ماهو فيروس Petya Ransomware وكيفية حذفه والوقاية منه

على الجميع وبخاصة المؤسسات ان تأخذ الحذر من تطبيق الفدية الخبيث الجديد فيروس Petya Ransomware :

(هذا التنويه يحتوي بعض التفاصيل الفنية الخاصة بانظمة تشغيل الحاسب الآلي ولكن هامة جدا لحماية الجميع من مخاطر الاحتيال والتعرض لضياع ملفات الكترونية هامة وما يصاحب هذا من أضرار مؤسسية وشخصية)


ماذا يفعل  فيروس Petya Ransomware

الملخص المفيد ان فيروس Petya Ransomware يستغل نفس الثغرة الخاصة ب WannaCry و الموجودة فى بعض إصدارات نظام التشغيل ويندوز واللى اسمها Eternal Blue والتى تم تسريبها بواسطة مجموعة Shadow Brokers من NSA او وكالة الامن القومى الامريكية، وايضا بتستغل ال Open Shares على الشبكة الداخلية من خلال PSEXEC و WMIC، بالنسبة لتشفير الملفات فيروس Petya Ransomware لديها نظام جديد فى تشفير الملفات بأنها لا تقوم بتشفير ملف ملف مثل WannaCry، بل تقوم بتشفير ال Master Boot Record او MBR الخاصة بالهارد ديسك بالكامل (فى حالة الحصول على صلاحيات Administrator) بحيث انها تمنع ال loader من انه يقرا اى file tables او جداول الملفات اللتى يكون بها كل معلومات الملفات الموجوده على جهازك بالكامل وتقوم بعرض رسالة؛ الرساله دى بتفيد ان ال MBR تم تشفيره بالكامل وانك يجب ان تدفع ٣٠٠ دولار فدية لكي تسترد ملفاتك، اما فى حالة عدم حصول فيروس Petya Ransomware على صلاحيات Admin تقوم بتشفير الملفات بطريقة عادية جدا مثل اى ransomware سابق.


ماهي طريقة تشفير  فيروس Petya Ransomware

طريقة تشفير فيروس Petya Ransomware لل MBRR ليست جديده وهي اخطر كثيرا من تشفير الملفات لانه يصعب المهمه على ال researchers فى إيجاد علاج لهذا النوع بشكل سريع، تطبيق الفديه فيروس Petya Ransomware ضرب الى الان اكتر من مؤسسة سواء حكومية او مؤسسات عامة دوليا ولذا وجب التنويه.


إقرأ أيضاً :


كيفية الحماية والوقاية من  فيروس Petya Ransomware

لتحقيق الحماية من هذا النوع من ال Ransomwares

- اولا يجب تحديث نظام التشغيل ويندوز الخاص بك بأخر التحديثات وتحديدا التحديث اللى بيقوم بسد الثغرة الموضحه اعلاه، التحديث ومعلومات عن الثغرة نفسها موجود هنا: https://goo.gl/orDfJL

- ثانيا يجب تعطيل بروتوكول SMB الاصدار ١١ (مايكروسوفت قامت بتعطيله بالفعل فى اخر اصدار هيتم اصداره من ويندوز ١٠) طرق تعطيل البروتوكول بجميع اصداراته هنا: https://goo.gl/wNoNCN

- ثالثا حاول تتأكد ان ليس لديك اى فولدرات او اى موارد تمت مشاركتها على الشبكه المحلية وحاول تغلق ال sharing بالكامل وتفعل ال firewall الخاص بويندوز (ليس مجدى دائما لكن احيانا ينفع)

- رابعاً الوقاية خير من العلاج فيجب الا يتم تحميل تطيبقات او انك تستلم ملفات من اشخاص غير معلومين ولا يتم الضغط على اى لينكات مشبوهه

- خامساً النسخ الاحتياطى ثم النسخ الاحتياطى ثم النسخ الاحتياطى فى اماكن معزوله عن الانترنت بالكامل.


في حالة إصابة جهازك بفيروس Petya Ransomware ماذا تفعل؟

اى جهاز يصاب ب الرانسوموير Petya بيحاول بعدها ان يعيد تشغيل جهازك وتظهر لك الرساله الخاصة بالدفع وفى ذات الوقت تحديدا بيبدأ Petya بتشفير ملفات الهارد درايف او ال MBR على حسب الصلاحيات اللى وصل لها قبل ال restart فيجب في هذا التوقيت بدلا من ان تعيد التشغيل او تبوت او boot من الهارد درايف الخاص بالجهاز، حاول تنزيل Hiren's Boot CD او اى Live CD وعدل خيارات ال boot فى جهازك بحيث ان يتم التشغيل من ال Live CD ثم يتم عمل نسخ احتياطى او ريكوفر للملفات الخاصة بالجهاز على قرص صلب خارجى مع عدم محاولة القيام بالتشغيل boot من القرص الصلب المتاح اطلاقاً.

(هذه المعلومات بمشاركة كريمة من احد الخبراء المصريين المميزين دوليا في مجال الامن السيبراني)

الحروب القادمة اقتصادية واجتماعية وسياسية ومعلوماتية سيكون جزء كبير منها من خلال الانترنت ولهذا اصبح الحذر والوعي والوقاية امر شديد الأهمية لكافة المؤسسات العامة والخاصة وكذلك للمجتمع.


تحديث : 6 يوليو 2017 

مطوري فيروس Petya Ransomware يطلبون 250 ألف دولار لإيقافه !

Petya Statement

يبدو أن الإقبال الضعيف من قبل دافعي الفدية أدى إلى أن مبرمجي فيروس Petya Ransomware إلى الخروج عن صمتهم والمطالبة بمبلغ مالي لإيقاف البرمجية عبر تقديم مفاتيح فك التشفير.

ونشرت المجموعة المبرمجة لبرمجية انتزاع الفدية رسالة على خدمة DeepPaste التي يمكن الوصول إليها عبر شبكة TOR فقط مفادها طلب دفع 100 عملة بتكوين تساوي قيمتها 250 ألف دولار تقريباً لتقديم مفاتيح فك تشفير الملفات التي تتسبب بها برمجية Petya.

[ad id="2643"]

للأسف تتسبب Petya بحذف ملفات معينة تتعلق بعمل نظام تشغيل الحواسب بالتالي لا يمكن إصلاح تلك الأضرار، لكن الملفات المشفرة بسبب البرمجية يمكن فك تشفيرها عبر المفتاح الذي سيقدمه مطوري Petya إن تم دفع الفدية المالية.

وخلال فترة نشاط البرمجية الخبيثة تمكنت المجموعة المطورة لها من جمع حوالي 10 آلاف دولار فقط من الفديات المدفوعة حتى الآن.

الجدير بالذكر أن Petya تسببت بتعطيل أعمال شركات كبرى مثل Maersk  للنقل والشحن البحري و Rosneft النفطية الروسية وغيرها، وتمكنت كل تلك الشركات من استعادة عمل أنظمتها بشكل طبيعي بعد فترة من إصابتها، فهل يأست المجموعة وراء فيروس Petya Ransomware من تحقيق أية مكاسب جديدة لذا طلبت هذا المبلغ الكبير للإيقاف النهائي لمفعول البرمجية؟.

المصدر


 تحديث في: 7 يوليو, 2017 

مش هكتب بوستات كتير عن تطبيق الفدية الخبيث الجديد Petya بس الملخص المفيد ان تطبيق الفديه Petya مشابه جدا ل WannaCry من ناحية الانتشار فقط لانه بيستغل نفس الثغرة الخاصة بفيروس WannaCry والموجودة فى بعض إصدارات نظام التشغيل ويندوز واللى اسمها ثغرة Eternal Blue .

واللى تم تسريبها بواسطة مجموعة Shadow Brokers من NSA او وكالة الامن القومى الامريكية، وايضا بتستغل ال Open Shares او اى resource كدا على الشبكة الداخلية متساب بدون اى restrictions من خلال PSEXEC و WMIC بواسطة تكنيك اسمه Pass the Hash التكنيك دا ببساطه "للناس اللى مش التيكنيكال" مفاده انه بدلا من عمل login لل machine المصاب بيتم تمرير الهاش ككلمة مرور والجهاز المصاب بيقبل الهاش ككلمة مرور واللى المفروض ان دا ميحصلش والهجوم نفسه قديم نسبيا تقدر تقرا عنه هنا: https://goo.gl/fkQMga .

بالنسبة لتشفير الملفات تطبيق الفديه Petya المره دى عندها نظام جديد فى تشفير الملفات بأنها مش بتقوم بتشفير ملف ملف زى ما كانت WannaCry بتعمل، لا، ابدا، دى بتقوم بتشفير ال Master Boot Record او MBR الخاصة بالهارد ديسك بالكامل [فى حالة الحصول على صلاحيات Administrator] بحيث انها تمنع ال loader من انه يقرا اى file tables او جداول الملفات اللى بيكون فيها كل معلومات الملفات الموجوده على جهازك بالكامل وبتقوم بعرض رسالة دي :

الرساله دى بتفيد ان ال MBR تم تشفيره بالكامل وانك لازم تدفع ٣٠٠ دولار فدية علشان تسترد ملفاتك، اما فى حالة عدم حصول تطبيق الفديه Petya على صلاحيات Admin بتقوم بتشفير الملفات بطريقة عادية جدا زى اى ransomware سبق. طريقة تشفير Petya لل MBR مش جديده وفى قبل كدا اكتر من malware و viruses عملت الكلام دا ودا اخطر جدا من تشفير الملفات لانه بيصعب المهمه على ال researchers فى انهم يلاقوا علاج للنوع دا بشكل سريع

[ad id="2643"]

تطبيق الفديه Petya ضرب لحد دلوقتى اكتر من مؤسسة سواء حكومية او مؤسسات عامة وجب التنويه علشان الدول العربيه ماشاء الله من الواضح انهم بيسمعوا متأخر عن الحاجات دى.

علشان تقدر تحمى نفسك من تطبيق الفديه Petya او النوع دا من ال Ransomwares بشكل عام اولا لازم ولابد انك تحدث نظام التشغيل ويندوز الخاص بيك بأخر التحديثات وتحديدا التحديث اللى بيقوم بسد الثغرة الموضحه اعلاه، التحديث ومعلومات عن الثغرة نفسها موجود هنا: https://goo.gl/orDfJL (طبعا الناس اللى عندها Windows مكرك بالبلدى تقريبا مش هيقدروا يعملوا التحديث)

ثانيا تقوم بتعطيل بروتوكول SMB الاصدار ١ (مايكروسوفت قامت بتعطيله بالفعل فى اخر اصدار هيتم اصداره من ويندوز ١٠) هتلاقوا طرق تعطيل البروتوكول دا بجميع اصداراته هنا: https://goo.gl/wNoNCN

ثالثا حاول تتأكد انك معندش اى فولدرات او اى موارد تمت مشاركتها على الشبكه المحلية وحاول تقفل ال sharing بالكامل وتفعل ال firewall الخاص بويندوز [اينعم مش حل مجدى دايما بس احيانا بينفع]

رابعاً الوقاية خير من العلاج فياريت متنزلش تطيبقات او انك تستلم ملفات من اشخاص متعرفهمش ولا حتى تضغط على اى لينكات مشبوهه [عارف ان رابعاً دى مطاطه شوية بس الاحتياط واجب]

خامساً قم بتعطيل ال WMIC Service والطريقه من هنا: https://goo.gl/Wu3RTB

سادساً النسخ الاحتياطى ثم النسخ الاحتياطى ثم النسخ الاحتياطى فى اماكن معزوله عن الانترنت بالكامل.

بعض الملاحظات: لحد دلوقتى لا تطبيق الفديه Petya ولا WannaCry بيصيبوا لينيكس ومفيش اى اخبار عن دا علشان محدش يسأل كتير، محدش يفضل يمشن الناس ويسوق لنظام تشغيل على الاخر لان كل نظام تشغيل وله بلاويه، - البوست هيتعدل ويفضل حديث قدر الامكان فلو ملقتش الإجابة عن أسئلتك فى الكومنتس ارجع للبوست من وقت للتانى.

معلومات فنية وتيكنيكال جدا ويرجى الحذر لانها بتحتوى على بعض عينات ال Ransomware واللى ممكن تضرك بشكل وبأخر، متتعاملش مع المعلومات الموجوده فى ال gist دا إلا اذا كنت متخصص وبالبلدى عارف بتعمل ايه: https://goo.gl/92o6TW

طيب كحل مؤقت تعمل ايه علشان Petya لو صابت جهازك متفضلش تنتشر وتصيب باقى اجهزة الشبكة المحلية والناس اللى حواليك؟

الباحثين الامنيين اكتشفوا Kill Switch او طريقة لوقف نشاط ال ransomware ودا بواسطة انك تدخل فولدر C:Windows وتنشئ ملف فارغ بإسم perfc بدون اى امتداد او extension بمعنى اصح دا هيكون مسار الملف C:Windowsperfc

[ad id="2643"]

طيب ولو حصل واتضرب جهازك ب تطبيق الفديه Petya Ransomware تعمل ايه؟

اى جهاز لما بيتضرب ب الرانسوموير تطبيق الفديه Petya بيحاول بعدها انه يعيد تشغيل الجهاز بتاعك وبتظهرلك الرساله الخاصة بالدفع فى الوقت دا تحديدا بيبدأ تطبيق الفديه Petya بتشفير ملفات الهارد درايف او ال MBR على حسب الصلاحيات اللى وصلها قبل ال restart فاللى تعمل فى الوقت دا بدلا من انك تقلع او تبوت او boot من الهارد درايف بتاعك، حاول تنزل Hiren's Boot CD او اى  Live CD وعدل خيارات ال boot فى جهازك بحيث انك تقلع من ال Live CD دا وبعدها اعمل نسخ احتياطى او ريكوفر للملفات بتاعتك على قرص صلب خارجى ومتحاولش تعمل boot من القرص الصلب المتاح اطلاقاً

علشان تساعدنا فى ال research اللى احنا بنعمله ونحاول نساعدك قدر الامكان لو عندك اى حالة من الحالات دى سواء تمت اصابتك ب WannaCry او تطبيق الفديه Petya ابعتلنا ايميل على:

911@Seekurity.com

المصدر : المتألق Mohamed A. Baset من صفحة Seekurity على الفيسبوك 

اترك رد