برنامج فدية

صورة لأحد الأجهزة المصابة بفيروسات الفدية، والتي طلبت منه مبلغ مالي لقاء إعادة فتح الحاسوب من جديد

رانسوم وير أوبرنامج الفدية (بالإنجليزية: Ransomware)‏ هوبرنامج خبيث يقيد الوصول إلى نظام الحاسوب الذي يصيبه، ويطالب بدفع فدية لصانع البرنامج من أجل إمكانية الوصول للملفات. بعض أنواعه تقوم بتشفير الملفات على القرص الصلب للنظام وتعرض رسائل تطلب من المستخدم الدفع. كانت بداية انتشاره في روسيا، لكن استخدام هذا النوع من البرامج الخبيثة نمى في بقية دول العالم.

في يونيو2013، أصدرت شركة برامج مكافح الفيروسات مكافي بيانات تظهر أنها جمعت أكثر من 250,000 عينة فريدة من رانسوم وير في الربع الأول من عام 2013 أي أكثر من ضعف العدد الذي حصلت عليه في الربع الأول من عام 2012.

فيروسات الفدية Ransomware هي نوع من الفيروسات التي تصيب أجهزة الكمبيوتر وبعدها تمنع المستخدم من الوصول إلى نظام التشغيل أوتشفر جميع البيانات المخزنة على جهاز الكمبيوتر، وتطلب من المستخدم “فدية” أوطلب خاص، في الغالب دفع مبلغ محدد من المال ~ 300 دولار في هجوم واناكراي الإلكتروني ~ لقاء فك تشفير الملفات أوالسماح بالوصول مرة أخرى لنظام التشغيل.

ابتداءً من عام 2012 تقريبًا، ذاع استعمال برامج الفدية عالميًا. جرى في أول ستة أشهر من عام 2018 وحدها 181.5 مليون هجوم ببرامج الفدية، وهوازدياد بنسبة 229% عن ستة الأشهر الأولى في عام 2017. في يونيوعام 2014، أصدرت شركة مكافي بياناتٍ تظهر أنها جمعت ضعفي عدد هجومات برامج الفدية هذا الربع السنوي، مقارنة بالربع نفسه من السنة الماضية. حقق كريبتولوكر خاصة نجاحًا كبيرًا، إذ جمع ثلاثة ملايين دولار أمريكي تقريبًا قبل حتى توقفه السلطات، أما كريبتووول، فقد قدر المخط الفدرالي الأمريكي أنه جمع 18 مليون دولار أمريكي تقريبًا بحلول يونيوعام 2015.

العمل

اخترع يونغ ويونغ في جامعة كولومبيا مفهومَ برنامج الفدية المشفِّر وطبّقاه، وقد عُرض في مؤتمر الأمن والخصوصية الذي أقامته مؤسسة مهندسي الكهرباء والإلكترونيات في عام 1996. سُمي البرنامج ابتزازًا فيروسيًا مشفِّرًا، وكان مصدر إلهامه الطور الثاني من حياة الفضائي في فلم إيليَن (فضائي). الابتزاز الفيروسي المشفر هواتباع استراتيجية من ثلاثة مراحل تنفذ بين المهاجم والضحية.

[المهاجم←الضحية] ينشئ المهاجم شفعًا من الرموز ويخزن الرمز العمومي المناسب في البرنامج الخبيث. ينتشر البرنامج الخبيث.
[الضحية←المهاجم] حتى ينفذ هجوم الابتزاز المشفر، ينشئ البرنامج الخبيث رمزًا عشوائيًا متماثلًا ويشفر بيانات الضحية به. يُستعمل الرمز العمومي في البرنامج الخبيث لتشفير الرمز المتماثل. يُسمى هذا تشفيرًا هجينًا وينتج عنه نص مشفر صغير غير متماثل ونص مشفر متماثل آخر من بيانات الضحية. يصفّر البرنامج الرمز المتماثل والنص الأصلي حتى يمنع المستخدم من استعادة البيانات. يُظهر البرنامج رسالة للضحية فيها النص المشفر غير المتماثل وطريقة دفع الفدية. ترسل الضحية النص المشفر غير المتماثل والمال الإلكتروني إلى المهاجم.
[المهاجم←الضحية] يتلقى المهاجم المال، ويفك تشفير النص المشفر غير المتماثل باستعمال الرمز الخاص للمهاجم، ويرسل الرمز المتماثل إلى الضحية. تفك الضحية تشفير البيانات باستعمال الرمز المتماثل، إلى غير ذلك ينتهي هجوم الابتزاز الفيروسي المشفر.

هذا الرمز المتماثل عشوائي ولا يستطيع فك تشفير بيانات الضحايا الأُخر. لا يظهر المهاجم لضحاياه رمزه الخاص أبدًا، ولا بحاجة الضحية إلا إلى إرسال نص مشفر صغير (هوالرمز المشفر المتماثل) إلى المهاجم.

تُنفذ هجومات برامج الفدية عادة باستعمال حصان طروادة، يدخل النظام من خلال مرفق بريدي أورابط أوثغرة في الخدمة الشبكية. يبدأ هذا البرنامج الهجوم، فيقفل النظام بطريقة أوبأخرى، أويدعي أنه قفله ولكنه لم يعمل (برامج التخويف). قد يظهر الهجوم تحذيرًا مكذوبًا يزعم أنه من كيان مثل وكالة تطبيق القانون، فيدعي حتى هذا النظام استُعمل في أنشطة غير قانونية، ويحوي محتويات إباحية مثلًا ووسائط مقرصَنة.

تتكون بعض الهجومات من تطبيق مصمم لقفل أوحظر النظام حتى يتم الدفع، ويكون هذا عادة بحصر ويندوز شِل بها، أوبتغيير تسجيل الإقلاع الرئيس أوجدول التقسيمات لمنع إقلاع النظام حتى تدفع الفدية. أقوى الهجومات تشفر الملفات، وتستعمل تشفيرًا قويًا لتشفر البيانات على نحولا يستطيع به إلا المهاجم حتى يفك تشفيرها باستعمال رمز فك التشفير.

يكون الدفع دائمًا هوالهدف الظاهر، ويُجبر الضحية على الدفع لبرنامج الفدية إما لتقديم برنامج يفك تشفير الملفات أوبإرسال رمز فك القفل يزيل ما عمله برنامج الفدية. ولئن كان في مقدور المهاجم حتى يأخذ المال ولا يعيد للضحية ملفاته، فإن من مصلحته حتى يفك التشفير ويعيد الملفات، إذ إذا الضحايا لن يدفعوا له إذا فهموا حتى الدفع لن يجدي نفعًا. من أبرز ما يجب حتى يُحافظ عليه لعمل برنامج الفدية نظام دفع مناسب يصعب التعقب فيه. استخدمت عدة طرائق دفع من هذا القبيل، منها الحوالات البرقية، وبرامج المحادثة عالية المستوى، وخدمات القسائم المدفوعة مسبقًا مثل بيسيفكارد، والعملة الرقمية بيتكوين.

أمثلة مشهورة

ريفينتون

في عام 2012، بدأ ينتشر برنامج فدية طروادي كبير اسمه ريفينتون. استند ريفينتون إلى حصان طروادة سيتاديل (الذي استند إلى حصان طروادة زيوس)، ويظهر هجومه تحذيرًا يُنسَب إلى وكالة تطيبق القانون يدّعي حتى الحاسوب استُعمل لأنشطة غير قانونية منها تحميل برامج غير مرخصة أوأفلام إباحية يظهر فيها أطفال، ومن أجل هذا سُمي «حصان طروادة الشرطة». يخبر التحذير المستخدم أنه يجب حتى يدفع غرافة باستعمال قسيمة مسبقة الدفع من خدمة دفع تخفي الهوية مثل يوكاش أوبيسيفكارد لكي يعمل النظام. لزيادة الوهم حتى الحاسوب قد تعقبته وكالة تطبيق القانون، تظهر الشاشة عنوان الآيبي للحاسوب، وتظهر بعض النسخ لقطات من الكاميرا لتوهِم المستخدم أنه ملاحَق.

بدأ انتشار ريفينتون في عدة دول أوروبية في أوائل عام 2012. تنوّعت نسخ البرنامج بتنوع شعارات منظمات تطبيق القانون في جميع بلد، ففي المملكة المتحدة، وُضع في البرنامج شعار خدمة الشرطة المدنية ووحدة شرطة الجرائم الإلكترونية الوطنية. احتوت نسخة أخرى شعار جمعية بّي آر إس للموسيقا، إذ تتهم الضحية بتحميل موسيقا بشكل غير قانوني. في بيان حذّرت فيه الشرطة العامة من هذا البرنامج الخبيث، أوضحت أنها لن تقفل أي حاسوب بطريقة كهذه في إجراءات أي تحقيق.

في مايوعام 2012، اكتشف الباحثون الأمنيون في تريند ميكروقوالبَ لتنويعات من أجل الولايات المتحدة وكندا، واقترحت حتى منشئيها من الممكن كانوا يخططون لاستهداف المستخدمين في أمريكا الشمالية. بحلول أغسطس عام 2012، بدأت نسخة جديدة من ريفينتون تنتشر في الولايات المتحدة، وتدعي أنها تطلب غرامة 200 دولار أمريكي لمخط التحقيقات الفدرالي من خلال بطاقة منيباك. في فبراير عام 2013، اعتقلت السلطات الإسبانية مواطنًا روسيًا في دبي لارتباطه بشبكة جريمة تستعمل ريفينتون، واعتُقلعشرة آخرون بتهمة غسل الأموال. في أغسطس عام 2014، أصدر تطبيق أفاست تقريرًا حول عثوره على نسخ جديدة من ريفينتون تنشر برامج تسرق حدثات السر ويكون هذا جزءًا من هجومها.

انظر أيضا

حصان طروادة (حاسوب)
ريجن (برمجية خبيثة)

مراجع

^ Ransom Trojans spreading beyond Russian heartland | Security | Techworld نسخة محفوظة 02 يوليو2014 على مسقط واي باك مشين.
^ Update: McAfee: Cyber criminals using Android malware and ransomware the most | InfoWorld نسخة محفوظة 02 يوليو2014 على مسقط واي باك مشين.
^ "Cryptolocker victims to get files back for free". BBC News.ستة August 2014. مؤرشف من الأصل في 13 يناير 2020. اطلع عليه بتاريخ 18 أغسطس 2014.
^ "FBI says crypto ransomware has raked in >$18 million for cybercriminals". Ars Technica. 2015-06-25. مؤرشف من الأصل فيسبعة فبراير 2017. اطلع عليه بتاريخ 25 يونيو2015.
^ Young, Adam L.; Yung, Moti (2017). "Cryptovirology: The Birth, Neglect, and Explosion of Ransomware". 60 (7). Communications of the ACM: 24–26. مؤرشف من الأصل في ثلاثة يناير 2018. اطلع عليه بتاريخ 27 يونيو2017.
^ "Ransomware squeezes users with bogus Windows activation demand". Computerworld. 2011-04-11. مؤرشف من الأصل في ثلاثة يوليو2014. اطلع عليه بتاريخ 09 مارس 2012.
^ "Police warn of extortion messages sent in their name". هلسنغن سانومات. مؤرشف من الأصل في ثلاثة يوليو2014. اطلع عليه بتاريخ 09 مارس 2012.
^ McMillian, Robert (2010-08-31). "Alleged Ransomware Gang Investigated by Moscow Police". PC World. مؤرشف من الأصل في أربعة نوفمبر 2010. اطلع عليه بتاريخعشرة مارس 2012.
^ Adam Young (2005). Zhou, Jianying; Lopez, Javier (المحررون). "Building a Cryptovirus Using Microsoft's Cryptographic API". Information Security: 8th International Conference, ISC 2005. سبرنجر. صفحات 389–401.
^ Young, Adam (2006). "Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?". International Journal of Information Security. 5 (2): 67–76. doi:10.1007/s10207-006-0082-7.
^ "Ransomware plays pirated Windows card, demands $143". Computerworld. 2011-09-06. مؤرشف من الأصل في ثلاثة يوليو2014. اطلع عليه بتاريخ 09 مارس 2012.
^ Cheng, Jacqui (18 July 2007). "New Trojans: give us $300, or the data gets it!". Ars Technica. مؤرشف من الأصل في 12 سبتمبر 2011. اطلع عليه بتاريخ 16 أبريل 2009.
^ "You're infected—if you want to see your data again, pay us $300 in Bitcoins". Ars Technica. 2013-10-17. مؤرشف من الأصل في 15 يونيو2017. اطلع عليه بتاريخ 23 أكتوبر 2013.
^ "CryptoDefense ransomware leaves decryption key accessible". Computerworld. IDG. April 2014. مؤرشف من الأصل في ثلاثة يوليو2014. اطلع عليه بتاريخ 07 أبريل 2014.