الأخبار
تقريرعن فيروس الفدية WannaCry
5/15/2017
نظرا لوجود هجمات الكترونية ضخمة لفيروس الفدية الألكترونى (Ransomware)على مستوى العالم  يطلق عليها اسم "WannaCry" والذى  أصاب  أكثر من 100 دولة فى جميع أنحاء العالم و مصر من البلدان المستهدفة لذلك الهجوم نوضح مايلي :

كيفية الإصابة بهذا الفيروس:

  • ينتشر   الفيروس الألكترونى  من خلال الفيروس التلقائى الأنتشار (worm) ومن خلال رسائل البريد الإلكتروني الخادعة المرسلة (Phishing e-mails)إلى المستخدمين مع مرفق ضار يحتوى على هذا الفيروس ويصيب الجهاز بمجرد فتح المرفق.
  • يتكون هذا الفيروس من جزئيين : فيروس تلقائي الانتشار و فيروس الفدية الالكترونية.
  • بعد إصابة جهاز المستخدم، فإنه يستغل ثغرة  في أنظمة التشغيل (Windows) المعروفة باسم "MS17-010" لتصيب أجهزة أخرى على نفس الشبكة أو خارجها من أجل تحقيق أنتشار سريع للفيروس الألكترونى باستخدام برنامج الاختراق “EternalBlue exploit” وبرنامج لفتح ثغرة خلفية " DOUBLEPULSAR backdoor".
  • تحميل حزمة تحديثات” Microsoft patch”  لايمنع من الاصابة عن طريق الجزء الثاني من الفيروس (فيروس الفدية الالكترونية)ولكن يمنع الأنتشار التلقائى .
  • فى حالة إصابة جهاز المستخدم بهذا الهجوم الألكترونى فإنه سيتم تشفير كافة الملفات الموجودة على جهاز الحاسب  ويطلب منك دفع 600$-300$ بيتكوين فدية ليكون المستخدم قادر على استرداد الملفات الخاصة به.
  • يحتوي الفيروس على خاصية "kill switch" يستخدمها الفيروس لايقاف نفسه تلقائيا اذا كان النطاق “domain”المسجل في الفيروس “online”   بالاضافة لظهور نسخة اخرى من الفيروس لا تحتوي على هذه الخاصية يوم 14-5-2017
  • يقوم الفيروس بتنزيل و استخدام الملفات المتعلقة بشبكة  “Tor”
  • يمكن  لهذا الفيروس أن يصيب كل الأجهزة الألكترونية الى تعمل بنظام تشغيل  ويندوز(XP to Win7 &2003-2008 R2 server)
  • قام الفيروس باصابة 100  بلد مثل المانيا، روسيا ،اسبانيا،المملكة المتحدة ،سويسرا والولايات المتحدة الامريكية.
  • حوالي 16 مستشفى بالمملكة المتحدة على الاقل.
  • اصيب بالفيروس حوالي 230000 على مستوى العالم حتى وقتنا الحالي.
  • لحماية الشبكات و الاجهزة من هذا الهجوم واسع المدى يرجى القيام بالتالي:
  • عدم فتح اي رسائل الكترونية أو ملفات مجهولة المصدر. 
  • فحص جميع الرسائل الالكترونية المرسلة والواردة والملفات الملحقة باستخدام برامج حماية محدثة (Antivirus).
  • يجب الأحتفاظ بنسخة من الملفات والبيانات الألكترونية الهامة دوريا على جهاز خارجى منفصل عن الشبكة حتى يتم استعادتها بشكل صحيح فى حالة الأصابة.
  • التأكد من تحميل حزمة تحديثات "Patch" مايكروسوفت MS17-010. لاغلاق الثغرة المستغلة فى الهجوم الألكترونى.
  • التأكد من تحديث برامج الحماية الخاصة بالمستخدمين antiviruses and IPS 
  • قامت ميكروسوفت باصدار حزمة تحديثات طارئة للاصدارات لجميع اصدارات الويندوز السابقة
  • التأكد من اغلاق المنافذ الأتية على الخوادم “port 445,139” باستخدام  الجدار الناري"firewall"
  • يستخدم الفيروس النطاقات التالية في TOR C&C

  1. ogx7ekbenv2riucmf.onion
  2. o57g7spgrzlojinas.onion
  3. oXxlvbrloxvriy2c5.onion
  4. o76jdd2ir2embyv47.onion
  5. cwwnhwhlz52maqm7.onion
  6. sqjolphimrr7jqw6.onion
  • النطاق المتعلق بخاصية kill switch “ “هو 
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    Hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  •  يوصي بمراقبة  كل السجلات الخاصة بالشبكة  “proxy ,DNS and other logs”  من خلال ” “SEIM
  •  لملاحظة كل الاتصالات التي يقوم بها الجهاز.
  • تطبيق قواعد اقل الصلاحيات على جميع الاجهزة  least privilege rules
  • استخدام ” “spam filters لحماية الشبكة من الرسائل الالكترونية الخادعةphishing mails  واستخدام التقنيات الخاصة بالتاكد من صحة الرسائل الالكترونية من الرسائل مثل Sender Policy Framework (SPF)
  • التحقق من وجود الملفات المتعلقة بالفيروس على جميع الاجهزة من خلال المقارنة مع known hashes الموجودة فى الرابط التالى: https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a
  • ايقاف تشغيل SMBv1 protocol
  • استخدام نظام تقسيم الشبكات network segmentation عن طريق نظام تنقية الشبكات المناسب network filtering 
  • استخدام strict ACLs لمنع الاتصال باستخدام SMB 
  • القيام باختبارات دورية  penetration testingللانظمة والشبكات لاكتشاف الثغرات قبل الهاكرز 
  • تحديث أجهزة الحماية الخاصة بالشبكات  للحماية من الهجوم الألكترونى مثل (IDS,IPS,Firewalls) 
  • متابعة دلالات الأصابة بأستخدام Yara rules     
  • يجب فصل الأجهزة المصابة بهذا الفيروس  بشكل فوري  عن الشبكة وذلك تجنبا لأنتشار تلك الهجمة الألكترونية 


في حالة حدوث اي اصابة يرجى التواصل مع المركز الوطنى للأستعداد لطوارئ الحاسبات والشبكات (EG-CERT) عن طريق البريد الألكترونى:incident@egcert.eg