شركة «بيت ديفيندر» استطاعت بناء الأداة الجديدة بعد أن زودتها الشرطة الرومانية بالمفاتيح المطلوبة لفك التشفير. من المصدر

المصدر: القاهرة - الإمارات اليوم

التاريخ: 09 أبريل 2017

أداة مجانية لفك تشفير الملفات والأجهزة المصابة بـ «بارت»

بعد ظهور فيروس «بارت»، المتخصص في تشفير وتكويد الملفات والأجهزة المكتبية والمحمولة والهواتف الذكية، ثم طلب فدية من أصحابها لفك التشفير وانتشاره على نطاق واسع، منذ يونيو الماضي، أعلنت منظمة «لا لمزيد من فيروسات الفدية» العالمية، أخيراً، عن نشرها أداة مجانية لفك تشفير الملفات والأجهزة التي جرى تكويدها بهذا الفيروس، مع شرح كيفية استخدامها في تحرير الملفات وإعادتها لحالتها الطبيعية، مشيرة إلى أن هذه الأداة جاءت حصيلة تعاون بين الشرطة الرومانية، التي تمكنت من الحصول على «المفتاح» اللازم لفك التشفير أثناء تحقيقاتها مع متهمين ومشتبه فيهم من جهة، وإحدى شركات أمن المعلومات التي قامت ببناء هذه الأداة وطرحها لضحايا الفيروس مجاناً من جهة أخرى.

إجراءات وقائية

قال رئيس استراتيجيات التأمين في شركة «بيت ديفيندر»، المتخصصة في أمن المعلومات ومكافحة الفيروسات، لكاتالين كوسوا، إن «أفضل وسائل الحماية من برامج الفدية هو الانتباه جيداً إلى رسائل البريد الإلكتروني التي يوجد فيها ملفات ملحقة من نوع (جافا سكريبت)، فضلاً عن تحديث برامج مكافحة الفيروسات، لاسيما برامج التصفح، والإضافات التي يتم تركيبها على المتصفح، إضافة إلى أن تكون لدى المستخدم أو المؤسسة نسخ احتياطية من الملفات والبيانات يجرى تحديثها على الدوام»، مؤكداً أن «هذا أفضل نهج للتعامل مع الإصابة بهجمات الفدية، بدلاً من الاعتماد على إمكانية الحصول على أداة فك تشفير مجانية قد تعمل أو لا تعمل مع بعض الإصدارات أو النسخ التي تصيب الملفات».

• «بارت» متخصص في تشفير الملفات ثم طلب فدية من أصحابها لفك التشفير

• «لا مزيد من فيروسات الفدية» شرحت كيفية إعادة الملفات إلى حالتها الطبيعية

جميع الإصدارات

ووفقاً لما أورده موقع المنظمة NoMoreRansom.org، فإن الأداة تستطيع التعامل مع جميع الإصدارات التي ظهرت حتى الآن من البرنامج الخبيث الحامل لفيروس «بارت»، لذلك فإن أي مستخدم تعرضت ملفاته للإصابة بهذا الفيروس، واكتشف أنها أصبحت مشفرة، عليه المسارعة بتنزيل هذه الأداة واتباع تعليمات التشغيل الواردة على الموقع، لحل المشكلة.

وأفاد الموقع بأن شركة «بيت ديفيندر»، المتخصصة في أمن المعلومات ومكافحة الفيروسات، هي التي طورت هذه الأداة بعد حصولها على شفرة التكويد من الشرطة الرومانية.

طريقة مختلفة

وأضاف الموقع أن فيروسات «بارت» للتشفير والفدية ظهرت، في يونيو الماضي، وانتشرت وأصبحت مشكلة لدى آلاف المؤسسات والمستخدمين الأفراد على السواء، لأنها تشفر الملفات وتضعها في أرشيفات جديدة مضغوطة بطريقة «معيار التشفير المتقدم»، مشيراً إلى أنه اتضح أنها تعمل بطريقة مختلفة عن برامج الفدية التي تم رصدها من قبل، حيث يتمثل وجه الاختلاف في أن معظم برامج الفدية تقوم في المعتاد بتشفير الملفات من خلال مفتاح يتم توليده محلياً على الحاسب بـ«معيار التشفير المتقدم» الذي يولد زوجاً من مفاتيح التشفير وفك التشفير، أحدهما عام والآخر خاص، ويقوم بتشفير الملفات بمفتاح التشفير العام «آر إس إيه»، أما المفتاح الخاص المطلوب لفك التشفير فيتم إرساله إلى حاسب خادم للإدارة والتحكم يديره المهاجمون، وبعد الإرسال تتم إزالته من الحاسب المصاب.

وأوضح أن فيروسات «بارت» لا تستخدم هذه الطريقة، بل تقوم بالمرور على جميع الملفات الموجودة بالحاسب، كالصور والموسيقى والفيديو والوثائق والأرشيف وقواعد البيانات وغيرها، ثم تشفرها وتغلق عليها في أرشيف، يظهر كملفات بامتداد «زد آي بي» ولا يمكن الوصول إليها إلا من خلال كلمة مرور، ينتجها الفيروس ويرسلها للمهاجمين، الذين يعيدون إرسالها للضحية بعد دفع الفدية. وأضاف موقع منظمة «لا لمزيد من فيروسات الفدية»، أنه بهذه الطريقة لا تحتاج فيروسات «بارت» إلى حاسب خادم للتحكم والسيطرة، لأنها لا تستخدم زوج المفاتيح (العام ـ الخاص)، بل تحتاج فقط لبوابة دفع إلكتروني للحصول على الفدية.

تمويه وتخفٍّ

وذكر الموقع أن المهاجمين استخدموا لإمعان التمويه والتخفي، بوابة دفع إلكتروني لتحصيل الفدية، تعمل بتقنية «تور»، وهذه التقنية اختصار لمصطلح في عالم الشبكات يشير إلى برنامج مجاني يمكن استخدامه عند إجراء أي نوع من الاتصالات عبر الإنترنت، ليحول حركة المرور والاتصالات إلى شيء مجهول، فيصبح مصدر إرسالها ووجهة وصولها مجهولين وغير معروفين، وهذا البرنامج يوجه حركة المرور عبر الإنترنت من خلال شبكة عالمية مجانية من المتطوعين تضم نحو 7000 من نقاط التبديل والتوجيه، لإخفاء موقع المستخدم والمهاجم معاً، وجعله بعيداً تماماً عن متناول أي جهة أو شخص يراقب الشبكة أو يحلل حركة المرور، ويتضمن ذلك الزيارات للمواقع والنشر على الإنترنت والتراسل اللحظي وعمليات الدفع وغيرها من أشكال الاتصالات.

وأشار الموقع إلى أنه في بداية انتشاره اتضح أن النسخة الأولى من برنامج «بارت» فيها بعض نقاط الضعف، إذ أنتج خبراء أمن المعلومات في شركة «إيه في جي» لمقاومة الفيروسات، أداة تستطيع تخمين كلمات المرور الخاصة بأرشيف برامج الفدية باستخدام طريقة «القوة الغاشمة»، حيث يحتاج فك الشفرة إلى أن يكون لدى المستخدم على الأقل نسخة غير مصابة من الملف الذي تم تشفيره. لكن في النسخ الأحدث قام مطورو برنامج «بارت» بتغيير طريقة تنفيذ التشفير، ما جعل أداة فك التشفير التي طورتها «إيه في جي» غير فعالة. وقال رئيس استراتيجيات التأمين في شركة «بيت ديفيندر»، لكاتالين كوسوا، إن «التشفير المستخدم في آخر نسخة من برنامج (بارت) للفدية قوي وليس فيها عيوب واضحة»، مؤكداً في الوقت نفسه أنه «على الرغم من ذلك استطاعت (بيت ديفيندر) بناء أداة جديدة تفك تشفير (بارت)، بعد أن مدتها الشرطة الرومانية بالمفاتيح المطلوبة للفك، التي ربما تم الحصول عليها أثناء التحقيقات».

الأكثر مشاركة