حاجه من الحاجات المهدده العالم كله و معروفه جدا و هي ال Ransomware

و زي ما شوفنا الهجمات اللي اتعملت منه اللي سببت اذي كتير زي ال Wannacry

ديه مقاله عشان تتعرف علي مدي خطوره ال Ransom

و اللي هيفتح المفاجئه اللي هنعملها ان شاء الله في الفتره الجايه علي ال Channel المقال ده هيتناول موضوع اثار الجدل في كل انحاء العالم و الموضوع ده هو Ransomware Virus او ما يعرف باسم فايرس الفديه. في بدايه المقال انا حابب ابدأ بعنوان فرعي قريته في تقرير نشرته ICIT و دول عباره عن مفكرين امريكين و نقدر نقول باحثين في امن المعلومات (CyberSecurity) العنوان بيقول

(2016 will be the year Ransomware holds America hostage)طبعا العنوان باين منه مدي خطوره الفايرس ده . و بوجه عام هتناول الموضوع بشئ من التفصيل و هيبان قد ايه الفايرس ده يقدر يدمر بلاد مهما وصلت درجه ال Security عندها للذروه (من وجهه نظرهم) .

مبدايا ال Ransomware هو برمجيه خبيثه تم تصميمها انها تمنع ال User من الدخول لجهازه او ملفات علي جهازه بمعني اخر هي بتقوم بتشفير الملفات الخاصه ب الحاسوب و ده بيتوقف علي نوعها و اللي هتكلم عنه بشئ من التفصيل في خلال دقائق و من ناحيه تانيه بعد ما بتم عمليه تشفير الملفات لل Victim بيطلب منه في رساله بتظهرله علي الشاشه انه يدفع مبلغ معين نظير اعاده فك تشفير الملفات اللي اتشفرت عن طريق (decryption key) و ده بيبقي موجود مع ال Attacker بس لان الخوارزميات اللي بيتم استخدامها في التشفير بتبقي معقده و في الاول كانت تشفيرات سهله الفك لكن دلوقتي الموضوع بقي صعب جدا و هوضح النقطه دي كمان شويه المهم خلينا في الاول هتكلم عن نبذه عن تاريخ ال Ransomware . في عام 1989 تم تصميم اول Ransomware علي يد (Joseph Popp) و الفايرس كان عباره عن Payload بيخفي الملفات الموجوده علي الهارد ديسك و بيشفر اسماء الملفات بحيث انك كمستخدم متقدرش تخش علي الملفات دي و بمجرد ما يتم تشفير الملفات المستهدفه بيظهر لل Victim رساله ان الملفات بتاعته تم تشفيرها و بالفعل الخدعه اللي استخدمها Popp هو انه بعت الفيرس لشخص (لم يتم ذكر اسمه) علي هيئه رساله بتقول للمستخدم ان ال Licence بتاعت برنامج معين عنده خلصت و يجب تجديدها باستخدام البرنامج ده (ال Ransomware كان محطوط في الرساله بحجه انه البرنامج اللي هيظبط لليوزر ال licence تاني) و طبعا بعد ما اليوزر اتخدع في الفايرس (احنا بنتكلم في حاجه حصلت سنه 1989 بمعني ان محدش كان يقدر يفهم ايه ده ف بيتخدع فيها بسهوله) تم تشفير الملفات بتاعت اليوزر بشكل كامل و ظهرت رساله بتطلب منه يدفع US$189 لتتم عمليه فك تشفير الملفات بواسطه (decryption key) هيتم ارساله لليوزر بعد ما يدفع الفديه المطلوبه . طب هو ال Ransomware كام نوع ؟ ال Ransomware ليه نوعين اساسيين و تحت كل نوع منهم فيه families of malwares و لما اقول families ف انا بتكلم في اكتر من 250 الف نوع مختلف من الفايرس ده حسب تقرير اصدرته شركه الحمايه المعروفه McAfee (التقرير بتاع McAfee كان سنه 2013 تخيل دلوقتي الفايرس بقي فيه منه كام اصدار مختلف عن التاني) النوع الاول من ال Ransomware يعرف باسم Locker Ransomware النوع ده بيمنعك تماما انك تخش علي جهازك من الاساس و فيه انواع بتندرج تحتيه عندها القدره تشفر ملف مهم جدا في جهازك (Master File Table) الملف ده في جهازك و تحديدا بيبقي موجود في الC partition (NTFS Formate) الملف ده طبقا لما ذكرته شركه Microsoft بيحتوي علي مساحات الفايلز و اسمائها و كل المعلومات عنها بجانب الصلاحيات اللي انت بتحطها مثلا ل User معين لو انت عامل اكتر من User علي الويندوز و طبعا لما ملف زي ده يضرب الجهاز مش هيقوم تاني . و لو حابب تعرف اكتر عن الملف ده

goo.gl/J3nps1

طبعا حكايه ال (MFT) دي مجرد مثال علي ايه اللي ال Ransomware ممكن يعملو مش حاجه اساسيه انها تحصل دايما مع ال Locker يعني لان فيه انواع تانيه من ال Locker تقدر تمنعلك ال Boot اصلا بتاع الهارد نفسه انت متخيل ؟ مش بنتكلم في ويندوز دلوقتي احنا بنتكلم في HDD ميبقاش فيه Boot اصلا و تبقي اساسيات الاقلاع عنده Unbootable .

نكمل كلام عن ال Locker Ransomware الاغلب ان الحاجه الوحيده اللي بتبقي متاحه ليك بعد ما عمليه التشفير ب النوع ده بتم هو لوحه المفاتيح (KeyBoard) عشان لما تدفع الRansom ال Decryption key هيظهرلك ف تكتبه و يتم فك تشفير الملفات عنك

النوع التاني و هو ال Crypto Ransomware و ده بيشفر الملفات و المجلدات بتاعتك و انت فاتح الجهاز قدامك عادي و بيطلعلك الرساله بتاعت دفع الفديه و بيبقي فيه ميعاد معين تدفع فيه المبلغ المطلوب و الا ببساطه هيقوم ال Attacker ب نشر الملفات اللي اتشفرت دي علي النت مثلا او انه يمسحها تماما او انه يبتزك بيها . طب هو ازاي ال Victim بيدفع الفديه دي اصلا ؟ ال Victum بيدفعها عن طريق عمله الكترونيه اسمها (BitCoin) و غير معروف مين هو مصمم العمله دي و لو حابب تقرا عنها اكتر

goo.gl/5DjQZ

ال 1 بيتكوين منها بيساوي اكتر من 700 دولار امريكي و طبعا ال Attacker لما بيطلب Ransom من الضحيه بيطلب منه بالبيتكوين و انه يدفع بيها فمن الممكن انه يطلب مثلا 100 بيتكوين او اقل و بحسبه بسيطه يعني بنتكلم في 70 الف دولار !!

ازاي طب ال Ransomware ممكن يدخل جهازك ؟؟

ممكن يدخل جهازك باكتر من طريقه و للاسف منهم طرق من المستحيل انها تتصد زي مثلا

Spam - Direct drive-by-download - Malware installation tools and botnets - Email Attachmentsكل الطرق التي ذكرت نقدر نتجنبها ببعض التركيز و وجود بعض التوعيه الخاصه ب امن المعلومات لكن الحاجه اللي بيبقي من الصعب ان اي حد يقف قدامها حتي اكبر ال شركات و المؤسسات و اللي هدي امثله كتير عليها كمان شويه متقدرش تقف قدامها (Social Engineering ) و لو متعرف ايه هي الهندسه الاجتماعيه اقرا عنها شويه هنا goo.gl/3kYlPX

طب ازاي عمليه التشفير دي بتم ؟؟؟

ببساطه الموضوع بيتم ان ال Attacker بيعمل generate ل 2x keys

واحد منهم بيتحط جوا ال Malware نفسه و بعدين الفايرس بيتعملو Create و التاني بيتبعت للVictim في حاله تم دفع الفديه طبعا . نخش في تعقيدات اكتر شويه اللي قرا مقال الباشمهندس محمد اسامه اكيد عدي عليه ال 4 كلمات دول و هما (Symmetric - Asymmetric - PublicKey - PrivateKey) اللي بيحصل ان ال Malware نفسه بيعمل generate ل(Public Key) عشان يشفر (Symmetric key) و العمليه دي بتعرف باسم Hybird Encryption و النتيجه بتبقي (Asymmetric Ciphertext) زي اللي موجود بظبط في جهاز الضحيه بعد ما اتشفر (فوق انا ذكرت ان ال Attacker ممكن يبتزك او ينشر صورك اكيد انت سالت نفسك الله؟ طب ازاي ينشر صوري هو شفر ملفاتي عن طريق فايرس بعتهولي يعني معندوش Direct-Access علي الجهاز عندي .... هنا بقي دور ال keys اللي ذكرتهم فوق في عمليه التشفير و ان ال Attacker بيبقي عنده نسخه اتعملت بعد التشفير عن طريق النتيجه اللي طلعت من عمليه ال hybird encryption و هي ال (CipherText ) اللي طلع في النهايه . طب و بعدين ؟ يجي ال Asymmetric Ciphertext يمسح كل الداتا اللي موجوده في ال Symmetric key و يمسح الداتا الاصليه اللي موجوده عشان انت ك (User) متعرفش تعمل Backup للملفات دي لان اصلها مش هيبقي موجود و النسخه منها متشفره علي جهازك و فيه نسخه عند ال Attacker عن طريق ال Key اللي طلع بيه . طب كدا اللي قلته ده كله كان عباره عن العمليه اللي بتم من ال Victim ===> Attacker بمعني اخر اللي حصل من ال Attacker لل Victim نفسها طب لما الفديه بتتدفع بيحصل ايه ؟ هنا يبدا العكس

Attacker ===> Victim

اول ما ال Attacker بياخد الفديه بيتم فك تشفير ال Asymmetric Ciphertext ب ال Private Key و بيبعت ال SymmetricKey لل Victim اللي هو (Decryption Key ) عشان يفك بيه اللي اتشفر . طب لو حصل ان الفايرس ده راح لصاحبك و هو هو نفس الفايرس هل من الممكن الKey اللي انت استخدمته ده تديه لصاحبك عشان يفك بيه التشفير ؟ لا طبعا لان ال Symmetric Key بيتعملو generate randomly و بيكتفي ب فك تشفير الملفات بسبب العلاقه اللي بتربط ال Attacker <==> Victim و اتكلمت عنها من دقيقه .

كل الكلام اللي فوق ده حاجه و اللي جاي مختلف تماما لاني هبدا اتكلم عن امثله عمليه حدثت لمؤسسات حكوميه و مستشفيات و خلافه تعرضت لل Ransomware و هكتفي بذكر بعض الحوادث بشئ من التفصيل .

في 17/9/2016: تم اكتشاف مجموعه من الBlackHat Hackers اللي كونو ثروه تقدر بنحو 189.813Bitcoin بمعني (121 مليون دولار امريكي) و كل ده طبعا من ال Ransomware و ذكر في تقرير LatestHackingNews ان الخبراء قالو ان ال Hackers صرفوا من المبلغ المذكور حوالي 27 مليون دولار طبعا انت ممكن تسال نفسك اتصرفو فين ؟ بسيطه ناس قدرت تكسب كل ده من ال Ransomware اكيد هتدفع مبالغ طائله في سبيل تطويره عشان يقدرو يحصلو علي اصدارات تتخطي برامج الحمايه الشهيره Kaspersky - McAfee - Norton و غيره و طبقا لدراسه اجرتها شركه McAfee للحمايه ان معدل زياده ال Ransomware بيزيد كل سنه 128% و ان كل ربع ساعه علي مدار الايام بيتم اكتشاف نوع جديد و اصدار جديد من ال Ransomware . تقدر تكمل بقيت التقرير من هنا goo.gl/GRsvog بالاضافه ان الاهداف الاكتر شيوعا للهاكرز هي المستشفيات و بالنسبه للدول نقدر نذكر المانيا و انجلترا و غيره لكن النصيب الاكبر كان ل امريكا ! ال Ransomware كان بيستخدم خوارزميات في التشفير ضعيفه زمان زي ال MD5 دلوقتي التشفير بقي بيعتمد علي خوارزميه AES-256 ENCRYPTION و RSA-2048 . خليني اقولك مدي صعوبه فك تشفير ال RSA-2048. طبقا لما ذكره الباحث الامني Adam Alessandrini في كتابه (Ransomware Hostage Rescue Manual) ان الخوارزميه دي متوسط الوقت اللي تاخده عشان تتفك حوالي 6.4 كوادرليون سنه بمعني اخر

6.4 x 10*17 سنه

طبعا رقم لا تعليق عليه و ده بيدل علي مدي قوه خوارزميه التشفير دي .

في 5/8/2016 نشر LatestHackingNews مقال ان فيه ابحاث اتعملت اثبتت ان 88% من المؤسسات المستهدفه هي المستشفيات طب ازاي ؟ بص يا سيدي المركز الطبي الخاص بهوليوود في كاليفورنيا في مارس 2016 اللي فات ال System بتاعه تعرض لل Ransomware مما ادي لتشفير جميع البيانات و الملفات الخاصه ب المشفي و حصلت عمليه شلل تام في المستشفي و اضطرت تدفع ال Ransom و اللي قدرت ب 17 الف دولار امريكي لل Hacker و طبقا لتقارير نشرتها ال FBI ان الHacker ده باع قاعده بيانات ل مركز طبي مشهور بتحتوي علي 650,000 تسجيل و بعدها بيومين تمكن الهاكر ده من انه يبيع برضه قاعده بيانات اخري بتحتوي علي 9.3 مليون تسجيل علي ال DarkNet و طبعا كله بسبب ال Ransomware .

في 20/2/2016 تعرضت مستشفي كاليفورنيا في لوس انجلوس لهجوم من ال Ransomware لك ان تتخيل ان المستشفي اتقفلت بعد الهجوم ده لمده اسبوع !!! و ان ال Hackers طلبو ما يقارب من 9.000BTC يعني حوالي كدا 3.6مليون دولار امريكي . طبعا تم نقل المرضي ب العشرات من عربات الاسعاف لمستشفيات اخري ! الخبراء قالو ان ال Ransomware انتشر عن طريق Local LAN Server بتاع المستشفي و ذكر في المقال ان الHackers طلبو مبلغ اكبر من ال 9000BTC لما عرفو ان المستشفي عندها استعداد تدفع اكتر عشان يتفك التشفير عن الملفات و تقدر تتباع بقيت التقرير عن طريق اللينك دهgoo.gl/Qr96Vr .

فيه اخبار تانيه كتيير جدا و اسوء من اللي تم ذكره بالسابق و هتناولها بالتفصيل لكن في مرحله اخري ان شاء الله من ال Ransomware .

طب معلش هو ازاي ال Ransomware اصلا بيتعمل ؟؟؟

فيه مواقع علي ال Deepweb بتقدملك خدمه انك تعمل Ransomware زي مثلا Tox !!!

توكس بيقدملك ال Ransomware بس بشرط انه بياخد 30% من النسبه اللي هتحصل عليها انت ك Attacker من ال Victim يعني لو انت طلبت من ال Victim مثلا 100$ الموقع يحصل علي 30$ و الكلام ده مكتوب علي الموقع بتاعهم . فيه حاجه زي مناقشه هما عاملينها عشان يجاوبو علي الاسئله اللي دايما بتتطرح زي مثلا

We will just keep a 30% fee of the income .

  • Am i Safe ?

-Sure , as you use (TOR) and don't use personally identifiable information : we don't need to know you , and you don't need to know us . The only thing we'll ask you for is the bitcoin address to withdraw your part .

طبعا الكلام موضح جدا العمليه بتتم ازاي ....

لو حابب مزيد من المعلومات خش علي الموقع الخاص بهم (و اللي انا منصحش ب حاجه زي كدا اساسا) (toxicola7qwv37qj.onion)

طب هل المستشفيات بس اللي بتتضرب ؟ لا ده فيه كليات و جامعات كمان !!! بص كدا علي الخبر ده

في 10/1/2017 اللي هو كان من اقل من شهر من دلوقتي تعرضت جامعه لوس انجلوس لهجوم ال Ransomware !! الاضرار اللي حصلت نتيجه الاصابه بالفايرس هي تشفير جميع بيانات ال Staff بتاع الجامعه و الايميلات و بيانات الطلاب بالكامل و ذكر في تقرير ل TheHackerNews ان ال Hackers طلبو 28.000$ عشان يتم فك التشفير عن البيانات اللي اتشفرت و اعطوا مهله تقدر ب اسبوع واحد لدفع الفديه لو عايز تقرا بتمعن اكتر في اللينك دهgoo.gl/QoCcja .

طب سؤال بس هو الفايرس ده بيضرب ويندوز بس ؟؟؟ يعني ال Ransomware بيضرب الويندوز طب ما ده يعتبر تهديد لميكروسوفت كدا ؟؟ لا هو في الواقع ال Ransomware بيضرب اي حاجه ف طريقه ..... بص كدا علي الخبر ده

في بدايه السنه الجديده 2017 تك اكتشاف Ransomware بيهاجم سيرفرات ال Linux !!!

مش بس كدا ده KillDisk بيمنع ال HDD انه يعمل Boot اصلا !!! نفهم من كدا انه كان من النوع Locker !!

اخر خبر هختم بيه و زي ما ذكرت سابقا الاخبار دي كلها بتوضح خطوره ال Ransomware و بقيت الاخبار التي لم انشرها سيتم ذكرها لاحقا باذن الله عند التطرق للحديث عن ال Ransomware مره اخري .

في 13/12/2016 اللي فات ده نشرت McAfee تقرير عن اصابه مركز طبي في كاليفورنيا ب ال Ransomware و نتيجته كانت طلب ال Hackers من الاداره 100.000$ يدفعو علي هيئه (BTC)

طب ال احمي نفسي ازاي منه .... ال Prevention !

طبقا لوثيقه خاصه بحكومه الولايات المتحده الامريكه تعرف باسم (How to protect your networks from Ransomware)

في المقام الاول يجب ان يكون لديك برنامج حمايه (anti-virus) و يتم تحديثه بصفه يوميه ان امكن و كذلك (Anti-Malware programs ) . لازم تبقي حذر دايما في التعامل مع اللينكات المشبوهه زي ال (Ads) اللي بتبقي موجوده في المواقع زي مثلا اضغط هنا لان برنامجا لديك ليس محدثا و الكلام ده كلو ما هو الا طرق لصيد الضحايا . دايما لازم تخلي ال (Firewall) عندك شغاله باستمرار عشان تمنع عنك ايSuspicious Program ممكن يضرك بيمر ب ال Network Traffic خصوصا لو مشترك مع حد في نفس الشبكه .

خلي بالك دايما من اللينكات اللي بتتبعتلك لانها ابسط الطرق لاصطياد الضحايا و كمان تاكد من الرسايل اللي بتجيلك لان ابسط رساله ممكن تجيلك و هي فيها Malicious Software اصلا انه يقولك في محتواها ان الرساله دي جايالك من مثلا Police Station و انه لازم تضغط علي اللينك ده او تنزل البرنامج ده عشان تحدث مش عارف ايه ..... و ابسط حاجه ممكن العرب يقعوا فيها بسهوله جدا هي برامج اللي بتسمحلك ب استخدام ال proxy او ال vpn طبعا مش كل البرامج لكن العرب بوجه عام معظمهم بيجري ورا الحاجات دي من غير ما يعرف ايه هي و بيبقي فرحان انه عمل انجاز و قدر يشغل ال بروكسي عنده مثلا لكن في الواقع هو كان ضحيه لعمليه اختراق سخيفه !!!

لاحقا باذن الله تعالي هتناول موضوع ال Ransomware من جوانب مختلفه ! هتكلم عن ال Families اللي ممكن تبقي تحت ال Crypto و Locker وهتكلم عن رأي شركات الحمايه الشهيره امثال (KasperskyLab - Bitdefender - ESET SmartSecurity - AVAST) و غيرهم و اخيرا بعض الاراء المقدمه من ال NSA و ال FBI تجاه الRansomware لان اقصي ما يقدرو يعملوه في الوقت الحالي انهم يحذروك بظبط زي ما ذكرت سابقا في المقال .

المصادر :

Books (

Ransomware Hostage Rescue Manual by Adam Alessandrini

Understanding Crypto-Ransomware by Bromium)

Reports (

TheLatestHackingNews

TheLastHackerNews

DeepDotWeb

THE ICIT Ransomware Report by James Scott and Drew Spaniel

Your Money or Your Life Files by KnowBe4.com

public reports published by Securty Affairs , SecurityZap

)

Wikipedia

المصدر

http://www.hacker-ar.com/2017/05/ransomware_26.html

https://www.facebook.com/groups/SecTheater/