ازالة فيروس الفدية في 9 خطوات وفك تشفير الملفات بدون فورمات

الحمد لله رب العالمين الحي القيوم المدبر لجميع المخلوقين والصلاة والسلام الأتمان الأكملان على سيدنا محمد وعلى ءاله وصبحه الطيبين الطاهرين وبعد، في هذا المقال سنتكلم عن ظاهرة في الاختراق المعلوماتي الإلكتروني انتشرت حديثا وأرقت الكثيرين وعانت منها المؤسسات وهي ما يعرف ببرمجيات الفدية الخبيثة Ransomware virus هيا بنا نتعرف على هذه البرمجية الخبيثة وكيفية ازالة فيروس الفدية من غير تغيير لنظام التشغيل ما يعرف بفورمات الجهاز Format Windows ونتعرف أيضا على كيفية فك تشفير الملفات.

تعريف فيروس الفدية  Ransomware virus

هو نوع من البرمجيات الخبيثة تصيب أجهزة الحاسوب التي تعمل بنظام ويندوز Windows  تقوم بتقييد صلاحيات المستخدم (الضحية) للتحكم في نظام التشغيل مع أخذ نسخة لجميع ملفات المستخدم الخاصة وتشفيرها وتغيير امتدادها  حتى يطلب المهاجم من الضحية فدية مالية ( غالبا) مقابل إرجاع له تلك الملفات.

ما هو أفضل الممارسات عند الإصابة بفيروس الفدية؟

عند الإصابة ببرمجية الفدية الخبيثة توجه فورا إلى إدارة مكافحة الجرائم الإلكترونية في بلدك وإن لم تجد فبدأ بمتابعة الخطوات التقنية في هذا المقال.

في الغالب لا يؤدي هجوم فيروس الفدية Ransomware على جهاز حاسوب الضحية إلى أي ضرر فعلي للنظام، ولكنه قد يؤدي بالتأكيد إلى فقد شديد للبيانات، خاصةً إذا كان لدى الضحية بعض الملفات المهمة في جهازه وليس لديه نسخة احتياطية.

في هذا المقال، سنضرب مثال عن نوع واحد من ازالة فيروس الفدية الخبيث Ransomware والمسمى Prandel. حيث أنه من أحدث ممثلي عائلة Cryptovirus من Ransomware وما ينطبق عليه ينطبق على باقي الأنواع في أغلب الأحيان.

كثيرون هم المستخدمون الذين عانوا من سوء الحظ أو اكتشفوا أن جميع بياناتهم قد تم تشفيرها.

لذلك علينا إتباع هذه الإستراتيجية في ازالة فيروس الفدية Prandel وفك تشفير البيانات بدون عمل تهيئة لنظام التشغيل.

أهم الخطوات للتعامل مع جهاز مصاب لأجل ازالة فيروس الفدية

•  قم بأخذ نسخة من ملفاتك المشفرة على قرص خارجي.
• ولا تحاول عمل تهيئة نظام التشغيل Format فقط تصرف بطبيعية ومنطقية وهدوء.
• احتفظ بصورة من رسالة المهاجم الذي يطلب منك الفدية وغالبا تحتوي على بريد إلكتروني لكي تتواصل معه، التقط صورة هذه الرسالة بشكل واضح من خلال هاتفك أو جهاز خارجي.
• ابدأ باستعمال جهاز ءاخر وغير كلمات المرور الخاصة بك في المواقع الإلكترونية بحيث تكون كلمة المرور معقدة بإمكانك قراءة مقالي في كيفية كتابة كلمة سر معقدة.
• قم بإيقاف عمل الفيروس وحذف ملفاته واستعادة التحكم في نظام التشغيل من جديد، وهذا ما سأشرحه في هذا المقال.
• قم بمحاولة البحث عن فك تشفير الملفات وإن لم تجد لا تقلق انتقل إلى خطوة استعادة الملفات المحذوفة.
• قم بتركيب برنامج لاستعادة الملفات المحذوفة من الجهاز وهذا سأذكره بشئ من التفصيل في هذا المقال أيضاً.

بطبيعة الحال، فإن هدف المتسللين وراء تهديد مثل Prandel ، Kovasoh ، Cosakos ، ليس سوى كسب المال عن طريق ابتزاز ضحاياهم. نظرًا لأن الطريقة الوحيدة المؤكدة لفتح ملفاتك المشفرة مرة أخرى هي من خلال استخدام مفتاح وصول الذي يتوافق مع رمز التشفير المحدد الذي وضعه المهاجم Ransomware على بيانات الضحية، فإن المجرمين الذين يقفون وراء الفيروس يستخدمون ذلك لمضايقة ضحاياهم وابتزازهم. ويدعون أنهم سيوفرون للضحية المفتاح المذكور في مقابل دفع الأموال التي يتم ارسالها عادة بالعملات الرقمية cryptocurrency (مثل BitCoin).

من المفترض أن يرسل المهاجم المفتاح في اللحظة التي يتلقى فيها أموال من الضحية. ومن البديهي أنه لا يمكن الوثوق بكلمات المخترقين، فليس مؤكدا أن يحرر ملفات الضحية فور إرساله للأموال.

الشيء الوحيد المؤكد إذا اخترت دفع الفدية هو أن الأموال التي ترسلها إلى مجرمي الإنترنت ستذهب للأبد، ولن تكون هناك طريقة لاستردادها حتى لو لم تتمكن من فتح ملفاتك بعد ذلك.

ازالة فايروس الفدية وإعادة السيطرة على نظام التشغيل.

1- تحضير ازالة فيروس الفدية

قبل البدء في ازالة فيروس الفدية ننصحك بوضع إشارة مرجعية لهذه الصفحة (حفظ في المفضلة) أو فتحها على جهاز منفصل مثل هاتفك الذكي أو حاسوب ءاخر لأنه قد يتطلب منك بعض الخطوات مثل الخروج من المتصفح على هذا الحاسوب.

2- مدير المهام Task Manager

اضغط على Ctrl + Shift + Esc للدخول إلى “إدارة المهام“. انتقل إلى علامة التبويب “العمليات” المسمى (تفاصيل لـ Win 8/10). ابحث بعناية من خلال قائمة العمليات النشطة حاليًا على الجهاز المصاب.

إذا بدا لك عملية تستهلك الكثير من ذاكرة الوصول العشوائي / وحدة المعالجة المركزية أو يحتوي على وصف غريب أو لا يوجد وصف على الإطلاق، فانقر بزر الماوس الأيمن فوقه، وحدد “فتح موقع الملف” وحذف كل شيء هناك.

 ملاحظة “إن لم تستطيع أن تفرق بين العمليات الفعالة على جهازك ما هي التابع لنظام التشغيل وما هي الغير تابع لنظام التشغيل أنصحك أن تطلب المساعدة من متخصص في ذلك حتى لا تقوم بحذف ملف من ملفات النظام الأساسي وتسبب لك مشكلة.”

إن لم تتمكن من حذف هذا الملف قم بالنقر عليه في مدير المهام Task manager ثم اضغط على زر إنهاء المهمة End Task وبعدها اذهب لموقع الملف الذي فتحته سابقا وقم بحذفه من الجهاز.

ملاحظة ” بعض الأنواع الحديثة من هذه الفايروسات تعطل وصولك إلى إدارة المهام فإن واجهتك مشكلة عدم قدرتك على فتح إدارة المهام وتنفيذ هذه الخطوة فلا تقلق وانتقل إلى الخطوة التالية.

3- حذف IP المرتبط بالفايروس

في هذه الخطوة سنقطع التواصل بين المهاجم والجهاز وذلك عن طريق حذف IP المرتبط بالفايروس

فتح نافذة جهاز الحاسوب وانسخ الرابط التالي في الشريط العلوي ثم انقر على زر Enter

c:\windows\system32\drivers\etc\

وانقر  ملف  المسمى Host بزر الفارة الأيمن ثم ” فتح باستخدام ” واختر برنامج المفكرة Notepad سيظهر لك كما في الصورة التالية

فإذا وجدت عناوين IP في الأسفل كما هو موضح في الصورة السابقة فمن المحتمل أن تكون هذه العناوين التي ترتبط بالفايروس وإن لم تكن متأكد من ذلك فقط انسخ هذه العناوين في تعليق على هذا المقال وسوف أرد عليك ولكن تذكر قبل الحذف أن تأخذ من هذه العناوين نسخة في ملف ءاخر ثم احذفهم من ملف Host لأنك قد تحتاجهم فيما بعد لتحديد نوع الفايروس.

فإن كنت متأكد من أن هذه العناوين هي بالفعل مرتبطة بالفايروس فقم بحذفها بعد أخذ نسخة منها في ملف ءاخر.

4- تعطيل البرامج التي تشتغل عند بدء تشغيل النظام.

في قائمة إبدا في البحث أو “تشغيل” أو اضغط في لوحة المفاتيح على زر الويندوز +   R Windows key + R)) اكتب فيه الأمر التالي ” msconfig ”  إن كنت على window 8/10 ستظهر لك

الصورة التالية، أما إذا كنت على windows 7 سيدخل مباشرة إلى النافذة المطلوبة دون ظهور الصورة التالية.

انقر على نتيجة البحث الأولى انتقل إلى علامة التبويب بدء التشغيل Startup. إذا كنت تعمل على Win 10، فسوف يرسلك إلى جزء بدء التشغيل من مدير المهام Task manager بدلاً من ذلك.

قم بتعطيل بدء التشغيل أو عمل عدم التمكين لأي برنامج تشك في أنه هو المرتبط بالفايروس بإمكانك الاستعانة بمتخصص إن واجتك صعوبة في ذلك.

5- حذف ملفات Registry المرتبطة مع فيروس الفدية

انتبه: هذه الخطوة تحتاج فعلا لمتخصص لأن هذه الخطوة إن نفذت بشكل خطأ فستلحق بنظام التشغيل أضرار جسيمة.

اضغط في لوحة المفاتيح على زرين الويندوز ( Windows key + R) معاً واكتب فيه الأمر التالي regedit.

ثم قم بالضغط على زرين Ctrl+ F معاً ثم اكتب اسم فيروس الفدية ولنفترض في حالتنا هذه اسمه Prandel

احذف كل المفاتيح التي تسمى باسم الفايروس في حال تم العثور عليها.

إن لم تكن متأكدًا مما إذا كنت ستحذف شيئًا ءاخر، فلا تتردد في سؤالنا في التعليقات. ضع في اعتبارك أنه إذا قمت بحذف الشيء الخطأ، فقد تتسبب في المشكلات عديدة على نظام التشغيل كما ذكرت سابقاً

6- حذف البيانات المحتمل أن تكون ضارة

اضغط في لوحة المفاتيح على زرين الويندوز ( Windows key + R) معاً واكتب فيه الأوامر التالية وفي كل أمر سيظهر لك مجلد يحتوي على مجلدات وملفات انقر بزر الفارة الأيمن على أي منطقة فارغة في المجلد ثم فرز حسب ثم تاريخ التعديل احذف الملفات التي تم التعديل عليها حديثاً في المجلدات الفرعية أيضا وإن واجهت أي صعوبة لا تتردد في سؤالي عبر التعليقات لهذا المقال.

%AppData%

%LocalAppData%

%ProgramData%

%WinDir%

%Temp%

7- ازالة فيروس الفدية والقضاء على ملفاته

بعد أن ألغينا نشاطه على الجهاز ، حان الأن دور تنصيب برنامج مكافحة الفايروسات Kaspersky أو أي برنامج ءاخر وعمل فحص شامل للنظام وحذف الملفات المصابة.

8- فك تشفير الملفات المصابة

يوجد عدة طرق لفك تشفير الملفات المصابة وهذا يعتمد على نوع الفايروس وعلى أي عائلة ينتمي لذلك إليك دليل بعض الأدوات التي قد تساعدك على فك تشفير ملفات الجهاز المصاب ولكن تذكر: إن لم تتمكن من فك التشفير أو إيجاد الأداة المناسبة فلا تيأس فإن محاولات فك التشفير لا تفلح كثيراً فإن لم تفلح فانتقل إلى الخطوة رقم 9 والآن عليك أولا أن تعرف ما هو نوع الفيروس الذي تسبب في تشفير البيانات ومعرفة ذلك تكون بطرقتين وهما:

     – تحديد نوع فيروس الفدية Ransomware

• • من خلال ملف المهاجم

إن أول وأسهل طريقة لمعرفة اسم فيروس الفدية Ransomware هي ببساطة قراءة الملاحظة التي تطلب فدية والتي من المرجّح أن تكون قد تُركت على الجهاز المصاب. وهذا يتوقف على المهاجم الذي قد تتعامل معه، قد تظهر الملاحظة كشعار على الشاشة أو قد ينشئ الفيروس ملفًا للمفكرة على سطح المكتب أو في مجلد آخر. بغض النظر عن كيفية تقديم مذكرة الفدية لك، يحتوي في داخلها على معلومات حول الفيروس وربما سيتم كتابة اسمه أيضًا. لذلك، تحقق من الملف لمعرفة اسم البرامج الضارة malware.

• استخدم رقم المعرف فيروس الفدية ID Ransomware

إذا كنت تكافح لمعرفة اسم فيروس الفدية Ransomware الذي أصاب جهاز، يمكنك استخدام أداة مجانية على الإنترنت تسمى ID Ransomware. سيتعين عليك تحميل ملف ملاحظة الفدية الذي تركه الفيروس بالإضافة إلى عينة من الملف المشفر.

إن لم يكن هناك ملاحظة فدية، فهناك حقل يمكنك من خلاله إضافة معلومات أخرى حول فيروس الفدية مثل البريد الإلكتروني أو عناوين IP التي وجدتها في ملف Host في الخطوة رقم 3.

بمجرد تحميل وتعبئة جميع المعلومات المطلوبة، ستحدد الأداة نوع الفايروس إذا كان موجودًا في مكتبتها.

تحذير! – قبل أن تذهب إلى الخطوات التالية، كن متأكدًا من أن فيروس Malware الفعلي (في خطوة رقم 7 من هذا المقال) قد تمت إزالته من نظامك حتى لا يتمكن من إعادة تشفير أي ملفات قد تحصل على إلغاء قفلها، إذا لم يتم إزالة الفيروس فإن أي ملفات قد تقوم بفك تشفيرها قد يتم تشفيرها مرة أخرى، لذلك ننصحك بشدة أيضًا بعمل نسخ احتياطية من الملفات المشفرة إلى جهاز منفصل (ويفضل أن يكون ذلك على حاسوب شخصي آخر أو هاتف ذكي أو وحدة تخزين خارجية ) وذلك لتهديد بعض فيروسات الفدية بحذف البيانات المؤمّنة إذا حاولت فك تشفيرها دون أن تدفع، وهذا هو السبب في أنه من المهم أن يتم نسخها احتياطيًا.

والآن إليك بعض الأدوات التي من الممكن أن تستخدمها في فك تشفير الملفات إن كنت محظوظاً ولا أخفي عليك أن احتمال أن تجد أداة لفك تشفير الملفات قليل حتى بعد تحديد نوع الفيروس ولكن لا بأس من الاطلاع على تلك الأدوات المتاحة وقد يتم تحديث هذه الأدوات بشكل مستمر وقد يتم إضافة أشياء جديدة بعد نشر هذا المقال.

•  أداة مجانية لفك تشفير الملفات المصابة Trend Micro Decryptor Tool

هذه الأداة البرمجية التي طورتها Trend Micro يمكنها فك تشفير عدد من فيروسات الفدية Ransomware. وبين الحين والآخر يتلقى تحديثات مع فيروسات فدية جديدة حتى تتمكن من فك تشفيرها.

فيما يلي أيضًا قائمة بالفيروسات التي تستطيع هذه الأداة فك تشفيرها حاليًا.

• CryptXXX V1, V2, V3
• CryptXXX V4, V5
• TeslaCrypt V1
• TeslaCrypt V2
• TeslaCrypt V3
• TeslaCrypt V4
• SNSLocker
• AutoLocky
• BadBlock
• 777
• XORIST
• XORBAT
• CERBER V1
• Stampado
• Nemucod
• Chimera
• LECHIFFRE
• MirCop
• Jigsaw
• Globe/Purge
• DXXD
• Teamxrat/Xpan
• Crysis
• TeleCrypt

• • أداة مجانية أخرى لفك تشفير المفات المصابة Emisoft Decryptors 

شركة أمان أخرى تقدم عددًا كبيرًا من خيارات فك التشفير هي Emisoft ولقد قاموا بإنشاء أدوات فك تشفير منفصلة لعدد كبير من فيروسات Ransomware وتقوم أيضًا بتحديثات مستمرة. يمكنك زيارة موقعهم و تنزيل برنامج فك التشفير الذي تحتاجه ، فيما يلي بعض إصدارات Ransomware التي قامت Emisoft بتغطيتها وإنشاء برامج فك تشفير لها:

• NumecodAES
• Amnesia
• Amnesia2
• Cry128
• Cry9
• Damage
• CryptON
• MrCr
• Malboro
• Globe3
• OpenToYou

• • أداة مجانية لفك تشفير فايروس الفدية من نوع  Petya Ransomware

يعمل Petya Ransomware بشكل مختلف عن معظم الفيروسات المماثلة الأخرى. إنه يمنع الوصول المباشر إلى جهاز الحاسوب المصاب مما يجعلك غير قادر على التمهيد (اقلاع) إلى Windows حتى تقوم بالدفع المطلوب. فيعد إلغاء قفل جهاز الحاسوب المصاب أكثر صعوبة من مجرد فك تشفير الملفات وإليك الطريقة.

أولاً، ستحتاج إلى إلغاء توصيل محرك الأقراص الثابتة بجهاز الحاسوب المصاب وتوصيله داخل جهاز حاسوب ءاخر. يجب أن يحتوي الجهاز الآخر على برنامج مكافحة فيروسات يمكن الاعتماد عليه. بعد ذلك، قم بتنزيل Petya Sector Extractor (الذي طورته Wosar) وتشغيله

سوف يستخرج البيانات الضرورية التي ستحتاج إلى تعبئتها في هذه الصفحة. بعد إرسال البيانات المطلوبة، ستتلقى رمزًا يجب عليك كتابته على الورق أو على جهاز ءاخر. أعد القرص الصلب مرة أخرى إلى الجهاز المصاب وبمجرد ظهور شاشة Petya، اكتب الرمز الذي تلقيته.

• أداة مجانية لفك تشفير ملفات مصابة بفاروس الفدية من نوع Rakhni 

من أجل فك تشفير الملفات المقفلة من قبل Rakhni (الإعلانات الملحق .locked لملفاتك بعد التشفير) ، استخدم هذا الرابط لتنزيل decryptor وفتح بياناتك.

• أداة مجانية من شركة كاسبر Free Ransomware Decryptors Kaspersky

أداة مجانية من شركة كاسبر سكاي الشهيرة لفك تشفير بعض أنواع فايروس الفدية فإن وجدت نوع الفايروس ضمن القائمة المتاحة لديهم يكون الأمر جميل جدا

9- استعادة نسخة الظل Shadow Clone Restore

الطريقة الأولى التي ننصح بها لمحاولة تشفير Ransomware هي استعادة البيانات من خلال نسخة الظل وهي عندما يقوم الفيروس بتشفير بياناتك، فإنه يحذف الملفات الأصلية أولاً ويستبدلها بنسخ متطابقة مشفرة. لذلك، قد لا يزال فرصة استرداد النسخ الأصلية المحذوفة متاحة بشكل كبير. والأدوات التي نعرضها لك هنا قد تكون قادرة على القيام بذلك.

• أداة EaseUS Data Recovery وهو أشهر برنامج في استعادة البيانات المحذوفة وأنصحك بشراء النسخة المدفوعة سعرها 70$ تقريبا (من تاريخ كتابة هذا المقال) وممكن إستخدام النسخة المجانية منه  إن كان حجم البيانات المشفرة أقل من 2GB.
• أداة Data Recovery Pro وهو برنامج قد أوصى به بعض المراجع الأجنبية.
• أداة Recuva وهذه قد أوصى بها بعض العاملين في المجال وأنا شخصيا جربت النسخة المجانية من هذه الأداة وقد أفلحت في استرجاع بعض من الملفات

يبقى الخيار لك في اختيار الأداة المناسبة ولكن إن سألتني عن رأيي فأنا شغوف في استخدام الأداة الأولى النسخة المدفوعة، وعلى أي حال إن كان لك تجربة مع أي من هذه الأدوات أو أداة أخرى شاركنا برأيك في التعليقات.

ملاحظة/ عندك تنصيب الأداة المناسبة قم بعمل فحص شامل للأقراص أو للقرص الذي تود استرجاع الملفات التي كانت فيه فإن استطاعت الأداة أن تظهر لك قائمة بالملفات التي تم حذفها سيطلب منك تحديد المكان الذي يتم استرجاع هذه الملفات فيه، فأنصحك بشدة أن يكون مكان استعادة الملفات على قرص (هارد ديسك) خارجي حتى لا يتم استرجاع الملفات المحذوفة على نفس القرص فيتم الكتابة عليه الأمر الذي قد يزيد من صعوبة الموقف.

الخاتمة

لسوء الحظ، لا يزال هناك العديد من فيروسات الفدية Ransomware الرديئة والتي لا تتوفر لها برنامج فك تشفير أو طريقة أخرى تسمح للضحايا بالتعامل معها. يحاول خبراء أمن المعلومات بجدية التوصل إلى حلول للإصدارات الأحدث من هذا النوع من البرامج الضارة.

تذكر دائمًا أنه من الأفضل أن تظل ءامنًا وألا تقع فريسة لمثل هذه الفيروسات الضارة بدلاً من الاضطرار إلى التعامل مع حلول هذا المقال .

احمي جهازك بأداة ازالة فيروس الفدية ومكافحة فايروسات قوية مثل Kaspersky واستعمل برامج نظيفة خالية من الكراكات قدر الإمكان ويفضل أن تشتري نسخة windows وتحدثها باستمرار

أخيرًا وليس ءاخرًا ، إذا كان لديك اقتراح بفك التشفير مع ازالة فيروس الفدية Ransomware لم يتم ذكره هنا، فرجاء زودنا به في التعليقات حتى يستفيد منه الجميع، السلامة لكم

دمتم بخير ?

المراجع :

• Remove Prandel Virus Ransomware (+.Prandel File Recovery) –Daniel Sadakov
•  Ransomware Decryption Guide-Boris
• Ransomware – wikipedia

معلومات عن الكاتب

المستشار حسام الدين محيسن

مدرّب استشاري، مدير مواقع إلكترونية، أمن معلومات – متخصص في تحسين أداء المواقع على محركات البحث والتسويق الإلكتروني Consultant Trainer – Webmaster – SEO and E-marketing – Information Security