دائرة الرقابة الداخلية 

فيروس تشفير الملفات Wanna Cry - كيفية حماية نفسك وحفظ البيانات. كيفية حماية الخادم الخاص بك من فيروسات التشفير. كيف تحمي نفسك من فيروس الفدية Petya كيف تحمي نفسك من فيروس الفدية

لقد تحققنا هذه المرة من مدى تعقيد أدوات الحماية من الفيروسات في التعامل مع أحصنة طروادة المشفرة. ولهذا الغرض، تم اختيار مجموعة مختارة من برامج الفدية وتم كتابة برنامج منفصل يحاكي تصرفات حصان طروادة غير المعروف للتشفير. توقيعها بالتأكيد ليس موجودًا في قواعد بيانات أي مشارك في اختبار اليوم. دعونا نرى ما يمكنهم فعله!

تحذير

تمت كتابة المقال لأغراض البحث. جميع المعلومات الواردة فيه هي لأغراض إعلامية فقط. تم الحصول على جميع العينات من مصادر مفتوحة وإرسالها إلى محللي الفيروسات.

العلاجات القديمة للتهديدات الجديدة

لا تساعد برامج مكافحة الفيروسات الكلاسيكية كثيرًا في الحماية من برامج طروادة التي تقوم بتشفير الملفات وتطلب فدية لفك تشفيرها. من الناحية الفنية، تتكون برامج الفدية هذه بشكل كامل أو تقريبًا من مكونات مشروعة، لا يقوم كل منها بأي إجراءات ضارة بمفرده. تقوم البرامج الضارة ببساطة بدمجها في سلسلة، مما يؤدي إلى نتيجة كارثية - يُحرم المستخدم من فرصة العمل مع ملفاته حتى يقوم بفك تشفيرها.

في الآونة الأخيرة، ظهرت العديد من الأدوات المساعدة المتخصصة للحماية من أحصنة طروادة الخاصة ببرامج الفدية. إنهم إما يحاولون إجراء تحليل غير التوقيع (أي تحديد الإصدارات الجديدة من برامج الفدية من خلال سلوكها وسمعة الملف وغيرها من العلامات غير المباشرة)، أو ببساطة منع أي برامج من إجراء التغييرات اللازمة لإجراءات برامج الفدية.

نحن مقتنعون بأن هذه المرافق عديمة الفائدة عمليا. حتى القيود الأكثر صرامة المنصوص عليها فيها (والتي لم يعد من الممكن بموجبها العمل بشكل طبيعي) لا توفر حاجزًا موثوقًا ضد أحصنة طروادة الخاصة ببرامج الفدية. تمنع هذه البرامج بعض أنواع العدوى، لكن هذا لا يؤدي إلا إلى خلق شعور زائف بالأمان لدى المستخدم. لقد أصبح أكثر إهمالًا ووجد نفسه ضحية لبرامج الفدية بشكل أسرع.

المشكلة الرئيسية عند مكافحة أحصنة طروادة ذات التشفير الكلاسيكي هي أن جميع إجراءاتها يتم تنفيذها فقط على ملفات المستخدم ولا تؤثر على مكونات النظام. لا يمكن منع المستخدم من تغيير وحذف ملفاته. يتمتع ممثلو برامج الفدية عالية الجودة بعدد قليل جدًا من السمات السلوكية المميزة الواضحة أو لا يتمتعون بها على الإطلاق. يعمل الآن اتصال الشبكة على تشغيل معظم البرامج (على الأقل للتحقق من وجود تحديثات)، كما أن وظائف التشفير مدمجة في برامج تحرير النصوص.

اتضح أنه لا توجد علامات واضحة متبقية لأدوات الحماية الوقائية للمساعدة في التمييز بين حصان طروادة آخر لبرامج الفدية والبرنامج الشرعي. إذا لم يكن توقيع حصان طروادة موجودًا في قواعد البيانات، فإن فرصة اكتشاف برنامج مكافحة الفيروسات له تكون ضئيلة جدًا. تستجيب الوحدة الإرشادية فقط للتعديلات الأولية لبرامج الفدية المعروفة، وعادةً لا يكتشف المحلل السلوكي أي نشاط مشبوه على الإطلاق.

النسخ الاحتياطية تختلف عن النسخ الاحتياطية!

اليوم، تصاب آلاف أجهزة الكمبيوتر ببرامج الفدية يوميًا، وعادةً ما يتم ذلك على أيدي المستخدمين أنفسهم. تقبل شركات مكافحة الفيروسات طلبات فك تشفير الملفات (مجانًا من عملائها)، إلا أن محلليها ليسوا ذوي قدرة مطلقة. في بعض الأحيان يكون من الممكن جمع القليل جدًا من البيانات لفك التشفير بنجاح، أو أن خوارزمية طروادة نفسها تحتوي على أخطاء تجعل من المستحيل استعادة الملفات في شكلها الأصلي. تتم الآن معالجة طلبات فك التشفير من يومين إلى ستة أشهر، وخلال هذا الوقت يفقد الكثير منهم أهميتهم. يبقى البحث عن وسائل حماية إضافية دون الاعتماد على برنامج مكافحة الفيروسات.

لفترة طويلة، كانت النسخ الاحتياطية هي الحماية الشاملة ضد أي هجمات فيروسية. في حالة الإصابة ببرامج ضارة جديدة، يمكنك ببساطة استعادة كل شيء من النسخة الاحتياطية، والكتابة فوق الملفات المشفرة بإصداراتها الأصلية والتراجع عن أي تغييرات غير مرغوب فيها. ومع ذلك، فقد تعلمت أحصنة طروادة ذات التشفير الحديث كيفية التعرف على النسخ الاحتياطية وإتلافها أيضًا. إذا تم تكوين الإنشاء التلقائي، فإن وحدة تخزين النسخ الاحتياطي تكون متصلة وقابلة للكتابة. يقوم حصان طروادة المتقدم بفحص كافة محركات الأقراص المحلية والخارجية ومحركات الأقراص على الشبكة، وتحديد الدليل الذي يحتوي على نسخ احتياطية وتشفيرها أو حذفها، مما يؤدي إلى محو المساحة الخالية.

يعد إجراء النسخ الاحتياطية يدويًا أمرًا مملًا للغاية وغير موثوق به. من الصعب إجراء مثل هذه العملية كل يوم، وعلى مدى فترة زمنية أطول، ستتراكم الكثير من البيانات ذات الصلة، والتي لن يكون لها مكان يمكن استعادتها. كيف تكون؟

اليوم، يقدم معظم المطورين، بالإضافة إلى برامج مكافحة الفيروسات الكلاسيكية، حلولًا أمنية شاملة. الآن، بالإضافة إلى جدار الحماية، وIDS وغيرها من المكونات المعروفة، فهي تحتوي على وحدة تخزين احتياطية آمنة جديدة. على عكس الدليل العادي الذي يحتوي على نسخ احتياطية، فإن برنامج مكافحة الفيروسات نفسه فقط هو الذي يمكنه الوصول إليه ويتم التحكم فيه بواسطة برنامج التشغيل الخاص به. تم تعطيل إدارة الدليل الخارجي تمامًا - حتى أن المسؤول لا يمكنه فتحه أو حذفه من خلال مدير الملفات. دعونا نرى مدى جودة هذا النهج.

منهجية الاختبار

بالنسبة لتجاربنا، قمنا بعمل نسخ من جهاز افتراضي يعمل بنظام التشغيل Windows 10 النظيف وأحدث مجموعات التصحيح. تم تثبيت برنامج مكافحة الفيروسات الخاص بكل منهم. مباشرة بعد تحديث قواعد البيانات، قمنا بفحص استجابة برنامج مكافحة الفيروسات لاختيار الاختبار وبرنامج المحاكاة الخاص بنا. وتضمنت مجموعة الاختبار 15 عينة. ومن بين هذه التعديلات، كان 14 تعديلًا مختلفًا لأحصنة طروادة المعروفة لبرامج الفدية، وكان الخامس عشر عبارة عن حصان طروادة للتنزيل قام بتنزيل برنامج فدية آخر من موقع بعيد.

كان لجميع العينات ملحق .tst، بغض النظر عن تنسيق الملف الفعلي. وهناك برنامج مكتوب خصيصًا لهذه الاختبارات، يُسمى ببساطة EncryptFiles، وهو يقلد السلوك النموذجي لفيروس حصان طروادة المشفر. عند تشغيله باستخدام المعلمات الافتراضية، يقوم على الفور بتشفير محتويات الملفات من دليل "المستندات" دون أي أسئلة. من أجل الوضوح، قمنا بحفظ رسائل الصدى في البرنامج ووضعنا بضعة ملفات نصية بتشفير OEM-866 في الدليل مع مستندات المستخدم الحالي من أجل عرض محتوياتها مباشرة في وحدة التحكم على الفور. يحتوي أحد الملفات على اقتباسات من أعمال Strugatskys (نص بسيط غير منسق)، والآخر يحتوي على معلمات العدسة في شكل جدول (نص منسق).

بعد تثبيت كل برنامج مكافحة فيروسات وتحديثه، تم نسخ عينات برامج الفدية إلى دليل التنزيلات من مجلد شبكة متصل في وضع القراءة فقط. ثم تم فحص الملفات المنسوخة أيضًا بواسطة برنامج مكافحة الفيروسات (الفحص القسري عند الطلب) في الإعدادات الافتراضية. العينات المتبقية بعد التحقق تم تعيين امتدادها الحقيقي، وبعد ذلك تم إطلاقها. إذا لم يكن النظام مصابا، فسيتم فحص استجابة مكافحة الفيروسات لبرنامج المحاكاة. إذا تم تشفير الملفات بنجاح، فحاولنا استعادة إصداراتها الأصلية باستخدام برنامج مكافحة الفيروسات وقمنا بتسجيل النتيجة.

كاسبيرسكي توتال سيكيوريتي

لقد قمنا بتثبيت برنامج Kaspersky Total Security في أحد أجهزتنا الافتراضية التجريبية، والذي وعدنا "بالحماية من برامج الفدية التي تمنع إتلاف الملفات بواسطة البرامج الضارة". تعرفت KTS على جميع التهديدات تقريبًا عند محاولة نسخ عينات برامج الفدية من مجلد الشبكة.


تم تضمين ملف واحد فقط من أصل خمسة عشر ملفًا في دليل "التنزيلات" - nd75150946.tst - وهذا هو Trojan.Downloader، وهو معروف منذ فترة طويلة. وبعد التحقق الإضافي بناءً على طلب KTS، تم اعتبار الملف آمنًا مرة أخرى. اختلف خمسة وأربعون برنامجًا لفحص الفيروسات على موقع VirusTotal.



لقد فتحنا هذه العينة باستخدام محرر Hex لتحديد امتدادها الحقيقي. الرأس المألوف 50 4B 03 04 واسم ملف آخر بداخله - من الواضح أن هذا أرشيف ZIP. كان هناك ملف مشبوه داخل الأرشيف: رمزه يتوافق مع مستند PDF، وكان الامتداد .scr - شاشة توقف، أي رمز قابل للتنفيذ.


عند محاولة تشغيل ملف بامتداد .scr من الأرشيف، قام KTS بحظر نسخته التي تم فك حزمتها تلقائيًا في الدليل المؤقت للمستخدم. واستنادًا إلى نتائج التحليل السحابي عبر شبكة KSN، حدد هذا الملف باعتباره كائنًا ضارًا غير معروف واقترح حذفه من خلال إعادة التشغيل. في هذه الحالة، كان ذلك إجراءً احترازيًا مفرطًا، حيث لم يتمكن حصان طروادة من السيطرة ويمكن حذفه بأي شكل من الأشكال، مثل الملف العادي.


يشار إلى أن Kaspersky Total Security لا يتعلم من أخطائه. عندما تم إعادة فحص الأرشيف، تم العثور عليه نظيفًا مرة أخرى، على الرغم من أن الملف الذي تم تفريغه منه قد تسبب للتو في حدوث مشغل وفقًا لنتائج التحليل في KSN.



في بداية المرحلة التالية من الاختبار، قمنا بفحص الحالة الأولية لدليل "المستندات" وأخرجنا محتويات ملفين نصيين منه إلى وحدة التحكم.



وبعد ذلك فتحنا وحدة "النسخ الاحتياطي والاستعادة" وقمنا بنسخ هذه المستندات احتياطيًا إلى مجلد النسخ الاحتياطي مباشرة على قسم النظام. في الوضع الحقيقي، يجب عليك اختيار موقع مختلف (على سبيل المثال، محرك أقراص خارجي)، ولكن بالنسبة لاختبارنا لا يهم. على أية حال، يتم التحكم في الوصول إلى هذا المجلد بواسطة أدوات KTS، ولا يمكن لأحصنة طروادة التفاعل معه من خلال برنامج تشغيل نظام الملفات القياسي.



باستخدام الأدوات العادية، حتى المسؤول يمكنه فقط عرض خصائص هذا المجلد. عند محاولة تسجيل الدخول، يبدأ مدير النسخ الاحتياطي KTS تلقائيًا ويطلب منك إدخال كلمة المرور، إذا تم تعيينها مسبقًا.



مدير النسخ الاحتياطي في Kaspersky نفسه واضح جدًا. يمكنك تحديد الدلائل القياسية أو تحديد المجلدات الخاصة بك أو استبعاد الملفات الفردية. يتم عرض عدد الملفات من كل نوع على الفور في النافذة الموجودة على اليسار، ويتم عرض حجمها في الخصائص على اليمين.



بالإضافة إلى تسجيل النسخ الاحتياطية على محركات الأقراص المحلية والقابلة للإزالة، تدعم KTS إرسالها إلى Dropbox. يعد استخدام التخزين السحابي مناسبًا بشكل خاص إذا كانت البرامج الضارة تمنع الكمبيوتر من بدء تشغيل الوسائط الخارجية وتوصيلها.



تجاهلت KTS برنامج المحاكاة الخاص بنا. لقد قامت بتشفير الملفات بهدوء، وحولت محتوياتها إلى هراء. يعد رفض الوصول إلى الدلائل الفرعية "مقاطع الفيديو الخاصة بي" و"صوري" و"موسيقاي" عيبًا في البرنامج نفسه، ولا يؤثر بأي شكل من الأشكال على قدرته على تشفير الملفات في %USERPROFILE%Documents.

إذا تم تنفيذ وظيفة فك التشفير في برنامجنا ببساطة عند تشغيلها باستخدام مفتاح /decrypt، فإنها لا تبدأ دائمًا في أحصنة طروادة حتى بعد استيفاء طلبات الفدية. الخيار الوحيد السريع بما يكفي لاستعادة الملفات المشفرة في هذه الحالة هو الكتابة فوقها من نسخة احتياطية تم إنشاؤها مسبقًا. ومن خلال بضع نقرات فقط، تمكنا بشكل انتقائي من استعادة أحد الملفات المشفرة إلى موقعه الأصلي. وبنفس الطريقة، يمكنك استعادة دليل كامل أو أكثر.


Dr.Web Security Space

مثل KTS، حدد Dr.Web SS 14 عينة من أصل 15 حتى عند محاولة نسخها إلى دليل "التنزيلات".



ومع ذلك، على عكس KTS، فقد اكتشف Trojan.Downloader في العينة المتبقية بعد تغيير امتداده إلى ZIP وإجراء فحص قسري.


يتم قفل معظم إعدادات Dr.Web SS بشكل افتراضي. لتنشيطه، يجب عليك أولاً النقر على أيقونة القفل وإدخال كلمة المرور، إذا تم تعيينها.


يتم إنشاء النسخ الاحتياطية في Dr.Web SS باستخدام أداة "منع فقدان البيانات". الإعدادات المتاحة ضئيلة. يمكنك تحديد أدلة المستخدم القياسية للنسخ الاحتياطي أو تحديد الأدلة الخاصة بك، وتعيين أحد القيود المحددة على حجم النسخ، وتحديد موقع النسخ الاحتياطية وتكوين جدول النسخ الاحتياطي. لا يدعم Dr.Web SS التحميل على التخزين السحابي، لذا عليك أن تقتصر على محركات الأقراص المحلية.



تعد حماية دليل النسخ الاحتياطي لـ Dr.Web SS أكثر قوة من حماية KTS. لا يمكن للمسؤول حتى عرض خصائصه من خلال Explorer.



لقد قمنا بعمل نسخ احتياطية من المستندات وبدأنا الجزء الثاني من الاختبار.

لم يتعرف محاكي Dr.Web SS على البرنامج ولم يتدخل في تشغيله بأي شكل من الأشكال. وفي جزء من الثانية، تم تشفير جميع الملفات.



ومن خلال تشغيل ميزة "منع فقدان البيانات" مرة أخرى، قمنا باستعادة الملفات الأصلية. ومع ذلك، لم يتم الحفاظ عليها حيث كان متوقعا.


عند تحديد المجلد الهدف "المستندات"، يتم إنشاء دليل فرعي بداخله تلقائيًا بالتاريخ والوقت الحاليين كاسم. تم بالفعل تفكيك الملفات المحفوظة من النسخة الاحتياطية فيه، وتتم استعادة كافة المسارات النسبية. يؤدي هذا إلى إنشاء مسار طويل للغاية ويمكن أن يتجاوز بسهولة الحد الأقصى الشائع وهو 255 حرفًا.


نورتون الأمن بريميوم

تذكر Norton Ghost، الذي أصبح معيار النسخ الاحتياطي في التسعينيات، كان من السهل التنبؤ بظهور وظائف مماثلة في برنامج مكافحة الفيروسات من Symantec. ومن المثير للدهشة أن عقدين من الزمن قد مرا قبل أن يصبح هذا الحل الواضح شائعا. لن تكون هناك سعادة، لكن سوء الحظ سيساعد.

عند محاولة نسخ دليل يحتوي على عينات من برامج الفدية، حدد NSP وعزل 12 تهديدًا من أصل 15.



يتم التعرف على الملفات الثلاثة المتبقية على أنها ملفات ضارة عند تحليلها بواسطة VirusTotal، بما في ذلك اثنان منها بواسطة برنامج مكافحة الفيروسات Symantec. كل ما في الأمر هو أن الإعدادات الافتراضية قد تم ضبطها بحيث لا يقوم NSP بفحص بعض الملفات عند النسخ. نقوم بإجراء فحص قسري... ويكتشف NSP اثنين من أحصنة طروادة أخرى في نفس الدليل.



مثل برامج مكافحة الفيروسات السابقة، يترك NSP برنامج تنزيل حصان طروادة في أرشيف ZIP مُعاد تسميته. عند محاولة تشغيل ملف .scr من الأرشيف، يقوم NSP بحظر تشغيل النسخة غير المعبأة من حصان طروادة من الدليل المؤقت للمستخدم الحالي. في هذه الحالة، لا تتم معالجة الأرشيف نفسه بأي شكل من الأشكال.


يعتبر الأرشيف نظيفًا حتى لو تمت إعادة فحصه فورًا بعد اكتشاف فيروس طروادة المستخرج منه. والنقش مضحك بشكل خاص: "إذا كنت تعتقد أنه لا تزال هناك تهديدات، فانقر هنا". عند النقر فوقه، يتم تحديث قواعد البيانات (أو لا يتم تحديثها إذا كانت حديثة بالفعل).



من المثير للدهشة أن بعض عينات برامج الفدية القديمة لا تزال يتم اكتشافها بواسطة NSP فقط من خلال أدوات التحليل الإرشادي والتحقق السحابي. يبدو أن علماء الفيروسات في شركة Symantec كسالى جدًا لدرجة أنهم لا يستطيعون تحديث قواعد البيانات. يقوم برنامج مكافحة الفيروسات الخاص بهم ببساطة بحظر كل شيء مشبوه وينتظر رد فعل المستخدم.

تمت المرحلة الثانية من الاختبار بشكل تقليدي. قمنا بنسخ الملفات احتياطيًا من دليل المستندات ثم حاولنا تشفيرها.

أسعدني مدير النسخ الاحتياطي في NSP في البداية بمنطقه. إنه يستخدم العبارة الكلاسيكية "ماذا؟ أين؟ متى؟"، مألوفة منذ فترة ما قبل الاتحاد السوفيتي. ومع ذلك، في النسخة الحديثة طغت عليه التجريد المفرط. بدلاً من إدراج الكائنات ذات المسارات الكاملة والملفات حسب الامتداد مباشرةً، يتم استخدام موقعها الافتراضي والتجميع الشرطي حسب النوع. ويبقى أن نرى ما هي الملفات التي سيعتبرها NSP ذات صلة بالمعلومات المالية، وأي منها سيتم وضعها ببساطة في قسم "أخرى".



من الممكن إجراء إعدادات إضافية (على سبيل المثال، باستخدام رابط "إضافة أو استبعاد الملفات والمجلدات")، ولكن من الصعب جدًا القيام بها. من أجل ملفين (كل منهما أقل من كيلو بايت)، لا يزال يتعين عليك عمل نسخة احتياطية لنصف شجرة الدليل وجميع أنواع البيانات المهملة مثل Desktop.ini، ويعرض معالج النسخ الاحتياطي تخليدها على قرص CD-R. يبدو أن القرن الحادي والعشرين لم يصل للجميع.



من ناحية أخرى، يتم تزويد مستخدمي NSP بنسخ احتياطية تبلغ 25 جيجابايت في السحابة. لتحميل النسخ الاحتياطية هناك، ما عليك سوى تحديد "التخزين على الشبكة الآمنة" كموقع الوجهة.



بعد إنشاء نسخة احتياطية محلية، أطلقنا برنامجًا يحاكي تصرفات حصان طروادة الخاص ببرامج الفدية. لم يمنعها NSP بأي شكل من الأشكال وسمح لها بتشفير الملفات.



كانت استعادتها من نسخة احتياطية أسرع وأكثر ملاءمة من Dr.Web SS. كان ذلك كافيا لتأكيد الكتابة، وظهرت الملفات في شكلها الأصلي على الفور في أماكنها الأصلية.


K7 في نهاية المطاف الأمن

في السابق، كان هذا المنتج من شركة K7 Computing الهندية يسمى Antivirus Plus. لا يزال هناك القليل من الالتباس مع أسماء هذا المطور. على سبيل المثال، لا يحتوي توزيع K7 Total Security على أدوات نسخ احتياطي. ولهذا السبب قمنا باختبار الإصدار النهائي - وهو الإصدار الوحيد القادر على عمل نسخ احتياطية.

وعلى عكس برامج مكافحة الفيروسات المعروفة في روسيا، كان هذا التطور بمثابة حصان أسود في اختباراتنا. تعتبر عبارة “الكود الهندي” كلمة قذرة بين المبرمجين، ولم نتوقع منها الكثير. كما أظهرت الاختبارات، كان عبثا.

K7 Ultimate Security هو أول برنامج مكافحة فيروسات يكتشف على الفور جميع التهديدات الخمسة عشر من اختيارنا. لن يسمح لي حتى بإنهاء نسخ العينات إلى دليل التنزيلات وسيقوم بحذفها مباشرة من مجلد الشبكة إذا لم يكن متصلاً في وضع القراءة فقط.



تصميم البرنامج مموه وفولاذي. على ما يبدو، فإن المطورين حريصون على لعب الدبابات أو يحاولون ببساطة إثارة الارتباطات بشيء موثوق به بهذه الطريقة. يتم تعيين معلمات النسخ الاحتياطي في K7 بنفس الطريقة تقريبًا كما في NSP. بشكل عام، ومع ذلك، فإن واجهة K7 أقل ازدحامًا وتسهل الوصول إلى الضبط الدقيق.



لم يتفاعل K7 بأي شكل من الأشكال مع إطلاق برنامج المحاكاة وتشفير الملفات. كما هو الحال دائمًا، كان عليّ استعادة النسخ الأصلية من نسخة احتياطية.



من الملائم أنه عند الاستعادة، يمكنك تحديد الملفات الفردية وكتابتها في موقعها الأصلي. بعد الرد بالإيجاب على طلب الكتابة فوق الملف الموجود، قمنا باستعادة lens.txt ببضع نقرات إلى موقعه الأصلي.


ليس هناك ما يمكن إضافته حول أداء K7 في هذا الاختبار. النجاح هو النجاح.

الاستنتاجات

وعلى الرغم من نتائج الاختبار الجيدة، فإن الاستنتاجات العامة كانت مخيبة للآمال. حتى الإصدارات الكاملة من برامج مكافحة الفيروسات المدفوعة الشهيرة تفتقد بعض متغيرات برامج الفدية في الإعدادات الافتراضية. كما أن الفحص الانتقائي عند الطلب لا يضمن أمان الملفات الممسوحة ضوئيًا. كما تتجنب التعديلات المعروفة لأحصنة طروادة اكتشافها باستخدام الحيل البدائية (مثل تغيير الامتداد). يتم دائمًا فحص البرامج الضارة الجديدة للكشف عنها قبل إطلاقها في البرية.

يجب ألا تعتمد على محلل سلوكي، أو فحص سحابي، أو خصائص سمعة الملفات، أو غيرها من أدوات تحليل عدم التوقيع. هناك بعض الفوائد من هذه الأساليب، ولكنها قليلة جدًا. حتى برنامج المحاكاة البدائي الخاص بنا والذي لا يتمتع بسمعة طيبة ولا يوجد به توقيع رقمي لم يتم حظره بواسطة أي برنامج مكافحة فيروسات. مثل العديد من أحصنة طروادة لبرامج الفدية، فهو يحتوي على الكثير من العيوب، لكن هذا لا يمنعه من تشفير الملفات بسهولة فور إطلاقه.

النسخ الاحتياطي التلقائي لملفات المستخدم ليس نتيجة للتقدم، بل هو إجراء ضروري. يمكن أن يكون فعالاً للغاية فقط مع الحماية المستمرة لوحدة تخزين النسخ الاحتياطي باستخدام برنامج مكافحة الفيروسات نفسه. ومع ذلك، سيكون فعالاً تمامًا حتى يتم إلغاء تحميل برنامج مكافحة الفيروسات من الذاكرة أو إلغاء تثبيته تمامًا. لذلك، من المفيد دائمًا عمل نسخ إضافية على بعض الوسائط التي نادرًا ما تكون متصلة أو تحميلها على السحابة. بالطبع، إذا كنت تثق بموفر السحابة بدرجة كافية.

6 يوليو 2018 12:35 | بيتدفندر روسيا |

يعتبر هذا النوع من الفيروسات هو الأكثر خطورة بالنسبة للمعلومات الشخصية المخزنة على جهاز الكمبيوتر. تنتشر هذه البرامج الضارة في معظم الحالات دون تدخل المستخدم ولا تهدف إلى تدمير نظام الملفات، بل إلى تشفير ملفات مالك الكمبيوتر. عادة ما يعد المحتالون السيبرانيون بإرسال مفاتيح فك التشفير مقابل فدية مالية، ولكن كما تظهر الممارسة، ليس هناك أي معنى للأمل في ذلك.

على مدى العامين الماضيين، تعرض أمن أجهزة الكمبيوتر الشخصية والشركات لمخاطر كبيرة عدة مرات بسبب زيادة النشاط. خلال هذه الفترة، دمرت ثلاثة برامج مختلفة من برامج الفدية البيانات الموجودة على أجهزة الكمبيوتر. هذه هي فيروسات Petya وBadRabbit وWannaCry 2.0. ومن الصعب المبالغة في تقدير الأضرار الناجمة عن أنشطتها: إذ تصل الفاتورة إلى مليارات الدولارات، ولم يتم بعد تحديد عدد أجهزة الكمبيوتر والشركات المتضررة.

بالإضافة إلى تحديثات أنظمة التشغيل والبرامج، يوصى بتثبيت برنامج مكافحة الفيروسات. إذا كنت ترغب في ذلك، يمكنك تثبيت برنامج مكافحة فيروسات مجاني. ولكن كيف تختاره؟

وفقًا للتقييمات التي جمعتها Av-Test وAV-Comparatives وRoskachestvo، فإن أفضل برنامج مكافحة فيروسات للمنزل/الأعمال هو Bitdefeder. لم يكن الأفضل في التصنيف هو الإصدارات المدفوعة فحسب، بل الإصدار المجاني من برنامج مكافحة الفيروسات. أثناء تفعيل برامج الفدية، لم يتضرر أي من مستخدمي برامج مكافحة الفيروسات: لا الشركات ولا الأفراد. كيف يمكن لـ Bidefender حماية حاسوبك من فيروسات برامج الفدية؟

قامت الشركة بتطوير حل مجاني خاص لمكافحة برامج الفدية. وهو مصمم للحماية من فيروسات برامج الفدية، بما في ذلك WannaCry وNonPetya وBadRabbit وغيرها. وللقيام بذلك، يقوم البرنامج بحفظ الملفات الموجودة على الجهاز بطريقة خاصة لا تسمح للبرامج الضارة بتشفيرها.

سيكون برنامج مكافحة الفيروسات هو الحماية المثالية لمنزلك. يتيح لك البرنامج إنشاء مجلدات آمنة للملفات المهمة. تتلقى المجلدات حماية معززة من برامج الفدية، وإذا جرت محاولة لمهاجمتها، يتلقى المستخدم إشعارًا حول التهديد. إجراء فعال آخر هو مستشار أمان Wi-Fi المدمج. وسوف يحمي المعاملات المصرفية والمشتريات واستخدام التطبيقات أو المتصفحات. في حالة ظهور تهديد، لن يسمح المستشار لبرامج الفدية والمحتالين عبر الإنترنت بالوصول إلى الجهاز.

تعمل الشركة أيضًا بنشاط على تطوير برامج مكافحة الفيروسات للأعمال. يتم تقديم الوظائف الأكثر اكتمالا في البرنامج. يتيح لك برنامج مكافحة الفيروسات منع الوصول إلى التطبيقات أو صفحات الويب، ويستخدم جدار الحماية للحماية، ومستشار البحث وتصفية الويب للحماية من القرصنة. تم تكوين برنامج مكافحة الفيروسات باستخدام وحدة التحكم السحابية. في عام 2017، أشار مختبر AV-Test إلى برنامج مكافحة الفيروسات باعتباره الحل الذي يستهلك أقل موارد الأجهزة الافتراضية.


حصل أنطون سيفوستيانوف على المركز الأول في المسابقة بدليل محدث للحماية من برامج الفدية. يعمل أنطون كمسؤول النظام ويقوم بتدريب المستخدمين على تكنولوجيا المعلومات. يمكن العثور على المزيد من دروس الفيديو على موقعه على الانترنت.

اليوم أصبحت أداة شائعة لمجرمي الإنترنت. وبمساعدتهم، يبتز المهاجمون الأموال من الشركات والمستخدمين العاديين. يمكن للمستخدمين دفع عشرات الآلاف من الروبلات لفتح الملفات الشخصية، وأصحاب الأعمال - الملايين (على سبيل المثال، إذا تم حظر قاعدة بيانات 1C).



في هذا الدليل، أقدم عدة طرق للحماية من برامج الفدية التي ستساعد في الحفاظ على أمان بياناتك قدر الإمكان.


الحماية من الفيروسات

من بين جميع وسائل الحماية، يأتي برنامج مكافحة الفيروسات في المقام الأول (أستخدمه). يتم تحديث قواعد بيانات الفيروسات تلقائيًا عدة مرات يوميًا دون تدخل المستخدم، ولكن عليك أيضًا التأكد من تحديث البرنامج نفسه. بالإضافة إلى تحديث قواعد بيانات مكافحة الفيروسات، يضيف المطورون بانتظام أدوات حديثة للحماية من الفيروسات إلى منتجاتهم.

إحدى هذه الأدوات هي خدمة ESET LiveGrid® السحابية، والتي يمكنها حظر الفيروس قبل إضافته إلى قاعدة بيانات مكافحة الفيروسات. يقوم نظام ESET بتحليل المعلومات حول البرنامج المشبوه بشكل سريع ويحدد سمعته. في حالة الاشتباه بوجود فيروس، سيتم حظر جميع عمليات البرنامج.

يمكنك التحقق من تمكين ESET LiveGrid® على النحو التالي: ESET NOD32 - الإعدادات المتقدمة - الأدوات المساعدة - ESET LiveGrid® - تمكين نظام السمعة ESET LiveGrid®.

يمكنك تقييم فعالية ESET LiveGrid® على موقع الويب المصمم لاختبار أداء أي من منتجات مكافحة الفيروسات. اتبع الرابط التحقق من ميزات الأمان - إعدادات الميزات التحقق من حلول سطح المكتب أو إعدادات الميزات التحقق من الحلول المستندة إلى Android - اختبر ما إذا تم تمكين الحماية السحابية لديك (تحقق مما إذا كانت الحماية السحابية ممكّنة). بعد ذلك، يُطلب منا تنزيل ملف اختبار، وإذا استجاب برنامج مكافحة الفيروسات له، تكون الحماية نشطة، وإذا لم يكن الأمر كذلك، نحتاج إلى معرفة ما يحدث.


تحديث نظام التشغيل ومنتجات البرمجيات

غالبًا ما يستغل المهاجمون الثغرات الأمنية المعروفة في البرامج على أمل ألا يقوم المستخدمون بتثبيت آخر التحديثات بعد. بادئ ذي بدء، يتعلق هذا بنظام التشغيل Windows، لذا يجب عليك التحقق من تحديثات نظام التشغيل التلقائية وتنشيطها إذا لزم الأمر (ابدأ - لوحة التحكم - Windows Update - الإعدادات - تحديد طريقة تنزيل التحديثات وتثبيتها).


تعطيل خدمة التشفير


يوفر Windows خدمة خاصة لتشفير البيانات؛ إذا كنت لا تستخدمها بانتظام، فمن الأفضل تعطيلها - يمكن لبعض تعديلات برامج الفدية استخدام هذه الوظيفة لأغراضها الخاصة. لتعطيل خدمة التشفير، عليك القيام بما يلي: البدء - لوحة التحكم - الأدوات الإدارية - الخدمات - نظام تشفير الملفات (EFS) وإعادة تشغيل النظام.

يرجى ملاحظة أنه إذا استخدمت التشفير لحماية أي ملفات أو مجلدات، فيجب عليك إلغاء تحديد مربعات الاختيار المقابلة (RMB - الخصائص - السمات - المتقدم - تشفير المحتوى لحماية البيانات). وإلا، بعد تعطيل خدمة التشفير، لن تتمكن من الوصول إلى هذه الملفات. من السهل جدًا معرفة الملفات التي تم تشفيرها - وسيتم تمييزها باللون الأخضر.


الاستخدام المحدود للبرامج

لزيادة مستوى الأمان، يمكنك منع تشغيل أي برامج لا تلبي المتطلبات التي وضعناها. افتراضيًا، يتم تعيين هذه الإعدادات لمجلدات Windows وProgram Files فقط.

يمكنك تكوين سياسة المجموعة المحلية على النحو التالي: تشغيل - gpedit - تكوين الكمبيوتر - تكوين Windows - إعدادات الأمان - سياسات تقييد البرامج - RMB - إنشاء سياسة تقييد البرامج.

لنقم بإنشاء قاعدة تمنع تشغيل البرامج من أي مكان غير المسموح به (قواعد إضافية - الرنمينبي - إنشاء قاعدة للمسار - المسار: *، أي أي مسار - مستوى الأمان: محظور).

تحدد نافذة أنواع الملفات المعينة الامتدادات التي سيتم حظرها عند محاولة التشغيل. أنصحك بإضافة امتداد .js - java script هنا وإزالة .ink حتى تتمكن من تشغيل البرامج باستخدام الاختصارات.

قد يستغرق الأمر بعض الوقت للإعداد بفعالية، لكن النتائج تستحق العناء بالتأكيد.


باستخدام حساب مستخدم قياسي


لا يُنصح بالعمل مع حساب المسؤول حتى بالنسبة للمستخدمين المتقدمين. سيؤدي تقييد حقوق الحساب إلى تقليل الضرر في حالة الإصابة العرضية (تمكين حساب المسؤول - تعيين كلمة مرور - حرمان المستخدم الحالي من الحقوق الإدارية - إضافة إلى مجموعة المستخدمين).

لتنفيذ الإجراءات باستخدام حقوق المسؤول، يوفر Windows أداة خاصة - "التحكم في حساب المستخدم"، والتي ستطلب كلمة مرور لإجراء عملية معينة. يمكنك التحقق من الإعدادات هنا: ابدأ - لوحة التحكم - حسابات المستخدمين - تغيير إعدادات التحكم في حساب المستخدم - افتراضي - الإعلام فقط عند إجراء محاولات لإجراء تغييرات على الكمبيوتر.


نقاط تفتيش استعادة النظام

في بعض الأحيان، لا تزال الفيروسات قادرة على التغلب على جميع طبقات الحماية. في هذه الحالة، يجب أن تكون قادرًا على العودة إلى حالة سابقة للنظام. يمكنك إعداد الإنشاء التلقائي لنقاط التفتيش مثل هذا: جهاز الكمبيوتر - RMB - الخصائص - حماية النظام - إعدادات الحماية.

افتراضيًا، عند تثبيت نظام التشغيل، يتم تمكين الحماية لمحرك أقراص النظام فقط، ولكن برنامج الفدية سيؤثر على محتويات جميع الأقسام الموجودة على جهاز الكمبيوتر الخاص بك. لاستعادة الملفات باستخدام الأدوات القياسية أو برنامج Shadow Explorer، يجب عليك تمكين الحماية لجميع الأقراص. ستستهلك نقاط التفتيش بعض الذاكرة، لكن يمكنها حفظ بياناتك في حالة الإصابة.


دعم

أوصي بشدة بمراجعة أهم المعلومات بانتظام. لن يساعد هذا الإجراء في الحماية من الفيروسات فحسب، بل سيكون بمثابة تأمين في حالة فشل القرص الصلب. تأكد من عمل نسخ من بياناتك وحفظها على وسائط خارجية أو وحدة تخزين سحابية.

آمل أن يكون الدليل مفيدًا لك وسيساعدك على حماية بياناتك الشخصية (وأموالك!) من المتسللين.


سيفوستيانوف أنطون
الفائز في المنافسة

أصبحت برامج الفدية الضارة الجديدة WannaCry (التي لها أيضًا عدد من الأسماء الأخرى - WannaCry Decryptor وWannaCrypt وWCry وWanaCrypt0r 2.0) معروفة للعالم في 12 مايو 2017، عندما تم تشفير الملفات الموجودة على أجهزة الكمبيوتر في العديد من مؤسسات الرعاية الصحية في المملكة المتحدة. . وسرعان ما أصبح من الواضح أن الشركات في عشرات البلدان وجدت نفسها في موقف مماثل، وكانت روسيا وأوكرانيا والهند وتايوان هي الأكثر معاناة. ووفقا لشركة كاسبرسكي لاب، في اليوم الأول من الهجوم وحده، تم اكتشاف الفيروس في 74 دولة.

لماذا يعد فيروس WannaCry خطيرًا؟ يقوم الفيروس بتشفير أنواع مختلفة من الملفات (باستخدام ملحق .WCRY، مما يجعل الملفات غير قابلة للقراءة تمامًا) ثم يطلب فدية قدرها 600 دولار لفك التشفير. لتسريع إجراءات تحويل الأموال، يشعر المستخدم بالخوف من حقيقة أن مبلغ الفدية سيزداد خلال ثلاثة أيام، و وبعد سبعة أيام، لن تكون الملفات قابلة لفك التشفير.

أجهزة الكمبيوتر التي تعمل بأنظمة تشغيل Windows معرضة لخطر الإصابة بفيروس WannaCry Ransomware. إذا كنت تستخدم إصدارات مرخصة من Windows وتقوم بتحديث نظامك بانتظام، فلا داعي للقلق بشأن دخول فيروس إلى نظامك بهذه الطريقة.

يجب ألا يخاف مستخدمو أنظمة التشغيل MacOS وChromeOS وLinux، بالإضافة إلى أنظمة تشغيل الأجهزة المحمولة iOS وAndroid، من هجمات WannaCry على الإطلاق.

ماذا تفعل إذا كنت أحد ضحايا WannaCry؟

توصي الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) بأن تتخذ الشركات الصغيرة التي وقعت ضحية لبرامج الفدية وتشعر بالقلق إزاء انتشار الفيروس عبر الإنترنت الإجراءات التالية:

  • قم بعزل جهاز الكمبيوتر أو الكمبيوتر المحمول أو الجهاز اللوحي على الفور عن شبكتك الداخلية/الشركة. قم بإيقاف تشغيل الواي فاي.
  • تغيير السائقين.
  • بدون الاتصال بشبكة Wi-Fi، قم بتوصيل جهاز الكمبيوتر الخاص بك بالإنترنت مباشرة.
  • قم بتحديث نظام التشغيل الخاص بك وجميع البرامج الأخرى.
  • قم بتحديث وتشغيل برنامج مكافحة الفيروسات الخاص بك.
  • أعد الاتصال بالشبكة.
  • راقب حركة مرور الشبكة و/أو قم بإجراء فحص للفيروسات للتأكد من اختفاء برنامج الفدية.

مهم!

لا يمكن لأي شخص فك تشفير الملفات المشفرة بواسطة فيروس WannaCry، باستثناء المهاجمين. لذلك، لا تضيع الوقت والمال على "عباقرة تكنولوجيا المعلومات" الذين يعدونك بإنقاذك من هذا الصداع.

هل يستحق دفع المال للمهاجمين؟

الأسئلة الأولى التي يطرحها المستخدمون الذين يواجهون فيروس WannaCry Ransomware الجديد هي: كيفية استعادة الملفات وكيفية إزالة الفيروس. لعدم العثور على حلول مجانية وفعالة، أمامهم خيار: دفع المال للمبتزين أم لا؟ نظرًا لأن المستخدمين غالبًا ما يكون لديهم ما يخسرونه (يتم تخزين المستندات الشخصية وأرشيفات الصور على الكمبيوتر)، فإن الرغبة في حل المشكلة بالمال تنشأ بالفعل.

لكن NCA تحث بشدة لادفع النقود. إذا قررت القيام بذلك، فضع في اعتبارك ما يلي:

  • أولاً، ليس هناك ما يضمن أنك ستتمكن من الوصول إلى بياناتك.
  • ثانيًا، قد يظل جهاز الكمبيوتر الخاص بك مصابًا بفيروس حتى بعد الدفع.
  • ثالثًا، من المرجح أن تقوم ببساطة بإعطاء أموالك لمجرمي الإنترنت.

كيف تحمي نفسك من فيروس WannaCry؟

يشرح فياتشيسلاف بيلاشوف، رئيس قسم تنفيذ أنظمة أمن المعلومات في SKB Kontur، الإجراءات التي يجب اتخاذها لمنع الإصابة بالفيروس:

وتكمن خصوصية فيروس WannaCry في قدرته على اختراق النظام دون تدخل بشري، على عكس فيروسات التشفير الأخرى. في السابق، لكي يعمل الفيروس، كان من الضروري أن يكون المستخدم غافلاً - أن يتبع رابطًا مشكوكًا فيه من بريد إلكتروني لم يكن مخصصًا له في الواقع، أو أن يقوم بتنزيل مرفق ضار. وفي حالة فيروس WannaCry، يتم استغلال الثغرة الأمنية الموجودة مباشرة في نظام التشغيل نفسه. ولذلك، كانت أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي لم تقم بتثبيت تحديثات 14 مارس 2017 معرضة للخطر بشكل أساسي. تكفي محطة عمل واحدة مصابة على الشبكة المحلية لانتشار الفيروس إلى الآخرين الذين لديهم نقاط ضعف موجودة.

من الطبيعي أن يكون لدى المستخدمين المتأثرين بالفيروس سؤال رئيسي واحد: كيفية فك تشفير معلوماتهم؟ ولسوء الحظ، لا يوجد حل مضمون حتى الآن، ومن غير المرجح أن يتم توقعه. وحتى بعد دفع المبلغ المحدد، لم يتم حل المشكلة. بالإضافة إلى ذلك، قد يتفاقم الوضع بسبب حقيقة أن الشخص، على أمل استعادة بياناته، يخاطر باستخدام برامج فك التشفير المزعومة "المجانية"، والتي هي في الواقع ملفات ضارة أيضًا. ولذلك فإن النصيحة الرئيسية التي يمكن تقديمها هي توخي الحذر وبذل كل ما هو ممكن لتجنب مثل هذا الموقف.

ما الذي يمكن وما ينبغي فعله بالضبط في الوقت الحالي:

1. قم بتثبيت آخر التحديثات.

وهذا لا ينطبق فقط على أنظمة التشغيل، ولكن أيضًا على أدوات الحماية من الفيروسات. يمكن العثور على معلومات حول تحديث Windows هنا.

2. عمل نسخ احتياطية من المعلومات الهامة.

3. كن حذرًا عند التعامل مع البريد والإنترنت.

عليك الانتباه إلى رسائل البريد الإلكتروني الواردة التي تحتوي على روابط ومرفقات مشكوك فيها. للعمل مع الإنترنت، يوصى باستخدام المكونات الإضافية التي تسمح لك بالتخلص من الإعلانات غير الضرورية والروابط إلى مصادر يحتمل أن تكون ضارة.

تعمل منتجات Kaspersky Lab المزودة بقواعد بيانات محدثة لمكافحة الفيروسات على منع الهجمات وتثبيت البرامج الضارة. تتضمن أحدث الإصدارات من المنتجات مكون مراقبة النشاط الذي يقوم تلقائيًا بعمل نسخة احتياطية للملفات إذا حاول برنامج مشبوه الوصول إليها.

قم بعمل نسخة احتياطية من ملفاتك وقم بتخزينها خارج جهاز الكمبيوتر الخاص بك

لحماية المعلومات من البرامج الضارة والأضرار التي تلحق بجهاز الكمبيوتر الخاص بك، قم بعمل نسخة احتياطية من ملفاتك وقم بتخزينها على الوسائط القابلة للإزالة أو وحدة التخزين عبر الإنترنت.

تثبيت التحديثات

قم بتحديث نظام التشغيل والبرامج المثبتة لديك في الوقت المناسب. بعد التحديث، يتم تحسين الأمان والاستقرار والأداء، ويتم التخلص من نقاط الضعف الموجودة.

إذا كان لديك برنامج Kaspersky Lab مثبتًا على جهازك، فقم بتحديث قواعد بيانات مكافحة الفيروسات لديك بانتظام.
وبدون هذه التحديثات، لن يتمكن البرنامج من الاستجابة بسرعة للبرامج الضارة الجديدة.

لا تفتح الملفات من رسائل البريد الإلكتروني من مرسلين غير معروفين

ينتشر برنامج الفدية عبر الملفات المصابة من رسائل البريد الإلكتروني. في مثل هذه الرسائل، يتظاهر المحتالون بأنهم شركاء تجاريون أو مسؤولون حكوميون، وتحتوي سطور الموضوع والمرفقات على إشعارات مهمة، مثل إشعار مطالبة من محكمة التحكيم. يرجى التحقق بعناية من هوية المرسل قبل فتح البريد الإلكتروني والمرفقات.

استخدم كلمات مرور قوية لحسابات Windows عند استخدام Remote Desktop

نوصي باستخدام كلمات مرور قوية لحماية معلوماتك الشخصية ومنع اختراق حساباتك عند الاتصال عن بعد. استخدم ميزة Remote Desktop داخل شبكة منزلك أو شركتك وحاول عدم الاتصال بسطح المكتب البعيد من الإنترنت. معلومات حول ميزة سطح المكتب البعيد