ads
الجمعة 19 أبريل 2024
رئيس مجلسى الإدارة والتحرير
عبدالرحيم علي
ads
رئيس مجلسي الإدارة والتحرير
عبدالرحيم علي

الأخبار

مجلس الوزراء يحذر من تطبيق "الفدية الخبيث الجديد petya"

مجلس الوزراء
مجلس الوزراء
تابع أحدث الأخبار عبر تطبيق google news
حذَّر مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء، جميع المؤسسات من تطبيق "الفدية الخبيث الجديد petya".
وقال المركز، عبر صفحته الرسمية على موقع التواصل الاجتماعي "فيسبوك"، اليوم الأربعاء: "على الجميع وبخاصة المؤسسات أن تأخذ الحذر من تطبيق الفدية الخبيث الجديد Petya".
هذا التنويه يحتوي على بعض التفاصيل الفنية الخاصة بأنظمة تشغيل الحاسب الآلي، ولكن مهمة جدًّا لحماية الجميع من مخاطر الاحتيال والتعرض لضياع ملفات إلكترونية مهمة، وما يصاحب هذا من أضرار مؤسسية وشخصية.
وأوضح أن "Petya" يستغل الثغرة الخاصة بـ WannaCry الموجودة فى بعض إصدارات نظام التشغيل "ويندوز" تحمل اسم Eternal Blue والتى تم تسريبها عبر مجموعة Shadow Brokers من NSA أو وكالة الأمن القومي الأمريكية، وتقوم باستغلال Open Shares على الشبكة الداخلية من خلال PSEXEC وWMIC.
وتابع مركز معلومات الوزراء أنه بالنسبة لتشفير الملفات Petya لديها نظام جديد فى تشفير الملفات، حيث لا تقوم بتشفير ملف عقب الآخر مثل WannaCry، بل تقوم بتشفير الـMaster Boot Record أو MBR الخاصة بالهارد ديسك بالكامل (فى حال الحصول على صلاحيات Administrator)، حيث إنها تمنع الـloader من قراءة file tables أو جداول الملفات التى يكون بها كل معلومات الملفات الموجودة على جهازك بالكامل وتقوم بعرض رسالة.
ولفت إلى أن الرسالة التى يتم بثها تفيد بأن الـMBR تم تشفيره بالكامل، ويجب أن تدفع 300 دولار فدية لكي تستردَّ ملفاتك، أما فى حال عدم حصول Petya على صلاحيات Admin تقوم بتشفير الملفات بطريقة عادية جدًّا مثل أى ransomware.
وأوضح المركز أن طريقة تشفير Petya لـMBR ليست جديدة وهي أخطر كثيرًا من تشفير الملفات؛ لأنه يصعِّب المهمة على الـresearchers فى إيجاد علاج لهذا النوع بشكل سريع، تطبيق الفدية Petya.
وعرض المركز عددًا من النقاط لتحقيق الحماية من هذا النوع من الـRansomwares كالآتى:
أولًا يجب تحديث نظام التشغيل ويندوز الخاص بك بآخِر التحديثات، وتحديدًا التحديث الذى يقوم بسد الثغرة الموضحة أعلاه، التحديث ومعلومات عن الثغرة نفسها موجود هنا: https://goo.gl/orDfJL.
ثانيًا يجب تعطيل بروتوكول SMB الإصدار 1 (مايكروسوفت قامت بتعطيله بالفعل فى آخِر إصدار سيتم إصداره من ويندوز 10) طرق تعطيل البروتوكول بجميع إصداراته هنا: https://goo.gl/wNoNCN.
ثالثًا حاول أن تتأكد أنه ليس لديك أى فولدرات أو أى موارد تمت مشاركتها على الشبكة المحلية، وحاول أن تغلق الـsharing بالكامل وتفعِّل الـfirewall الخاص بويندوز (ليس مجديًا دائمًا لكن أحيانًا ينفع).
رابعًا الوقاية خير من العلاج فيجب ألا يتم تحميل تطبيقات أو أن تتسلم ملفات من أشخاص غير معلومين، ولا يتم الضغط على أى لينكات مشبوهة.
خامسًا النسخ الاحتياطى ثم النسخ الاحتياطي ثم النسخ الاحتياطى فى أماكن معزولة عن الإنترنت بالكامل.
وطرح المركز آلية العلاج في حال إصابة جهازك بـPetya Ransomware كالآتى:
أى جهاز يصاب بالرانسوموير Petya يحاول بعدها أن يعيد تشغيل جهازك وتظهر لك الرسالة الخاصة بالدفع وفى الوقت نفسه تحديدًا يبدأ Petya بتشفير ملفات الهارد درايف أو الـMBR على حسب الصلاحيات التي وصل لها قبل الـrestart فيجب في هذا التوقيت بدلًا من أن تعيد التشغيل أو تبوت أو boot من الهارد درايف الخاص بالجهاز، حاول تنزيل Hiren's Boot CD أو أى Live CD وعدِّل خيارات الـboot فى جهازك بحيث يتم التشغيل من الـLive CD ثم يتم عمل نسخ احتياطى أو ريكوفر للملفات الخاصة بالجهاز على قرص صلب خارجى مع عدم محاولة القيام بالتشغيل boot من القرص الصلب المتاح إطلاقًا.