حل مشكلة Moka Virus| Norvas|Masok فيروس الفدية

كيفية التخلص من "فيروس الفدية" وفك تشفير البيانات دون دفع مبالغ مالية

 



ظهر مؤخراً فى مصر فيروس الفدية الذي يهدد الكثير من المؤسسات والشركات والاشخاص،حيث يتم تشفير جميع الملفات على الحاسوب الخاص بالضحية،تاركاً ملف تيكست يحمل رسالة من اللصوص بالمبلغ المطلوب والعنوان وذلك لاسترجاع الملفات مرة أخرى.

ماهو فيروس الفدية ؟



فيروس الفدية هو نوع خبيث من البرامج يقفل أجهزة الحاسوب الشخصى أو اللوحي او الهواتف الذكية – أو يضع تشفيراً على ملفاتك ثم يطلب منك فدية مقابل اعادتها اليك فى حالة سليمة،وهناك نوعان اساسيان من فيروسات الفدية

النوع الأول :

هو فيروسات التشفير،اى : التى تضع شفرة على الملفات بحيث لا يمكن الوصول اليها،ويتطلب فك تشفير الملفات امتلاك المفتاح الذي تم استخدامه فى تشفيرها _وهذا هو ما تدفع مبلغ الفدية للحصول عليه.

النوع الثانى :



هو فيروسات الحجب،التى ببساطة تحجب الكمبيوتر أو الأجهزة الاخرى مما يجعلها غير صالحة للعمل،وفى الواقع،تُعد حالات فيروسات الحجب أفضل من فيروسات التشفير،او بمعنى ادق ابسط من فيروسات التشفير،ففرص الضحايا فى إزالة الحجب واستعادة إمكانية الوصول أفضل من فك الملفات المشفرة .

ماهو المبلغ المطلوب للفدية وما قيمتة ؟

فى الواقع،لاتوجد قيمة محددة،ولكن المبتزون يطلبون من ضحاياهم سداد 480 دولار أمريكى فى المتوسط مقابل استعادة امكانية الوصول للملفات المشفرة أو الكمبيوترات المحجوبة،ولكن تطلب بعض برامج الفدية 30 دولار امريكي،ويطلب بعضها الآخر عشرات الآلاف من الدولارات،وعادة ما تكون الشركات والمنظمات الكبيرة الأخرى التى تصاب هى الأكثر عرضة لتلقى طلبات فدية مرتفعة بالفيروس عبر أسلوب التصيد الاحتيالى بالرمح القيمة،ولكن يتعين عليك ألا تنسى أن دفع الفدية لا يضمن العودة الآمنة والسليمة للملفات .

هل يمكننى فك تشفير الملفات المشفرة بدون دفع فدية ؟

فى بعض الأحيان،يمكن فعل ذلك،فمعظم برامج الفدية تستخدم خوارزميات تشفير مرنة مايعنى أن عملية فك التشفير قد تستغرق سنوات بدون مفتاح فك التشفير،وفى أحيان أخرى يخطىء المجرمون الواقفون خلف هجمات فيروسات الفدية،مما يمكن عناصر تطبيق القانون من مصادرة خوادم الهجوم التى تحتوى على مفاتيح التشفير،وعندما يحدث هذا يصبح بإمكان الأخبار تطوير برنامج لفك التشفير .

كيف يتم دفع الفدية ؟

يستطيع أى شخص رؤية تاريخ المعاملات المالية الخاصة بالمحفظة المالية ولكن ليس من السهل تعقب مالك هذه المحفظة،ولهذا السبب يفضل المجرمون السيبرانيون عملة البتكوين،فهى تزيد من احتمال عدم القبض عليهم،وتستخدم بعض أنواع فيروسات الفدية محافظ مالية الكترونية مجهولة أو حتى تطبيقات الدفع فى الهاتف المتحرك وأكثر طرق الدفع إثارة للدهشة لنا حتى الآن هى بطاقات آى تونز بقيمة 50 دولار .

لما لاندفع الفدية ببساطة ؟

بالنسبة للمبتدئين،لايوجد ما يضمن استرجاع ملفاتك مرة اخرى،فلا يمكنك الوثوق بالمبتزين،وابسط الامثلة على اللصوص غير الجديرين بالثقة هو مخترع برنامج ” Ran scam” وهو برنامج من برامج فيروسات الفدية ولكن اللص لم يكلف نفسه عناء فك تشفير الملفات بل حذفها مباشرة،على الرغم من انه قطع وعداً بفك تشفير الملفات مقابل المال،ووفقاً للأبحاث فإن 20% من ضحايا فيروسات الفدية الذين يدفعون المال لا يحصلون على ملفاتهم مرة أخرى.

أنواع فيروسات الفدية الأكثر انتشاراً

تظهر انواع جديدة من فيروسات الفدية يومياً،لذلك يصعب القول أى الانواع أكثر انتشاراً،فيمكننا أن نحصى العديد من الذى مازال قوياً مثل ” Crypt-xxx”،الذي يشفر جميع البيانات على القرص الصلب،وايضاً يوجد “Pet-ya” و “Tesla-crypt” و “Norvas”” و ” Wanacry” وغيرها من اسماء لامتدادات فيروسات الفدية .

ما الحل في فيروس الفدية

بعد عناء كبير من تلك المشكلة الضخمة التي واجهت العديد من شباب مصر والعالم الخارجي، والكثير من المؤسسات والمستشفيات التي تعرضت أيضاً لهذا الفيروس اللعين، توصلت إلى أن يكون هناك مشاركة تجمع كل من يعاني من فيروس الفدية، ويذكر تاريخ الإصابه وما هو نوع واسم الامتداد الذي أصاب أجهزة الكمبيوتر الخاصه به، واذا توصل أحد منا إلى الحل مع هذا الفيروس اللعين، يتفضل مشكوراً بوضعه لنا في التعليقات أسفل المقال.

كيف يمكنني إزالة فيروس الفدية (رانسومواري)؟

عملية إزالة رانسومواري نفسها ليست كلها صعبة. إذا كان المهاجم يستخدم برامج التشفير الفدية ولا يزال بإمكانك الدخول إلى جهاز الكمبيوتر الخاص بك، فيمكنك وضع الكمبيوتر في “الوضع الآمن” وتشغيل ماسح ضوئي لمكافحة الفيروسات للعثور على البرامج الضارة وحذفها.

إذا كانت الفدية من مجموعة locker التي تغلق جهاز الكمبيوتر الخاص بك تمامًا وتمنعك عن الدخول، عندئذ يكون لديك ثلاثة خيارات في كيفية المتابعة: يمكنك إعادة تثبيت نظام التشغيل الخاص بك؛ يمكنك تشغيل برنامج مكافحة فيروسات من محرك أقراص خارجي أو قرص قابل للتمهيد؛ أو يمكنك القيام باستعادة النظام واستعادة Windows مرة أخرى قبل تحميل رانسومواري. إليك كيفية إجراء استعادة sytsem على أجهزة Windows:

استعادة نظام ويندوز 7:

  • أثناء بدء تشغيل جهاز الكمبيوتر الخاص بك ، اضغط F8 ، والتي ستظهر قائمة خيارات التمهيد المتقدمة.
  • اختر إصلاح الكمبيوتر الخاص بك ، ثم أدخل.
  • تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور ويندوز الخاص بك. يمكنك تركها فارغة إذا لم يكن لديك واحدة.
  • حدد استعادة النظام.

ويندوز 8 ، 8.1 ، 10 استعادة النظام:

  • عندما يرتفع جهاز الكمبيوتر الخاص بك ، اضغط مع الاستمرار على مفتاح Shift. سوف تدخل شاشة الاسترداد (إعادة التشغيل إذا لم ينجح ذلك).
  • اختيار استكشاف الأخطاء وإصلاحها.
  • انتقل إلى الخيارات المتقدمة.
  • حدد استعادة النظام.

أجهزة Android: فيما
بالنسبة إلى أجهزة Android ، فيما يلي خطوات عامة لإزالة البرامج الضارة عن طريق إدخال “الوضع الآمن” وإلغاء تثبيت التطبيقات المشبوهة. قد تختلف هذه الخطوات وفقًا لجهازك.

  • قم بتشغيل Android في الوضع الآمن:
    ابحث عن زر الطاقة ثم اضغط عليه لبضع ثوان حتى ترى قائمة. انقر فوق إيقاف التشغيل، بمجرد ظهور نافذة حوار تقترح عليك إعادة تشغيل Android على الوضع الآمن، حدد هذا الخيار واضغط على موافق. إذا لم ينجح ذلك بالنسبة لك، فما عليك سوى إيقاف تشغيل الجهاز ثم تشغيله، بمجرد أن تصبح نشطة، حاول الضغط مع الاستمرار على القائمة، خفض مستوى الصوت، رفع مستوى الصوت أو كلا هذين الزرين معًا لرؤية خيار الوضع الآمن.
  • قم بإلغاء تثبيت التطبيقات الضارة و / أو أي تطبيقات مشبوهة وغير معروفة:
    عندما تكون في الوضع الآمن، انتقل إلى الإعدادات، ثم انقر فوق التطبيقات أو مدير التطبيقات (قد يختلف هذا وفقًا لجهازك). ابحث عن التطبيق (التطبيقات) المشبوهة السابق ذكره وقم بإلغاء تثبيتها جميعًا.

أجهزة Mac: على
الرغم من أن برامج الفدية أقل انتشارًا على أجهزة Mac ، إلا أنك تتبع نفس الخطوات العامة للدخول إلى Safe Mode ثم حذف البرامج الضارة.

  • أعد تشغيل Mac في الوضع الآمن، اضغط مع الاستمرار على مفتاح Shift فور سماع نغمة بدء التشغيل،حرر مفتاح Shift عندما يظهر شعار Apple. يظهر التمهيد الآمن على شاشة بدء تشغيل Mac OS X.
  • استخدم برنامج مكافحة الفيروسات لإزالة البرامج الضارة.

كيف يمكنني استعادة الملفات الخاصة بي؟

لسوء الحظ، لا تتيح لك إزالة رانسومواري الوصول إلى جميع الملفات المشفرة، حيث يعتمد مدى سهولة أو صعوبة استرداد بياناتك على مستوى التشفير، إذا كانت الفدية الأساسية باستخدام التشفير الأساسي، فمن المحتمل أن تقوم إحدى أدوات فك التشفير المجانية الخاصة بفدية Avast بإنجاز المهمة، إذا كان جهاز الكمبيوتر الخاص بك مصابًا بفدية أكثر تطوراً مثل WannaCry يستخدم التشفير، فقد يكون من المستحيل استرداد الملفات المقفلة.

الآن، قد يفكر البعض منكم أن أفضل طريقة لاستعادة الملفات هي دفع الفدية فقط، الكثير من الناس يختارون الدفع، وهذا هو السبب في أن برامج الفدية أصبحت مثل هذا النوع من البرامج الضارة. إذا استمر مجرمو الإنترنت في جني الأموال، فسيواصلون عمل فدية.

ضع ذلك في الاعتبار، على الرغم من: لا يوجد ضمان بأن المهاجم سيحتفظ فعليًا بكلمته ويفك تشفير الملفات بعد الدفع،( وفي مصر الكثير من الذين أصابهم فيروس الفدية لجأوا إلى دفع الكثير من الأموال ولكن بلا جدوى بل بالعكس تم طلب مبلغ آخر..) قد يأخذون فقط المال والهرب، أو إذا رأوا أنك على استعداد للدفع، فقد يزيدون على الفور مبلغ الفدية، بالإضافة إلى ذلك، فإن الاستعداد للدفع يجعلك هدفًا لهجوم آخر على الطريق.

تجدر الإشارة أيضًا إلى أن بعض برامج الفدية غير مشفرة بشكل سيئ، بحيث لا يمكن فك تشفيرها وفقدانها إلى الأبد بمجرد تشفير الملفات.

ماذا أفعل إذا كنت مصابة

القاعدة الأولى إذا وجدت نفسك مصابة بفدية هي عدم دفع الفدية. (هذه هي النصيحة الآن التي أقرها مكتب التحقيقات الفيدرالي .) كل ذلك هو تشجيع مجرمي الإنترنت لشن هجمات إضافية ضدك أو ضد شخص آخر. ومع ذلك ، قد تتمكن من استرداد بعض الملفات المشفرة باستخدام برامج فك تشفير مجانية.

للتوضيح: لم يكن لدى جميع عائلات رانسومواري برامج فك تشفير تم إنشاؤها من أجلها ، في كثير من الحالات لأن رانسومواري تستخدم خوارزميات تشفير متقدمة ومتطورة. وحتى إذا كان هناك برنامج فك تشفير ، فليس من الواضح دائمًا ما إذا كان الإصدار الصحيح من البرامج الضارة. لا ترغب في زيادة تشفير ملفاتك باستخدام البرنامج النصي الخاطئ لفك التشفير. لذلك ، ستحتاج إلى إيلاء اهتمام وثيق لرسالة الفدية نفسها ، أو ربما تطلب مشورة أحد متخصصي الأمن / تكنولوجيا المعلومات قبل تجربة أي شيء.

تشمل الطرق الأخرى للتعامل مع إصابة رانسومواري تنزيل منتج أمان معروف بعلاجه وإجراء فحص لإزالة التهديد. لا يمكنك استعادة ملفاتك ، لكن يمكنك أن تطمئن إلى أن العدوى سيتم تنظيفها. للحصول على ransomware screenlocking ، قد يكون استعادة النظام الكامل في النظام. إذا لم ينجح ذلك ، يمكنك محاولة إجراء مسح ضوئي من قرص مضغوط قابل للتشغيل أو محرك أقراص USB.

إذا كنت ترغب في محاولة وإحباط عدوى تشفير فدية في العمل ، ستحتاج إلى البقاء يقظين بشكل خاص. إذا لاحظت أن نظامك يتباطأ لسبب لا يبدو ، فقم بإغلاقه وفصله عن الإنترنت. في حالة استمرار تشغيل البرامج الضارة مرة أخرى ، فلن تتمكن من إرسال أو تلقي الإرشادات من خادم القيادة والتحكم. هذا يعني أنه بدون وجود مفتاح أو وسيلة لاستخراج الدفع ، قد تظل البرامج الضارة في وضع الخمول. عند هذه النقطة ، قم بتنزيل منتج أمان وتثبيته وتشغيل فحص كامل.

كيف أحمي نفسي من الفدية ؟

يتفق خبراء الأمن على أن أفضل طريقة للحماية من رانسومواري هي منع حدوث ذلك في المقام الأول

على الرغم من وجود طرق للتعامل مع الإصابة بفدية الفدية ، إلا أنها حلول غير كاملة في أفضل الأحوال ، وغالبًا ما تتطلب مهارة تقنية أكثر بكثير من مستخدم الكمبيوتر العادي. إذاً هذا ما نوصي به الأشخاص لتفادي تداعيات هجمات الفدية.

تتمثل الخطوة الأولى في منع برامج الفدية في الاستثمار في الأمن السيبراني الرائع – وهو برنامج يوفر حماية في الوقت الفعلي تم تصميمه لإحباط هجمات البرامج الضارة المتقدمة مثل برامج الفدية. يجب عليك أيضًا البحث عن الميزات التي تحمي البرامج المعرضة للتهديدات من التهديدات (تقنية مكافحة الاستغلال) وكذلك منع رانسومواري من احتجاز الملفات كرهائن (أحد مكونات مكافحة الفدية). العملاء الذين كانوا يستخدمون الإصدار المتميز من Malwarebytes for Windows ، على سبيل المثال ، كانوا محميين من جميع هجمات الفدية الكبرى في عام 2017.

بعد ذلك ، بقدر ما قد يؤلمك ، تحتاج إلى إنشاء نسخ احتياطية آمنة لبياناتك على أساس منتظم. توصيتنا هي استخدام التخزين السحابي الذي يتضمن تشفيرًا عالي المستوى ومصادقة متعددة العوامل. ومع ذلك ، يمكنك شراء USB أو محرك أقراص ثابت خارجي حيث يمكنك حفظ ملفات جديدة أو محدثة – فقط تأكد من قطع اتصال الأجهزة فعليًا بجهاز الكمبيوتر الخاص بك بعد النسخ الاحتياطي ، وإلا فقد تصبح مصابة بفدية ، أيضًا.

بعد ذلك ، تأكد من تحديث الأنظمة والبرامج الخاصة بك. استفاد WannaCry ransomware من ثغرة أمنية في برامج Microsoft. على الرغم من أن الشركة أصدرت تصحيحًا لثغرة الأمان في مارس 2017 ، إلا أن العديد من الأشخاص لم يقوموا بتثبيت التحديث – الأمر الذي تركهم عرضة للهجوم. من الصعب علينا أن نبقى على رأس قائمة التحديثات المتزايدة باستمرار من قائمة البرامج والتطبيقات المتزايدة الاستخدام في حياتك اليومية. لهذا السبب نوصي بتغيير إعداداتك لتمكين التحديث التلقائي.

وأخيرا ، كن على اطلاع. واحدة من أكثر الطرق شيوعًا التي تصاب بها أجهزة الكمبيوتر بالفدية هي من خلال الهندسة الاجتماعية . تثقيف نفسك ( وموظفيك إذا كنت صاحب عمل) حول كيفية اكتشاف malspam والمواقع المشبوهة وغيرها من عمليات الاحتيال. وفوق كل ذلك ، مارس الفطرة السليمة. إذا بدا الأمر مشكوك فيه ، فمن المحتمل أن يكون كذلك.

كيف تؤثر الفدية على عملي؟

إن GandCrab و SamSam و WannaCry و NotPetya – كلها أنواع مختلفة من برامج الفدية وهي تضرب الشركات بشدة. في الواقع ، ارتفعتهجمات الفدية على الشركات بنسبة 88 ٪ في النصف الثاني من عام 2018 حيث إن مجرمي الإنترنت محوريون عن الهجمات التي تركز على المستهلك.يعترف مجرمو الإنترنت بأن الأعمال التجارية الكبيرة تترجم إلى أرباح كبيرة ، وتستهدف المستشفيات والوكالات الحكومية والمؤسسات التجارية. أخبرنا أن متوسط ​​تكلفة خرق البيانات ، بما في ذلك التعويضات والعقوبات ودفعات الفدية ، يصل إلى 3.86 مليون دولار.

تم التعرف على غالبية حالات الفدية حتى وقت متأخر على أنها GandCrab . تم اكتشاف GandCrab لأول مرة في كانون الثاني (يناير) 2018 ، من خلال العديد من الإصدارات حيث أن مؤلفي التهديد يجعلون من الصعب الحصول على رانسومواري لديهم وتعزيز تشفيرها. تشير التقديرات إلى أن GandCrab قد جمعت بالفعل في مكان ما حوالي 300 مليون دولار في صورة فدية مدفوعة ، مع فدية تتراوح بين 600 إلى 700000 دولار.

في هجوم آخر بارز وقع في مارس 2018 ، شلت SamSam Ransomware مدينة أتلانتا عن طريق ضرب العديد من الخدمات الأساسية في المدينة – بما في ذلك جمع الإيرادات ونظام حفظ سجلات الشرطة. أخيراً ، كلف هجوم SamSam أتلانتا 2.6 مليون دولار لعلاجه .

النظر في موجة هجمات الفدية والتكاليف الهائلة المرتبطة بها ، هو الآن وقت مناسب للحصول على ذكاء حول حماية عملك من رانسومواري. لقد قمنا بتغطية الموضوع بتفصيل كبير من قبل ولكن إليك نظرة سريعة على كيفية حماية عملك من البرامج الضارة.

  • النسخ الاحتياطي للبيانات الخاصة بك. على افتراض أن لديك نسخ احتياطية متوفرة ، فإن علاج هجوم الفدية بسيط مثل مسح الأنظمة المصابة وإعادة رسمها. قد ترغب في فحص النسخ الاحتياطية الخاصة بك للتأكد من عدم إصابتها ، لأن بعض برامج الفدية مصممة للبحث عن مشاركات الشبكة. وفقًا لذلك ، من الأفضل لك تخزين نسخ احتياطية للبيانات على خادم سحابة آمن مع تشفير عالي المستوى ومصادقة متعددة العوامل.
  • تصحيح وتحديث البرنامج الخاص بك. تعتمد Ransomware غالبًا على مجموعات استغلال للوصول غير المشروع إلى نظام أو شبكة (مثل GandCrab). طالما أن البرنامج عبر شبكتك محدث ، فلن تؤذيك هجمات برامج الفدية المستندة إلى استغلال. في هذه الملاحظة ، إذا كان نشاطك التجاري يعمل على برامج قديمة أو قديمة ، فأنت في خطر بالنسبة لفدية الفدية ، لأن شركات صناعة البرمجيات لم تعد تطرح تحديثات الأمان. تخلص من البرامجالضارة واستبدله ببرنامج لا يزال مدعومًا من قبل الشركة المصنعة.
  • تثقيف المستخدمين النهائيين على malspam وإنشاء كلمات مرور قوية. يستخدم مجرمو الإنترنت المغامرون وراء Emotet خدمة Trojan المصرفية السابقة كوسيلة لتوصيل الفدية. تعتمد Emotet على malspam لإصابة مستخدم نهائي والحصول على موطئ قدم على شبكتك. بمجرد الوصول إلى شبكتك ، يعرض Emotet سلوكًا مشابهًا للديدان ، ينتشر من نظام إلى آخر باستخدام قائمة كلمات المرور الشائعة. من خلال تعلم كيفية اكتشاف malspam وتطبيق المصادقة متعددة العوامل ، ستظل المستخدمين النهائيين متقدمين خطوة واحدة على مجرمي الإنترنت.
  • الاستثمار في تكنولوجيا الأمن السيبراني الجيدة. على سبيل المثال ، تمنحك الحماية واستجابة نقطة نهاية Malwarebytes قدرات الكشف والاستجابة والعلاج عبر وكيل واحد مناسب عبر الشبكة بالكامل.

ماذا تفعل إذا كنت بالفعل ضحية للفدية؟ لا أحد يريد أن يتعامل مع فدية بعد الحقيقة.

  • تحقق ومعرفة ما إذا كان هناك decryptor. في بعض الحالات النادرة ، قد تكون قادرًا على فك تشفير بياناتك دون أن تدفع ، ولكن تهديدات الفدية تتطور باستمرار بهدف جعل تشفير ملفاتك أصعب وأصعب ، لذا لا ترفع آمالك.
  • لا تدفع الفدية. لقد دافعنا لفترة طويلة عن عدم دفع الفدية ويوافق مكتب التحقيقات الفيدرالي (بعد ذهابًا وإيابًا). مجرمو الإنترنت لا يوجد لديهم scruples وليس هناك ما يضمن أنك سوف تحصل على الملفات مرة أخرى. علاوة على ذلك ، من خلال دفع الفدية ، فأنت تعرض مجرمي الإنترنت الذين يعملون

 



اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.

5 تعليقات
  1. جنكيز رشيد يقول

    اصبت بفيروس تم تشفير كل الملفات وتم تغيير امنتدادها الى moka كيف يمكن فك التشفير علما اني نصبت كاسبر سكاي بعد الذي حدث

  2. محمد رسول يقول

    انا عندي ملفات مصابة بالامتداد masok ولا اقدر افتح اي ملف . اعمل ايه ؟

  3. خالد يقول

    جهازي علية فيروس فدية بمتداد .masok

    1. محمد يقول

      انا كمان عندي امتداد masok ياريت لو لقيت حل تبقي تقولي

  4. سعد محمد يقول

    انا عندي ملفات مصابة وكلها مشفرة بالامتداد ndarod لو أي حد عنده حل يتكرم ويبعتهولي

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد