قد تواجه أثناء استخدامك لجهاز الكمبيوتر العامل بنظام ويندوز مشكلة بطئ غير مسبوق في النظام ويتبع ذلك مشكلة في فتح بعض الملفات والمستندات وتظهر لك رسالة تنبيه بأن هذا الملف غير معروف ولايمكن فتحه أو رسالة تخبرك بأن ويندوز لا يستطيع فتح هذا الملف.
وكذلك إذا كنت مستخدم لجهاز ماك من شركة أبل وتظهر لك رسالة مفادها بأنه لا يوجد تطبيق مرتبط مع هذا النوع من الملفات، أو أنه لا يمكن تشغيل هذا الملف.
وهذه الرسائل تظهر عندما يصاب جهازك بملف خبيث يسمى ببرنامج الفدية، وهو برنامج يصل إلى جهاز الكمبيوتر الخاص بك بعدة طرق سأذكرها لاحقاً، ويعمل على تشفير جميع ملفاتك الموجودة على الجهاز، وبدأ يلاحظ إنتشار هذا الملف الخبيث بداية من عام 2012 م والذي تعددت أشكاله لأكثر من 250 ألف برنامج يتخذ نفس الأسلوب ولكن بطرق تشفير مختلفة بناءً على ما نشرته شركة مكافي الأمنية، وأشهرها كانت هجمات واناكراي التي ضربت 230 ألف جهاز من 99 دولة حول العالم وبرسالة بـ28 لغة وتطلب فدية 300 دولار لفك التشفير.
كيف يعمل؟
هو برنامج يعمل على تشفير الملفات الموجودة على جهاز الكمبيوتر سواءً كان بنظام ويندوز أو أجهزة ماك، وتكون آلية التشفير خاصة بالهكر ولا يعلمها إلا هو وتعتمد على معيار تشفير متقدم AES كخوارزمية لتعطيل الملفات وعدم فتحها إلا بمفتاح يوفره الهكر للمتضرر ليتم فتح التشفير بعد دفع الفدية والتي تكون مبلغ بالدولار الأمريكي وتتم عملية الدفع عادة عبر العملة الرقمية بيتكوين.
كيف يصاب الجهاز؟
هناك عدة طرق لكي يصاب جهازك وسأذكر بعضها:
- ثغرة في نظام ويندوز تمكن الهكر من تنفيذ البرنامج على الجهاز عبر بروتوكول SMB، وتم إصدار تحديث لهذه الثغرة بعام 2017م لجميع أنظمة ويندوز المدعومة بتلك الفترة، وأما الأنظمة القديمة مثل ويندوز XP وويندوز سيرفر 2003 والأقدم لم يشملها التحديث ومازالت معرضة للتهديد بالإصابة.
- مرفقات مع البريد الإلكتروني الذي يصلك ويكون بريد إلكتروني تصيدي وقد يكون بعضها عبارة عن ملفات أوفيس مثل وورد أو أكسل وبها أوامر ماكرو لاستدعاء وتنفيذ ملفات من خارج الجهاز.
- تنزيل برامج من مواقع غير رسمية ويكون ملف الفدية مرافق مع البرنامج الذي ترغب بتنزليه أو يكون بملف مستقل معه.
- عبر إعلانات مواقع إلكترونية توجهك لتنزيل ملفات خبيثة.
- ملفات في ذاكرة خارجية، ولهذا معظم الجهات الحكومية والشركات الكبرى قامت بتعطيل منافذ الـUSB لمنع توصيل أو وحدة تخزين خارجية خوفاً من أن يكون هناك ملفات خبيثة تأتي من مصادر خارجية.
ماذا أفعل إذا أصيب الجهاز؟
أولاً: توقف مباشرة عن استخدام الجهاز وفتح الملفات الموجودة على جهازك.
ثانياً: افصل أي وحدات تخزين خارجية وأعزلها ولا توصلها بأي أجهزة أخرى، فقد تكون لم تصب ملفاتها حتى الآن، وخذ نسخة احتياطية من جميع ملفاتك في ذاكرة منفصلة مباشرة.
ثالثاً: سجل الرسالة التي تظهر لك وتشعرك بأن جهازك تمت إصابته، ومباشرة تواصل مع مشغل مضاد الفيروسات الموجود على جهازك عبر العناوين التالية:
- أفاست، اكتب بريدك الإلكتروني وعينة من الملفات المصابة: https://www.avast.com/false-positive-file-form.php
- مكافي: virus_research@avertlabs.com
- نورتن: https://submit.norton.com/?type=FN
- كاسبرسكاي: التواصل من داخل البرنامج
- إذا لم يكن لديك مضاد فيروسات، فهنا دعم مايكروسوفت لنظام ويندوز: https://support.microsoft.com/ar-SA/contactus/
رابعاً: إبحث عن المساعدة من متطوعين لفك تشفير الملفات المصابة ومنها:
- مأمور الشريف، وهو يقوم بالحصول على عينة من ملفاتك المشفرة وسيبحث عن مفتاح لفك تشفيرها وبعدها يرسل لك مفتاح فك التشفير: https://www.nomoreransom.org/crypto-sheriff.php?lang=ar
- هوية الفدية، وهو مشابه لمأمور الشريف: https://id-ransomware.malwarehunterteam.com/index.php
- إمسي سوفت: https://www.emsisoft.com/ransomware-decryption-tools/
خامساً: إبحث عن أدوات لفك تشفير الملفات وجربها، ومنها:
- https://www.nomoreransom.org/en/decryption-tools.html
- https://noransom.kaspersky.com/
- https://www.avast.com/ransomware-decryption-tools
- https://www.emsisoft.com/ransomware-decryption-tools/free-download
- https://www.mcafee.com/enterprise/en-us/downloads/free-tools/ransomware-decryption.html
في حالة تعثر نجاح عمل أحد الأدوات السابقة، فيمكنك الانتظار لحين ورود رد الشركة الأمنية التي تم ذكرها في الفقرة الثالثة، وكذلك يمكنك الاستعانة بأحد مراكز الصيانة المتخصصة في فك تشفير الملفات.