فيروس جديد يُعطّل أجهزة ويندوز طلبًا للفدية

كشفت شركة “ترند مايكرو” Trend Micro المتخصصة بالأمن الرقمي عن انتشار فيروس جديد يُدعى Petya ينتمي إلى فئة “برامج الفدية” Ransomware يستهدف نظام التشغيل “ويندوز” ويمنعه من الإقلاع، وذلك من خلال الكتابة فوق ما يُعرف بـ “سجل الإقلاع الرئيسي” MBR للحاسوب. ولا يُمكن للمُستخدم استعاده نظام تشغيله وملفاته إلّا بعد دفع فدية تبلغ 430 دولار أمريكي للمُهاجمين.

وسجل الإقالاع الرئيسي هو عبارة عن الشيفرة البرمجية المُخزنة ضمن القِطاع الأول للقرص الصلب وتحتوي على معلومات حول أقسام القرص، وهو مسؤول عن تشغيل “مُحمّل الإقلاع” لنظام التشغيل. وفي حال تعطّل سجل الإقلاع يعجز نظام التشغيل عن الإقلاع.

برمجية Petya موجّهة للشركات، حيث يتم توزيعها على شكل رسائل بريد إلكتروني تُرسَل إلى أقسام إدارة الموارد البشرية في الشركات، يتظاهر مُرسلها بأنه طالب للعمل مُتقدم إلى الوظائف المُتاحة لدى الشركة. وتتضمن الرسالة رابطًا إلى مُجلّد على “دروب بوكس” Dropbox يحتوي على ملف يتضمن السيرة الذاتية وصورة مزوّرة، وبمجرد تنزيل الملف وفتحه يتم تثبيت البرمجية الخبيثة.

بعد تثبيت البرمجية تظهر للمُستخدم رسالة خطأ ويتم إعادة تشغيل الحاسوب تلقائيًا، ويتم تشفير جدول الملفات الرئيسي MFT وهو عبارة عن ملف خاص بنظام ملفات NTFS المُستخدم في ويندوز يُخزن مواقع الملفات الموجودة على الجهاز، ويؤدي تشفير هذا الملف إلى استحالة استعادة الملفات دون فك تشفيره من خلال مفتاح خاص يحصل عليه المُستخدم بعد دفع الفدية.

لدى تشفير جدول الملفات الرئيسي تظهر للمُستخدم صورة جمجمة مصحوبةً برسالة تتضمن الخطوات التي يتوجب على الضحية تنفيذها لاستعادة ملفاته ونظام تشغيله، وفي هذه الحالة على المُستخدم الوصول إلى موقع آمن ضمن شبكة “تور” TOR والدفع عبر عملة “بِت كوين” Bitcoin الإلكترونية مبلغ 0.99 بِت كوين وهو ما يعادل حوالي 430 دولار أمريكي.

وقالت “ترند مايكرو” أنها أبلغت “دروب بوكس” بالهجمة وقامت الأخيرة بدورها بحذف الرابط والروابط الشبيهة، لكنها نصحت المُستخدمين بالحذر واستخدام برامج الحماية المُناسبة.

وبحسب “ترند مايكرو” فإن برمجية Petya تستهدف حاليًا الشركات في ألمانيا، لكن لا شيء يضمن عدم استهداف نفس الحملة للشركات في دول أخرى وفقًا للشركة الأمنية.