WannaCry أخطر دودة شبكات حتى الآن
الجمل ـ الأيهم صالح: تنتشر هذه الأيام دودة WannaCry او WannaCrypt ضمن الشبكات المحلية في الكثير من المؤسسات في العالم، ورغم أن الإعلام الغربي يركز على تعطل القطاع الصحي البريطاني وبعض معامل السيارات الأوروبية نتيجة الإصابة بها، فأغلب الإصابات بهذه الدودة سجلت في روسيا الإتحادية، ووحدها وزارة الداخلية الروسية أعلنت عن تعطل أكثر من 1000 حاسب لديها.
يترافق انتشار الدودة بحملة إعلامية للتشويش على المعلومات الأساسية عبر الحديث عن اكتشاف ثغرة قاتلة تستطيع إيقاف انتشار الدودة وعن إصابة عشرات الحواسب في بعض الشركات. هذه المقالة تركز على الخلاصة التي تهم أي مستخدم لنظام ويندوز بدون التشويش الإعلامي.
من المعرض للإصابة
جميع حواسب ويندوز غير المحدثة معرضة للإصابة، بما في ذلك الحواسب العاملة بنظام Windows XP. وجميع شبكات ويندوز التي تدعم بروتوكول SMB v1 معرضة لانتشار الدودة فيها.
كيف تحمي نفسك
أهم ما يجب أن تفعله هو سد الثغرة التي تدخل منها الدودة، وذلك إما عبر تثبيت التحديثات المتوفرة عبر Windows Update أو عبر تثبيت التحديث ms17-010.aspx من مايكروسوفت من الرابط التالي.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
في هذا الرابط ستجد لائحة طويلة بالتحديثات وعليك أن تختار منها المناسب لجهازك.
بشكل استثنائي أتاحت مايكروسوفت تحديثات خاصة لأنظمة التشغيل القديمة غير المدعومة مثل XP و 2003 ويمكن تنزيلها من الرابط التالي
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
سد الثغرة وحده لا يكفي، فهو يحميك من الإصابة آليا بالدودة عبر الشبكة، ولكن إذا وصلتك الدودة بشكل ما، مثلا عبر مرفق برسالة بريد الكتروني، وقمت بتشغيلها، فسيصاب حاسبك حتما وربما يقوم بإصابة كل الأجهزة في الشبكة التي يتصل بها. ولذلك عليك تحديث مضاد الفيروسات الذي تستخدمه، والتزام الحذر عند تشغيل برامج مجهولة المصدر على حاسبك.
مدراء الشبكات يستطيعون تعطيل البروتوكول الذي تنتشر عبره الدودة، وهو بروتوكول SMB V1. تعطيل هذا البروتوكول يحمي حواسب الشبكة من انتشار الدودة آليا، ولكنه لا يحمي الحواسب من الإصابة بسبب عدم حذر المستخدم.
إذا تعرضت للإصابة
تقوم الدودة بتشفير كل ملفات الحاسب، وتطلب دفع فدية نقدية باستخدام عملة BitCoin مقابل فك تشفيرها. إضافة لذلك تقوم الدودة بتنزيل عدد من البرامج المؤذية الأخرى، وتنشر نفسها إلى الأجهزة الأخرى في الشبكة المحلية التي لم تسد فيها الثغرة.
لا يعرف إن كان دفع الفدية يساعد في فك تشفير الملفات، وأنا لا أنصح بذلك لأن مجرد دفع الفدية هو تشجيع للمخترقين لتطوير الاختراق. بالمقابل أنصح من يتعرض للإصابة بتعلم الدرس والاستعداد بشكل أفضل لمواجهة أخطار أمن المعلومات.
ولا يوجد حتى تاريخ كتابة هذه المقالة أي برنامج مجاني يستطيع فك تشفير الملفات التي تشفرها دودة WannaCry وحتى إن وجد، فهناك اليوم بعض الإصابات بجيل جديد من هذه الدودة، ولذلك من الطبيعي أن نتوقع تطور الدودة واستخدام طرق تشفير متعددة تجعل كسر التشفير أمرا بالغ التعقيد.
ما هو مصدر الدودة؟
مصدر الدودة غير معروف حتى الآن، ولكن طريقتها في التشفير معروفة منذ شباط 2017 (لشركة أفاست على الأقل)، ومصدر برمجية الاختراق التي استخدمها الجيل الثاني للدودة هو وكالة الأمن القومي الأمريكية NSA ويبدو أنه مأخوذ من أداة الاختراق EternalBlue التي طورتها مجموعة Equation Group في NSA.
هناك أخبار إعلامية عن علاقة الدودة بشركة أوروبية، أو بجمعية غير ربحية سويدية، أو بمدون بريطاني. وجميع هذه الأخبار غير مؤكدة ولا توجد أية أدلة عليها.
مصادر معلومات إضافية:
تقرير شركة أفاست يقول أن الدودة تستهدف روسيا بشكل رئيسي
تقرير شركة كاسبرسكي عن الدودة يقول أن أغلب الإصابات سجلت في روسيا
تقرير شركة مايكروسوفت عن الدودة
إضافة تعليق جديد