قامت شركة مايكروسوفت بإصدار تحديث لأداة إزالة البرامج الخبيثة الخاصة بها، ويهدف التحديث الجديد لإنقاذ الآلاف من أجهزة ويندوز التي أصيبت في شهر أغسطس ببرمجية طروادة الخبيثة TeslaCrypt والمعروفة باسم Tescrypt والتي تقوم بتشفير ملفات الضحية مقابل دفع فدية.
ويأتي التحديث إلى جانب قيام مايكروسوفت بالأمس بإطلاق مجموعة من التحديثات الأمنية في سبيل تحسين الأمان ضمن أنظمة ويندوز وسد الثغرات.
وقد سجلت بيانات القياس الموجودة لدى مايكروسوفت ارتفاع كبير في تسجيل حالات الإصابة بملف TeslaCrypt في أواخر شهر أغسطس، حيث قفزت الأرقام من حوالي 1000 حالة مكتشفة في اليوم سابقاً إلى 3500 حالية في 24 أغسطس.
وتزامن الارتفاع في شهر أغسطس مع تقرير من شركة Malwarebytes الأمنية تشرح فيه بالتفصيل برمجيات إعلانية خبيثة انتشرت على نطاق واسع في أواخر شهر أغسطس وتحمل اسم “malvertising”، والتي قامت باستغلال وإصابة العديد من زوار عدد من المواقع الإخبارية الشعبية، بما في ذلك مايكروسوفت MSN.com.
وظهرت مشكلة TeslaCrypt لأول مرة في أوائل عام 2015، واكتسبت سمعة سئية بسبب استهدافها المستخدمين وقيامها بعد إصابتهم بها بالبحث عن أنواع محددة من الملفات ومن ثم القيام بتشفيرها بتشفير AES 256 والقيام بطلب دفع فدية عن طريق العملة الرقمية بيتكوين في مقابل حصول المستهدف على المفتاح الذي يسمح له بإعادة فتح الملفات.
وأشارت مايكروسوفت إلى أن TeslaCrypt يستهدف الملفات المتعلقة بالبرامج المالية والضريبية، ومحاولة ابتزاز المستخدمين مقابل إعادة هذه الملفات لهم.
وتظهر بيانات مايكروسوفت خلال شهر سبتمبر أن أكبر عدد إصابات هو في الولايات المتحدة بنسبة 39%، تليها المملكة المتحدة بنسبة 6.5%، وكندا بنسبة 5.9%.
وبالإضافة لوجود أداة إزالة البرامج الضارة من مايكروسوفت، قامت شركة سيسكو بتوفير خيار إضافي لإنقاذ الملفات المشفرة والتي أصدرتها في مايو الماضي.
وأشارت مايكروسوفت أن النسخ السابقة من TeslaCrypt تقوم بتخزين المفتاح الخاص بالتشفير كملف على الجهاز نفسه، مما يسمح للضحايا باستخدام الأداة الخاصة بفك التشفير من شركة سيسكو لفك تشفير الملفات الخاصة بهم وذلك باستخدام المفتاح الخاص المخزنة ضمن الجهاز.
وأضافت مايكروسوفت أن النسخ الجديدة من TeslaCrypt تقوم بتخزين المفتاح في سجل ويندوز registry بصيغة بيانات ثنائية binary data.
وقد قامت شركة الحماية كاسبرسكي بملاحظة هذا التحول في التكتيك ونشرته في تقرير مفصل حول الإصدار 2.0 من TeslaCrypt، وتقوم بعرض الملفات الخاصة بهم وتخبرهم انه تم تشفيرها وفق تروجان CryptoWall.
وتقوم بذلك في سبيل إثارة الرعب لدى الضحايا ودفعهم لدفع الفدية لأن الملفات المشفرة بواسطة تروجان CryptoWall لا يمكن فك تشفيرها حتى الوقت الحالي.
وأكدت شركة مايكروسوفت أن أفضل دفاع ضد هذا النوع من الإصابات مقابل الفدية هو الإحتياط المسبق، وهذا يعني النسخ الاحتياطي للملفات في وسائل تخزي منفصلة أو سحابية.