ماهو فيروس #Petya الذي يجتاح مصارف وشركات عالمية في هذه الأثناء؟

 

 

أتذكرون فيروس WannaCry الذي ضربَ العالم منذ مدة؟

هذا الفيروس لم يمت بعد! فقد ضربَ فيروس جديد العالم بالأمس الثلاثاء على نطاق واسع وعمّت الفوضى جميع أنحاء العالم، وتم إطفاء أجهزة الكمبيوتر في الشركات ووقف إمدادات الطاقة وإقفال المصارف في جميع أنحاء روسيا وأوكرانيا والهند وأوروبا مقابل فدية بقيمة 300 دولار بعملة “البيتكوين”.

ووفقاً لمصادر متعددة، فإن فيروس Petya، المعروف أيضاً باسم Petwarp، ينتشر بسرعة بمساعدة ويندوز SMBv1 تماماً مثل فيروس WannaCry الذي ادّى الى إصابة 300.000 نظام وخادم في جميع أنحاء العالم في غضون 72 ساعة.

ما هو هذا الفيروس؟

Petya هو نسخة سيئة من Ransomware ويعمل بشكل مختلف جدا عن أي برامج ضارة أخرى. على عكس فيروسات Ransomware التقليدية الأخرى، Petya لا يشفر الملفات واحدا تلو الآخر على النظام المستهدف.

ويقوم Petya بتمهيد ضحايا أجهزة الكومبيوتر وتشفير جداول ملف القرص الصلب MFT وجعل سجل الإقلاع الرئيسي (MBR) غير قابل للتشغيل، ويقيّد الوصول إلى النظام الكامل من طريق الاستيلاء على معلومات عن أسماء الملفات والأحجام، والأمكنة على القرص الفعلي.

Petya يستبدل MBR الكومبيوتر مع التعليمات البرمجية الخبيثة الخاصة التي تعرض الفيروس ويترك أجهزة الكومبيوتر غير قادرة على الإقلاع.

ووفقاً لبعض اللقطات على “تويتر” فإن Petya يعرض نصا، يطلب فيه 300 دولار بعملة البيتكوين. وفي ما يلي مضمون النص:

“إذا كنت ترى هذا النص، فإن الملفات الخاصة بك لم يعد يمكن الوصول إليها، لأنها مشفرة. ربما كنت مشغولاً تبحث عن وسيلة لاستعادة الملفات الخاصة بك، ولكن لا تضيّعوا وقتكم.لا أحد يستطيع استرداد الملفات الخاصة بكم دون خدمة فك التشفير لدينا “.

ووفقا لمسح VirusTotal الأخير، فإن 13 من أصل 61 خدمة مكافحة الفيروسات قادرة على كشف فيروس Petya بنجاح.

شركات الطاقة المتأثرة:

أصاب Petya شركة غاز Rosneft العملاقة المملوكة للدولة الروسية، وشركات تزويد الكهرباء في الدولة الأوكرانية، “كييفينيرغو” و”أوكرينيرغو”، في الساعات القليلة الماضية.

وقالت وكالة انباء “كييفينيرغو”: “لقد تعرضنا للهجوم، قبل ساعتين اضطررنا الى ايقاف جميع اجهزة الكومبيوتر لدينا، وننتظر الاذن من جهاز الامن الاوكرانى لاعادة تشغيلها”.

المصارف والمؤسسات المالية المتأثرة:

هناك تقارير من مصارف عدة، بما في ذلك البنك الوطني الأوكراني (نبو)، أوشادبانك وشركات أخرى أفادت ايضاً بتعرضها لهجمات Petya.

الشركات المتأثرة:

كما أن شركة “ميرسك”، وهي شركة لوجيستية دولية، اعلنت عبر “تويتر” أن فيروس Petya أغلق أنظمة تكنولوجيا المعلومات في مواقع متعددة ووحدات الأعمال.

“يمكننا أن نؤكد أن أنظمة تقنية المعلومات في أنظمة ميرسك التكنولوجية قد تعرضت للهجوم في مواقع متعددة ووحدات الأعمال، ونحن نعمل حاليا على تأكيد الوضع، إذ إن سلامة موظفينا وعملياتنا وعملائنا هي أولويتنا القصوى،” قالت الشركة.

كذلك أصاب فيروس Petya محطات عمل متعددة في شركة التعدين الأوكرانية Evraz.

وتشمل الأضرار الأكثر خطورة التي أبلغت عنها الشركات الأوكرانية أيضاً أنظمة الخطر في المترو المحلي في أوكرانيا، ومطار “بوريسبيل” في كييف.

شركات الاتصالات المتأثرة:

وأصيب ثلاثة من مشغلي الاتصالات الأوكرانية، كييفستار، ليفيسل، أوكرتيليكوم، في الهجوم الأخير.

ضحايا Petya يدفعون المال لتحرير ملفاتهم.

وحتى كتابة هذا التقرير، دفع 9 ضحايا نحو 2700 دولار لفك تشفير ملفاتهم المصابة من قبetya. أتذكرون فيروس WannaCry الذي ضربَ العالم منذ مدة!
كيف ينتشر الفيروس بهذه السرعة ؟

حتى الآن، لم يتأكد بعد ما هو السبب وراء الانتشار السريع المفاجئ لـ Petya، ولكن الباحثين الأمنيين على “تويتر” يقولون بأن Petya يستغل أيضا SMBv1 EternalBlue تماماً مثل فيروس Wannacry ويستفيد من آلات ويندوز الغير مثبتة.

قبل ثلاثة أيام فقط، ضرب Wannacry شركة هوندا للسيارات وحوّل 55 كاميرا مخصصة للسرعة وضوء المرور في كل من اليابان وأوستراليا، على التوالي.

ولكن المستغرب فعلاً هو أنه حتى بعد الهجمات التي طالها فيروس Wannacry لفترة كافية من الوقت، فإن الشركات الكبرى و بعض الشركات لم تنفذ بعد التدابير الأمنية المناسبة للدفاع عن التهديدات التي قد تلاحقها.

ملاحظة :

1- إن كُنت لست على عجالة من أمرك لتستخدم الكمبيوتر، لا تقم بتشغيله حتى إشعار أخر من الجهات المختصة او حتى يتم الاعلان عن حل لهذا الهجوم .

2- في حالة اردت العمل على جهاز الحاسب الآلي ، ورآيت هذه الرسالة عند تشغيل الجهاز

قم بإطفاء الجهاز مباشرةً قبل تشفير جميع ملفات الجهاز، حتى يتم الأعلان النهائي لحل هذه المشكلة.

حتى ذاك الحين ، مرفق لكم تقرير من شركة كاسبرسكاي الشهيرة للحماية

تحديث 28-6-17 , 7:54am : هكذا ما يبدو عند بدأ تشفير الجهاز من قبل فيروس #Petya

وانه يتم إصلاح الهارديسك ، ولكن ليس هو كما يبدو وإنما يتم تشفير الملفات ، لذا إن رآيت اي من تلك الرسائل قم فوراً بعمل shut down للجهاز لمنع عملية استمرار التشفير. 

 

 

المصدر:  جريدة النهار

 

Share on FacebookShare on Google+Share on LinkedInTweet about this on TwitterEmail this to someone...It's only fair to share

اترك رد