها لإزالته؟
كل هذه الأسئلة وأكثر سنحاول الإجابة عليها في هذا المقال.
1- ما هو فيروس الفديه -Ransomware-
في الحقيقة “فيروس الفدية” كما يسميه الناس ليس فيروسًا، بل هو برمجية خبيثة (مالوير) يصطلح عليه بـ Ransom malware أو Ransomware. ولكن لأننا نطلق مصطلح “فيروس” على كل البرمجيات الخبيثة باختلاف أنواعها، فهكذا حصلت برمجيات الفدية الضارة -Ransomware- على اسم “فيروس الفدية”. ولأن هذا الاسم هو الشائع بين المستخدمين والأقرب لفهم الناس فإنني سأستمر باستعماله طول المقال.
فيروس الفدية هو برمجية خبيثة وضارة مصممة لتشفير ملفات المستخدمين أو منعهم من الوصول إلى أنظمة حواسيبهم، ثم طلب دفع فدية من قبل الضحية حتى يتحصل على مفتاح فك التشفير الذي يعيد إليه إمكانية الوصول إلى ملفاته أو نظامه.
وفي غالبية الحالات، يتم طلب دفع قيمة الفدية عن طريق العملات المشفرة مثل بيتكوين وما إلى ذلك، لأنها الطريقة المثالية لأصحاب فيروسات الفدية حتى يكونون متخفين ويتجنبو أن يتم القبض عليهم وفي نفس الوقت يتلقوا مدفوعاتهم كاملة.
وفي السنوات الأخيرة، قد أصبح فيروس الفدية أبرز أنواع البرمجيات الخبيثة وأكثرها إلحاقًا لأضرار حقيقية لحقت بالأفراد والشركات والمؤسسات على اختلاف أنواعها وبدون استثناء.
2- أنواع فيروسات الفدية
هنالك ثلاث أنواع رئيسية لفيروسات الفدية وهي كالتالي:
1) مشفرّ الملفات (FileCoder)
حين نتحدث حول فيروس الفدية، فأول شيء يأتي في ذهنك هو تشفير الملفات; فهذا النوع هو المألوف بين المستخدمين وكذلك الأكثر انتشارًا وإصابة للأجهزة (يشكل 90٪ من فيروسات الفدية). فحين يصيب هذا النوع جهازك، فإنه يشفّر الملفات ويطالبك بدفع فدية لاسترجعها مجددًا بشكل سليم، عبر مفتاح فك التشفير الذي ستحصل على عند انتهاء عملية الدفع. وعادة ما يقوم المهاجمون بوضع موعد نهائي لعملية الدفع، إن تجاوزته فقد يتم إتلاف ملفاتك كاملة أو تدمير مفتاح فك التشفير مما يعني أنها ستبقى مشفرة للأبد.
ما قد لا تعرفه عن هذا النوع “مشفّر الملفات” مقارنة بالأنواع الأخرى; أنه أخطر الأنواع على الإطلاق، لأنه حين يصل إلى ملفاتك ويشفرها فلا يمكن لأي برنامج حماية أو أي محاولة لاستعادة نسخة سابقة من النظام أن تفك التشفير على ملفاتك وترجعها إليك.
والخيار الوحيد أمامك سيكون هو دفع الفدية، والتي أيضًا لا يوجد ضمان أنها ستكون موثوقة 100%، بمعنى أنه من الممكن أن تدفع الفدية ولا تسترجع ملفاتك!
2) قافل الشاشة (Screen locker)
حينما يصيب هذا النوع جهازك، فإنه سيقوم بقفل الشاشة ويمنعك من استخدام جهازك بشكل طبيعي، عبر إظهار نافذة دائمة بالحجم الكامل تحمل رسالة مزيفة تدّعي أن جهة حكومية رسمية قد أقفلت جهازك بسبب مخالفة قد قمت بها، وأنه عليك الدفع لنزع القُفْل واسترجاع الوصول إلى جهازك كاملا.
3) برمجية التخويف (Scareware)
هذا النوع أقل الأنواع الثلاث خطورة وأقلها ضررًا على المستخدم وجهازه وملفاته، إذ أنها تعتمد على تخويف المستخدم وإحداث صدمة وارتباك لخداعه حتى يقوم بدفع المبلغ المالي; حيث أن هذا النوع يأتي على شكل برامج مزيفة تُثبّت على جهازك بطرق ملتوية، ثم تقوم بتخويفك عبر وابل من الرسائل المنبثقة التي تعلمك بوجود مشاكل كثيرة في جهازك وعليك الدفع لإصلاحها، والحقيقة أنه لا يوجد لا مشاكل ولا شيء من هذا القبيل.
3- سبب انتشار موجة فيروس الفدية في السنوات الأخيرة
منذ عام 2017 بدأت موجة فيروسات الفدية العارمة التي أثرت على العالم أجمع، والسبب الأول يعود إلى فيروس الفدية WannaCry والذي انتشر على نطاق واسع و كان له تأثير بليغ لا يمكن تجنبه، وأظهر للعالم أن هجمات فيروسات الفدية مربحة. ومنذ ذلك الحين تم تطوير وإعداد العشرات من فيروسات الفدية واستخدامها في هجمات متنوعة.
كذلك ما زاد الطين بلة هو جائحة كوفيد-19 والتي ساعدت على انتشار موجة فيروسات الفدية بشكل كبير، كيف؟ ببساطة لأنها أرغمت الجميع بدون استثناء على التوجه بسرعة ودون تحضير إلى العمل عن بعد، مما خلق ثغرات أمنية كثيرة مسّت بشكل كبير الشركات والمؤسسات وأثرت على دفاعاتهم الأمنية، وعليه استغل مجرمو الإنترنت والمخترقون هذه الثغرات الأمنية لتنفيذ هجمات فيروس الفدية، مما زاد في حدّة وشراسة موجة فيروسات الفدية.
4- طرق انتشار فيروس الفدية
فيروس الفدية كغيره من البرمجيات الخبيثة الضارة، لديه عدة طرق يستعملها للانتشار والوصول إلى أجهزة الضحايا وإصابتها. ومجمل الطرق هي كالتالي:
– التصيد الاحتيالي عبر البريد الإلكتروني (Email phishing): أين يقوم المخترقون ومجرمو الإنترنت بانتحال صفة مؤسسات وشركات موثوق بها أو حتى انتحال شخصية أفراد تعرفهم وتثق بهم، ثم يُرسل إليك بريد إلكتروني يحتوي على مرفق (مِلَفّ) أو رابط يبدو موثوقا وآمنًا. وغاية المخترقين هي أن تقوم بالضغط على الرابط الذي يقوم بتوجيهك لصفحة ويب ضارة وملغمة تصيب جهازك بفيروس الفدية، أو أن تقوم بتحميل المِلَفّ المرفق والذي يبدو عاديا ولكنه يقوم بتفعيل الهجوم وإصابة جهازك في اللحظة التي تحملّه فيها وتفتحه. مثل هذه الرسائل شائعة الانتشار وأنا شخصيًا أتلقاها بشكل دوري.
– الإعلانات الخبيثة (Malvertising): أو malicious advertising؛ وهو حينما يقوم الهاكرز وأصحاب برمجيات الفدية الخبيثة بتوزيعها عبر استعمال إعلانات مزيفة على مواقع الإنترنت. حيث يتم استعمال شبكات الإعلان عبر الإنترنت الحقيقية والموثوقة لنشر هذه الإعلانات الخبيثة بطرق ملتوية ومخفية، وهذا يؤثر حتى على مواقع كبيرة موثوقة ويحولها إلى منصة لنشر البرمجيات الخبيثة.
كيف يتم إصابة جهازك باستعمال الإعلانات الخبيثة؟ ببساطة حين يظهر لك إعلانات يبدو عاديًا على موقع ويب تزوره وتضغط على الإعلان فهنا يمكن لفيروس الفدية أن يصيب جهازك بعد النقر على الإعلان الضار. والبعض الآخر أشد خطورة; حيث يقوم بإصابة جهازك بمجرد تحميل صفحة الويب على متصفحك بشكل كامل وبدون أي الحاجة إلى الضغط على أي شيء!
– مواقع التواصل الاجتماعي: على الأغلب أنت على دراية بأن مواقع التواصل الاجتماعي تعتبر من أكثر الأماكن التي تجذب الهاكرز ومجرمي الإنترنت لنشر برمجاتهم الخبيثة باختلاف أنواعها وليس فقط فيروس الفدية، لأنها تعتبر بيئة مملوءة بالضحايا المحتملين الذين يمكن صيدهم بسهولة فقط عبر روابط ضارة منتشرة هنا وهناك.
– الملفات المصابة: والتي تكون منتشرة على الإنترنت كثيرًا على شكل برامج عادية تحتاج إلى تثبيتها واستعمالها لتتفاجئ أنها مصابة. وغالبًا السبب الرئيسي لحصول هذا هو التحميل من مواقع غير موثوقة. وتنتشر أيضًا الملفات المصابة بين المستخدمين على شكل أدوات تفعيل (كراك) سواء لتفعيل ألعاب مدفوعة أو برامج مدفوعة لتتفاجئ أن ذلك الملف أو تلك الأداة التي كانت ستساعدك للحصول على برامج أو ألعاب مدفوعة مجانًا هي ملغمة وجهازك الآن مصاب بفيروس الفدية.
– التنزيل بدون إذن (Drive-by downloads): حيث يقوم المخترقون باستغلال الثغرات الأمنية الموجودة في المواقع وصفحات الويب الغير آمنة، لزرع برمجيات خبيثة في الموقع أو في صفحة الويب، وبالتالي عند زيارة المستخدم العادي لصفحة الويب المصابة، تقوم البرمجيات الخبيثة والضارة بتنزيل نفسها بشكل تلقائي وسري على جهاز الضحية دون إذن صريح منه.
– التكاثر الذاتي (Self-propagation): حيث يقوم فيروس الفدية بنشر نفسه وإصابة أجهزة أخرى عن طريق الشبكة أو عن طريق فلاشات USB.
5- كيف يعمل هجوم فيروس الفديه
يمكننا تلخيص هجومات فيروس الفدية في سبع مراحل، وهي كالتالي:
1) إصابة الجهاز: في هذه المرحلة يستعمل فيروس الفدية أحد طرق الانتشار التي ذكرناها سابقًا للوصول إلى جهاز الضحية وتثبيت نفسه عليه ومنه يصبح الجهاز مصابا بالكامل.
2) التنفيذ: بعد الإصابة يبدأ فيروس الفديه في تنفيذ عمله وما هو مبرمج لفعله; حيث يقوم بفحص الجهاز وتحديد أماكن الملفات المستهدفة، وكذلك تحديد الأنظمة التي يمكن الوصول إليها عبر الشبكة (للانتشار لاحقًا). في بعض الحالات يقوم فيروس الفدية بالبحث عن ملفات ومجلدات النسخ الاحتياطي ثم يتم تشفيرها أو حذفها للقضاء على أي فرصة للضحية كي ينجو من الهجوم.
3) التشفير: في هذه المرحلة يتم تشفير كل الملفات المستهدفة في المرحلة السابقة عبر تغيير بنية الملفات بحيث تصبح غير قابلة للاستخدام. وعادة ما يتم استخدام وتوظيف طرق تشفير بيانات لا يمكن عكسها أو فك تشفيرها إلا باستعمال مفتاح فك تشفير محدد يملكه المهاجم، وهو ما يساومك لدفع ثمن الحصول عليه ومنه فك تشفير ملفاتك واسترجاع الوصول إليها.
4) إشعار المستخدم: في هذه المرحلة يتم إعلام المستخدم وإشعاره بما يحدث عبر عرض رسالة تذكيرية تخبره بالوضع الذي هو فيه الآن وما يجب عليه فعله في الخطوة القادمة وكم يجب عليه أن يدفع، بالإضافة إلى تعليمات تفصيلية تخص عملية الدفع مقابل فك التشفير.
5) التنظيف: في بعض الحالات قد يقوم فيروس الفدية بحذف نفسه من جهاز الضحية بعد إتمام الخطوات السابقة، تاركًا المستخدم مع ملفات مشفرة ورسالة تذكيرية تحتوي خطوات إتمام عملية الدفع واسترجاع ملفاته من جديد.
6) الدفع: في هذه المرحلة يقرر المستخدم أنه يجب عليه الدفع لاسترجاع ملفاته ولا يوجد خِيار آخر أمامه، فيقرر اتباع التعليمات المضمّنة في الرسالة التذكيرية والتي تحتوي عادة على عنوان محفظة البيتكوين التي يجب عليك إرسال الدفعة إليها، بالإضافة إلى كيفية شراء البيتكوين (العملات الرقمية) إن لم يكن المستخدم يملكه.
7) فك التشفير: بعد إتمام عملية الدفع فمن المفروض أن يتلقى الضحية مفتاح فك التشفير الذي سيرجع إليه الوصول الكامل إلى ملفاته من جديد بدون تشفير، لكن! لا يوجد ضمان مؤكد 100% أن الضحية سيتلقى مفتاح فك التشفير بعد إتمام عملية الدفع كما وعد المهاجمون.
6- كيفية الحماية من فيروس الفديه
دعنا نتفق على أن أفضل طريقة لحماية نفسك وحماية جهازك من هجوم فيروس الفدية هو منع حدوثه في المقام الأول; بمعنى منع فيروس الفدية الضار الخبيث من إصابة جهازك في المقام الأول. وعليه يجب عليك اتباع النصائح التالية:
– استثمر في وعيك السيبراني: أهم شيء تعتمد عليه البرمجيات الخبيثة ومنها فيروسات الفدية للانتشار هي الهندسة الاجتماعية، فكل طرق الانتشار تعتمد على مجموعة حيل تستخدم لخداع المستخدم وجعله يقع في الفخ بدون وعي منه. لهذا يجب عليك أن تبقى دائما مطلعًا على آخر مستجدات الأمن الإلكتروني (cybersecurity)، وثقّف نفسك باستمرار حول كيفية كشف خدع وحيل فيروسات الفدية التي تستعملها لشنّ هجماتها وإصابة الأجهزة وكذلك كيفية تجنبها.
– كن متشككا: عليك أن تكون دائما متشككا عند استعمالك للإنترنت; فدائما عليك أن تكون حذرًا عند التعامل مع الروابط والإيميلات حتى التي تأتي من جهات وأشخاص تعرفها وتثق بها. وحين يتعلق الأمر بالملفات فدائما احرص على تحميلها من مواقع وجهات موثوقة. ولقطع الشك باليقين أنصحك بالاستعانة بأدوات مجانية مثل [VirusTotal] والتي ستساعدك على فحص الملفات والروابط قبل فتحها للتأكد من خلوها من أي خطر.
– استخدم أداة حظر الإعلانات (ad blocker): كما ذكرنا سابقًا فأحد الطرق التي يستعملها المهاجمون لإصابة جهازك بفيروس الفدية هي الإعلانات؛ خصوصاً الإعلانات المنبثقة المزعجة والتي للأسف تملئ المواقع العربية على الإنترنت وتقوم بتحميل ملفات وفتح روابط دون إذنك.
– استعن بمكافح فيروسات: أو أي برنامج حماية قوي ومعروف يمتلك خاصية الحماية في الوقت الفعلي (real-time protection) بحيث يقوم بحظر الهجومات والبرمجيات الخبيثة قبل الوصول إليك. وعليه أنصحك بـ [Malwarebytes] أحد أفضل برامج الحماية الموجودة حاليًا والتي تحتوي على باقة الكاملة لحماية جهازك من فيروسات الفدية.
– أنشئ نسخ احتياطية آمنة من ملفاتك بشكل منتظم: فيروسات الفدية تكتسب قوتّها وسطوتها على الضحية فقط لأنها تمنع وصوله إلى ملفاته وتحتجزها كرهائن، أما إذا امتلك الضحية نسخة احتياطية من ملفاته المهمة في مكان آخر، فإن فيروس الفدية يفقد كل قوته وخطورته ويصبح لا شيء. لهذا ننصحك بإنشاء نسخ احتياطية آمنة من ملفاتك بشكل منظم باستعمال التخزين السحابي أو حتى التخزين الفعلي على فلاشة USB أو محرك أقراص HDD/SSD.
– تأكد من تحديث نظام التشغيل والبرامج بشكل دائم: عادة ما تستغل فيروسات الفدية وغيرها من البرمجيات الخبيثة، الثغرات الأمنية الموجودة في نظام التشغيل (ويندوز بشكل دائم ومتكرر) وكذلك الثغرات الموجودة في البرامج مثل المتصفحات وغيرها، لإصابة أجهزة الضحايا. لهذا دائما يجب عليك التأكد من تثبيت آخر التحديثات أولا بأول، سواء تحديثات نظام التشغيل أو تحديثات البرامج المثبتة على جهازك، وذلك لآن التحديثات من شأنها سد الثغرات الأمنية ومنع المخترقين من استعمالها في هجماتهم المتكررة.
7- كيفية إزالة فيروس الفديه
يجب أن تعرف أن التخلص وإزالة فيروس الفدية من على جهازك المصاب هو الجزء الأسهل من العملية، لكن استعادة ملفاتك المشفرة هو الجزء الأصعب. لماذا؟ لأنه لا يوجد ضمان 100% أنه سيتم فك تشفير ملفاتك إن دفعت الفدية.
ولهذا دائما ما ينصح الخبراء بعدم دفع الفدية لأن هذا سيزيد من طمع المهاجمين وبالتالي سيزيد من حدة هجمات الفدية. بشكل عام ما يُنصح به من خطوات لإزالة فيروس الفدية ومحاولة استيعاب الخسائر وتقليلها هو كالتالي:
- تشغيل جهاز الكمبيوتر في الوضع الآمن (Safe Mode).
- تثبيت برنامج حماية لفحص جهازك وإزالة فيروس الفدية لمنع من الانتشار أو إلحاق أضرار أخرى.
- البحث عن توفر [أدوات فك التشفير المجانية] التي من الممكن أن تساعدك على فك تشفير ملفاتك واسترجاعها بدون الحاجة إلى دفع أي فدية.
- البحث عن المساعدة سواء عبر الإنترنت أو عبر التوجه إلى الخبراء حتى يقيموا الوضع ويُطلعوك على ما يجب فعله.
في النهاية هذه هي النصائح العامة والخطوات العريضة التي من الممكن اتباعها إذا أصاب جهازك أحد فيروسات الفديه، لكن اعلم أنها لن تعمل في جميع الحالات، وكل حالة ولها أسلوبها الخاص الذي يجب اتباعه.
وكما ذكرنا سابقًا فإن أفضل ما يمكنك فعله لتفادي وصولك إلى هذه المرحلة; هو منعها من الحدوث في المقام الأول، وكما يقول المثل الشهير «درهم وقاية خير من قنطار علاج».
اقرأ أيضًا: تحميل برنامج انتي فايروس عربي للكمبيوتر مجانا 2022
8- أشهر فيروسات الفدية وأكثرها فتكًا على مر التاريخ
هذه قائمة بأشهر فيروسات الفدية التي كانت بمثابة جائحة عالمية أحدثت أضرارًا وتأثيرات بليغة:
- WannaCry: كان السبب الذي أشعل فتيل موجة فيروسات الفدية بعدها. ففي سنة 2017 انتشر فيروس الفدية WannaCry حول العالم كالنار على الهشيم عبر 150 دولة مخلفًا حوالي 230 ألف جهاز مصاب بالإضافة إلى خسائر مقدرة بـ 4 مليارات دولار.
- Ryuk: انتشر أول مرة سنة 2018 وكان يستهدف المؤسسات والشركات التي تحتوي أنظمتها على ثغرات أمنية كالمستشفيات وما إلى ذلك، وكان يصيب الأجهزة عن طريق التصيد الاحتيالي عبر البريد الإلكتروني (Email phishing) أو التنزيل بدون إذن (Drive-by downloads). يُعرف Ryuk بأنه أحد أغلى أنواع فيروسات الفدية الموجودة في العالم، فهو يستهدف الشركات والمؤسسات الكبيرة ويطلب منهم فدية تزيد في المتوسط عن 1 مليون دولار، وقد وصل الرقم إلى 12.5 مليون دولار كأقصى حد. ومن المحتمل أن يكون قد حقق فيروس الفدية Ryuk ما مجموعه 150 مليون دولار أمريكي بنهاية عام 2020.
- Petya: من النوع الذي يستهدف أجهزة الكمبيوتر العاملة بنظام ويندوز، وحين يصيب الجهاز فإنه يقوم بتشفير القرص الصلب بأكمله لقفل جهاز الكمبيوتر ومنعك من استخدامه. انتشر فيروس الفدية Petya سنة 2016 ثم عاد في شكل أكثر تقدما في عام 2017. حسب [تقرير نشرته مجلة Wired]، فإن إجمالي الأضرار التي سببها NotPetya (من نفس عائلة Petya) تقدّر بأكثر من 10 مليارات دولار.
كانت هذه نبذة موجزة جدًا عن أكثر فيروسات الفدية فتكًا على مر التاريخ ولا تزال القائمة طويلة، لكن لا يسعنا ذكرها بالكامل.
9- أحدث أشكال تهديدات فيروس الفديه
يجب أن تعرف أنه يتم وباستمرار تغيير أشكال تهديدات فيروس الفدية من قبل أصحابها حتى لا يتم كشفهم، وحتى تجد برمجيات الفدية الخبيثة التي يصنعونها طريقها إلى ضحايا جدد. لهذا وجب عليك معرفة أحد أشكال وأوجه تهديدات فيروس الفدية حتى تحمي نفسك من الوقوع كضحية لأحد فيروسات الفدية في المستقبل. إليك أحدث أشكال التهديدات:
– DLL Side Loading: أين يقوم فيروس الفديه بانتحال صفة ملف DLL حقيقي لتجنب الكشف وخداع المستخدم لإصابة جهازه، حيث أن ملفات DLL تعتبر من ملفات نظام ويندوز الضرورية لتشغيل الكثير من البرامج والخدمات، ودائما ما يجد المستخدم نفسه مضطرا للبحث عن ملفات DLL الناقصة وتحميلها على جهازه كي يشتغل كل شيء بدون مشاكل. لهذا عليك الحذر كمستخدم من الآن وصاعدًا حينما تتعامل مع ملفات DLL أو تحملها من الإنترنت، لأنها قد تكون بوابة أحد فيروسات الفدية لإصابة جهازك دون علم منك.
– استهداف خوادم الويب: أين يقوم فيروس الفديه باستعمال رسائل البريد الإلكتروني التصيدية لاستهداف وإصابة خوادم الويب ومنه إصابة كل المواقع المستضافة على الخوادم وتشويه المواقع عبر إظهار رسالة الفدية عند ولوج الزوار إليها، وهذا يضع ضغطًا على أصحابها لدفع الفدية.
– Spear-phishing: أو التصيد الاحتيالي بالرمح هو ما يفضله حاليا أصحاب فيروسات الفدية عن التصيد الاحتيالي العادي; أين يقوم المهاجمون باستهداف أهداف محددة ذات صلاحيات عالية، بدل الاستهداف العشوائي لآلاف الضحايا المحتملين دفعة واحدة.
– Ransomware as a Service (RaaS): برمجيات الفدية كخدمة; أين يقوم أصحاب فيروسات الفدية ببيع أو تأجير برمجيات الفدية للمشترين الذين يصبح باستطاعتهم شن هجمات دون الحاجة إلى أي خبرة في الأمن الرقمي أو في إعداد البرمجيات الخبيثة.