فيروس الكمبيوتر

حذف وفك تشفير فيروس برنامج الفدية (.locky files)

يبدو مشغلي برنامج الفدية المحتال وكأنهم يمارسون مهاراتهم في الابتزاز في عدة طرق. يقومون بإيداع حمولتهم على أجهزة الكمبيوتر من خلال تقنية مماثلة للاستدانة من قبل موزعي برنامج طروادة Dridex المصرفي. يعدل الفيروس أسماء الملفات جنبا إلى جنب مع تشفير الملفات نفسها، وبالتالي تفاقم عملية الإستعادة الإعتيادية إلى حد كبير.وطبعا يطالب برسم  لإمكانية الوصول لبيانات الضحية مرة أخرى.

لا شيء يضاهي برنامج الفدية عندما يتعلق الأمر بالإحتيال على مستخدمي الكمبيوتر. يجلس في أعلى التسلسل الهرمي للجرائم الإلكترونية حالياً. وتسحب هذه التهديدات الناس إلى مستنقع بالكاد وجود أي فرص للتحرك لمكان آخر من المصيدة الموضوعة بشكل متقن. العدوى التي تحول أحد الملفات إلى كائنات مشفرة بلاحقة.locky لا يمكن التعرف عليها وهي واحدة من أحدث سلالات هذه العدوى الخطرة. وتبرز هذه العينة من الحشد لأنها تعتمد على وحدات الماكرو الخبيثة في مستندات مايكروسوفت أوفيس إلى تنفيذ التعليمة البرمجية السيئة مقابل أكثر من نظيراتها في ذلك ميزة النشر وراء الكواليس عبر استغلال مجموعات أو ملفات الرمز البريدي الذي تعتمد الاستخراج الذاتي. أيضاً يتداخل برنامج الفدية Locky  مع البيانات المخزنة في مشاركات شبكة الاتصال غير المعينة، والتي هي سمة فريدة من نوعها لم يسبق له مثيل مع تشفير ملف الفيروسات.

_Locky_recover_instructions.bmp
_Locky_recover_instructions.bmp

وبعد إكمال  التعدي على ممتلكات الغير، تبحث عدوى locky. على أكثر من 100 من تنسيقات الملفات على محرك الأقراص الثابتة ومحركات أقراص شبكة الاتصال إذا وجد أي وسائط قابلة للإزالة. وفي الوقت نفسه فإنه يتجاهل بعض الدلائل على مستوى النظام، بما في ذلك ويندوز و بيانات التطبيق و ملفات البرنامج و درجة الحرارة.  ومن ثم قد شُفرة العناصر المطابقة لمجموعة  ملحقات الترميز الثابت بمعيار التشفير المُطَور. مظهر الملفات المرمزة قد تغيير جذريا، ويحصل كل  اسم على استبدال مع مجموعة طويلة من الأرقام والأحرف، مع إلحاقها  بسلسلة locky. في النهاية. وللتواصل مع الضحية، يستبدل برنامج الفدية خلفية سطح المكتب الحالية بصورة صيغتها بي إم بي والتي هي أساساً لسلسلة خطوات لدفع الفدية وقدرها 0.5 بيتكوين. وبالضبط يتوفر نفس المعلومات أيضا في في مستند نصي تحت عنوان _Locky_recover_instructions.txt ويكون جزءا لا يتجزأ في كل مجلد مستهدف مع البيانات المختطفة.

بالتنقل على أكثر من واحد من روابط التوجيه البصلي المقدمة في توجيه الخدمة، تجد الضحية نفسها على صفحة Locky Decrypter. وتنصح الشخص المصاب على الجانب المالي الإجباري للإتفاق. على وجه الخصوص يقال للمستخدم تقديم مبلغ محدد بالعملة الإلكترونية والذي يساوي حوالي 200 دولار أمريكي من أجل استرداد الملفات الشخصية.وفقا للتفاصيل، الدفع شرطا مسبقاً للتمكن من تحميل وحدة فك الترميز.

Locky Decrypter
Locky Decrypter

ينتشر Locky  عن طريق ملف مايكروسوفت وورد مخادع  مرفق  برسائل البريد الإلكتروني المضللة . تتتنكر هذه الرسائل كفاتورة بموضوع و باسم مستند متل “ATTN: Invoice J-(8 digits)”. عندما يقوم المستخدم بفتحه يبدو النص غير مفهوم في الغالب ويتضمن توصية بتمكين الماكرو إذا كان ترميز البيانات غير صحيح. حالما يقوم الشخص بالنقر فوق الزر “خيارات” الموجود بجانب تحذير الأمان تحمل وحدات الماكرو وتنفذ برنامج الفدية على الجهاز.في الواقع هناك سبب لما تم تعطيل وحدات الماكرو بشكل افتراضي وهذه المكونات سهلة الإستغلال للحقن بتعليمات برمجية ضارة. لذلك تأكد من الإمتناع عن تفعيلهم  بمجرد مرفق بريد إلكتروني يطلب منك ذلك.

من المستحيل استعادة الملفات المصابة بملحقات.locky  بمهاجمة التشفير في الوقت الحاضر. ومن ناحية أخرى فإنه لا يوصى بدفع الفدية أيضاً. الخطوات أدناه تقدم الحل الوسط في علاج برنامج الفدية هذا.

إزالة فيروس locky التلقائي

يمكن أن يتم إجتثاث برنامج الفدية locky  بكفاءة  خلال استخدام برامج أمان موثوقة عن طريق المسح التلقائي وبذلك تضمن بان كافة المحتويات الضارة قد تم التخلص منها من النظام .

١ تحميل برامج الأمان الموصى بها و بدء الإختيار من خلال الضغط على خيار بدء التحقق من الحاسوب


٢ عملية المسح ستقوم بطرح قائمة من الملفات الضارة و من خلال الضغط على خيار  إصلاح التهديدات لتقوم بإزالة التهديدات و الملفات الضارة فإن جهاز الكمبيوتر إكمالا لتلك المرحلة سيواجه المشكلة الأكبر الا وهي كيفية استرجاع البيانات .

أساليب استعادة الملفات المشفرة باستخدام locky

الحل ١: استخدام برامج لإسترجاع البيانات ومن الضروري معرفة ان برنامج .locky يقوم بعمل نسخ للملفات كما يقوم بتشفير تلك الملفات . وفي حال تم حذف تلك الملفات فإنه يوجد تطبيقات لإستعادة تلك الملفات . بالإضافة الى أن اخر تحديث للبرنامج يراعي تطبيق شطب آمن مع محاولات إعادة كتابتها وبذلك فإنها طريقة تستحق التجربة.

.الحل ٢: استخدام عملية النسخ الاحتياطي

في البداية وقبل كل شيء ان كنت قد قمت بإجراء نسخ احتياطي فانه من المتوجب الإستفادة من ذلك النسخ الذي قد أجريته.

.الحل ٣: استخدام النسخ الظليلي لوحدة التخزين

في حال عدم معرفتك بأن النظام يقوم بإنشاء نسخ ظليلية لوحدة التخزين لكل ملفاتك أو كنت لا تدري بأن خيار إستعادة النظام مفعل على جهاز حاسوبك . كما أنه يتم إنشاء نقاط إستعادة للملفات تظهر في نفس الوقت التي تنشأ به . للعلم فان هذه الطريقة من غير المؤكد انها تقوم بإستعادة اخر نسخة للنظام الموجود فيه المللفات .. لكنها أيضا طريقة تستحق التجربة . و تجري العمليه بنوعين يدويا و اتوماتيكياً

• استخدام ميزة الإصدارات السابقة

previous-versions

نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى  أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .

• تطبيق أداة الظل اكسبلورر

ShadowExplorer

هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه

التحقق من ما إذا كان فيروس locky قد أزيل تماماً

مرة أخرى، إزالة برنامج الفدية locky. وحدها لا تؤدي إلى فك التشفير للملفات الشخصية الخاصة بك.  طرق استعادة البيانات المشار إليها أعلاه قد أو قد لا تفي بالغرض ، ولكن برنامج الفدية نفسه لا ينتمي إلى داخل جهاز الكمبيوتر الخاص بك. وبالمناسبة، فإنه غالباً ما يأتي مع غيره من البرامج الضارة، ذلك هو السبب فإنه من المنطقي فحص النظام  بواسطة برنامج الأمان التلقائي مرارا وتكرارا من أجل التأكد من عدم وجود مخلفات ضارة لهذا الفيروس والتهديدات المرتبطة التي تركت داخل “سجل ويندوز” ومواقع أخرى.

التعليق هنا