WannaCry: كيفية التغلب على برنامج الفدية الجديد؟ تم اكتشاف برنامج فدية جديد مشابه لـ WannaCry
لقد تم بالفعل وصف هذا الهجوم السيبراني بأنه الأكبر في التاريخ. أكثر من 70 دولة ، وعشرات الآلاف من أجهزة الكمبيوتر المصابة. فيروس رانسوم وير المسمى Wanna Cry ("أريد أن أبكي") لا يجنب أي شخص. المستشفيات تتعرض للهجوم السكك الحديدية، وكالات الحكومة.
في روسيا ، كان الهجوم هو الأكبر. تذكرنا الرسائل الواردة الآن بالتقارير الواردة من واجهات الكمبيوتر. من الأخير: قالت شركة السكك الحديدية الروسية إن الفيروس حاول اختراق نظام تكنولوجيا المعلومات الخاص بها ، وقد تم توطينه بالفعل وهم يحاولون تدميره. كما تمت مناقشة محاولات القرصنة في البنك المركزي ووزارة الداخلية ووزارة الطوارئ وشركات الاتصالات.
هذا ما يبدو عليه الفيروس الذي أصاب عشرات الآلاف من أجهزة الكمبيوتر حول العالم بالشلل. واجهة واضحة ونص مترجم إلى عشرات اللغات - "لديك ثلاثة أيام فقط للدفع". يتطلب البرنامج الخبيث الذي يقوم بتشفير الملفات -حسب مصادر مختلفة- من 300 إلى 600 دولار لفتحها. فقط في العملة الإلكترونية. الابتزاز هو حرفيا على وشك الحياة والموت.
يقول باتريك وارد: "كنت جاهزًا تمامًا للعملية ، حتى أنه تم وضع القطارة بالفعل ، ثم يأتي الجراح ويقول إن لديهم مشاكل مع الجهاز بسبب هجوم إلكتروني".
لقاحات من فيروس الكمبيوترلم يتم العثور على أي من العيادات الأربعين البريطانية التي تعرضت للهجوم في البداية ، ولا في أكبر شركة اتصالات إسبانية ، Telefonika. آثار ، وفقا للخبراء ، واحدة من أكبر هجمات القراصنةفي تاريخ العالم ، حتى على لوحة النتائج في محطات القطار في ألمانيا. في أحد مراكز التحكم السبعة التابعة لشركة السكك الحديدية الألمانية دويتشه بان ، فشل نظام التحكم. قد تكون العواقب وخيمة.
في المجموع ، أصبح 74 دولة بالفعل ضحايا للهجمات الإلكترونية. فقط أفريقيا وعدة دول في آسيا و أمريكا اللاتينية. هل هي فقط الآن؟
كل هذا يتم للحصول على الأموال من الجريمة المنظمة. لا توجد خلفية سياسية أو دوافع خفية. يقول خبير مكافحة الفيروسات في شركة تكنولوجيا المعلومات ، بن راب ، ابتزاز خالص.
لكن وسائل الإعلام البريطانية وجدت على الفور خلفية سياسية. وألقوا باللوم على المتسللين الروس في كل شيء ، ومع ذلك ، دون أي دليل ، يربطون الهجوم السيبراني بالضربة الجوية الأمريكية في سوريا. يُزعم أن فيروس رانسومواري أصبح انتقامًا لموسكو. في الوقت نفسه ، وبحسب نفس وسائل الإعلام البريطانية ، عانت روسيا أكثر من غيرها من هذا الهجوم. ومن الصعب المجادلة في ذلك بالتأكيد. تعرض أكثر من ألف جهاز كمبيوتر للهجوم في وزارة الداخلية وحدها. ومع ذلك ، لم ينجح.
تم صد الهجمات في وزارة الطوارئ ووزارة الصحة ، في سبيربنك وفي ميغافون. حتى أن مشغل الهاتف المحمول أوقف عمل مركز الاتصال لبعض الوقت.
"المرسوم الرئاسي بشأن إنشاء الجزء الروسي من الشبكة هو عبارة عن إنترنت مغلق حول المسؤولين الحكوميين. لطالما كان الدفاع وراء هذا الدرع. على الأرجح ، كما أعتقد ، عانت أجهزة الكمبيوتر البسيطة للموظفين العاديين. من غير المحتمل أن يكون الوصول إلى قواعد البيانات قد عانى - فهي ، كقاعدة عامة ، موجودة على أنظمة تشغيل أخرى وعادة ما تكون موجودة في مزودي الخدمة ، "قال جيرمان كليمينكو ، مستشار رئيس روسيا بشأن تطوير الإنترنت.
البرنامج ، وفقًا لمطوري برامج مكافحة الفيروسات ، يصيب الكمبيوتر إذا فتح المستخدم خطابًا مريبًا ، وحتى لم يقم بتحديث Windows. يظهر هذا بوضوح في الصين ، التي تأثرت بشكل خطير - سكان الإمبراطورية السماوية ، كما تعلمون ، لديهم حب خاص لأنظمة التشغيل المقرصنة. ولكن هل يستحق ذلك أن تدفع ، بالضغط على الماوس دون تفكير ، فإنهم يتساءلون حول العالم
"إذا لم يكن لدى الشركة نسخة احتياطية ، فقد تفقد الوصول إلى البيانات. هذا ، على سبيل المثال ، إذا تم تخزين قاعدة بيانات لمرضى المستشفى جنبًا إلى جنب مع سجلات الحالات في نسخة واحدة على هذا الخادم حيث وصل الفيروس ، فلن تستعيد المستشفى هذه البيانات بأي شكل من الأشكال ، كما يقول خبير الأمن السيبراني إيليا سكاتشكوف.
حتى الآن ، كما اكتشف المدونون ، لا يوجد أكثر من أربعة آلاف دولار في المحفظة الإلكترونية للمحتالين. تافه ، بالنظر إلى قائمة الضحايا - من الواضح أن تكاليف قرصنة محركات الأقراص الثابتة الخاصة بهم لا يمكن مقارنتها. أشارت الطبعة البريطانية من الفاينانشيال تايمز إلى أن فيروس رانسوم وير ليس أكثر من تعديل بواسطة مجرمي الإنترنت البرمجيات الخبيثةوكالات الأمن القوميالولايات المتحدة الأمريكية. بمجرد إنشائه من أجل اختراق الأنظمة الأمريكية المغلقة. هذا ما أكده أيضًا موظفه السابق إدوارد سنودن.
من سنودن على تويتر: "واو ، قرار وكالة الأمن القومي إنشاء أدوات لمهاجمة الأمريكيين البرمجياتالآن يعرضون حياة مرضى المستشفيات للخطر ".
ومع ذلك ، حذرت ويكيليكس مرارًا وتكرارًا من أنه بسبب الرغبة الجنونية في مراقبة العالم بأسره ، تقوم وكالات الاستخبارات الأمريكية بتوزيع برامج ضارة. ولكن حتى لو لم يكن الأمر كذلك ، فإن السؤال الذي يطرح نفسه هو كيف تقع برامج وكالة الأمن القومي في الأيدي الخطأ. ممتع وشيء آخر. أنقذ العالم من الفيروس تقدم وكالة استخبارات أمريكية أخرى - وزارة الأمن الداخلي.
مهما كان الأمر ، لم يتم بعد تقييم المدى الحقيقي لهذا الهجوم. إصابة أجهزة الكمبيوتر في جميع أنحاء العالم مستمرة. لا يوجد سوى "لقاح" واحد - الحذر والتبصر. من المهم عدم فتح المرفقات المشبوهة. في الوقت نفسه ، يحذر الخبراء من أنه سيكون هناك المزيد في المستقبل. سيزداد تواتر ونطاق الهجمات الإلكترونية.
مرحبا صديقي العزيز. اليوم أريد أن أخبرك عن ما هو فيروس رانسومواريكيف لا نقبض عليه وبضع كلمات عن كيفية التخلص منه. لفترة طويلة كنت سأكتب مقالًا عن هذا الوحل ، لأن هذه الفيروسات قد حصلت عليه بالفعل. وأريد أن أخبركم ما هو.
نظرًا لأنني أقوم بإجراء إصلاح بسيط للكمبيوتر ، فغالبًا ما أواجه فيروسات برامج الفدية الضارة. يُطلق عليهم أيضًا اسم مبتزو الرسائل القصيرة ، ولكن الآن تتطلب هذه الفيروسات الدفع ليس فقط عن طريق الرسائل القصيرة ، ولكن أيضًا من خلال محطات مختلفة.
فيروس رانسوم وير ، ما هو؟
فيروس رانسومواري - هذا برنامج خبيث يقوم ، بعد دخوله إلى الكمبيوتر ، بحظر عمله تمامًا ويتطلب منك إرسال رسائل نصية قصيرة أو الدفع مقابل رمز يفتح الكمبيوتر. خلاف ذلك ، فإنه يهدد بتدمير جميع البيانات. هناك عدة أنواع من برامج الفدية الضارة. هناك من يحظر بعض المواقع ، مثل حظر المتصفح. لكن في هذه المقالة ، سننظر في الفيروسات التي تحجب نظام التشغيل. لأنها أفظع :) والتخلص منها أصعب.
تبدو مثل هذا:
هذا بالطبع ليس كل شيء ، فهناك الكثير منهم وكلهم مختلفون ، كلهم يحتاجون مبالغ مختلفة ولديهم تهديدات مختلفة. بالمناسبة ، التقيت مؤخرًا بفيروس على جهاز الكمبيوتر الخاص بي مشابهًا لآخر فيروس في الصورة. إذن ، لديه بالفعل ميزة جديدة ، قبل أن أرى الفيروسات التي منعت Windows بالفعل عند تحميله ، أي أن سطح المكتب كان في الخلفية. ويظهر هذا الفيروس على الفور عند بدء تشغيل الكمبيوتر أي حالما نظام التشغيليبدأ في الجري. إنه يبدو أكثر ترويعًا ونص ابتزازه مثالي :). لم أتمكن من إلحاق الهزيمة به إلا بإعادة تثبيت Windows.
مهما كانت هذه الفيروسات ، فلها هدف واحد. يخيفك ويحصل على أموالك. ويبدو لي أن الكثيرين يجرون ويدفعون مقابل تنظيف هذه القمامة. خلاف ذلك ، إنه لأمر مخز ، أن مثل هذا النص مكتوب ، وفجأة سيرى الأقارب ذلك ، بل إنه من العار أن يتم إصلاحه. لقد علمت فيما بعد أن أصدقائي الذين تعاملوا مع هذا الفيروس لم يتصلوا بي. وأنا أتفهم تمامًا ، لكن كل هذا يتم من أجل الضغط على الضحية وجعله يدفع.
ما هو أكثر إثارة للاهتمام ، أن إرسال الرسائل القصيرة عادة لا يعطي أي شيء ، أي أنك على الأرجح ستنفق المال فقط ولن تتلقى أي مفتاح. لذلك لا ترسل الأموال بأي حال من الأحوال ، فلن ينقذ الوضع.
كيف لا تصاب بفيروس رانسومواري؟
عادة ما يتم العثور على هذا الوحل في أي مكان ، وليس فقط في المواقع المخصصة للبالغين ، كما كان يعتقد الجميع. كقاعدة عامة ، يمكن أن يختبئ مثل هذا الفيروس في ملفات zip ، و rar ، و exe ، وما إلى ذلك ، حتى أنه يمكن أن يتنكر في شكل مشغل فلاش ، وبعد التثبيت يتم حظر نظام التشغيل. يمكن أن تصاب به من خلال الوسائط القابلة للإزالة وعبر الشبكة.
بعض النصائح لمساعدتك على حماية نفسك من برامج الفدية الضارة قدر الإمكان.
- بالطبع ، برنامج مضاد فيروسات ، حتى مجاني. يجب تثبيت برنامج مكافحة الفيروسات على الكمبيوتر وتحديثه باستمرار. ليس من الضروري حتى شراء برنامج مكافحة فيروسات مدفوع ، يمكنك استخدام برنامج مجاني. قم بفحص جهاز الكمبيوتر بالكامل بحثًا عن الفيروسات من وقت لآخر. لكن تذكر أنه لا يوجد برنامج مكافحة فيروسات سيحميك بنسبة 100٪ من جميع الفيروسات.
- إذا كنت بحاجة إلى نوع من البرامج أو برنامج التشغيل ، فحاول تنزيلها من المواقع الرسمية. لا تذهب إلى أي مكان ، فبعض المواقع من الأفضل تجاوزها ، والآن تحذر محركات البحث من أن الموقع قد يكون خطيرًا على جهاز الكمبيوتر الخاص بك ، لذلك لا تتجاهل هذه الرسالة وتغلق هذا الموقع. لا تنقر على روابط غريبة تأتي إلى بريدك أو في شبكة اجتماعية. قد يؤدي هذا الارتباط إلى موقع ضار.
- قم بفحص جميع الوسائط القابلة للإزالة التي تتصل بها على الفور ببرنامج مكافحة فيروسات ، وبعد ذلك فقط افتحها.
كيف أتخلص من فيروسات الفدية سأكتب في المقالات التالية ، لأن هذه قصة منفصلة. دعني أقول إنني دائمًا ما أقوم بفحص الكمبيوتر أولاً باستخدام قرص تمهيد ، أو. حسنًا ، إذا لم يعثر هذان القرصان على أي شيء ، فمن المرجح أن أقوم بإعادة تثبيت Windows. أنا أتحدث الآن عن الفيروسات التي تمنع نظام التشغيل. حظا طيبا وفقك الله!
تحديث:
وراء في الآونة الأخيرةلقد كتبت العديد من المقالات التي تحدثت فيها عن كيفية إزالة فيروس رانسومواري. أعتقد أنك ستحتاج:
إذا حدث بالفعل أنك "أصبت" بفيروس رانسوم وير ، أو كانت لديك مشكلات أخرى مع الكمبيوتر المحمول ، فاتصل بالأشخاص الذين يقومون بإصلاحات الكمبيوتر المحمول في موسكو. أعتقد أنهم سيكونون قادرين على مساعدتك ليس فقط مع الفيروسات ، ولكن أيضًا ، على سبيل المثال ، لاستبدال المصفوفة في جهاز كمبيوتر محمول.
استحوذ الذعر على مستخدمي أجهزة الكمبيوتر في جميع أنحاء العالم: سجل الخبراء بالفعل 45000 محاولة من قبل المتسللين لمهاجمة أجهزة الكمبيوتر باستخدام فيروس تشفير يسمى WannaCry (Wanna Decryptor).
أول ضحايا الفيروس كانوا خوادم المنظمات الكبيرة التي كان المهاجمون يعتزمون سرقة الأموال منها. في الواقع ، من السهل جدًا حماية نفسك من الفيروس ، ومن الممكن التخلص من عواقب "مرض الكمبيوتر".
ما هو خطر وانا ديكريبتور؟
عند دخوله إلى جهاز كمبيوتر ، يقوم حصان طروادة بمسح جميع الملفات المخزنة على الجهاز ، مضيفًا امتداد WNCRY إليها. بهذه الطريقة يفقد المستخدمون الوصول إلى الصور أو الموسيقى والمستندات وملفات ملفات النظام.
يرى كل ضحية من ضحايا برامج الفدية عرضًا لفك تشفير بعض الملفات مجانًا والدفع لاستعادة الوصول إلى كل شيء آخر. ومع ذلك ، ليس هناك ما يضمن استعادة الوصول بعد الدفع.
المشكلة الرئيسية هي أنه في كل مرة يقوم فيها الفيروس بعمل شيء مختلف: في بعض الأحيان ، بعد إنشاء نسخ مشفرة ، يقوم بحذف النسخ الأصلية. هذا يؤدي إلى حقيقة أنه حتى إذا قام برنامج مكافحة الفيروسات بحظر التطبيق بعد حدوثه ، فإن الملفات مشفرة بالفعل.
كيف يصاب جهاز الكمبيوتر بـ Wana Decryptor؟
قد تأتي البرامج الضارة عبر البريد الإلكتروني ، أو يخاطر المستخدم بتنزيلها بنفسه عن طريق الخطأ - على سبيل المثال ، عن طريق تنزيل شيء مقرصن من السيول ، وفتح نافذة بتحديث مزيف ، وتنزيل ملفات تثبيت خاطئة.
في أغلب الأحيان ، يصاب المستخدم بالعدوى عن طريق النقر على مرفق ضار في رسالة بريد إلكتروني. نحن نتحدث عن الملفات ذات الامتدادات js و exe ، وكذلك المستندات التي تحتوي على وحدات ماكرو ضارة (على سبيل المثال ، ملفات Microsoft Word).
كيف تحمي حاسوبك من الفيروسات؟
يمكن لمستخدمي macOS والإصدارات السابقة من Windows أن تتنفس الصعداء لأن الفيروس يصيب Windows Vista و 7 و 8 و 8.1 و 10 ، بالإضافة إلى Windows Server 2008/2012/2016.
أبلغت Microsoft عن إغلاق هذه الثغرة الأمنية قبل شهرين ، لأن كل من أصيب بالفيروس الآن ببساطة لم يكن لديه الوقت للتحديث. من موقع Microsoft على الويب ، يمكنك تنزيل التصحيح MS17-010 ، والذي سيغلق الثغرة الأمنية.
يتمتع مستخدمو برنامج الحماية من الفيروسات لـ Windows Defender أيضًا بالحماية الكاملة من الفيروس. بالنسبة إلى برامج مكافحة الفيروسات التابعة لجهات خارجية مثل Kaspersky أو Symantec ، فإن الأمر يستحق أيضًا تنزيل أحدث إصدار.
في مكافحة الفيروسات ، يجب تمكين مكون "مراقب النظام". ثم تحتاج إلى التحقق من النظام: إذا تم اكتشاف هجمات ضارة (MEM: Trojan.Win64.EquationDrug.gen) ، فأعد تشغيل النظام مرة أخرى وتأكد من تثبيت التصحيح MS17-010.
ماذا تفعل إذا أصيب الكمبيوتر بالفعل؟
1. يجدر تمكين الوضع الآمن مع تحميل برامج تشغيل الشبكة. في Windows 7 ، يمكن القيام بذلك عند إعادة تشغيل النظام بعد الضغط على المفتاح F8. هناك أيضًا إرشادات لإكمال هذه الخطوة للإصدارات الأخرى ، بما في ذلك Windows 8 و Windows 10.
2. يمكنك إزالة التطبيقات غير المرغوب فيها بنفسك من خلال "إزالة البرامج". ومع ذلك ، لتجنب مخاطر الخطأ والتلف العرضي للنظام ، فإنه يستحق الاستخدام برامج مكافحة الفيروساتمثل SpyHunter Anti-Malware Tool أو Malwarebytes Anti-malware أو STOPZilla.
لاستعادة الملفات ، يمكنك استخدام أدوات فك التشفير ، بالإضافة إلى الأداة المساعدة Shadow Explorer (التي ستعيد النسخ الاحتياطية للملفات والحالة الأصلية للملفات المشفرة) أو Stellar Phoenix Windows Data Recovery. لسكان الدول اتحاد الجمهوريات الاشتراكية السوفياتية السابقهناك حل مجاني (للاستخدام غير التجاري) R.saver من المطورين الناطقين بالروسية.
وفقًا لـ Kaspersky Labs و Dr.Web ، كانت فيروسات برامج الفدية الأكثر شيوعًا بين البرامج الضارة العام الماضي وقد حطمت جميع الأرقام القياسية هذا العام. أنت محظوظ جدًا إذا كان جهاز الكمبيوتر الخاص بك محميًا بشكل آمن ولم يستقبل مثل هذا "الضيف" بعد.
ما هو فيروس رانسوم وير؟
هذا برنامج ضار ، عادة ما يكون حصان طروادة ، يقوم بحظر جهاز الكمبيوتر الخاص بك ويعرض عليك استعادة الوضع الراهن إذا قمت بإرسال رسالة نصية قصيرة مدفوعة الأجر إلى رقم قصير.الشيء الأكثر إثارة للاهتمام هو أن إرسال هذه الرسالة في أغلب الأحيان ليس له عواقب ، أي أنك ستنفق المال ، لكنك لن تحصل على أي نتيجة. علاوة على ذلك ، غالبًا ما تكون تكلفة الرسائل القصيرة أكثر بكثير من المبلغ المحدد.
هناك عدة أنواع من فيروسات رانسومواري. البعض - تقييد الوصول إلى مواقع الويب أو العمل مع المتصفح. يقوم الآخرون بتشفير ملفات المستخدم. لا يزال آخرون يمنعون الوصول إلى موارد نظام التشغيل أو يقيدون الإجراءات فيه. عادة ما تختفي هذه الفيروسات بين الملفات ذات الامتدادات zip و rar و exe و bat و com.
كيف تتجنب الوقوع ضحية لفيروس رانسوم وير؟
1. بالطبع ، لا يمكنك الاستغناء عنه. مع أحدث قواعد البيانات المحدثة باستمرار. قد يتم توفير الحماية ضد الفيروسات عن طريق الدفع و مضاد فيروسات مجاني. على أي حال ، أنت نفسك تقدر أهمية التشغيل المستقر وحماية البيانات على جهاز الكمبيوتر الخاص بك. التوفير في الحماية ليس هو الخيار الأفضل.2. من الإجراءات الإلزامية التي يجب تعيينها لبرنامج مكافحة الفيروسات - كاملة لوجود الفيروسات. مرة أخرى ، تحدد وتيرة الفحص بنفسك ، لكن الأمر يستحق إجراء هذا الفحص مرة واحدة على الأقل في الأسبوع.
تقدم شركات الحماية من الفيروسات أيضًا فحص الملفات مباشرة على مواقعها على الإنترنت ، وهذه هي ما يسمى بالماسحات الضوئية عبر الإنترنت. إذا كانت لديك شكوك حول بعض الملفات الموجودة على جهاز الكمبيوتر الخاص بك ، فيمكنك التحقق منها مرة أخرى ، واحدة تلو الأخرى:
Dr.Web أون لاين الماسح الضوئي
http://vms.drweb.com/online/
الماسح الضوئي Kaspersky Online
http://www.kaspersky.com/scanforvirus
يقدم Dr.Web أيضًا الحل الخاص به - Dr.Web LinkChecker. هذه مجموعة من المكونات الإضافية لثلاثة متصفحات ( موزيلا فايرفوكسو Opera و Internet Explorer) ، بعد التثبيت سيتم التحقق مسبقًا من جميع الصفحات التي تفتحها والملفات التي تم تنزيلها من الإنترنت بحثًا عن البرامج الضارة ، على سبيل المثال. قبل فتح أو تنزيل أي شيء. 3. هل يجدر التكرار مرة أخرى أنه من الأفضل تجاوز بعض الموارد بالطريق العاشر. نحن نتحدث عن المواقع الواعدة ، والكثير من الإباحية المجانية ، وما إلى ذلك. بالمناسبة ، فإن الموارد التي تقدم جميع أنواع الاختراقات وبرامج القرصنة والمفاتيح والبرامج المماثلة قد تكون أيضًا خطرة على جهاز الكمبيوتر الخاص بك. بالمناسبة ، أي برامج - سواء كانت عارض صور عادي أو عميل مراسلة فورية أو حتى مجموعة قياسية من برامج الترميز - أوصي قراء MirSovetov بتنزيلها من المواقع الرسمية. كحد أدنى ، يجب أن يكون المورد موثوقًا ويمكن التحقق منه.
تعلمت مواقع البحث الكبيرة (على سبيل المثال ، Yandex و Google) بالفعل التعرف على المواقع التي يمكن أن يصاب فيها بفيروس كمكافأة ، والتحذير منها. ولكن إذا لم تكن متأكدًا من موثوقية الموقع (حتى المواقع الرسمية يمكن أن تحمل أحيانًا خطر الإصابة) ، يمكنك التحقق من ذلك بنفسك. يتم القيام بذلك بسهولة على صفحة نفس الماسح الضوئي Dr.Web عبر الإنترنت ، حيث بالنقر على الرابط "تحقق من الرابط (URL)" وإدخال عنوان صفحة الموقع ، سوف تعرف ما إذا كان المورد الذي تهتم به يحتوي الفيروسات.
لن يكون من غير الضروري وضع حماية إضافية للتحقق من المواقع التي تمت زيارتها قبل فتحها. على سبيل المثال ، يمكنك استخدام برنامج Dr.Web LinkChecker المجاني (http://www.freedrweb.com/linkchecker/) ، والذي تم تضمينه في جميع المتصفحات الأكثر شيوعًا: Mozilla Firefox و Opera و Internet Explorer.
4. لا تفتح رسائل بريد إلكتروني أو ملفات من أشخاص لا تعرفهم ، أو تتبع روابط من غرباء. في كثير من الأحيان ، يتم احتواء فيروسات الفدية ، وليس فقط.
5. يوصى بتخزين كلمات المرور وتسجيلات الدخول التي تعتبر مهمة بالنسبة لك بشكل منفصل.
6. جميع الأقراص ومحركات الأقراص المحمولة وبطاقات الذاكرة والوسائط الأخرى القابلة للإزالة التي تقوم بتوصيلها بجهاز الكمبيوتر الخاص بك ، تحقق فورًا من وجود برامج ضارة ثم ابدأ العمل معها فقط. بالإضافة إلى ذلك ، من الأفضل إيقاف تشغيل التشغيل التلقائي للوسائط القابلة للإزالة (الفتح التلقائي عند الاتصال) تمامًا ، حيث يمكن للفيروسات الاختباء هناك أيضًا. لتعطيل التشغيل التلقائي ، راجع التعليمات الخاصة بنظام التشغيل الخاص بك.
في حالة عدم بدء تشغيل البرنامج الذي كان يعمل سابقًا ، لا تفتح الملفات التي عملت معها بهدوء مؤخرًا ، ولا يمكنك الوصول إلى الإنترنت أو من المستحيل العمل مع الكمبيوتر على الإطلاق ... تظهر نافذة تطلب منك إرسال رسائل نصية قصيرة ، فمن شبه المؤكد أنه كان عليك التعرف على أحد أنواع فيروسات رانسوم وير. بالطبع لا نوصي بإرسال الرسائل إلى أي مكان ولن تكون هناك نتيجة. لكن من الممكن والضروري محاربة الفيروس.
للقيام بذلك ، من المستحسن أن يكون لديك مجموعة من الأدوات المساعدة لعلاج جهاز الكمبيوتر الخاص بك من هذه الفيروسات. سنخبر عنهم أكثر. ولكن إذا لم تكن متأكدًا من أنه يمكنك التعامل مع علاج جهاز الكمبيوتر الخاص بك بمفردك ، فمن الأفضل طلب المساعدة من أحد المتخصصين.
كيفية التخلص من فيروسات رانسومواري
ماذا تفعل إذا وصل فيروس رانسوم وير إلى جهاز الكمبيوتر الخاص بك؟ أولا ، لا داعي للذعر. على الرغم من حقيقة أن فيروسات برامج الفدية تتطور بسرعة ، إلا أنه لا يزال من الممكن مكافحتها. تحتاج فقط إلى تجميع نفسك واتخاذ عدد من الإجراءات.للنجاح في مكافحة برامج الفدية ، يجب عليك أولاً تحديد الضيف الذي زارك وزار جهاز الكمبيوتر الخاص بك.
1. الفيروسات التي تمنع الوصول إلى الإنترنت. إذا لم تتمكن من الوصول إلى الإنترنت أو الوصول إلى معظم المواقع ورأيت لافتة أمامك تطلب منك إرسال رسالة نصية مدفوعة ، فمن المرجح أن أحد هذه الفيروسات قد زاره: Trojan-Ransom.BAT.Agent.c أو Trojan- Ransom.Win32.Digitala (احصل على مسرع ، وصول رقمي ، احصل على وصول ، Download Manager v1.34 ، Ilite Net Accelerator).
الأول ، كما يوحي الاسم ، له امتداد الخفافيش. يغير هذا الفيروس ملف Hosts الموجود في الدليل الجذر لمحرك أقراص النظام (Windows-95/98 / ME) أو في مجلد WindowsSystem32driversetc (Windows NT / 2000 / XP / Vista). تحتاج إلى فتح هذا الملف بأي محرر نصوص وحذف جميع الأسطر باستثناء 127.0.0.1 localhost.
ثم قم بإجراء فحص كامل لمكافحة الفيروسات لجهاز الكمبيوتر الخاص بك. بعد التحقق ، أعد تشغيل جهاز الكمبيوتر الخاص بك. يجب أن تختفي المشكلة. بالنسبة لفيروسات مجموعة Trojan-Ransom.Win32.Digitala ، كل شيء أكثر تعقيدًا. يمكن لهذه البرامج الضارة أن تتنكر في صورة برامج شرعية. إنهم أكثر تعقيدًا ويعرفون كيف يخفون أنفسهم. لذلك ، لديك نافذة بغيضة أمامك تطالب بفدية لاستعادة جهاز الكمبيوتر الخاص بك إلى نظام العمل. ربما يكون أول شيء يمكنك القيام به للتخلص من الفيروسات التي تتطلب إدخال رمز التفعيل عن طريق إرسال الرسائل القصيرة هو محاولة اكتشاف هذا الرمز بالذات. للقيام بذلك ، باستخدام جهاز كمبيوتر آخر (في الحالات القصوى ، مع جوال) تحتاج إلى الانتقال إلى موقع الويب الخاص بإحدى الشركات المصنعة لبرامج مكافحة الفيروسات (الروابط أدناه) ، إلى الصفحة التي تحتوي على خدمة إلغاء تنشيط برامج الفدية:
خدمة إلغاء تنشيط مانع برامج الفدية من Kaspersky Lab
http://support.kaspersky.com/viruses/deblocker
دعم ESET NOD32: فتح قفل Windows
http://www.esetnod32.ru/.support/winlock/
Dr.Web: افتح Windows بواسطة Trojan.Winlockتحتاج فقط إلى ملء بعض الحقول ، وسيعطيك النظام رمزًا يمكنك من خلاله إلغاء قفل جهاز الكمبيوتر الخاص بك. إذا ساعدك الرمز الرقمي المقدم لك ، وبدأ الكمبيوتر في العمل مرة أخرى ، فلا تتوقف عند هذا الحد! على الأرجح ، هناك آثار لفيروس ضار في مكان ما داخل نظام التشغيل. يمكنهم تعريف أنفسهم بعد قليل مع الأعطال المتكررة ، وربما تكرار الحجب. لمنع حدوث ذلك ، أوصي قراء MirSovetov بفحص نظام التشغيل باستخدام أحد برامج مكافحة الفيروسات ، ولا تنس تحديث قواعد البيانات الخاصة به قبل ذلك.
http://www.drweb.com/unlocker/
إذا لم يساعد رمز إلغاء القفل ، فيمكنك محاولة معالجة جهاز الكمبيوتر الخاص بك باستخدام الأداة المساعدة Digita_Cure (أحد منتجات Kaspersky Lab) ، المصممة خصيصًا لمعالجة فيروسات برامج الفدية من Trojan-Ransom.Win32.Digitala group أو برنامج CureIt (أحد منتجات Dr.Web) الذي يكتشف وأنواع الفيروسات الأخرى. يمكن تنزيلها مجانًا على مواقع الويب الخاصة بهذه المعامل:
الأداة Digita_Cure
صفحة البرنامج: http://www.kaspersky.ru/support/viruses/solutions؟print=true&qid=208637303
رابط التحميل: http://www.kaspersky.com/support/downloads/utils/digita_cure.zip
الأداة المساعدة CureItقبل أن تبدأ في علاج الفيروس ، تحتاج إلى إغلاق الوصول إلى الإنترنت وإعادة تشغيل الكمبيوتر في الوضع الآمن بالضغط على الزر F8 فور تشغيله واختيار "التمهيد في الوضع الآمن". ستحتاج بعد ذلك إلى تشغيل محرك أقراص USB محمول أو قرص باستخدام الأداة المساعدة Digita_Cure (أو CureIt) وإجراء مسح كامل للكمبيوتر. بدلاً من ذلك ، يمكنك استخدام محرك أقراص ثابت قابل للإزالة مع برنامج مكافحة فيروسات بديل. بعد العلاج ، سيحتاج الكمبيوتر إلى إعادة التشغيل في الوضع العادي. يجب إزالة فيروس رانسوم وير بعد هذا الإجراء.
صفحة البرنامج: http://www.freedrweb.com/cureit/
رابط التحميل: http://www.freedrweb.com/download+cureit/gr/
2. متصفح يحظر الفيروسات. إذا كنت تتصفح شبكة الويب العالمية باستخدام Internet Explorer وعندما تذهب إلى أي موقع ترى لافتة تحتوي على محتوى صريح للغاية على الشاشة ، مكتوب عليها رقم قصير ومذكرة فدية ، يجب أن تعرف أن Trojan-Ransom. Win32.Hexzone أو Trojan يزورك. -Ransom.Win32.BHO. لا تمنع هذه الفيروسات تشغيل الكمبيوتر بالكامل ، ولكنها تعيش فقط في.
يستخدمون آلية الوظيفة الإضافية BHO (كائن مساعد المستعرض). يمكنك حل المشكلة يدويًا باستخدام الخوارزمية التالية. افتح Internet Explorer ، وابحث عن عنصر القائمة "أدوات" ، ثم حدد "الوظائف الإضافية" (إدارة الوظائف الإضافية)> "تشغيل الإعدادات أو إيقاف تشغيلها". بالنقر فوق العنصر الأخير ، سترى جميع الوظائف الإضافية المثبتة في المتصفح. مهمتك هي التحقق من كافة الوظائف الإضافية التي ليس لها إدخال في عمود "الناشر" أو قول "لم يتم التحقق". 
قم بتعطيلها واحدًا تلو الآخر ، مع إعادة تشغيل Internet Explorer في كل مرة. هذه الوظيفة الإضافية ، بعد التعطيل الذي سيختفي لافتة المواد الإباحية ، ضارة وسيتعين تعطيلها. يمكنك أيضًا إزالة هذا النوع من برامج الفدية باستخدام الأداة المساعدة AVPTool من Kaspersky (http://support.kaspersky.ru/viruses/avptool2010؟level=2) أو CureIT من Dr.Web (http://www.freedrweb.com/ عالجها/).
3. الفيروسات التي تمنع الوصول إلى نظام التشغيل. إذا لم يتم تشغيل أي برنامج على جهاز الكمبيوتر الخاص بك ، باستثناء Internet Explorer و Outlook Express ، وظهرت لك نافذة تطالب بفدية ، فهذا يعني أن لديك فيروس يمنع نظام التشغيل ، أحد هذه البرامج هو Trojan-Ransom.Win32.Krotten.
لتخليص جهاز الكمبيوتر الخاص بك من فيروسات برامج الفدية لهذه المجموعة ، يمكنك أيضًا الاتصال بخدمة إلغاء القفل المجانية (تم توفير روابط لصفحات خدمات إلغاء القفل أعلاه). بعد إلغاء القفل ، لا تنس إجراء فحص عميق لجهاز الكمبيوتر الخاص بك باستخدام برنامج مكافحة فيروسات مرخص بقواعد بيانات حديثة. في حالة الفشل ، سوف تحتاج إلى استخدام قرص حي من Dr.Web ، مصمم لاستعادة النظام في حالات الطوارئ.
ستحتاج إلى تنزيل الصورة ونسخها على القرص ، مما يجعلها قابلة للتمهيد (يمكن القيام بذلك باستخدام برنامج CDBurnerXP ، مع تعيين خيار "جعل القرص قابل للتمهيد" عند النسخ). بعد ذلك ، قم بتعيين جهاز التمهيد الأول لـ BIOS: ، قم بتمهيد الكمبيوتر من هذا القرص. يحتوي قرص Dr.Web's LiveCD بالفعل على أدوات لعلاج وإزالة الفيروسات ، ولكن في هذه الحالة ، يمكن أن تتداخل البرامج الضارة مع بدء تشغيل الأدوات المساعدة المضمنة في قرص التمهيد.
صفحة البرنامج: http://www.freedrweb.com/livecd/
رابط تحميل الصورة: ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso
وعلى الأرجح ، ستحتاج إلى مساعدة أدوات مكافحة الفيروسات الأخرى المسجلة على محرك أقراص فلاش. سوف يحتاجون إلى إعادة تسميتهم إلى "iexplore.exe" ، وبعد ذلك يمكن تشغيلهم. وأدوات مثل AVPTool من Kaspersky (يمكن العثور على وصف المنتج هنا http://support.kaspersky.ru/viruses/avptool2010؟level=2) أو أداة AVZ المساعدة (http://z-oleg.com/secur/avz /download.php) ، ومع ذلك ، هناك حاجة إلى البرامج النصية للعمل معها. لتجميعها ، يمكنك الاتصال بالمنتديات المتخصصة ، على سبيل المثال ، VirusInfo. قبل استخدام خدمات متخصصي المنتدى ، اقرأ القواعد بعناية ، واقرأ الأسئلة الشائعة وقم بالتسجيل. سيتم تزويدك بنص مصمم خصيصًا لحالتك. بعد ذلك ، ستحتاج إلى نسخ البرنامج النصي ، وتحديد "File - Run Script" في قائمة البرنامج ، والصق البرنامج النصي في النافذة التي تفتح وانقر فوق "Run". مرة أخرى ، إذا لم تكن متأكدًا من أنه يمكنك فعل كل شيء بشكل صحيح بنفسك ، فمن الأفضل الاتصال بأخصائي. لقد لوحظ أن بعض الفيروسات التي تمنع الوصول إلى موارد نظام التشغيل تتم إزالتها من تلقاء نفسها بعد ساعتين بالضبط من اختراق الكمبيوتر. للتخلص من الفيروس ، اتضح أنه يكفي ضبط الساعة في BIOS "e قبل أكثر من ساعتين. بعد إعادة التشغيل ، تختفي النافذة التي تتطلب إرسال الرسائل القصيرة ، وكذلك آثار وجود الفيروس ، ومع ذلك ، يوصى بإجراء فحص كامل لمكافحة الفيروسات للوقاية.
4. فيروسات التشفير. تحتل الفيروسات مكانًا منفصلًا وتقوم بتشفير البيانات المخزنة على جهاز الكمبيوتر الخاص بك: Trojan-Ransom.Win32.GPCode ، Trojan-Ransom.Win32.Encore ، Trojan.Ramvicrype. كقاعدة عامة ، تعاني الملفات ذات الامتدادات txt و xls و doc. ستتمكن من معرفة أن جهاز الكمبيوتر الخاص بك مصاب بسبب عدم إمكانية الوصول إلى المعلومات ووجود نافذة على سطح المكتب أو مستند نصي مرفق بدليل يحتوي على ملفات مشفرة. ربما تكون برامج الفدية هي أكثر برامج الفدية رعبًا. لعلاجهم ، حتى وقت قريب لم يكن هناك الطرق القياسية. اليوم ، يقدم مختبر Dr.Web أدوات مساعدة مصممة خصيصًا لعلاج الفيروسات من هذا النوع (http://www.freedrweb.com/aid_admin/). يمكنك تنزيل سلسلة من الأدوات المساعدة لمحاربة الفيروسات مثل Trojan-Ransom.Win32.Encore باستخدام الرابط المقدم. يتم توفيرها مجانًا.
يمكنك أيضًا استخدام الأدوات المساعدة المجانية PhotoRec (التي أنشأها Christophe Grenier ، والموزعة بموجب ترخيص GPL) و StopGpcode2 (أحد منتجات Kaspersky Lab). تعليمات استخدامها موصوفة بتفصيل كبير وبطريقة يسهل الوصول إليها على صفحة موقع securelist.com:
http://www.securelist.com/ru/viruses/encyclopedia؟virusid=313444#doc2
طورت شركة Symantec أداة مساعدة لمحاربة فيروس Ramvicrype ransomware. يقوم هذا الفيروس بتشفير الملفات الموجودة في مجلد النظام بملحق .vicrypt. كقاعدة عامة ، لا يتم تشغيل أي برامج على جهاز كمبيوتر مصاب بهذا الفيروس. يمكنك تنزيل أداة إزالة Trojan.Ramvicrype المجانية على موقع Symantec الرسمي على الويب:
http://www.symantec.com/en/uk/business/security_response/writeup.jsp؟docid=2009-102921-3210-99
قبل تشغيل الأداة المساعدة لمكافحة الفيروسات من Symantec ، يجب عليك إغلاق جميع البرامج وفصل الكمبيوتر عن الشبكة. تنبيه: في التعليمات الخاصة باستخدام الأداة المساعدة ، يوصى أيضًا بتعطيل خدمة استعادة النظام. بعد فحص الكمبيوتر ، تحتاج إلى إعادة التشغيل وإعادة الفحص. فقط بعد هذه الخطوات يجب عليك استعادة اتصال الشبكة وتمكين خدمة الاسترداد مرة أخرى.
إذا لم تساعدك أي من الطرق المذكورة أعلاه ، فسيتعين عليك الاتصال بأخصائيي الدعم الفني في موقع الويب الخاص بالشركة المصنعة لبرنامج مكافحة الفيروسات.
في الختام ، أود أن أشير إلى أن الوقاية خير من العلاج دائمًا. لذلك ، اتبع دائمًا قواعد أمان الإنترنت ولا تبخل في حماية جهاز الكمبيوتر الخاص بك - استخدم برامج مكافحة الفيروسات المرخصة. ومع ذلك ، فمن الأفضل تخزين الملفات المهمة جدًا ليس فقط على محرك الأقراص الثابتة بجهاز الكمبيوتر ، ولكن أيضًا على بعض الوسائط الأخرى ، على سبيل المثال ، نسخها على قرص مضغوط أو قرص DVD أو محرك أقراص فلاش USB.
لقطة شاشة برسالة WCry
تعرضت الشركات في 12 دولة على الأقل للهجوم من قبل فيروس WannaCrypt ransomware ، المعروف أيضًا باسم WCry. وفقًا لميدوزا ، نقلاً عن مدير العلاقات العامة لشركة MegaFon Petr Lidov ، أصيبت بعض أجهزة كمبيوتر الشركة. في روسيا ، تأثرت أجهزة الكمبيوتر التابعة لوزارة الداخلية أيضًا بالفيروس. يدعي بيلين أن المتخصصين تمكنوا من التغلب على الهجوم.
حتى الآن ، أصاب WCry أكثر من 123000 جهاز كمبيوتر في جميع أنحاء العالم. في الوقت نفسه ، لاحظ الخبراء انخفاضًا حادًا في انتشار الفيروس. الحقيقة أنه عند الإصابة ، يقوم الفيروس بالتحقق من وجود مجال معين على الشبكة ، وإذا لم يتم العثور عليه ، يقوم بتشغيل التشفير. سجل متخصصو الأمن مجالًا على الشبكة يبحث عن فيروس ، مما تسبب في تباطؤ معدل الإصابة.
WannaCrypt هو برنامج يقفل كمبيوتر المستخدم ويقوم بتشفير جميع البيانات الموجودة عليه. بعد الهزيمة ، يتم عرض رسالة على الشاشة تطالب بالمال لفتحها ، وتتمتع شاشة التوقف بوظيفة اختيار اللغة التي تظهر بها الرسالة. الفدية المطلوبة هي 300 دولار من عملات البيتكوين.
يمنح فيروس ransomware المستخدم ثلاثة أيام لتحويل الأموال إلى حسابات المهاجمين. إذا فاتك هذا الموعد النهائي ، سيتضاعف مبلغ الفدية المطلوبة.
انتشار فيروس WCry الذي ظهر الإصدار الأول منه في فبراير الماضي السنة الحالية، بخطى متفجرة في 12 مايو 2017. نسخة جديدةيُزعم أن الفيروس يستخدم ثغرة SMB التي طورتها وكالة الأمن القومي الأمريكية ، وسرقتها ونشرتها مجموعة The Shadow Brokers في أبريل من هذا العام.
يستخدم الفيروس بروتوكول شبكة SMB للإصابة الوصول عن بعدإلى الملفات والأجهزة الموجودة على نفس الشبكة. اليوم ، يتم استخدام هذا البروتوكول من قبل أنظمة في عائلة Windows التي أصبحت عرضة لـ WCry. وفقًا لـ Engadget ، نشرت شركة Microsoft الأمريكية بالفعل تصحيحًا لنظام التشغيل Windows XP وتوصيات لحماية جهاز الكمبيوتر الخاص بك من برامج الفدية.
كخطوات أولى للحماية من الفيروس الجديد ، تقترح Microsoft تعطيل بروتوكول SMBv1 ، وكذلك حظر المنفذ 445 على جهاز التوجيه (إذا كان الجهاز يسمح بذلك) لحركة مرور SMB الواردة. إذا تلقى نظام التشغيل Windows (باستثناء XP و 8 و Windows Server 2003) تحديثًا (تم إصداره مرة أخرى في مارس من هذا العام) ، فلن يكون عرضة لـ WCry.
في نوفمبر الماضي ، انتشر فيروس HDDCrypto ransomware على الشبكة. على وجه الخصوص ، هو آلات بيع التذاكر لنظام ترام مترو موني في سان فرانسيسكو. نتيجة لذلك ، لم تعمل آلات بيع التذاكر لمدة يوم تقريبًا ، وطوال هذا الوقت يمكن استخدام عربات الترام في سان فرانسيسكو مجانًا. طالب الفيروس بمائة بيتكوين لإزالة الحظر.
فاسيلي سيتشيف
