يستغرق منع هجوم متوسط لبرنامج الفدية من الوصول قدراً كبيراً من الوعي الأمني والحذر ولكن من الصعب كثيراً مواجهة ذلك الهجوم بعد أن يقع. وإن مهمة تخفيف المخاطر تصبح أصعب بمرتين عندما يضرب ملف فيروس .odin جهاز كمبيوتر ويندوز. فإنه يحدد ويشفر أنواع متعددة من الملفات في الأقراص المحلية والقابلة للإزالة ومحركات شبكة الإتصال بمجموعة من معايير التشفير وهي معيار التشفير المطور وخوارزمية آر إس إيه.
حصلت النسخة المحدثة من برنامج الفدية Locky على مجموعة جديدة من تعليمات الفدية وملف إعادة مبدأ جديد. والتغيير الأكثر وضوحاً هو أن امتداد .odin الذي قد أُلحق بالملفات التي لن يستطع المستخدم فتحها أو تعديلها. يتم استبدال أسماء الملفات ب32 من الرموز العشرية مع واصلات تفصل خمس مجموعات من هذه الرموز ولاحظ أن نسخة .zepto السابقة لم تعد تعمل. والأسوأ من ذلك التنفيذ السلس لشيفرة معيار التشفير المُطَور 128 و ترميز 2048 الغير متماثل الذي يجعل من جهود الباحثين الأمنيين لإيجاد حل للاسترداد غير مجدية تماماً. يأمن مزيج من خوارزميات التشفير المتماثلة وغير المتماثلة البيانات من الاستعادة إلا إذا كان المفتاح الخاص تحت تصرف المستخدم. ويتم تخزين شريحة المعلومات عن بعد و الطريقة الوحيدة لاسترجاع الملفات هي أن يدفع الضحية فدية وقدرها 300 دولار أمريكي باستخدام عملة معماة تسمى البيتكوين.
المجرمون وراء برنامج الفدية odin بالتأكيد ليسوا أطفال السكربت. ويظهر هؤلاء المحتالون وكأنهم محترفين تماماً استناداً إلى متانة البنية التحتية لبرنامج الفدية و تصميم واجهة المستخدم الرسومية وتواتر التحديثات التي تم إجراؤها على التعليمات البرمجية الخاصة بهم. لا تحتوي النسخة الحالية من حصان طروادة على ملاحظات ففدية مكررة. وإنها تقوم بتزويد الضحية بالمعلومات الأساسية فقط مثل الهوية الشخصية التي تخدم مستخدم فريد معرف لجميع المعاملات و عنوان إنترنت تسيير بصلي قابل للوصول باستخدام متصفح تسيير بصلي فقط. واسماء تلك الملفات كالآتي _HOWDO_text.html and _HOWDO_text.bmp. ويتم إسقاط نسخة من كل طبعة على سطح المكتب وإلى الدلائل المتضررة كذلك.
عندما يحاول الشخص المصاب اتباع توجيهات المهاجمين يصل إلى موقع تسيير بصلي في نهاية المطاف بعنوان صفحة Locky Decryptor والتي بجوهرها خدمة دفع احتيالية. ومن المفترض على المستخدم استعمال بوابة نطاق إنترنت .onion لتقديم 0.5 بيتكوين مقابل الحصول على المفتاح الخاص المشار إليه أعلاه وبرنامج فك التشفير المخصص والذي يدعى Locky Decryptor. ولا تحتوي الصفحة على أية معلومات بخصوص الموعد النهائي لإرسال هذا المبلغ من البيتكوين ولكن يميل المبتزون إلى زيادة الفدية في حال تخلف الضحية عن الدفع لأكثر من أسبوع في الحد المتوسط.
إن منهجية تجب فيروس ملف odin تنبع من خصوصيات التوزيع. وقد يقوم باستغلال نقاط الضعف على جهاز الكمبيوتر بعد دخول المستخدم إلى موقع ضار. ولذلك من المهم إصلاح التطبيقات ونظام التشغيل بالتحديثات الجديدة المتوفرة. وأيضاً لا تفتح مرفقات البريد الإلكتروني القادمة من أشخاص أو المنظمات غير مألوفين. وإذا حادثة التلوث قد تمت بالفعل تأكد من محاولة الاسترداد عن طريق النصائح التالية أولاً.
إزالة فيروس .odin التلقائي
يمكن أن يتم اجتثاث برنامج الفدية بكفاءة بواسطة برنامج حماية موثوق به. ويضمن التمسك بتقنية التنظيف التلقائي أن كافة المكونات المتضررة مسحت بشكل شامل من النظام الخاص بك.
١ تحميل أداة المساعدة الأمنية الموصى بها والحصول على فحص جهاز الكمبيوتر الخاص بك من الكائنات الضارة عن طريق تحديد خيار بدء تشغيل فحص الكمبيوتر.
٢ عملية المسح ستقوم بطرح قائمة من الملفات الضارة و من خلال الضغط على خيار إصلاح التهديدات لتقوم بإزالة التهديدات و الملفات الضارة فإن جهاز الكمبيوتر إكمالا لتلك المرحلة سيواجه المشكلة الأكبر الا وهي كيفية استرجاع البيانات.
أساليب استعادة الملفات المشفرة باستخدام .odin
الحل ١: استخدام برامج لإسترجاع البيانات ومن الضروري معرفة أن برنامج .odin يقوم بعمل نسخ للملفات كما يقوم بتشفير تلك الملفات . وفي حال تم حذف تلك الملفات فإنه يوجد تطبيقات لإستعادة تلك الملفات . بالإضافة الى أن آخر تحديث للبرنامج يراعي تطبيق شطب آمن مع محاولات إعادة كتابتها وبذلك فإنها طريقة تستحق التجربة
الحل ٢: استخدام عملية النسخ الاحتياطي
في البداية وقبل كل شيء إن كنت قد قمت بإجراء نسخ احتياطي فإنه من المتوجب الإستفادة من ذلك النسخ الذي قد أجريته.
الحل ٣: استخدام النسخ الظليلي لوحدة التخزين
في حال عدم معرفتك بأن النظام يقوم بإنشاء نسخ ظليلية لوحدة التخزين لكل ملفاتك أو كنت لا تدري بأن خيار إستعادة النظام مفعل على جهاز حاسوبك .
كما أنه يتم إنشاء نقاط إستعادة للملفات تظهر في نفس الوقت التي تنشأ به. للعلم فان هذه الطريقة من غير المؤكد أنها تقوم بإستعادة اخر نسخة للنظام الموجود فيه الملفات .. لكنها أيضا طريقة تستحق التجربة .. و تجري العمليه بنوعين يدويا و اتوماتيكياً
• استخدام ميزة الإصدارات السابقة
نظام الويندوز وهو مبني على أساس إسترجاع الملفات من النسخ السابقة بالإضافة الى أنه من الممكن أن تشمل المجلدات. ويتم ذلك من خلال النقر على الزر الأيمن للمؤشر على الملف او المجلد وإختيار خصائص من ثم إختيار تبويب الإصدارات السابقة، وبذلك يصبح من الممكن رؤية العديد من النسخ الاحتياطية للملفات و المجلدات في التاريخ والوقت الذي تمت به عملية النسخ. وان أردت إستعادة الملفات إلى مكان مختلف عن سابقه فمن الممكن تحديد ذلك من خلال النقر على تبويب إستعادة. وبذلك فإن الملفات ستعود إلى مكانها السابق .
• تطبيق أداة الظل اكسبلورر
هذه الطريقة تسمح بإستعادة كافة النسخ السابقة بشكل تلقائي واتوماتيكي .. وللقيام بما سبق يجب تحميل وتنصيب أداة shadowexplorer وبعد القيام بتفعيل التطبيق يجب تحديد اسم السواقة والتاريخ الذي أنشىء به النسخ والملفات .. يتم الضغط بالزر الأيمن على الملف أو المجلد ومن ثم نقوم بإختيار تصدير و من ثم تحديد المكان المراد نقل الملفات إليه
التحقق من أن الفيروس .odin قد أزيل تماماً
مرة أخرى، إزالة برنامج الفدية وحدها لا تؤدي إلى فك التشفير للملفات الشخصية الخاصة بك. طرق استعادة البيانات المشار إليها أعلاه قد أو قد لا تفي بالغرض ، ولكن برنامج الفدية نفسه لا ينتمي إلى داخل جهاز الكمبيوتر الخاص بك. وبالمناسبة، فإنه غالباً ما يأتي مع غيره من البرامج الضارة، ذلك هو السبب فإنه من المنطقي فحص النظام بواسطة برنامج الأمان التلقائي مرارا وتكرارا من أجل التأكد من عدم وجود مخلفات ضارة لهذا الفيروس والتهديدات المرتبطة التي تركت داخل “سجل ويندوز” ومواقع أخرى.
التعليق هنا