منذ ساعات وهجمة WannaCry التي ضربت العديد من الجهات من خلال Ransomware attack تصدرت الساحة الأمنية، حيث يتم إستغلال هذه الخدمة على نطاق واسع وعلى شبكة الإنترنت من خلال ثغرة MS17-10 التي تم تسريبها من ضمن حزمة vault7 التي سُربت من الـ CIA ، تسمح هذه الثغرة للمُهاجم من إستغلال الأجهزة التي تعمل بنظام windows عن بعد ومن ثم تشغيل Ransomware على الأجهزة المُخترقة ومُطالبتها بفدية.
الفيروس مثله مثل اي فيروس فديه أخر يقوم بتشفير ملفات جهازك ويطلب منك مبلغ 300 دولار حتي يمكنك استرجاع ملفاتك مره اخري حيث بتم نشر هذا الفيروس من خلال رسائل تصيد Phishing EMails يتم ارسالها لملايين الإميلات بشكل عشوائي ويحتوي الإميل المرسل علي ملف مرفق عندما يتم فتحه يقوم بتنزل فيروس WannaCry وكذلك من الطرق التي يستخدمها الفيروس أيضا هي عملية الفحص العشوائي للعناوين IP Addresses فيقوم بانشاء ايبي عشوائي ومن ثم فحص اذا ما كان port 445 مفتوح علي هذا الايبي ام لا وهو البورت المستخدم بواسطة خدمة مشاركة ملفات SMB فاذا وجد ايبي مفتوح فيه هذا البورت يقوم بفحص جميع الايبيهات التي علي نفس الشبكه ويحاول استغلال ثغرة MS17-010 عليهم جميعا، اذا وجد اي جهاز علي الشبكه يستخدم خدمة مشاركة الملفات فانه يقوم بإستغلال هذه الثغرة الخطيرة MS17-010 التي تم الاعلان عنها عقب تسريبها من فريق الأمن القومي الأمريكي NSA بواسطة فريق ShadowBrokers او "وسطاء الظل "،
ثغرة MS17-010 ثغرة تصيب كل أنظمة الوندوز وتمكن المخترق من إختراق اي جهاز تعمل عليه خدمة مشاركة الملفات SMB .
إختُرِق حتى الآن 55,000 الف جهاز ومؤسسة في 74 دولة منها بريطانيا وروسيا والبرتغال والولايات المتحده واسبانيا والمانيا وأوربا. منها وزارة الصحة البريطانية إختراق 16 مستشفى والآلاف من الأنظمة التابعة لهم، ورئيسة الوزراء البريطانية و تم تشفير 1000 جهاز بشبكة وزارة الداخلية الروسية والأمن الفيدرالي FSB، و شركة MegaFon الروسية و VTB russian bank والسكك الحديدة الروسية، والخطوط الجوية الهندية Shaheen Airlines واختراق جامعات خاصة وشركة الإتصالات الأسبانية و مطار فرانكفورت، محطة قطارات فرانكفورت وTelefonica و FedEx us
وتعلن وزارة الداخلية الروسية حالة الطوارئ "تتعرض البلاد لهجمات الكترونية دولية كبرى".
الملفات الي بقوم بتشفيرها بتشمل تقريبا جميع الامتدادات واهمها :
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot,
.stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
Cryptography details - تفاصيل عن نوع التشفير
يستخدمون تشفير AES-128-CBC ليقوم بتشفير الـ data على اجهزة الضحايا حتى يمنعوا ويصعباو ويعقدوا عملية كشف مفتاح التشفير حيث قاموا بتشفير مفتاح الـ AES بخوارزمية التشفير AES key is encrypted by RSA-2048 ليأمنو عملية نقل المفاتيح وزيادة قوة مفتاح التشفير وجعل عملية تخمين المفتاح شبة مستحيلة
عنواين المهاجمين على الـ dark net
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
تفاصيل تقنيه عن طريقة عمل الفايروس والكود البرمجي الخاص به ونقاط الضعف التي بستغلها ومصدر الانتشار
الحماية و التصدي لهذا الهجوم
- عمل تحديث لجميع أنظمة الويندوز لتتأكد من ترقيع ثغرة MS17-010 والتي هي السبب الرئيسي في عملية الإختراق وانتشار الفيروس
- قم بتحديث الانتي فيروس على جهازك
- لا تظغط على الاعلانات التي تظهر لديك في المواقع
- لا تظغط على الروابط التي تصلك عبر الامايل الآن
- لا تنزل ملفات من الانترنيت من مصادر مجهولة و كذالك برامج التورنت
- قم برفع ملفاتك على وحدات تخزين خارجية مثل (google drive ) أو غيرها من وحدات التخزين السحابي.
- حجب الإتصالات القادمة لخدمة الـ SMB التي تعمل على المنفذ 445 بشكل إفتراضي ،
إنظم إلينا عبر صفحتنا على موقع فيسبوك.
تابعإنظم إلينا عبر جوجل + وإلتحق بمتابعنا.
تابعإنظم وكن من المتابعين لنا عبر موقع تويتر.
تابعالتحق لأكثر من 8000 متابع لفيدوهاتنا على اليوتيوب.
تابع