حذر مركز المعلومات ودعم اتخاذ القرار بمجلس الوزراء جميع المؤسسات من تطبيق الفدية الخبيث الجديد petya.
وقال المركز عبر صفحته الرسمية على موقع التواصل الاجتماعي فيس بوك :على الجميع وبخاصة المؤسسات أن تأخذ الحذر من تطبيق الفدية الخبيث الجديد Petya:
هذا التنويه يحتوي بعض التفاصيل الفنية الخاصة بأنظمة تشغيل الحاسب الآلي ولكن مهمة جدا لحماية الجميع من مخاطر الاحتيال والتعرض لضياع ملفات الكترونية مهمة وما يصاحب هذا من أضرار مؤسسية وشخصية.
أوضح أن “Petya” يستغل الثغرة الخاصة ب WannaCry الموجودة فى بعض إصدارات نظام التشغيل ويندوز تحمل اسم Eternal Blue والتى تم تسريبها بواسطة مجموعة Shadow Brokers من NSA او وكالة الأمن القومي الأمريكية، وتقوم باستغلال Open Shares على الشبكة الداخلية من خلال PSEXEC و WMIC.
تابع معلومات الوزراء أنه النسبة لتشفير الملفات Petya لديها نظام جديد فى تشفير الملفات حيث لا تقوم بتشفير ملف عقب الآخر مثل WannaCry، بل تقوم بتشفير ال Master Boot Record أو MBR الخاصة بالهارد ديسك بالكامل (فى حالة الحصول على صلاحيات Administrator) حيث انها تمنع ال loader من قراءة file tables او جداول الملفات التى يكون بها كل معلومات الملفات الموجوده على جهازك بالكامل وتقوم بعرض رسالة.
لفتت أن الرسالة التى يتم بثها تفيد أن ال MBR تم تشفيره بالكامل ويجب أن تدفع ٣٠٠ دولار فدية لكي تسترد ملفاتك، أما فى حالة عدم حصول Petya على صلاحيات Admin تقوم بتشفير الملفات بطريقة عادية جدا مثل اى ransomware.
وأوضح المركز أن طريقة تشفير Petya لـ MBR ليست جديدة وهي أخطر كثيرا من تشفير الملفات لأنه يصعب المهمة على ال researchers فى إيجاد علاج لهذا النوع بشكل سريع، تطبيق الفدية Petya.
وعرض المركز عدد نقاط لتحقيق الحماية من هذا النوع من ال Ransomwares كالاتى :
1- اولا يجب تحديث نظام التشغيل ويندوز الخاص بك بأخر التحديثات وتحديدا التحديث اللى بيقوم بسد الثغرة الموضحه اعلاه، التحديث ومعلومات عن الثغرة نفسها موجود هنا: https://goo.gl/orDfJL
2- ثانيا يجب تعطيل بروتوكول SMB الإصدار ١ (مايكروسوفت قامت بتعطيله بالفعل فى اخر اصدار هيتم إصداره من ويندوز ١٠) طرق تعطيل البروتوكول بجميع اصداراته هنا: https://goo.gl/wNoNCN
3- ثالثا حاول تتأكد ان ليس لديك اى فولدرات او اى موارد تمت مشاركتها على الشبكة المحلية وحاول تغلق ال sharing بالكامل وتفعل ال firewall الخاص بويندوز (ليس مجدى دائما لكن احيانا ينفع)
4- رابعًا الوقاية خير من العلاج فيجب ألا يتم تحميل تطبيقات او انك تستلم ملفات من أشخاص غير معلومين ولا يتم الضغط على اى لينكات مشبوهة.
5- خامسًا النسخ الاحتياطى ثم النسخ الاحتياطي ثم النسخ الاحتياطى فى أماكن معزولة عن الانترنت بالكامل.
وطرح المركز آلية العلاج في حالة إصابة جهازك ب Petya Ransomware كالاتى:
اى جهاز يصاب ب الرانسوموير Petya بيحاول بعدها ان يعيد تشغيل جهازك وتظهر لك الرسالة الخاصة بالدفع وفى ذات الوقت تحديدا يبدأ Petya بتشفير ملفات الهارد درايف او ال MBR على حسب الصلاحيات التي وصل لها قبل ال restart فيجب في هذا التوقيت بدلا من ان تعيد التشغيل او تبوت او boot من الهارد درايف الخاص بالجهاز، حاول تنزيل Hiren’s Boot CD او اى Live CD وعدل خيارات ال boot فى جهازك بحيث ان يتم التشغيل من ال Live CD ثم يتم عمل نسخ احتياطى او ريكوفر للملفات الخاصة بالجهاز على قرص صلب خارجى مع عدم محاولة القيام بالتشغيل boot من القرص الصلب المتاح اطلاقًا.
