مدونة 

استعادة البيانات بعد فيروس Petya Ransomware. إطلاق أداة فك تشفير Petya.A وWannaCry لبرامج الفدية! فك تشفير الملفات بعد فيروس بيتيا

يمتلك كل مستخدم تقريبًا برامج مكافحة فيروسات على أجهزة الكمبيوتر الخاصة به، ولكن في بعض الأحيان يظهر فيروس طروادة أو فيروس يمكنه تجاوز أفضل حماية وإصابة جهازك، والأسوأ من ذلك، تشفير بياناتك. هذه المرة، أصبح فيروس طروادة المشفر "بيتيا" أو كما يطلق عليه أيضًا "بيتيا" مثل هذا الفيروس. إن معدل انتشار هذا التهديد مثير للإعجاب للغاية: ففي غضون يومين تمكن من "زيارة" روسيا وأوكرانيا وإسرائيل وأستراليا والولايات المتحدة الأمريكية وجميع الدول الأوروبية الكبرى وغيرها. لقد أثر بشكل رئيسي على مستخدمي الشركات (المطارات ومحطات الطاقة وصناعة السياحة)، لكن الأشخاص العاديين تأثروا أيضًا. من حيث الحجم وطرق التأثير، فهو يشبه إلى حد كبير المثير مؤخرًا.

أنت بالتأكيد بحاجة إلى حماية جهاز الكمبيوتر الخاص بك حتى لا تصبح ضحية لبرنامج الفدية الجديد "Petya" من طروادة. سأخبرك في هذا المقال ما هو نوع فيروس "بيتيا" وكيف ينتشر وكيف تحمي نفسك من هذا التهديد. بالإضافة إلى ذلك، سنتطرق إلى مشكلات إزالة طروادة وفك تشفير المعلومات.

ما هو فيروس بيتيا؟

أولا، يجب أن نفهم ما هو بيتيا. فيروس Petya هو برنامج ضار وهو عبارة عن حصان طروادة من نوع برامج الفدية (برامج الفدية). تم تصميم هذه الفيروسات لابتزاز أصحاب الأجهزة المصابة للحصول على فدية منهم مقابل البيانات المشفرة. على عكس Wanna Cry، لا تهتم Petya بتشفير الملفات الفردية - فهي "تأخذ" محرك الأقراص الثابتة بالكامل على الفور تقريبًا.

الاسم الصحيح للفيروس الجديد هو Petya.A. بالإضافة إلى ذلك، يطلق عليه Kaspersky اسم NotPetya/ExPetr.

وصف فيروس بيتيا

بمجرد وصولك إلى جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows، تقوم Petya بالتشفير على الفور تقريبًا MFT(جدول الملفات الرئيسي – الجدول الرئيسي للملفات). ما هو هذا الجدول المسؤول عن؟

تخيل أن القرص الصلب الخاص بك هو أكبر مكتبة في الكون بأكمله. أنه يحتوي على مليارات الكتب. إذًا كيف تجد الكتاب المناسب؟ فقط من خلال فهرس المكتبة. هذا هو الكتالوج الذي يدمره بيتيا. وبالتالي، تفقد أي إمكانية للعثور على أي "ملف" على جهاز الكمبيوتر الخاص بك. ولكي نكون أكثر دقة، بعد "عمل" بيتي، فإن القرص الصلب لجهاز الكمبيوتر الخاص بك سوف يشبه المكتبة بعد الإعصار، حيث تتطاير قصاصات الكتب في كل مكان.

وبالتالي، على عكس Wanna Cry، الذي ذكرته في بداية المقال، فإن Petya.A لا يقوم بتشفير الملفات الفردية، ويقضي قدرًا كبيرًا من الوقت في هذا - فهو ببساطة يحرمك من أي فرصة للعثور عليها.

بعد كل تلاعباته، يطلب فدية من المستخدمين - 300 دولار أمريكي، والتي يجب تحويلها إلى حساب بيتكوين.

من خلق فيروس بيتيا؟

عند إنشاء فيروس Petya، تم استخدام استغلال ("ثقب") في نظام التشغيل Windows يسمى "EternalBlue". أصدرت Microsoft تصحيحًا "يغلق" هذه الثغرة منذ عدة أشهر، ومع ذلك، لا يستخدم الجميع نسخة مرخصة من Windows ويقومون بتثبيت جميع تحديثات النظام، أليس كذلك؟)

تمكن منشئ "Petya" من استغلال إهمال المستخدمين من الشركات والأفراد بحكمة وكسب المال منه. لا تزال هويته مجهولة (ومن غير المرجح أن تكون معروفة)

كيف ينتشر فيروس بيتيا؟

ينتشر فيروس Petya غالبًا تحت ستار المرفقات برسائل البريد الإلكتروني وفي الأرشيفات التي تحتوي على برامج مصابة مقرصنة. يمكن أن يحتوي المرفق على أي ملف على الإطلاق، بما في ذلك صورة أو ملف mp3 (كما يبدو للوهلة الأولى). بعد تشغيل الملف، سيتم إعادة تشغيل جهاز الكمبيوتر الخاص بك وسيقوم الفيروس بمحاكاة فحص القرص بحثًا عن أخطاء CHKDSK، وفي هذه اللحظة سيقوم بتعديل سجل التمهيد لجهاز الكمبيوتر الخاص بك (MBR). بعد ذلك، سترى جمجمة حمراء على شاشة جهاز الكمبيوتر الخاص بك. من خلال النقر على أي زر، يمكنك الوصول إلى النص الذي سيُطلب منك فيه الدفع مقابل فك تشفير ملفاتك ونقل المبلغ المطلوب إلى محفظة البيتكوين.

كيف تحمي نفسك من فيروس بيتيا؟

  • الشيء الأكثر أهمية والأساسي هو جعل تثبيت التحديثات لنظام التشغيل الخاص بك قاعدة! هذا مهم بشكل لا يصدق. افعلها الآن، لا تتأخر.
  • انتبه جيدًا لجميع المرفقات المرفقة بالرسائل، حتى لو كانت الرسائل من أشخاص تعرفهم. أثناء الوباء، من الأفضل استخدام مصادر بديلة لنقل البيانات.
  • قم بتنشيط خيار "إظهار امتدادات الملفات" في إعدادات نظام التشغيل - وبهذه الطريقة يمكنك دائمًا رؤية امتداد الملف الحقيقي.
  • تمكين "التحكم في حساب المستخدم" في إعدادات Windows.
  • يجب عليك تثبيت واحد منهم لتجنب العدوى. ابدأ بتثبيت تحديث لنظام التشغيل، ثم قم بتثبيت برنامج مكافحة الفيروسات - وستكون أكثر أمانًا من ذي قبل.
  • تأكد من عمل "نسخ احتياطية" - احفظ جميع البيانات المهمة على محرك أقراص ثابت خارجي أو على السحابة. بعد ذلك، إذا اخترق فيروس Petya جهاز الكمبيوتر الخاص بك وقام بتشفير جميع البيانات، فسيكون من السهل عليك تهيئة محرك الأقراص الثابتة وتثبيت نظام التشغيل مرة أخرى.
  • تأكد دائمًا من تحديث قاعدة بيانات مكافحة الفيروسات لديك. تقوم جميع برامج مكافحة الفيروسات الجيدة بمراقبة التهديدات والرد عليها بسرعة عن طريق تحديث توقيعات التهديد.
  • قم بتثبيت الأداة المساعدة المجانية Kaspersky Anti-Ransomware. سوف يحميك من تشفير الفيروسات. تثبيت هذا البرنامج لا يعفيك من الحاجة إلى تثبيت برنامج مكافحة الفيروسات.

كيفية إزالة فيروس بيتيا؟

كيفية إزالة فيروس Petya.A من القرص الصلب الخاص بك؟ هذا سؤال مثير للاهتمام للغاية. الحقيقة هي أنه إذا قام الفيروس بحظر بياناتك بالفعل، فلن يكون هناك شيء لحذفه. إذا كنت لا تخطط لدفع برامج الفدية (وهو ما لا ينبغي عليك فعله) ولن تحاول استعادة البيانات الموجودة على القرص في المستقبل، فيمكنك ببساطة تهيئة القرص وإعادة تثبيت نظام التشغيل. وبعد ذلك لن يبقى أي أثر للفيروس.

إذا كنت تشك في وجود ملف مصاب على القرص الخاص بك، فقم بفحص القرص الخاص بك باستخدام أحد هذه الملفات، أو قم بتثبيت برنامج مكافحة الفيروسات Kaspersky وقم بإجراء فحص كامل للنظام. وأكد المطور أن قاعدة بيانات التوقيع الخاصة به تحتوي بالفعل على معلومات حول هذا الفيروس.

Petya.A فك التشفير

يقوم Petya.A بتشفير بياناتك باستخدام خوارزمية قوية جدًا. لا يوجد حاليًا أي حل لفك تشفير المعلومات المحظورة. علاوة على ذلك، يجب ألا تحاول الوصول إلى البيانات في المنزل.

مما لا شك فيه أننا جميعًا نحلم بالحصول على برنامج فك التشفير المعجزة Petya.A، ولكن ببساطة لا يوجد مثل هذا الحل. لقد ضرب الفيروس العالم منذ عدة أشهر، ولكن لم يتم العثور على علاج لفك تشفير البيانات التي قام بتشفيرها.

لذلك، إذا لم تصبح بعد ضحية لفيروس بيتيا، فاستمع إلى النصيحة التي قدمتها في بداية المقال. إذا فقدت السيطرة على بياناتك، فلديك عدة خيارات.

  • دفع النقود. ليس هناك فائدة من القيام بهذا!وقد اكتشف الخبراء بالفعل أن منشئ الفيروس لا يستعيد البيانات، ولا يمكنه استعادتها، نظرا لتقنية التشفير.
  • قم بإزالة القرص الصلب من جهازك، ثم ضعه بعناية في الخزانة واضغط على أداة فك التشفير لتظهر. بالمناسبة، يعمل Kaspersky Lab باستمرار في هذا الاتجاه. تتوفر برامج فك التشفير المتاحة على موقع No Ransom.
  • تهيئة القرص وتثبيت نظام التشغيل. ناقص - سيتم فقدان كافة البيانات.

بيتيا.فيروس في روسيا

في روسيا وأوكرانيا، تعرضت أكثر من 80 شركة للهجوم والإصابة حتى وقت كتابة هذا التقرير، بما في ذلك شركات كبيرة مثل Bashneft وRosneft. تشير إصابة البنية التحتية لهذه الشركات الكبيرة إلى خطورة فيروس Petya.A. ليس هناك شك في أن طروادة برامج الفدية سوف تستمر في الانتشار في جميع أنحاء روسيا، لذا يجب عليك الاهتمام بأمن بياناتك واتباع النصائح الواردة في المقالة.

Petya.A وAndroid وiOS وMac وLinux

يشعر العديد من المستخدمين بالقلق بشأن ما إذا كان فيروس Petya يمكنه إصابة أجهزتهم التي تعمل بنظام Android وiOS. سأسارع إلى طمأنتهم - لا، لا يمكن ذلك. وهو مخصص لمستخدمي نظام التشغيل Windows فقط. الأمر نفسه ينطبق على عشاق Linux و Mac - يمكنك النوم بسلام، لا شيء يهددك.

خاتمة

لذلك، ناقشنا اليوم بالتفصيل فيروس Petya.A الجديد. لقد فهمنا ماهية حصان طروادة هذا وكيف يعمل، وتعلمنا كيفية حماية أنفسنا من العدوى وإزالة الفيروس، ومكان الحصول على برنامج فك تشفير Petya. آمل أن تكون المقالة ونصائحي مفيدة لك.

برامج الفدية بيتيالقد أذهل A، جنبًا إلى جنب مع متغيره GoldenEye، الحكومات والشركات والأفراد في جميع أنحاء العالم. يعد هذا البرنامج كارثيًا للغاية لدرجة أنه حتى أولئك الذين قاموا بإصلاح نظام التشغيل Windows الخاص بهم وتحديثه يمكن أن يصبحوا ضحايا لهذا الهجوم السيبراني، مما يؤدي إلى خسائر مالية فادحة. وفي أوكرانيا، أثر الأمر بشكل رئيسي على أجهزة الكمبيوتر المحاسبية من خلال برنامج M.E.Doc.

لمكافحة مجرمي الإنترنت، قامت 360 بتطوير أداة لفك تشفير برامج الفدية لإنقاذ أجهزة الكمبيوتر التي تم اختطافها بواسطة برامج الفدية. يمكن لهذه الأداة استرداد الملفات من أكثر من 80 برنامجًا من برامج الفدية، Petya A وGoldenEye وسابقتها سيئة السمعة WannaCry مدرجة أيضًا في قائمة دعم فك التشفير.

في السابق، سبق أن وصفنا إحدى الطرق لاستعادة جزء من البيانات بعد الهجوم السيبراني في 27 يونيو 2017، ووعدنا بتعليمات أكثر تفصيلاً.

لفتح جهاز كمبيوتر مصاب بفيروس Petya، عليك اتباع هذه الخطوات.

تعليمات فك التشفير العين الذهبيةالخيار "بيتيا"

2. افتح 360 Ransomware Decryption Tools وانقر على اللافتة الصفراء في الأعلى لبدء عملية فك التشفير.

3. أدخل رمز فك التشفير الشخصي الخاص بك في رسالة الفدية (انظر المربع الأحمر الموضح في لقطة الشاشة أدناه). ستبدأ أداة 360 Ransomware Decryption Tool في حساب مفتاح فك التشفير.

4. احصل على مفتاح فك التشفير الخاص بك.

5. أدخل مفتاح فك التشفير في رسالة الفدية لفتح جهاز الكمبيوتر الخاص بك.

6. ملاحظة هامة:إذا قمت بإدخال المفتاح بشكل غير صحيح، فسترى الرسالة أدناه. في هذا الوضع لا تستمر في إدخال المفتاح. أعد تشغيل جهاز الكمبيوتر الخاص بك وأدخل المفتاح مرة أخرى


7. تم الآن إلغاء قفل نظام التشغيل الخاص بك.

تعليمات فك التشفير ل إصدارات الهيكل العظمي الأحمر

اتبع نفس الخطوات المذكورة سابقًا. (رمز فك التشفير أطول مما هو موجود في رسالة فدية GoldenEye.)

بعد إدخال مفتاح فك التشفير، ستظهر لك الرسالة أدناه. هذا يعني أن نظامك قد تم إلغاء قفله.

إذا كنت تستخدم Windows 7 أو إصدارًا أحدث، فإن Petya لا يقوم بتشفير نظامك فحسب، بل يقوم أيضًا بتشفير الملفات الموجودة على جهاز الكمبيوتر المصاب. تتم إضافة هذه الملفات المشفرة بامتداد مكون من 8 أحرف. تقوم برامج الفدية أيضًا بإنشاء ملف "YOUR_FILES_ARE_ENCRYPTED.TXT" في مجلد سطح المكتب

لحفظ ملفاتك، استخدم 360 Ransomware Decryption Tools لفحص المجلد الذي تم تشفير ملفاتك فيه.

انتظر أداة فك تشفير برامج الفدية 360 لاستعادة ملفاتك. (لا تقم بإيقاف تشغيل الأداة قبل اكتمال العملية، وإلا قد تتلف الملفات).

بما في ذلك 360 Document Protector وأداة سلاح مكافحة الإنترنت التابعة لوكالة الأمن القومي المعدة للحماية من برامج الفدية. سلامتك هي اهتمامنا الأكبر في هذا الوقت.

يمكنك تنزيل برنامج مكافحة فيروسات موثوق به مع العديد من محركات فحص الفيروسات على الموقع الرسمي مجانًا.

فيروس Petya هو برنامج فدية آخر يحظر ملفات المستخدم. يمكن أن تكون برامج الفدية هذه خطيرة للغاية وتصيب أي جهاز كمبيوتر، ولكن هدفها الرئيسي هو أجهزة كمبيوتر الشركة.

تمت مناقشة هذا على موقع Bedynet.ru

تدخل هذه البرامج الضارة إلى أجهزة الكمبيوتر الخاصة بالضحية وتنفذ أنشطتها بشكل سري، وقد يتعرض الكمبيوتر للخطر. يقوم Petya بتشفير الملفات باستخدام خوارزميات RSA-4096 وAES-256، بل إنه يستخدم للأغراض العسكرية. لا يمكن فك تشفير مثل هذا الرمز بدون مفتاح خاص. مثل برامج الفدية الأخرى مثل فيروس Locky، وفيروس CryptoWall، وCryptoLocker، يتم تخزين هذا المفتاح الخاص على بعض الخوادم البعيدة، والتي لا يمكن الوصول إليها إلا عن طريق دفع فدية لمنشئ الفيروس.

على عكس برامج الفدية الأخرى، بمجرد تشغيل هذا الفيروس، فإنه يعيد تشغيل جهاز الكمبيوتر الخاص بك على الفور، وعندما يتم تشغيله مرة أخرى، تظهر رسالة على الشاشة: "لا تقم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك! إذا أوقفت هذه العملية، فقد تدمر جميع بياناتك! "يرجى التأكد من توصيل جهاز الكمبيوتر الخاص بك بالشاحن!"

على الرغم من أن هذا قد يبدو وكأنه خطأ في النظام، إلا أن Petya يقوم في الواقع بإجراء التشفير بصمت في وضع التخفي. إذا حاول المستخدم إعادة تشغيل النظام أو إيقاف تشفير الملفات، فسيظهر هيكل عظمي أحمر وامض على الشاشة مع النص "اضغط على أي مفتاح".

وأخيرا، بعد الضغط على المفتاح، سوف تظهر نافذة جديدة مع مذكرة فدية. في هذه المذكرة، يُطلب من الضحية دفع 0.9 بيتكوين، أي ما يقرب من 400 دولار. ومع ذلك، هذا السعر لجهاز كمبيوتر واحد فقط؛ لذلك، بالنسبة للشركات التي لديها العديد من أجهزة الكمبيوتر، يمكن أن يكون المبلغ بالآلاف. ما يميز برنامج الفدية هذا أيضًا هو أنه يمنحك أسبوعًا كاملاً لدفع الفدية، بدلاً من المدة المعتادة التي تتراوح بين 12 و72 ساعة والتي تمنحها الفيروسات الأخرى في هذه الفئة.

علاوة على ذلك، فإن المشاكل مع بيتيا لا تنتهي عند هذا الحد. بمجرد دخول هذا الفيروس إلى النظام، سيحاول إعادة كتابة ملفات تمهيد Windows، أو ما يسمى Boot Writer، المطلوبة لتشغيل نظام التشغيل. لن تتمكن من إزالة فيروس Petya من جهاز الكمبيوتر الخاص بك إلا إذا قمت باستعادة إعدادات Master Boot Recorder (MBR). حتى لو تمكنت من تصحيح هذه الإعدادات وإزالة الفيروس من نظامك، لسوء الحظ، ستظل ملفاتك مشفرة لأن إزالة الفيروسات لا تؤدي إلى فك تشفير الملفات، ولكنها تزيل الملفات المعدية ببساطة. وبطبيعة الحال، فإن إزالة الفيروس أمر مهم إذا كنت ترغب في مواصلة العمل مع جهاز الكمبيوتر الخاص بك. نوصي باستخدام أدوات مكافحة الفيروسات الموثوقة مثل Reimage للعناية بإزالة Petya.

كيف ينتشر هذا الفيروس وكيف يمكن أن يدخل إلى جهاز الكمبيوتر؟

ينتشر فيروس Petya عادةً عبر رسائل البريد الإلكتروني العشوائية التي تحتوي على روابط تنزيل Dropbox لملف يسمى "تطبيق Folder-gepackt.exe" المرفق بها. يتم تنشيط الفيروس عند تنزيل ملف معين وفتحه. وبما أنك تعرف بالفعل كيف ينتشر هذا الفيروس، فيجب أن تكون لديك بعض الأفكار حول كيفية حماية جهاز الكمبيوتر الخاص بك من هجوم الفيروسات. وبطبيعة الحال، يجب عليك الحذر عند فتح الملفات الإلكترونية التي يرسلها مستخدمون مشبوهون ومصادر غير معروفة تقدم معلومات ليست كما تتوقعها.

يجب عليك أيضًا تجنب رسائل البريد الإلكتروني التي تندرج ضمن فئة "البريد العشوائي"، حيث يقوم معظم مزودي خدمة البريد الإلكتروني بتصفية رسائل البريد الإلكتروني تلقائيًا ووضعها في الدلائل المناسبة. ومع ذلك، يجب ألا تثق بهذه المرشحات لأن التهديدات المحتملة قد تتسلل من خلالها. تأكد أيضًا من تزويد نظامك بأداة موثوقة لمكافحة الفيروسات. وأخيرًا، يوصى دائمًا بالاحتفاظ بنسخ احتياطية على بعض محركات الأقراص الخارجية في حالة حدوث مواقف خطيرة.

كيف يمكنني إزالة فيروس Petya من جهاز الكمبيوتر الخاص بي؟

لا يمكنك إزالة Petya من جهاز الكمبيوتر الخاص بك باستخدام إجراء إلغاء التثبيت البسيط لأنه لن يعمل مع هذه البرامج الضارة. هذا يعني أنه يجب عليك إزالة هذا الفيروس تلقائيًا. يجب أن تتم الإزالة التلقائية لفيروس Petya باستخدام أداة مكافحة فيروسات موثوقة يمكنها اكتشاف هذا الفيروس وإزالته من جهاز الكمبيوتر الخاص بك. ومع ذلك، إذا واجهت بعض مشكلات إلغاء التثبيت، على سبيل المثال، قد يقوم هذا الفيروس بحظر برنامج مكافحة الفيروسات لديك، فيمكنك دائمًا التحقق من تعليمات إزالة التثبيت.

الخطوة 1: أعد تشغيل جهاز الكمبيوتر الخاص بك للدخول إلى الوضع الآمن مع الاتصال بالشبكة

Windows 7/Vista/XP انقر فوق ابدأ → إيقاف التشغيل → إعادة التشغيل → موافق.

حدد الوضع الآمن مع الاتصال بالشبكة من القائمة

Windows 10 / Windows 8 في نافذة تسجيل الدخول إلى Windows، انقر فوق زر الطاقة. ثم اضغط مع الاستمرار على مفتاح Shift وانقر فوق "إعادة التشغيل".
الآن حدد استكشاف الأخطاء وإصلاحها → الخيارات المتقدمة → إعدادات بدء التشغيل وانقر فوق إعادة التشغيل.
عندما يصبح جهاز الكمبيوتر الخاص بك نشطًا، في نافذة إعدادات بدء التشغيل، حدد تمكين الوضع الآمن مع الاتصال بالشبكة.

الخطوة 2: إزالة بيتيا
قم بتسجيل الدخول باستخدام حسابك المصاب وقم بتشغيل المتصفح الخاص بك. قم بتنزيل Reimage أو أي برنامج موثوق آخر لمكافحة برامج التجسس. قم بتحديثه قبل مسح وإزالة الملفات الضارة المتعلقة ببرنامج الفدية وإزالة Petya بالكامل.

إذا كانت برامج الفدية تحظر الوضع الآمن مع الاتصال بالشبكة، فجرّب الطريقة التالية.

الخطوة 1: أعد تشغيل جهاز الكمبيوتر الخاص بك للدخول إلى الوضع الآمن باستخدام موجه الأوامر

ويندوز 7 / فيستا / إكس بي
انقر فوق ابدأ → إيقاف التشغيل → إعادة التشغيل → موافق.
بمجرد تنشيط جهاز الكمبيوتر الخاص بك، اضغط على F8 عدة مرات حتى تظهر نافذة خيارات التمهيد المتقدمة.
من القائمة، حدد موجه الأوامر


الآن اكتب rstrui.exe ثم اضغط على Enter مرة أخرى.

عندما تظهر نافذة جديدة، انقر فوق "التالي" وحدد نقطة الاستعادة الخاصة بك قبل الإصابة بـ Petya. بعد ذلك، انقر فوق التالي. في نافذة "استعادة النظام" التي تظهر، حدد "التالي"

حدد نقطة الاستعادة الخاصة بك وانقر فوق "التالي"
الآن انقر فوق نعم لبدء استرداد النظام. انقر فوق "نعم" وابدأ في استعادة النظام بمجرد استعادة النظام الخاص بك إلى تاريخ سابق، قم بتشغيل جهاز الكمبيوتر الخاص بك وفحصه للتأكد من نجاح عملية الإزالة.

"ليس عليك أن تدفع المال." وذكر الاتحاد الأفريقي.

إن أنظمة التشغيل الأكثر عرضة للفيروسات والبرامج الضارة هي ويندوز وأندرويد؛ أما لينكس وOS X فهي أقل عرضة للمعاناة. وتتنوع المهام التي تحلها الفيروسات إلى حد كبير، ولكن في الآونة الأخيرة كان هناك تدفق لبرامج الفدية، والتي أصبح من الصعب على نحو متزايد السيطرة عليها. يقاوم. وإذا كان من الممكن علاج الفيروسات العادية، فلا توجد أدوات لفك التشفير ضد برامج الفدية التي اخترقت النظام بالفعل.

لقد كتبنا بالفعل عن أنه، اختراق النظام، قام بتعديل قطاع التمهيد على محرك الأقراص، ونتيجة لذلك، عند تشغيل الكمبيوتر، تم إصدار رسالة حول تلف البيانات، وبعد ذلك تم إطلاق الأداة المساعدة CHKDSK. في الواقع، بدلاً من عمل CHKDSK، تم تشفير البيانات. وفي نهاية التشفير، تم تقديم نافذة فدية للمستخدم، وتضاعف مبلغ الفدية بعد أسبوع.

ولكن إما أن مؤلف فيروس Petya قد ارتكب خطأً ما، أو ببساطة ارتكب خطأً في الكود، لكن بعض المستخدمين تمكنوا من إنشاء أدوات تسمح لهم بتطهير البيانات المشفرة. أولا، قم بتنزيل هذه الأداة المساعدة

(التنزيلات: 253)

.

دعنا نحذرك على الفور من أن المعلومات مخصصة فقط للمستخدمين ذوي الخبرة أو الواثقين إلى حد ما، لأنها تفترض معرفة الجزء الفني للكمبيوتر. وفي جميع الحالات الأخرى، نوصي بالاتصال بالمتخصصين في ورشة إصلاح الكمبيوتر في كييف، حيث سيقوم الفنيون ذوو الخبرة بتنفيذ مجموعة كاملة من التدابير لاستعادة وظائف الكمبيوتر.

1. قم بتوصيل القرص الصلب المشفر بواسطة Petya بجهاز كمبيوتر آخر، وتشغيل الأداة المساعدة Petya Sector Extractor، وسيحدد البرنامج محرك الأقراص الذي يعمل عليه Petya وسيبلغ عن ذلك.

2. انتقل إلى الإنترنت على https://petya-pay-no-ransom.herokuapp.com أو https://petya-pay-no-ransom-mirror1.herokuapp.com/، سيكون هناك حقلين نصيين يسمى Base64encoded بيانات التحقق 512 بايت و Base64encoded 8 بايت nonce، والتي يجب ملؤها للحصول على المفتاح.

3. بالنسبة لحقل بيانات التحقق من Base64encoded 512 بايت في برنامج Petya Sector Extractor، ستحتاج إلى النقر فوق زر CopySector في Petya Extractor، بالنسبة لحقل Base64 المشفر 8 بايت nonce، يتم الحصول على البيانات من خلال النقر على زر Copy Nonce . وبعد ذلك يمكنك إغلاق الأداة المساعدة Petya Sector Extractor. بعد ملء الحقول، انقر فوق "إرسال" وانتظر بضع دقائق، ونتيجة لذلك نحصل على المجموعة المطلوبة، والتي إما أن تتذكرها أو تكتبها في مكان ما.

4. أدخل القرص الصلب المنكوب مرة أخرى، قم بتشغيل الكمبيوتر، وانتظر حتى يقوم بيتيا بإدخال الرمز، إذا تم كل شيء بشكل صحيح، فيجب أن يبدأ الفيروس في فك تشفير البيانات الموجودة على القرص وبعد اكتمال العملية، سيقوم الكمبيوتر بذلك إعادة التشغيل في الوضع العادي.

كما ترون، لا يزال من الممكن التعافي من فيروس بيتيا، ولكن في المستقبل، لتجنب مثل هذه الحوادث، يجب عليك استخدام برامج مكافحة الفيروسات. علاوة على ذلك، اكتسبت بيتيا منذ بضعة أيام صديقًا، وهو فيروس يُدعى ميشا، وهو أكثر تعقيدًا ولا يوجد علاج له بعد.

في بداية شهر مايو، أصيب حوالي 230 ألف جهاز كمبيوتر في أكثر من 150 دولة بفيروس طلب الفدية. وقبل أن يتاح للضحايا الوقت الكافي للتخلص من عواقب هذا الهجوم، تبع ذلك هجوم جديد يسمى بيتيا. وعانت منه أكبر الشركات الأوكرانية والروسية وكذلك المؤسسات الحكومية.

وأثبتت الشرطة الإلكترونية في أوكرانيا أن هجوم الفيروس بدأ من خلال آلية تحديث برنامج المحاسبة M.E.Doc، والذي يستخدم لإعداد وإرسال التقارير الضريبية. وهكذا، أصبح من المعروف أن شبكات باشنفت، وروسنفت، وزابوروجيوبلينيرجو، ودنيبروينيرجو، ونظام الطاقة الكهربائية دنيبر لم تفلت من العدوى. وفي أوكرانيا، اخترق الفيروس أجهزة الكمبيوتر الحكومية، وأجهزة الكمبيوتر الشخصية في مترو كييف، ومشغلي الاتصالات، وحتى محطة تشيرنوبيل للطاقة النووية. وفي روسيا، تأثرت شركات موندليز إنترناشيونال ومارس ونيفيا.

يستغل فيروس Petya ثغرة EternalBlue الموجودة في نظام التشغيل Windows. ويقول خبراء Symantec وF-Secure إنه على الرغم من أن Petya يقوم بتشفير البيانات مثل WannaCry، إلا أنه لا يزال مختلفًا بعض الشيء عن الأنواع الأخرى من فيروسات التشفير. "يعد فيروس Petya نوعًا جديدًا من الابتزاز ذي نوايا خبيثة: فهو لا يقوم بتشفير الملفات الموجودة على القرص فحسب، بل يقفل القرص بأكمله، مما يجعله غير قابل للاستخدام عمليًا"، يوضح F-Secure. "على وجه التحديد، يقوم بتشفير جدول الملفات الرئيسية MFT."

كيف يحدث هذا وهل يمكن منع هذه العملية؟

فيروس "بيتيا" - كيف يعمل؟

يُعرف فيروس Petya أيضًا بأسماء أخرى: Petya.A، وPetrWrap، وNotPetya، وExPetr. بمجرد وصوله إلى جهاز الكمبيوتر، يقوم بتنزيل برنامج الفدية من الإنترنت ويحاول مهاجمة جزء من القرص الصلب بالبيانات اللازمة لتشغيل جهاز الكمبيوتر. إذا نجح، يصدر النظام شاشة الموت الزرقاء ("شاشة الموت الزرقاء"). بعد إعادة التشغيل، تظهر رسالة حول فحص القرص الصلب تطلب منك عدم إيقاف تشغيل الطاقة. وبالتالي، يتظاهر فيروس التشفير بأنه برنامج لمسح قرص النظام، حيث يقوم بتشفير الملفات بامتدادات معينة في نفس الوقت. وفي نهاية العملية تظهر رسالة تشير إلى أن الكمبيوتر محظور ومعلومات حول كيفية الحصول على مفتاح رقمي لفك تشفير البيانات. يتطلب فيروس Petya فدية، عادةً ما تكون بعملة البيتكوين. إذا لم يكن لدى الضحية نسخة احتياطية من ملفاته، فإنه يواجه خيار دفع 300 دولار أو فقدان جميع المعلومات. ووفقا لبعض المحللين، فإن الفيروس يتنكر فقط كبرنامج فدية، في حين أن هدفه الحقيقي هو التسبب في أضرار جسيمة.

كيف تتخلص من بيتيا؟

اكتشف الخبراء أن فيروس Petya يبحث عن ملف محلي، وإذا كان هذا الملف موجودًا بالفعل على القرص، فإنه يخرج من عملية التشفير. وهذا يعني أنه يمكن للمستخدمين حماية أجهزة الكمبيوتر الخاصة بهم من برامج الفدية عن طريق إنشاء هذا الملف وتعيينه للقراءة فقط.

ورغم أن هذا المخطط الماكر يمنع عملية الابتزاز من البدء، إلا أن هذه الطريقة يمكن اعتبارها أشبه بـ”التطعيم بالكمبيوتر”. وبالتالي، سيتعين على المستخدم إنشاء الملف بنفسه. يمكنك القيام بذلك على النحو التالي:

  • تحتاج أولاً إلى فهم امتداد الملف. في نافذة خيارات المجلد، تأكد من عدم تحديد خانة الاختيار إخفاء الملحقات لأنواع الملفات المعروفة.
  • افتح المجلد C:\Windows، ثم قم بالتمرير لأسفل حتى ترى برنامج notepad.exe.
  • انقر بزر الماوس الأيسر على notepad.exe، ثم اضغط على Ctrl + C للنسخ، ثم Ctrl + V للصق الملف. سوف تتلقى طلبًا يطلب الإذن لنسخ الملف.
  • انقر فوق الزر "متابعة" وسيتم إنشاء الملف كمفكرة - Copy.exe. انقر بزر الماوس الأيسر على هذا الملف واضغط F2، ثم امسح اسم الملف Copy.exe وأدخل perfc.
  • بعد تغيير اسم الملف إلى perfc، اضغط على Enter. تأكيد إعادة التسمية.
  • الآن بعد أن تم إنشاء ملف perfc، نحتاج إلى جعله للقراءة فقط. للقيام بذلك، انقر بزر الماوس الأيمن على الملف وحدد "خصائص".
  • سيتم فتح قائمة الخصائص لهذا الملف. في الأسفل سترى "للقراءة فقط". تفقد الصندوق.
  • الآن انقر فوق الزر "تطبيق" ثم الزر "موافق".

يقترح بعض خبراء الأمان إنشاء ملفات C:\Windows\perfc.dat وC:\Windows\perfc.dll بالإضافة إلى ملف C:\windows\perfc لتوفير حماية أكثر شمولاً ضد فيروس Petya. يمكنك تكرار الخطوات المذكورة أعلاه لهذه الملفات.

تهانينا، جهاز الكمبيوتر الخاص بك محمي من NotPetya/Petya!

يقدم خبراء شركة Symantec بعض النصائح لمستخدمي أجهزة الكمبيوتر لمنعهم من القيام بأشياء قد تؤدي إلى قفل الملفات أو خسارة الأموال.

  1. لا تدفع المال للمجرمين.حتى إذا قمت بتحويل الأموال إلى برنامج الفدية، فليس هناك ما يضمن أنك ستتمكن من استعادة الوصول إلى ملفاتك. وفي حالة NotPetya / Petya، فهذا لا معنى له في الأساس، لأن هدف برنامج الفدية هو تدمير البيانات، وليس الحصول على المال.
  2. تأكد من عمل نسخة احتياطية لبياناتك بانتظام.في هذه الحالة، حتى لو أصبح جهاز الكمبيوتر الخاص بك هدفًا لهجوم فيروس الفدية، فستتمكن من استعادة أي ملفات محذوفة.
  3. لا تفتح رسائل البريد الإلكتروني من عناوين مشكوك فيها.سيحاول المهاجمون خداعك لتثبيت برامج ضارة أو محاولة الحصول على بيانات مهمة للهجمات. تأكد من إبلاغ متخصصي تكنولوجيا المعلومات إذا تلقيت أنت أو موظفوك رسائل بريد إلكتروني أو روابط مشبوهة.
  4. استخدم برامج موثوقة.يلعب تحديث برامج مكافحة الفيروسات في الوقت المناسب دورًا مهمًا في حماية أجهزة الكمبيوتر من الإصابة. وبطبيعة الحال، تحتاج إلى استخدام المنتجات من الشركات ذات السمعة الطيبة في هذا المجال.
  5. استخدم آليات لفحص الرسائل غير المرغوب فيها وحظرها.يجب فحص رسائل البريد الإلكتروني الواردة بحثًا عن التهديدات. من المهم حظر أي نوع من الرسائل التي تحتوي على روابط أو كلمات رئيسية تصيدية نموذجية في نصوصها.
  6. تأكد من أن كافة البرامج محدثة.يعد العلاج المنتظم لنقاط الضعف في البرامج ضروريًا لمنع الإصابة بالعدوى.

هل نتوقع هجمات جديدة؟

ظهر فيروس بيتيا لأول مرة في مارس 2016، ولاحظ المتخصصون الأمنيون سلوكه على الفور. أصاب فيروس بيتيا الجديد أجهزة الكمبيوتر في أوكرانيا وروسيا في نهاية يونيو 2017. ولكن من غير المرجح أن تكون هذه هي النهاية. وقال ستانيسلاف كوزنتسوف، نائب رئيس مجلس إدارة بنك سبيربنك، إن هجمات القراصنة باستخدام فيروسات الفدية المشابهة لـ Petya وWannaCry ستتكرر. وفي مقابلة مع تاس، حذر من أن مثل هذه الهجمات ستحدث بالتأكيد، ولكن من الصعب التنبؤ مسبقًا بالشكل والشكل الذي قد تظهر به.

إذا، بعد كل الهجمات السيبرانية التي حدثت، لم تتخذ بعد على الأقل الحد الأدنى من الخطوات لحماية جهاز الكمبيوتر الخاص بك من فيروس برامج الفدية، فقد حان الوقت للتعامل بجدية بشأن هذا الأمر.