فايروس Ransomware او الفدية عبارة عن مجموعة فرعية من البرامج الضارة يتم فيها تأمين البيانات الموجودة على جهاز الكمبيوتر الخاص بالضحية - عادةً عن طريق التشفير - ويتم طلب الدفع قبل إلغاء تشفير البيانات التي تم الحصول عليها من الفدية وإعادة الوصول إلى الضحية. الدافع وراء هجمات فايروس الفدية عادةً ما يكون نقديًا ، وعلى عكس الأنواع الأخرى من الهجمات ، يتم إخطار الضحية عادةً بوجود استغلال وقد تم إعطاؤه تعليمات حول كيفية التعافي من الهجوم. غالبًا ما يكون الدفع مطلوبًا بعملة افتراضية ، مثل البيتكوين ، بحيث تكون هوية مجرمي الإنترنت غير معروفة.
يمكن أن تنتشر فيروسات Ransomware من خلال مرفقات البريد الإلكتروني الضارة وتطبيقات البرامج المصابة وأجهزة التخزين الخارجية المصابة ومواقع الويب المعرضة للخطر. استخدمت الهجمات أيضًا بروتوكول سطح المكتب البعيد وغيرها من الأساليب التي لا تعتمد على أي شكل من أشكال تفاعل المستخدم.
كيف تعمل هجمات الفدية
سمحت مجموعات فيروسات Ransomware على شبكة الإنترنت لمجرمي الإنترنت بشراء واستخدام أدوات البرمجيات لإنشاء فيروس الفدية Ransomware مع إمكانات محددة. يمكنهم بعد ذلك إنشاء هذه البرامج الضارة لتوزيعها ، مع دفع الفدية لحسابات البيتكوين الخاصة بهم. كما هو الحال مع معظم العالم الآخر من تكنولوجيا المعلومات ، أصبح من الممكن الآن لمن لديهم خلفية تقنية قليلة أو معدومة أن يطلبوا فدية غير مكلفة كخدمة (RaaS) وشن هجمات بأقل جهد ممكن. في أحد سيناريوهات RaaS ، يجمع المزود مدفوعات الفدية ويأخذ نسبة مئوية قبل توزيع العائدات على مستخدم الخدمة.تاريخ فيروس الفدية
يمكن تتبع أول ظهور موثق لبرامج الفدية مرة أخرى إلى فيروس حصان طروادة الإيدز في عام 1989. تم إنشاء حصان طروادة من قبل عالم الأحياء المدربين في جامعة هارفارد اسمه جوزيف بوب ، الذي قام بتوزيع 20000 قرص مرن مصاب يحمل اسم "معلومات الإيدز - أقراص تمهيدية" إلى باحثو الإيدز في المؤتمر الدولي لمنظمة الصحة العالمية حول الإيدز. واجه الحاضرون الذين قرروا إدخال القرص المرن فيروسًا من شأنه أن يقفل ملفات المستخدم على محرك الكمبيوتر ، مما يجعل الكمبيوتر غير صالح للاستخدام. لإلغاء تأمين ملفاتهم ، أُجبر المستخدمون على إرسال 189 دولارًا إلى صندوق مكتب بريد تملكه شركة Cyborg Corporation. في النهاية ، تمكن المستخدمون من تجاوز الفيروس وفك تشفير ملفاتهم لأن الفيروس استخدم أدوات التشفير المتناظر القابلة للحل بسهولة.وبصرف النظر عن فيروس بوب عام 1989 ، كانت الفدية نادرة نسبيا حتى منتصف عام 2000 ، عندما استخدم المهاجمون تشفير أكثر تطورا لابتزاز ضحاياهم. على سبيل المثال ، استخدم Archansus Ransomware تشفير RSA غير المتماثل. اتهم Reveton ، وهو فيروس من عام 2012 ، النظام المصاب بأنه يستخدم لنشاط غير قانوني ويستخدم كاميرا الويب الخاصة بالنظام لمحاكاة تصوير المستخدم ، وذلك باستخدام تكتيكات التخويف لجمع فدية قدرها 200 دولار.
اليوم ، انتشر فايروس ناقل الهجوم ransomware ليشمل التطبيقات المستخدمة على إنترنت الأشياء (IoT) والأجهزة المحمولة ، وتشمل الفيروسات تشفيرًا أكثر تعقيدًا. ويعزى ذلك جزئيًا إلى توفر مجموعات رانسومواري جاهزة للاستخدام - تسمى أيضًا رانسومواري - كخدمة - (RaaS) - متوفرة على شبكة الإنترنت المظلمة ، والتي تتميز بالتشفير الناتج عن التعاون بين مجتمعات مطوري برامج الفدية على شبكة الظلام. فيروس Ransomware الآن أكثر مهارة في استهداف المنظمات الكبيرة بدلاً من الأفراد ، مما يعني أن مبالغ أكبر من المال تتعرض للخطر. تطورت Ransomware من مصدر إزعاج بسيط إلى تهديد رئيسي منذ أيام جوزيف بوب.
أنواع فيروس الفدية
قد يستخدم المهاجمون واحدة من عدة طرق مختلفة لابتزاز العملة الرقمية من ضحاياهم. فمثلا:- Scareware: تشكل هذه البرامج الضارة برامج أمنية أو دعمًا فنيًا. قد يتلقى الضحايا إعلامات منبثقة تفيد بأنه قد تم اكتشاف برامج ضارة على نظامهم - برنامج الأمان الذي لا يمتلكه المستخدم لن يتمكن من الوصول إلى هذه المعلومات. عدم الرد على هذا لن يفعل أي شيء إلا يؤدي إلى المزيد من النوافذ المنبثقة.
- Screen lockers: تُعرف أيضًا باسم الخزانات ، وهي نوع من أنواع الفدية المصممة لإغلاق المستخدمين تمامًا عن أجهزة الكمبيوتر الخاصة بهم. عند بدء تشغيل الكمبيوتر ، قد ترى الضحية ما يبدو أنه ختم حكومي رسمي ، مما يؤدي بالضحية إلى الاعتقاد بأنها موضوع تحقيق رسمي. بعد إبلاغك بوجود برامج غير مرخصة أو محتوى ويب غير قانوني على الكمبيوتر ، يتم إعطاء الضحية تعليمات حول كيفية دفع غرامة إلكترونية. ومع ذلك ، فإن المنظمات الحكومية الرسمية لن تفعل ذلك ؛ إنهم بدلاً من ذلك سيخضعون للقنوات والإجراءات القانونية المناسبة.
- Encrypting ransomware: بخلاف ذلك تعرف باسم هجمات خطف البيانات ، فهذه تمنح المهاجم حق الوصول إلى بيانات الضحية وتشفيرها وتطلب دفعًا لإلغاء تأمين الملفات. بمجرد حدوث ذلك ، ليس هناك ما يضمن وصول الضحية إلى بياناتهم مرة أخرى - حتى لو كانوا يتفاوضون عليها. يمكن للمهاجم أيضًا تشفير الملفات على الأجهزة المصابة وكسب المال عن طريق بيع منتج يعد بمساعدة الضحية على فتح الملفات ومنع هجمات البرامج الضارة في المستقبل.
- Doxware: مع هذه البرامج الضارة ، قد يهدد المهاجم بنشر بيانات الضحية عبر الإنترنت إذا لم يدفع الضحية فدية.
- Master boot record (MBR) ransomware : مع هذا ، يتم تشفير القرص الصلب بأكمله ، وليس فقط الملفات الشخصية للمستخدم ، مما يجعل الوصول إلى نظام التشغيل مستحيلًا.
- Mobile ransomware : يؤثر هذا رانسومواري على الأجهزة المحمولة. يمكن للمهاجم استخدام رانسومواري المحمول لسرقة البيانات من الهاتف أو قفله والمطالبة بفدية لإرجاع البيانات أو إلغاء قفل الجهاز.
خزانات الشاشة وفيروس الفدية هي نوعان رئيسيان من فيروسات الفدية . معرفة الفرق بينهما سيساعد في معرفة ما يجب القيام به بعد ذلك في حالة الإصابة.
كما هو موضح أعلاه ، تغلق خزائن الشاشة المستخدمين تمامًا من أجهزة الكمبيوتر الخاصة بهم حتى يتم إجراء الدفع. ترفض خزائن الشاشة وصول المستخدم إلى النظام والملفات التي تم إلحاقها ؛ ومع ذلك ، لا يتم تشفير البيانات. في أنظمة الويندوز ، يمنع قفل الشاشة أيضًا الوصول إلى مكونات النظام مثل إدارة مهام الويندوز ومحرر التسجيل. تم قفل الشاشة حتى يتم الدفع. عادة يتم إعطاء الضحية تعليمات لكيفية الدفع. تحاول خزائن الشاشة أيضًا خداع المستخدم للدفع من خلال التظاهر كمنظمة حكومية رسمية.
Encryption ransomware هي واحدة من أكثر أشكال رانسومواري فعالية اليوم. كما ذكر أعلاه ، يمكن للمهاجم الوصول إلى بيانات الضحية وتشفيرها ، وطلب الدفع لإلغاء تأمين الملفات. يستخدم المهاجمون خوارزميات تشفير معقدة لتشفير جميع البيانات المحفوظة على الجهاز. عادةً ما يتم ترك ملاحظة على النظام الذي تم إلحاقه بمعلومات حول كيفية استرداد البيانات المشفرة بعد الدفع. مقارنة بخزائن الشاشة ، فإن برامج التشفير الفدية تضع بيانات الضحية في خطر أكثر إلحاحًا ، وليس هناك ما يضمن إعادة البيانات إلى الضحية بعد التفاوض.
في كلتا الحالتين ، قد تتلقى الضحية رسالة منبثقة أو فدية بريد إلكتروني تحذر من أنه إذا لم يتم دفع المبلغ المطلوب بحلول تاريخ محدد ، فسيتم تدمير المفتاح الخاص المطلوب لإلغاء قفل الجهاز أو فك تشفير الملفات.
أهداف فيروس الفدية Ransomware
يمكن أن تختلف أهداف فيروس Ransomware من فرد واحد أو من شركة صغيرة إلى متوسطة الحجم أو مؤسسة على مستوى المؤسسة أو إلى مدينة بأكملها. على سبيل المثال ، في عام 2018 ، استخدم فيروس SamSam ransomware هجومًا قاسيًا لتخمين كلمات مرور ضعيفة تحمي بنية أساسية مهمة في مدينة أتلانتا. تم إغلاق التطبيقات التي اعتاد السكان دفع الفواتير والوصول إلى المعلومات المتعلقة بالمحكمة ، مما تسبب في حدوث فجوات كبيرة في البنية التحتية للمدينة. وكانت النتيجة كميات لا حصر لها من البيانات للخطر وملايين الدولارات من تكاليف الاسترداد.في ديسمبر 2019 ، مدينة بينساكولا ، سقطت فلوريدا ضحية لهجوم الفدية كذلك. أثر ذلك على خدمة العملاء ودفع الفواتير عبر الإنترنت لعدد من الإدارات في المدينة ، بما في ذلك Pensacola Energy و Pensacola Sanitation Services.
المؤسسات العامة عرضة بشكل خاص للفدية لأنها تفتقر إلى الأمن السيبراني للدفاع ضدها بشكل كاف. وينطبق الشيء نفسه على الشركات الصغيرة والمتوسطة. بالإضافة إلى الأمن السيبراني المتقطع ، لدى المؤسسات العامة بيانات لا يمكن الاستغناء عنها يمكن أن تشلها إذا أصبحت غير متوفرة. هذا يجعلهم أكثر عرضة للدفع.
إحصائيات فيروس Ransomware
واحدة من الطرق التي يمكن أن تنمو بها عمليات الاحتيال الفدية إلى هذا النطاق الضار من خلال عدم وجود تقارير. في عام 2018 ، اكتشف موقع safeatlast.co - موقع إلكتروني يقدم تقييمات وتعليقات وإحصاءات للمستهلكين حول أنظمة الأمان المختلفة - أن أقل من ربع الشركات الصغيرة والمتوسطة الحجم يبلغون عن هجماتهم بالفدية. هذا هو الأرجح لأن هناك احتمال ضئيل لهم لاستعادة أموالهم.عدم وجود تقارير لا يعني أن هجمات رانسومواري غير شائعة ، خاصة بين الشركات الصغيرة. قدرت Symantec أن المؤسسات الأصغر (1-250 موظفًا) لديها أعلى معدل بريد إلكتروني ضار مستهدف من أي مجموعة سكانية ، حيث أن 1 من كل 323 رسالة بريد إلكتروني ضارة.
قدر أحد التحليلات التي قام بها safeatlast.co أنه في عام 2019 ، يقع العمل ضحية لهجوم الفدية كل 14 ثانية. من المتوقع أن يتقلص هذا الفاصل الزمني إلى كل 11 ثانية بحلول عام 2021. وقد يعزى ذلك جزئيًا إلى زيادة انتشار أجهزة إنترنت الأشياء ، والتي تواجه ما متوسطه 5200 هجومًا شهريًا وفقًا لشركة سيمانتيك.
الأهم من ذلك ، قدرت safeatlast.co في عام 2018 أن 77٪ من الشركات التي تتعرض لهجوم الفدية كانت محدّثة في تقنية أمان نقطة النهاية الخاصة بها. هذا يثبت أن استخدام وصيانة متوسط برنامج نقطة النهاية الدفاع لا يكفي لردع أحدث رانسومواري.
تشير إحصائيات Ransomware بشكل عام إلى رانسومواري على أنها الشغل الأول المحتمل للشركات لأنها تضرب بشكل متكرر ولديها القدرة على ربط مبالغ ضخمة من المال ويمكن أن تنتشر وتتطور إلى ما بعد الدفاعات القياسية بسرعة كبيرة. بالإضافة إلى ذلك ، يصعب تتبع الفديات نفسها ، حيث يتم تبادل حوالي 95٪ من جميع الأرباح باستخدام نظام cryptocurrency وفقًا لـ safeatlast.co.
تأثير فيروس الفدية على الشركات
يمكن أن يكون تأثير هجوم الفدية على الأعمال التجارية مدمراً. وفقًا لـ safeatlast.co ، كلفت فيروسات Ransomware الشركات بأكثر من 8 مليارات دولار في العام الماضي ، وأكثر من نصف جميع هجمات البرامج الضارة كانت هجمات فدية. بعض الآثار تشمل:- تعطل نتيجة للبنية التحتية للخطر
- فقد الإنتاجية كنتيجة للتوقف
- جهود الانتعاش مكلفة التي يحتمل أن تفوق الفدية نفسها
- أضرار طويلة الأجل لكل من البيانات والبنية التحتية للبيانات
- الأضرار التي لحقت بسمعة الشركة
- فقدان العملاء ، وفي أسوأ الحالات ، احتمال حدوث ضرر شخصي إذا تعاملت الشركة في خدمات عامة مثل الرعاية الصحية
منع هجوم فيروس الفدية
للحماية من تهديدات الفدية والأنواع الأخرى ، يحث الخبراء المستخدمين على نسخ أجهزة الكمبيوتر احتياطيًا بشكل منتظم وتحديث البرامج ، بما في ذلك برامج مكافحة الفيروسات. يجب على المستخدمين النهائيين الحذر من النقر على الروابط في رسائل البريد الإلكتروني من الغرباء أو فتح مرفقات البريد الإلكتروني. يجب على الضحايا بذل كل ما في وسعهم لتجنب دفع الفدية.على الرغم من أنه قد يكون من شبه المستحيل إيقاف هجمات برامج الفدية ، إلا أنه يمكن للأفراد والمؤسسات اتخاذ تدابير مهمة لحماية البيانات لضمان الحد الأدنى من الضرر والاسترداد في أسرع وقت ممكن. تشمل الاستراتيجيات ما يلي:
- تقسيم أنظمة المصادقة والمجالات ؛
- الاحتفاظ بلقطات تخزين محدّثة خارج مجموعة التخزين الأساسية ؛ وفرض قيود صارمة على من يمكنه الوصول إلى البيانات ومتى يُسمح بالوصول.
كيفية إزالة فيروس الفدية ransomware
ليس هناك ما يضمن أن الضحايا يمكنهم إيقاف هجوم فيروس الفدية ransomware واستعادة البيانات الخاصة بهم ؛ ومع ذلك ، هناك طرق قد تعمل في بعض الحالات. على سبيل المثال ، يمكن للضحايا إيقاف وإعادة تشغيل نظامهم في الوضع الآمن ، وتثبيت برنامج مكافحة البرامج الضارة ، ومسح جهاز الكمبيوتر واستعادة الكمبيوتر إلى حالة سابقة غير مصابة.يمكن للضحايا أيضًا استعادة نظامهم من نسخة احتياطية مخزنة على قرص منفصل. إذا كان في السحابة ، يمكن للضحايا إعادة تهيئة قرصهم واستعادتهم من نسخة احتياطية سابقة.
يمكن لمستخدمي الويندوز على وجه التحديد استخدام "استعادة النظام" ، وهي وظيفة تقوم بإعادة أجهزة الويندوز (إلى جانب ملفات النظام) مرة أخرى إلى نقطة محددة في الوقت المناسب - في هذه الحالة ، قبل إصابة الكمبيوتر. لكي يعمل هذا ، يجب تمكين "استعادة النظام" مسبقًا ، بحيث يمكن وضع علامة على مكان في الوقت المناسب للعودة إلى الكمبيوتر. يقوم الويندوز بتمكين "استعادة النظام" افتراضيًا.
فيروس الفدية للموبايل
Mobile Ransomware هي برامج ضارة تحتفظ ببيانات الضحية كرهينة ، وتؤثر على الأجهزة المحمولة - الهواتف الذكية الشائعة. تعمل Mobile ransomware على نفس الفرضية مثل الأنواع الأخرى من فايروس ransomware ، حيث يتم حظر وصول المستخدم إلى البيانات الموجودة على أجهزتهم بواسطة المهاجم حتى يقوموا بالدفع للمهاجم. بمجرد تنزيل البرامج الضارة على الجهاز المصاب ، تظهر رسالة تتطلب الدفع قبل إلغاء قفل الجهاز. إذا تم دفع الفدية ، يتم إرسال رمز لإلغاء قفل الجهاز أو فك تشفير بياناته.عادةً ما يخفي رانسومواري المحمول كتطبيق شرعي في متجر تطبيقات تابع لجهة خارجية. يختار المتسللون عادةً التطبيقات الشائعة لتقليدها ، في انتظار قيام المستخدم المطمئن بتنزيلها ، والبرامج الضارة معه. قد يصاب مستخدمو الهواتف الذكية أيضًا بفدية الأجهزة المحمولة عن طريق زيارة مواقع الويب أو عن طريق النقر فوق رابط يظهر في رسالة بريد إلكتروني أو رسالة نصية.
نصائح لتجنب الوقوع ضحية فيروس الفدية المحمول تشمل:
- لا تقم بتنزيل التطبيقات باستخدام متاجر التطبيقات التابعة لجهات خارجية (التزم بمتجر Apple App Store و Google Play Store).
- حافظ على تحديث الأجهزة المحمولة وتطبيقات الأجهزة المحمولة.
- لا تمنح امتيازات المسؤول للتطبيقات ما لم تكن موثوقة تمامًا.
- لا تنقر فوق الروابط التي تظهر في رسائل البريد الإلكتروني العشوائي أو في الرسائل النصية من مصادر غير معروفة.
- يجب على مستخدمي الأجهزة المحمولة أيضًا الاحتفاظ بنسخة احتياطية من بياناتهم في موقع مختلف في حالة إصابة أجهزتهم. في أسوأ الحالات ، سيضمن ذلك على الأقل عدم فقد البيانات الموجودة على الجهاز نهائيًا.
طرق لإزالة تشفير فايروس Ransomware
1. استعادة النسخ الاحتياطيةينطبق هذا إذا قمت بنسخ نسخة احتياطية من البيانات المهمة على محرك أقراص محلي منفصل أو تخزين سحابي.
انسخ البيانات التي تم نسخها احتياطيًا على قرص التخزين وتأكد من أنها لن تتأثر بالبحث عن الملفات المشفرة.
أيضًا ، قم بمسح هذا القرص باستخدام برنامج مثبت لمكافحة البرامج الضارة مثل MalwareFox ربما على جهاز كمبيوتر غير متأثر.
قم بتهيئة القرص المتأثر بالبيانات المشفرة واستعادة النسخ الاحتياطي للبيانات بأمان.
2. استخدام أدوات فك التشفير
تم التعرف على معظم تقنيات تشفير الفدية بسبب شعبيتها.
نتيجة لذلك ، تم تطوير أدوات فك التشفير التي يمكنها إنقاذ البيانات دون دفع فدية.
لهذا ، يجب عليك تحديد فايروس Ransomware التي تؤثر على جهاز الكمبيوتر الخاص بك.
يمكن لهذا البرنامج ، عند مطابقته مع عائلة فايروس الفدية الصحيحة ، فك تشفير ملفاتك مجانًا.
زيارة NoMoreRansom.org
تحديد نوع فيروس الفدية رانسومواري عن طريق تحميل ملاحظة رانسومواري أو البريد الإلكتروني أو عنوان الويب.
إذا كان بإمكانهم تحديد الهوية ، فسيتم تزويدك بحل في الخطوة التالية.
هناك، ومع ذلك، فإن المشكلة. لم يكن لدى جميع عائلات رانسومواري برامج فك تشفير تم إنشاؤها من أجلها ، وفي كثير من الحالات ، لا يتمكن الأشخاص من إنشاء برامج فك تشفير لأن برنامج الفدية يستخدم خوارزميات تشفير متقدمة ومتطورة. بعد ذلك ، حتى لو كان هناك برنامج فك تشفير ، فليس من الواضح دائمًا ما إذا كان الإصدار الصحيح من البرامج الضارة. لا تريد المزيد من تشفير ملفاتك باستخدام البرنامج النصي الخاطئ لفك التشفير.
بدلاً من ذلك ، يمكنك زيارة ID Ransomware بواسطة Malware Hunter Team وتحميل ملاحظة فيروس الفدية أو أحد ملفاتك المشفرة وسيخبرك تمامًا بما تتعامل معه. بعد ذلك ، يمكنك إما إدخال اسم رانسومواري و "فك تشفير" في محرك بحث ، ونأمل أن تجد بعض النتائج الجيدة.
3. التفاوض
حسنًا ، ليس لديك نسخ احتياطية في أي مكان آخر ولا يتوفر برنامج فك تشفير برامج الفدية الخاصة بك.في هذه الحالة ، الحل الوحيد هو دفع المجرمين للمطالبة ببياناتك.
ومع ذلك، هناك كمية الصيد. ليس عليك دائمًا دفع المبلغ المطلوب (اقرأ: ثقيل).
يمكنك دفع مبلغ أصغر لاسترداد الملفات.
للقيام بذلك ، اتصل بهم على عنوان البريد الإلكتروني المحدد أو أرسل رسالة عبر نموذج الاتصال حول التفاوض.
إنهم ببساطة يريدون المال ولهم شيء أفضل من لا شيء. لذلك ، هناك احتمالات كبيرة في قيامهم بفك تشفيرها مقابل مبلغ صغير من الأرباح.
لنكون واضحين تمامًا ، نحن لا نؤيد أو ندفع لدفع فك تشفير فيروس الفدية للمجرمين الإلكترونيين.
ومع ذلك ، يجب أن يكون مفهوما أنه بالنسبة لبعض الأشخاص ، سيكون فقدان الملفات أكثر ضرراً بكثير من مجرد دفع رسوم الفدية.
كيف أحمي نفسي من فيروس الفدية رانسومواري؟
- دائما النسخ الاحتياطي للبيانات الخاصة بك.
- الخطوة الأكثر أهمية التي يمكنك اتخاذها لتأمين نظامك ضد رانسومواري هي إجراء نسخة احتياطية للنظام بانتظام لحماية بياناتك القيمة.
- تجنب البريد الإلكتروني العشوائي.
- لا تفتح مرفقات البريد الإلكتروني المشبوهة والروابط.
- قم بتحديث نظام التشغيل والبرامج بانتظام.
- قم بتصحيح نظام التشغيل الخاص بك ، ومكافحة البرامج الضارة ، وجدار الحماية ، و Adobe Flash Player ، و Java ، والمتصفحات ، والحفاظ على تحديث البرامج الأخرى وصيانتها.
- استخدم كلمات مرور قوية.
- قلل من خطر سرقة الهوية عن طريق إعداد كلمات مرور فريدة لحسابات مختلفة.
- لاحظ عملية مشبوهة على جهاز الكمبيوتر الخاص بك؟
- قم بإيقاف تشغيل اتصال الإنترنت على الفور. بهذه الطريقة لن تحصل فايروس الفدية رانسومواري على فرصة لبدء اتصال بخادم C&C ولا يمكنها إكمال عملية التشفير.
- استخدام برنامج مكافحة البرامج الضارة وجدار الحماية.
- قم بتشغيل أداة علاج لمكافحة البرامج الضارة في الوقت الحقيقي وإعداد حماية قوية لجدار الحماية.
فيروسات الفدية الشهيرة: CryptoLocker و WannaCry
ولعل المثال الأول للهجوم واسع الانتشار الذي استخدم تشفير المفتاح العام هو CryptoLocker ، حصان طروادة الذي كان نشطًا على الإنترنت من سبتمبر 2013 حتى مايو من العام التالي. طالبت البرمجيات الخبيثة بالدفع في أي عملة بيتكوين أو قسيمة مدفوعة مقدمًا ، ويعتقد الخبراء عمومًا أن تشفير RSA المستخدم ، عند تنفيذه بشكل صحيح ، كان لا يمكن اختراقه. ومع ذلك ، في مايو 2014 ، تمكنت شركة أمنية من الوصول إلى خادم التحكم والتحكم المتورطين في الهجوم واستردت مفاتيح التشفير المستخدمة. أداة عبر الإنترنت التي سمحت لاستعادة المفتاح المجاني بفعالية تعرقل الهجوم.في مايو 2017 ، أصيب هجوم يسمى WannaCry بأكثر من ربع مليون جهاز على مستوى العالم وقام بتشفيره. تستخدم البرامج الضارة تشفيرًا غير متماثل حتى لا يُتوقع من الضحية بشكل معقول استرداد المفتاح (الخاص وغير الموزع) اللازم لفك تشفير الملفات التي تم الحصول عليها من فدية.
تم طلب المدفوعات في البيتكوين ، وهذا يعني أنه لا يمكن تحديد مستلم مدفوعات الفدية ، ولكن يعني أيضًا أن المعاملات كانت مرئية ، وبالتالي ، يمكن حساب مدفوعات الفدية الإجمالية. خلال الأسبوع الذي كانت فيه WannaCry أشد قسوة ، تم نقل حوالي 100000 دولار من عملة البيتكوين ، ولكن لا توجد حسابات للبيانات التي تم فك تشفيرها بعد الدفع.
تم توضيح تأثير WannaCry في بعض الحالات. على سبيل المثال ، تأثرت الخدمة الصحية الوطنية في المملكة المتحدة بشدة واضطرت إلى أخذ الخدمات دون اتصال أثناء الهجوم. تشير التقارير المنشورة إلى أن الأضرار التي لحقت بآلاف الشركات المتأثرة قد تتجاوز مليار دولار.
وفقًا لتقرير سيمانتيك 2017 حول تهديدات أمن الإنترنت ، فإن قيمة الفدية المطلوبة تضاعفت ثلاث مرات تقريبًا عن العامين السابقين في عام 2016 ، حيث بلغ متوسط الطلب 1077 دولارًا. بشكل عام ، من الصعب تحديد عدد مرات تلبية هذه المطالب. وجدت دراسة أجرتها شركة IBM أن 70٪ من المديرين التنفيذيين الذين شملهم الاستطلاع قالوا إنهم دفعوا طلبًا للحصول على فدية ، ولكن وجدت دراسة أجرتها شركة Osterman Research أن 3٪ فقط من الشركات التي تتخذ من الولايات المتحدة مقراً لها قد دفعت - رغم أن النسب المئوية في بلدان أخرى كانت أعلى بكثير. بالنسبة للجزء الأكبر ، يبدو أن الدفع يعمل ، على الرغم من أنه ليس بأي حال من الأحوال دون مخاطرة. أعلنت نشرة Kaspersky Security لعام 2016 أن 20٪ من الشركات التي اختارت دفع الفدية المطلوبة منها لم تستلم ملفاتها.
IoT Ransomware قد لا تكون بعيدة وراء. أظهر باحثان ، هما أندرو تيرني وكين مونرو ، برامج ضارة هاجمت وأغلقت فدية بتكوين بيتكوين واحد على منظم حرارة ذكي متاح بشكل عام في مؤتمر القرصنة Def Con لعام 2016.
الاتجاهات المستقبلية لفيروس الفدية
يتمثل الاتجاه الأكثر أهمية الذي يمكن توقعه من الفدية في السنوات المقبلة في زيادة الهجمات على المرافق والبنية التحتية العامة لأنها مؤسسات مهمة تتمتع بإمكانية الحصول على مبالغ مالية كبيرة ، وغالبًا ما تستخدم تكنولوجيا الأمن السيبراني القديمة أو التي عفا عليها الزمن. مع استمرار تقدم تقنية الفدية ، فإن الهامش التكنولوجي بين المهاجمين والأهداف العامة له القدرة على النمو على نطاق أوسع. ضمن هذه القطاعات العامة المستهدفة ، وخاصة الرعاية الصحية ، قد تكون الهجمات أكثر تكلفة في السنوات المقبلة من ذي قبل.تشير التنبؤات أيضًا إلى تركيز متزايد على الشركات الصغيرة التي تدير برامج أمان قديمة. نظرًا لتزايد عدد أجهزة الأعمال في إنترنت الأشياء ، لم تعد الشركات الصغيرة تعتقد أنها صغيرة جدًا بحيث لا يمكن اعتبارها هجومًا كبيرًا. يتجه متجه الهجوم بشكل كبير ، وأساليب الأمان الخاصة به ليست كذلك. لهذا السبب نفسه ، من المتوقع أن تكون الأجهزة المنزلية أهدافًا أكثر احتمالًا بشكل تدريجي.
يزيد الاستخدام المتزايد للأجهزة المحمولة أيضًا من استخدام هجمات الهندسة الاجتماعية التي تفتح الباب لهجوم الفدية. أساليب الهجوم الهندسة الاجتماعية مثل التصيد ، الاصطياد ، مقابل quo ، الذرائع و piggybacking ، فريسة على التلاعب في علم النفس البشري.
تزعم إحدى دراسات IBM أن المستخدمين هم أكثر عرضة للرد على هجوم تصيّد على جهاز محمول بثلاثة أضعاف من سطح المكتب ، ويرجع ذلك جزئيًا إلى أن هذا هو المكان الذي يرى فيه المستخدمون على الأرجح الرسالة أولاً.
كما نشرت Verizon بحثًا يفيد بأن نجاح الهندسة الاجتماعية على الأجهزة المحمولة من المحتمل أن الشاشات الأصغر تحد من كمية المعلومات المفصلة التي يتم عرضها. تعوض الأجهزة المحمولة ذلك بإشعارات أصغر وخيارات بنقرة واحدة للرد على الرسائل والروابط المفتوحة ، مما يجعل الاستجابة أكثر كفاءة ولكن يعجل أيضًا بعملية الوقوع في حالة تصيد للهجوم.
اتجاه آخر هو زيادة سرقة أو تبادل الكود. على سبيل المثال ، تم العثور على حملتين كبيرتي الفدية (Ryuk and Hermes) تحتويان على رمز مشابه جدًا. افترض المسؤولون في البداية أن كلا النوعين من رانسومواري نشأت من نفس المجموعة من ممثلي رانسومواري ، ولكن في وقت لاحق وجدوا أن الكثير من كود ريوك تم نسخه ببساطة من هيرميس. في الواقع ، نشأت شركة Ryuk من مجموعة منفصلة غير مترابطة من الجهات الفاعلة في مجال التهديد من بلد آخر.
أخيرًا ، على المدى الطويل ، قد يترك التحول الكمي النهائي العديد من طرق التشفير القديمة القائمة على الحوسبة الكلاسيكية عديمة الفائدة ، مما يفتح الباب أمام مجموعة من التهديدات السيبرانية ، بما في ذلك الفدية.