فيروسات الفدية أصبحت كابوس لكل من يستخدم نظام ويندوز حيث انها تتجدد وتتغير باستمرار ويبدو أنها تنتشر بشكل مخيف دون قدرة حقيقية على اعتراضها.
من أهم الطرق لإيقاف الفيروس هي نباهة المستخدم. عدم الدخول الى المواقع المشبوهة و عدم استخدام البرامج المسروقة هم اهم الطرق التم تحميل من الفيروس بشكل عام.
الفيروس الجديد وعلى ما يبدو يستهدف أنطمة لينيكس و ويندوز ولكن بشكل منظم وليس عشوائي. الفيروس الجديد يحمل الاسم Tycoon حسب ما ظهر في الكود الخاص به حسب ما أظهرت التحليلات الأمنية وهو متواجد منذ شهر ديسمبر من العام الماضي.
على ما يبدو أن الفيروس من عمل جماعة منظمة وانتقائية جدا في الاستهداف حيث انهم يستهدفون المؤسسات التعليمية وشركات البرمجة. أيضا يستخدم الفيروس طرق غير معهودة في الحفاظ على سرية وجودة في الشبكات المخترقة.
الفيروس الذي تم اكتشافه من قبل باحثين في شركة BlackBerry بالتعاون مع محللين أمنيين من شركة KPMG يستخدم طرق غير معهودة في برمجته وتخفيه حيث أن الفيروس مكتوب بلغة الجافا وهو متخفي كتطبيق جافا عادي ويتم تشغيله من خلال جافا على أنه صورة جافا من نوع Jimage.
هذه طرق غريبة وغير معهودة في برمجة وإخفاء الفيروسات حيث لانه من النادر جدا كتابة فيروسات بلغة جافا فالفيروس لن يعمل في حال لم يتم تثبيت بيئة جافا على الجهاز المستخدم وملفات الصور نادرا ما تكون خبيثة.
في العادة يحتاج المبرمج الى اخفاء وتشفير الكود الخاص بالفيروس ليتمكن من التخفي ولكن هنا لم يقم المبرمج بأي من هذه الأشياء ومع ذلك نجح في تخطي العديد من برامج الحماية بدون أي مشكلة بسبب طريقة برمجة الفيروس.
ولكن الإصابة بالفيروس نفسه تبقى مسألة ضعيفة وقليلة الحدوث ﻷن الفيروس يعتمد على بروتوكولات RDP للإنتقال وهو يدخل هذه الخوادم من خلال شبكات مخترقة مسبقا أو من خلال شبكات تستخدم كلمات مرور ضعيفة أو مسربة من قبل.
الرابط التالي يحتوي على بعض المعلومات التي قد تساعدك في البقاء آمن على الإنترنت ويجب عليك اتباعها على كل حال حتى لو كان لديك مضاد فيروسات:
https://linuxarabia.co/internet-safety
بعد اختراق الشبكة وتواجد المخترق في الكمبيوتر المستهدف، يتم اتباع طرقة IFEO في حقن الفيروس وبعدها يتم الحصول على تصاريح ادارية في ايقاف برامج الحماية من خلال طريقة ProcessHacker وذلك لإيقاف أي محاولة لإزالة الفيروس من النظام بعد التعرف عليه.
بعد اتمام عملية الإختراق وتثبيت الفيروس يبدأ الفيروس بعمله في تشفير الملفات بصيغة redrum، grinch، thanos ويقوم بعرض رسالة لطلب الفدية بعملات مشفرة بالطبع والمبلغ يختلف حسب سرعة تنفيذ طلبات المخترق.
حقيقة أن الفيروس لا زال يعمل حتى هذا اليوم هو دليل على أن الأمر مربح للمطورين الذين قاموا بعمل الفيروس ولا زال مصدر دخل لهم.
الحماية من الفيروس
على الرغم من انه فيروس وينتشر بطرق الإنتشار العادية للفيروس، بالإمكان أخذ بعض الاحتياطات للحد من انتشاره او حتى تجنبه تماما.
بما أن طريقة الإنتشار الرئيسية هي بروتوكول RDP، من المفضل التأكد من إغلاق المنافذ الغير مستخدمة في النظام وأن هذه المنافذ لا تقبل أي اتصال من أي جهة.
أيضا يجب التأكد من تغيير كلمات المرور الإفتراضية وعدم استخدام أي اتصال بكلمة مرور ضعيفة او مسربة.
من المهم أيضا التأكد من تثبيت التحديثات الأمنية متى توفرت حيث انها توفر حماية من معظم الثغرات المكتشفة.
نقطة اضافية يجب الإهتمام بها هي النسخ الإحتياطي الخارجي سواء على السحابة او على خادم نسخ احتياطي خاص حيث تكون البيانات بعيدة عن الكمبيوتر المصاب.
