تقرير عن أضرار الهجمات الأخيرة التي استهدفت بدقة شركات كبيرة! وكيف تحمي نفسك منها!

فيروس الفدية أثار الرعب في العالم كله

كاسبرسكي

 ExPetr فيروس يستهدف أعمالاً خطيرة

إننا بصدد مشاهدة انتشار نوع جديد من برامج التشفير الخبيثة. ولقد أسماه خبراء كاسبرسكي ExPetr

 (Petya وPetrWrap وغيره من الأسماء الأخرى).

ويتمثل الفارق الرئيسي مع هذا النوع الجديد من فيروسات الفدية هذه المرة في أن المجرمين قد اختاروا أهدافهم بمنتهى العناية والدقة: حيث إن معظم الضحايا شركات وليسوا مستهلكين.

أما الجزء الأسوأ المرتبط بهذا النوع من الفيروس فيتمثل في وجود مرافق البنية التحتية ذات الأهمية الكبيرة ضمن ضحايا هذا البرنامج الخبيث. فعلى سبيل المثال، أفادت تقارير أن بعض الرحلات الجوية قد تم تأجيلها في مطار بوريسبيل في كييف بسبب الهجوم. وازداد الأمر سوءاً – حيث أفادت تقارير أن نظام المراقبة الخاص بإشعاع محطة تشيرنوبل النووية الرهيب سيتوقف بشكل مؤقت لنفس السبب أيضاً.

ما السبب وراء استمرار إصابة أنظمة البنية التحتية المهمة ببرامج التشفير الخبيثة؟

يرجع السبب في ذلك إما إلى ارتباطها بشكل مباشر بالشبكات الخاصة بمكاتب الشركة وإما بسبب إمكانية وصولها بشكل مباشر إلى الإنترنت.

ما الذي ينبغي فعله؟

وكما هو الحال مع فيروس الفدية “واناكراي” ، فإننا نواجه مشكلتين واضحتين: الاختراق الأوَّلي للبرامج الخبيثة في البنية التحتية للشركة وتغلغلها بداخلها. وهاتان المشكلتان لا بد من علاجِهما كلٍّ على حدة.

الاختراق الأوَّلي

يبين خبراؤنا الطرق المختلفة التي تنجح من خلالها البرامج الخبيثة في اختراق الشبكة.

بيد أن هذه البرامج استخدمت المواقع الخبيثة في بعض الأحيان (الإصابة بمجرد المرور عليها)، حيث تسلَّم المستخدمون البرامج الخبيثة المتنكرة في صورة تحديث للنظام. وفي أحيان أخرى، انتشرت الإصابة عن طريق تحديثات البرامج من قبل طرف ثالث – على سبيل المثال من خلال البرنامج  المحاسبي الأوكراني الذي يطلق :عليه اسم
M.E.Doc.-
وبطريقة أخرى، لا يوجد نقطة دخول واحدة يمكن توقعها لتوفير الحماية.

ولقد قدمنا بعض التوصيات لمنع البرامج الخبيثة من اختراق البنية التحتية الخاصة بك مثل:

• إبلاغ موظفيك بعدم فتح المرفقات المشبوهة أبداً أو النقر فوق الروابط الموجودة برسائل البريد الإلكتروني (يبدو هذا الأمر واضحاً لكن الأشخاص يصرون على فعل ذلك).
• ضمان تزويد جميع الأنظمة المتصلة بالإنترنت بحلول أمان مستحدثة وتتضمن مكونات التحليل السلوكي.
• التحقق من تفعيل المكونات المهمة والضرورية لحلول الأمان (فيما يتعلق بمنتجات كاسبرسكي لاب، وضمان تفعيل شبكة مكافحة التهديدات المعتمدة على “الكلاود” عبر شبكة أمن كاسبرسكي “كاسبرسكي سكيورتي نتورك ” والمحرك السلوكي “سيستم واتشر “).
• تحديث حلول الأمان بشكل منتظم.
• استخدام الأدوات الخاصة بمراقبة حلول الأمان والتحكم فيها من خلال وحدة إدارية واحدة ، وعدم السماح للموظفين بالتلاعب بالإعدادات الخاصة بها.

يمكنك تثبيت الأداة المجانية لدينا لمكافحة فيروسات الفدية
Kaspersky Anti-Ransomware Tool
، والتي تتوافق مع معظم حلول الأمان الأخرى، بوصفها تدبيرَ حمايةٍ إضافياً (لا سيما في حال عدم استخدامك منتجات كاسبرسكي لاب).

التغلغل في الشبكة

بمجرد أن يثبت الفيروس أقدامه في نظام واحد، يصبح أفضل أداءً من فيروس واناكراي من حيث التغلغل في شبكة محلية؛ وذلك لأنه يمتلك مجموعة من القدرات الشاملة لهذا الغرض تحديداً.

أولاً: يستخدم هذا الفيروس ثغرتين على الأقل: ثغرة انترنالبلو المُعَدَّلة (هذه الثغرة مستخدمة أيضاً من قبل فيروس واناكراي) وثغرة انترنالرومانس.

ثانياً: عندما يصيب النظام الذي يمتلك عليه المستخدم مزايا إدارية، فإنه يبدأ في نشر نفسه باستخدام تقنية
Windows Management Instrumentation او PsExec.

ومن أجل منع البرامج الخبيثة من التغلغل في الشبكة (ولا سيما داخل أنظمة البنية التحتية المهمة)، فإنه يتعين عليك:

  • فصل الأنظمة التي تتطلب اتصال إنترنت فعالاً في قسم شبكة منفصل.
  • تقسيم الشبكة المتبقية إلى شبكات فرعية أو شبكات فرعية افتراضية ذات توصيلات محددة، أي توصيل الأنظمة التي تحتاجها فقط لعمليات التقنية.
  • الاطلاع على مشورة خبراء فريق الاستجابة لحالات الطوارئ الخاصة بأنظمة التحكم الصناعي لدى كاسبرسكي لاب الموضحة بعد انتشار فيروس واناكراي (تم تشجيع الشركات الصناعية على وجه الخصوص لاستخدامها).
  • التأكد من تثبيت تحديثات الأمان المهمة لنظام ويندوز في الوقت المناسب. يعمل التحديث على غلق نقاط الضعف التي يستغلها انترنال بلو و انترنال رومانس؛ وهو ما يلعب دوراً مهماً وفعالاً على وجه الخصوص.
  • فصل الخوادم الاحتياطية عن بقية الشبكة وإعاقتها باستخدام الاتصال بالمحركات عن بعد الموجودة على الخوادم الاحتياطية.
  • حظر تنفيذ الملف الذي يطلق عليه اسم
    dat
    ، باستخدام خاصية التحكم في التطبيق ببرنامج

Kaspersky Endpoint Security for Business suite
أو مع أداة النظام المساعدة
Windows AppLocker.

  • نشر حلول الأمان المتخصصة مثل:
    Kaspersky Embedded Security Systems
    فيما يتعلق بالبنية التحتية التي تنطوي على العديد من الأنظمة المتضمنة.
  • تكوين وضع “رفض الافتراضي” بوصفه تدابير حماية إضافياً على الأنظمة متى أمكن ذلك (على سبيل المثال على أجهزة الكمبيوتر المساعدة ذات البرامج التي نادراً ما يتم تعديلها). ويمكن إجراء ذلك ضمن مكون مراقبة التطبيق الخاص ببرنامج
    Kaspersky Endpoint Security for Business suite.

لا تقم بدفع الفدية!

مزود البريد الإلكتروني الألماني  “بوستيو” أغلق عنوان البريد الإلكتروني الذي كان من المفترض أن يستخدم من قبل الضحايا للاتصال مع مشن الهجوم، ومعاملات البيتكوين وتلقي مفاتيح فك التشفير. ما يعنيه هذا هو أن الضحايا لن يستطيعوا الحصول على ملفاتهم مرة أخرى حتى إذا دفعوا الفدية.
في كاسبيرسكي لاب، نحن لا ننصح بدفع الفدية، وفي هذه الحالة يبدو أنه لا طائل منه على أي حال.

تحديث هام! 

اكتشف خبرائنا ان الأمل لكي يسترجع ضحايا الهجوم ملفاتهم ضعيف للغاية!
بعد ابحاث دقيقة وتحليل لكود تشفير البيانات الذي يستخدمه الهجوم، توصل الخبراء الي انه الكود لا يحتوي على الملف الذي يمكنه الغاء تشفير الملفات مرة أخرى.
في الهجمات السابقة كان يحتوي فيروس الفدية على ملف يمكنه الغاء تشفير ملفات الضحايا واعادتها لهم.

فيروس الفدية في الهجمات الاخيرة لا يحتوي على هذا الملف الذي يمكنه الغاء التشفير، مما يعني انه لا يوجد امل للضحايا ان يستعيدو ملفاتهم المشفرة.

دفع الفدية لن يساعدك ان تسترجع ملفاتك، فلا تدفع.


المصدر: كاسبرسكي

اترك تعليقًا

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s

هذا الموقع يستخدم خدمة Akismet للتقليل من البريد المزعجة. اعرف المزيد عن كيفية التعامل مع بيانات التعليقات الخاصة بك processed.