فيروس الفدية تاريخه الضعيف وحاضره القوي

فيروس الفدية تاريخه الضعيف وحاضره القوي

فيروس الفدية الضار، أو Ransomware، هو أحد أنواع البرامج الضارة التي تمنع المستخدمين من الوصول إلى الأنظمة الخاصة بهم أو ملفاتهم الشخصية وتطلب دفع فدية لاستعادة الوصول. ظهرت أول أنواع لبرامج الفدية الضارة في أواخر الثمانيات، وكان يتم إرسال الفدية عبر البريد التقليدي. اليوم، يطلب منفذو الهجمات باستخدام برامج الفدية الضارة، إرسال الأموال بالعملة المشفرة أو باستخدام البطاقة الائتمانية.

كيف يصيب فيروس الفدية جهاز المستخدم؟

ثمة طرق متنوعة عدة تستطيع منها خلال برامج الفدية الضارة إلحاق الضرر بجهاز الكمبيوتر الخاص بك. وتتمثل أحد الوسائل الأكثر انتشارًا اليوم في البريد العشوائي الضار أو malspam، وهو بريد غير مطلوب يُستخدم لإرسال برامج ضارة. وقد يتضمن البريد الإلكتروني مرفقات خداعية، مثل ملفات PDFs أو مستندات Word. وربما يتضمن أيضًا روابط توجهك إلى مواقع ويب ضارة.

يستخدم البريد العشوائي الضار الهندسة الاجتماعية لخداع الأشخاص بفتح المرفقات أو النقر فوق الروابط التي تظهر كمرفقات أو روابط قانونية سواء كان ذلك يبدو واردًا من إحدى المؤسسات الموثوقة أو أحد الأصدقاء. يستخدم مجرمو الفضاء الإلكتروني الهندسة الاجتماعية في أنواع أخرى من هجمات فيروسات الفدية الضارة، مثل انتحال صفة أحد أفراد مكتب التحقيقات الفيدرالي لبث الخوف في نفوس المستخدمين وإجبارهم على دفع مبلغ من المال لإلغاء قفل الملفات الخاصة بهم.

ومن بين الوسائل الأخرى الشائعة والمستخدمة في إلحاق الضرر، والتي وصلت ذروتها في عام 2016، الإعلانات الضارة (malvertising). الإعلانات الضارة (Malvertising) أو الدعاية الضارة، وتتمثل في استخدام الإعلانات عبر الإنترنت لتوزيع البرامج الضارة مع إشراك المستخدم إشراكًا جزئيًا أو عدم إشراكه. وأثناء استعراض مواقع الويب، وحتى المواقع السليمة، يمكن أن يتم توجيه المستخدمين إلى أجهزة سيرفر إجرامية دون النقر على أحد الإعلانات. تجمع أجهزة السيرفر هذه التفاصيل بشأن أجهزة الكمبيوتر الخاصة بالضحية، وموقعه، وتحدد بعد ذلك نوع البرنامج الضار المناسب للإرسال. وكثيرًا، ما يكون هذا البرنامج الضار هو فيروس الفدية الضار.

كثيرًا ما تستخدم الإعلانات الضارة إطار مضمن ضار، أو عنصر صفحة ويب غير مرئي، لكي تتمكن من أداء عملها. يقوم الإطار المضمن بإعادة التوجيه إلى صفحة متنقلة لفيروس معطل للأمان، وتهاجم إحدى التعليمات البرمجية الضارة النظام من صفحة متنقلة عبر مجموعة فيروسات معطلة للأمان. يحدث كل ذلك دون معرفة المستخدم، وهو ما يُشار إليه كثيرًا باسم التنزيل غير المقصود (drive-by-download).

أنواع فيروس الفدية

توجد ثلاثة أنواع رئيسية من فيروسات الفدية الضارة، تتراوح في درجة خطورتها بين الإزعاج المتوسط وأزمة الصواريخ الكوبية الخطيرة. وهي على النحو التالي:

البرامج المخيفة (Scareware)

إن البرامج المخيفة، كما يتضح، غير مخيفة. وتتضمن برامج أمان احتيالية ورسائل دعم تقني. ربما تصلك رسالة منبثقة تزعم أنه قد تم الكشف عن أحد البرامج الضارة وليست هناك طريقة للتخلص منها سوى دفع مبلغ من المال. وإذا لم تفعل شيئًا، فربما يستمر إرسال الرسائل المنبثقة لك، إلا أن الملفات الخاصة بك تظل آمنة تمامًا.

لن يطلب برنامج الأمن الإلكتروني السليم من العملاء دفع أي شيء بهذه الطريقة. إذا لم يكن لديك بالفعل هذا البرنامج الخاص بالشركة على جهازك، فلن يراقب البرنامج جهاز الكمبيوتر الخاص بك للكشف عن فيروسات برامج الفدية الضارة. إذا كان برنامج الأمان مُثبتًا على جهازك، فلن تكون مضطرًا لدفع أي أموال لإزالة هذا الفيروس لأنك قد سددت بالفعل قيمة البرنامج حتى يُنفذ تلك المهمة على الوجه الأكمل.

شاشات القفل (Screen lockers)

التحديث إلى التحذير ذات اللون البرتقالي لهؤلاء المجرمين. حين يتعرض جهاز الكمبيوتر الخاص بك لفيروس الفدية الضار باستخدام شاشة القفل، فهذا يعني أنك لن تتمكن من استخدام الجهاز الكمبيوتر الخاص بك تمامًا. بمجرد تشغيل جهاز الكمبيوتر الخاص بك، ستظهر شاشة بالحجم الكامل، وكثيرًا ما تكون مصحوبة بختم يبدو رسميًا من مكتب التحقيقات الفيدرالي أو وزارة العدل، وتزعم تلك الشاشة أن نشاطًا غير مشروع قد تم اكتشافه على جهاز الكمبيوتر الخاص بك ويجب أن تدفع غرامة. لكن، مكتب التحقيقات الفيدرالي لن يمنعك من استخدام جهاز الكمبيوتر الخاص بك أو يطلب منك دفع أموال لأي نشاط غير مشروع. إذا اشتبه مكتب التحقيقات أنك تقوم بأعمال القرصنة أو تستغل الأطفال في المواد الإباحية أو الجرائم الإلكترونية الأخرى، فسيلتزم بالقنوات القانونية ذات الصلة.

برامج الفدية الضارة المُشفِّرة (Encrypting ransomware)

ويُعد هذا النوع مخيفًا للغاية. وهؤلاء هم المهاجمون الذين يقومون بسرقة ملفاتك وتشفيرها، ويُطالبونك بعد ذلك بدفع أموال لفك تشفيرها وإعادة إرسالها. ويكمن سبب الخطورة الشديدة لهذا النوع من فيروسات الفدية الضارة في أن مجرمو الفضاء الإلكتروني يسرقون ملفاتك، ولا توجد برامج أمان أو برامج استعادة النظام، يمكنها إعادتها لك. إذا لم تدفع الفدية، ففي الغالب لن تحصل عليها مرة أخرى. وحتى إذا قمت بدفع الفدية، فلا يوجد ضمان أن مجرمو الفضاء الإلكتروني سيعيدون تلك الملفات لك مرة أخرى.

تاريخ فيروسات الفدية الضارة

تم تكوين أول فيروس فدية ضار، والمعروف باسم PC Cyborg أو AIDS، في أواخر ثمانينيات القرن العشرين. يُمكن أن يُشفِّر فيروس الفدية الضار PC Cyborg جميع الملفات في دليل قرص C: بعد 90 عملية إعادة تشغيل للجهاز، ويطلب من المستخدم بعد ذلك تجديد رخصته وإرسال 189 دولارًا أمريكيًا عبر البريد إلى شركة PC Cyborg. كان التشفير المُستخدم بسيطًا بما يكفي للتبديل، ولذلك كان يمثل تهديدًا بسيطًا على هؤلاء الذين تم اختراق أجهزة الكمبيوتر الخاصة بهم.

ومع انخفاض أنواع برامج الفدية الضارة خلال فترة 10 سنوات، لم تظهر أي تهديدات لبرامج الفدية الضارة على المشهد حتى عام 2004، حين استخدم فيروس الفدية الضار GpCode تشفير RSA الضعيف لسرقة الملفات الشخصية وإعادتها بعد دفع الفدية.

في 2007، كان فيروس الفدية الضار WinLock يشير إلى ظهور نوع جديد من برامج الفدية الضارة، والتي تقوم بقفل أجهزة سطح المكتب الخاصة بالمستخدمين بدلاً من تشفير الملفات. استولى فيروس الفدية الضار WinLock على شاشة الضحية وعرض عليها صورًا إباحية. وبعد ذلك، طلب البرنامج دفع أموال وإرسال رسائل نصية صغيرة بالمبلغ لإزالة الشاشة.

ومع تطور عائلة برامج الفدية الضارة Reveton في 2012، ظهر نوع جديد من برامج الفدية الضارة ألا وهو برنامج الفدية الضار لإنفاذ القانون. كان يتم إقفال أجهزة سطح المكتب الخاصة بالضحايا وتظهر صفحة تبدو رسمية تتضمن بيانات اعتماد لهيئات إنفاذ قانون مثل مكتب التحقيقات الفيدرالي ومنظمة الشرطة الجنائية الدولية. وكان فيروس الفدية الضار يطلب من المستخدم ارتكاب جريمة، مثل اختراق جهاز كمبيوتر أو تنزيل ملفات غير مشروعة أو حتى الاشتراك في استغلال الأطفال لنشر مواد إباحية. كانت معظم عائلات برامج الفدية الضارة لإنفاذ القانون، تشترط دفع غرامة تتراوح بين 100 دولار أمريكي و3,000 دولار أمريكي باستخدام بطاقة مسبقة الدفع مثل UKash أو PaySafeCard.

لم يكن المستخدمون العاديون يعرفون ما يتعين عليهم القيام به حيال ذلك وكانوا يعتقدون أنهم يخضعون بالفعل للتحقيقات من إحدى هيئات إنفاذ القانون. إن أسلوب الهندسة الاجتماعية هذا، والمُشار إليه الآن باسم الإقرار بالذنب ضمنيًا، يجعل المستخدم يتساءل ما إذا كانوا بريئًا أم لا، وبدلاً من التحقق من النشاط الذي ليس مسؤولاً عنه، يدفع الفدية لإخفاء الأمر.

في عام 2013 أعاد CryptoLocker طرح فيروسات الفدية الضارة المُشفِّرة على العالم، وكانت هذه المرة فقط أكثر خطورة. استخدم فيروس الفدية الضار CryptoLocker تشفيرًا عسكريًا وقام بتخزين مفتاح المرور اللازم لإلغاء قفل الملفات على جهاز سيرفر بعيد. وكان ذلك يعني أنه من المستحيل عمليًا حصول المستخدمين على البيانات الخاصة بهم دون دفع الفدية. لا يزال هذا النوع من فيروسات الفدية الضارة المُشفِّرة يُستخدم حتى اليوم، حيث ثَبُت أنه أداة فعالة للغاية لمجرمي الفضاء الإلكتروني في الحصول على الأموال. في حالات كثيرة، استخدمت برامج فدية ضارة، مثل WannaCry في مايو 2017 و Petya في يونيو 2017، برامج ضارة مُشفِّرة للإيقاع بالمستخدمين والشركات في جميع أنحاء العالم.

في أواخر 2018، تصدر Ryuk مشهد فيروسات الفدية الضارة بسلسلة من الهجمات على وكالات الصحف الأمريكية فضلاً عن شركة مرافق المياه في ولاية كارولاينا الشمالية. وفي تطور مثير للاهتمام، تم اختراق الأنظمة المستهدفة أولاً باستخدام Emotet أو TrickBot، اثنين من فيروسات حصان طروادة لسرقة المعلومات والمستخدمين الآن لإرسال أشكال أخرى من البرامج الضارة مثل Ryuk، على سبيل المثال. مدير Malwarebytes Labs، السيد آدم كوجاوا يعتقد أن Emotet وTrickBot يُستخدمان للبحث عن الأهداف بالغة الأهمية. بعد أن يتم اختراق أحد الأنظمة وتوضع عليه علامة تفيد أنه هدف جيد لكي تخترقه برامج الفدية الضارة، تقوم برامج Emotet/TrickBot بإعادة اختراق النظام مرة أخرى باستخدام Ryuk.

في الأخبار الأخيرة، بدأ المجرمون المسؤولون عن برنامج الفدية الضار Sodinokibi (أحد البرامج التي تزعم أنها تابعة لبرنامج GandCrab)، استخدام شركات الخدمات المُدارة (MSP) لنشر الفيروسات. في أغسطس 2019، اكتشفت المئات من عيادات طب الأسنان في جميع أرجاء البلد، أنها لم تعد قادرة على الوصول إلى سجلات المرضى. استخدم المهاجمون إحدى شركات الخدمات المُدارة المخترقة (MSP)، وفي تلك الحالة إحدى شركات برامج السجلات الطبية، لاختراق أكثر من 400 عيادة لطب الأسنان مستخدمين في ذلك برامج لحفظ السجلات.