Ransomware 2026 — كيف تحمي شركتك وبياناتك من فيروسات الفدية

 

السلام عليكم متابعين قناة ومدونة Shadow Hacker، كالعادة راجعلكم اليوم بموضوع من أخطر المواضيع اللي لازم كل واحد فيكم يفهمها ويعرف يتعامل معها — فيروسات الفدية أو الـ Ransomware. بصراحة، الوضع في 2026 وصل لمستوى مرعب فعلياً. تخيل معي إنو في هجمة Ransomware جديدة كل 11 ثانية حول العالم. يعني وأنت قاعد بتقرأ هاد المقال، في شركة أو شخص هسا بيتعرض لهجوم وبياناته بتنشفر قدام عيونه. الموضوع مش مزحة ومش إشي بعيد عنك — ممكن يصير معك أنت شخصياً أو مع شركتك أو حتى مع تلفونك.

الأرقام بتحكي عن حالها: الأضرار العالمية من فيروسات الفدية تجاوزت 30 مليار دولار سنوياً في 2026. هاد الرقم مش بس تكلفة الفدية اللي بتندفع — لا، هاد بيشمل تكلفة التوقف عن العمل، خسارة البيانات، تكاليف الاستعادة، الأضرار بالسمعة، والقضايا القانونية. يعني لو شركة صغيرة تعرضت لهجوم، ممكن حرفياً تقفل أبوابها للأبد. والإحصائيات بتقول إنو 60% من الشركات الصغيرة والمتوسطة اللي بتتعرض لهجوم Ransomware بتقفل خلال 6 شهور. مصيبة فعلية.

وخليني أوضحلك إشي مهم — الموضوع مش بس للشركات الكبيرة. بالعكس، الأفراد والشركات الصغيرة هم أكثر المتضررين لأنو ما عندهم ميزانيات أمنية ولا فرق IT متخصصة. المهاجمين بيعرفوا هالإشي وبيستهدفوهم بالتحديد لأنهم فريسة سهلة. فهاد المقال رح يكون دليلك الشامل — رح أعلمك كل إشي عن Ransomware: كيف يشتغل، مين أخطر المجموعات، كيف يوصلك، كيف تكتشفه، وأهم إشي — كيف تحمي نفسك وبياناتك بخطوات عملية وأكواد جاهزة تقدر تطبقها هسا. فخلينا ندخل بالتفاصيل.

شو هو Ransomware بالضبط وكيف يشتغل؟

خليني أبسطلك الموضوع بأبسط طريقة ممكنة. الـ Ransomware هو برنامج خبيث (Malware) هدفه الأساسي إنو يشفر كل ملفاتك — صور، مستندات، قواعد بيانات، كل إشي — وبعدين يطلب منك تدفع فدية (عادة بالعملات الرقمية زي Bitcoin أو Monero) عشان يعطيك مفتاح فك التشفير. يعني حرفياً بياخذ بياناتك رهينة وبيقولك "ادفع أو ما رح تشوفها بحياتك". والمشكلة إنو حتى لو دفعت، ما في ضمان إنو يرجعلك ملفاتك. في إحصائيات بتقول إنو 35% من اللي دفعوا الفدية ما استرجعوا بياناتهم كاملة.

هسا خليني أشرحلك مراحل هجوم الـ Ransomware خطوة بخطوة، لأنو فهم المراحل هاي رح يساعدك تعرف وين تحط الحماية:

╔══════════════════════════════════════════════════════════════════════╗
║              RANSOMWARE ATTACK LIFECYCLE                            ║
╠══════════════════════════════════════════════════════════════════════╣
║                                                                      ║
║  [1] Initial Access          Phishing, RDP, Exploit, Supply Chain   ║
║       │                                                              ║
║       ▼                                                              ║
║  [2] Execution & Persistence  Malware drops, registry keys, tasks   ║
║       │                                                              ║
║       ▼                                                              ║
║  [3] Privilege Escalation    Admin access, credential dumping        ║
║       │                                                              ║
║       ▼                                                              ║
║  [4] Lateral Movement        Spread across network, infect servers   ║
║       │                                                              ║
║       ▼                                                              ║
║  [5] Data Exfiltration       Steal sensitive data before encryption  ║
║       │                                                              ║
║       ▼                                                              ║
║  [6] Encryption              AES-256 + RSA-2048 lock all files       ║
║       │                                                              ║
║       ▼                                                              ║
║  [7] Ransom Note             Pay BTC/XMR or data gets published      ║
║                                                                      ║
╚══════════════════════════════════════════════════════════════════════╝

المرحلة الأولى هي Initial Access — يعني كيف المهاجم بيوصل لجهازك أو شبكتك أصلاً. وهاي ممكن تكون عن طريق إيميل تصيد (Phishing)، أو استغلال ثغرة بالنظام، أو حتى عن طريق Remote Desktop Protocol (RDP) لو كان مفتوح ومش محمي. بعد ما يدخل، بينتقل للمرحلة الثانية وهي Execution and Persistence — بيثبت البرنامج الخبيث وبيعمل طرق يضمن إنو يضل موجود حتى لو عملت ريستارت للجهاز. بعدين بيجي Privilege Escalation — بيحاول يوصل لصلاحيات Admin عشان يقدر يتحكم بكل إشي.

المرحلة الرابعة هي Lateral Movement — وهاي من أخطر المراحل لأنو المهاجم بيبدأ ينتشر بالشبكة كلها. بيروح من جهاز لجهاز، من سيرفر لسيرفر، لحد ما يسيطر على أكبر قدر ممكن. بعدين بيجي الإشي اللي بيخلي الموضوع أخطر بكتير — Data Exfiltration. قبل ما يشفر أي إشي، بيسرق نسخة من بياناتك الحساسة. ليش؟ عشان يستخدمها بالـ Double Extortion — يعني مش بس بيشفر ملفاتك، لا كمان بيهددك إنو ينشر بياناتك على الإنترنت لو ما دفعت. وفي كمان Triple Extortion — وهاد بيضيف هجوم DDoS على سيرفراتك عشان يضغط عليك أكتر.

بالنسبة للتشفير، أغلب مجموعات الـ Ransomware بتستخدم تشفير هجين — AES-256 لتشفير الملفات (لأنو سريع) وRSA-2048 أو أعلى لتشفير مفتاح الـ AES نفسه. هاد التشفير عملياً مستحيل تكسره بدون المفتاح الخاص. يعني لو ملفاتك انشفرت وما عندك نسخة احتياطية، فعلياً ملفاتك راحت إلا إذا في أداة فك تشفير مجانية متوفرة (وهاد نادر مع المجموعات الكبيرة). عشان هيك الوقاية أهم بمليون مرة من العلاج بهالموضوع.

أخطر مجموعات Ransomware في 2026

هسا بدي أعرفك على أخطر المجموعات اللي بتشتغل بمجال فيروسات الفدية في 2026. معرفة العدو نص المعركة، ولما تعرف مين بيستهدفك وكيف بيشتغل، بتقدر تحمي نفسك أحسن بكتير. خليني أحكيلك عن كل مجموعة بالتفصيل.

LockBit 4.0

هاي المجموعة هي الأكثر نشاطاً في 2026 بلا منازع. رغم إنو الجهات الأمنية حاولت تضربها أكتر من مرة، إلا إنها رجعت بنسخة 4.0 أقوى من قبل. LockBit بتشتغل بنموذج Ransomware-as-a-Service (RaaS) — يعني بتوفر البرنامج الخبيث لأي شخص بده يستخدمه مقابل نسبة من الفدية. سرعة التشفير عندهم مجنونة — بيقدروا يشفروا شبكة كاملة بأقل من ساعة. بيستهدفوا بشكل رئيسي قطاع الصحة والتعليم والحكومات.

BlackCat / ALPHV

هاي المجموعة مميزة لأنو برنامجها مكتوب بلغة Rust — وهاي لغة برمجة حديثة بتخلي البرنامج أسرع وأصعب بالتحليل. BlackCat بتستخدم تقنيات متقدمة جداً بالتشفير وبتقدر تشتغل على Windows وLinux وVMware ESXi. يعني بتقدر تضرب السيرفرات الافتراضية كمان. متوسط الفدية عندهم بيتراوح بين 500 ألف لـ 5 مليون دولار.

Cl0p

مجموعة Cl0p متخصصة بهجمات Supply Chain — يعني بيستهدفوا برامج وخدمات بتستخدمها شركات كتيرة، وبيستغلوا ثغرات فيها عشان يوصلوا لكل الشركات اللي بتستخدم هالبرنامج. هجمتهم الشهيرة على MOVEit Transfer أثرت على أكتر من 2500 شركة حول العالم. هاي المجموعة خطيرة لأنو هجمة وحدة ممكن تأثر على آلاف الضحايا.

Royal / BlackSuit و Akira و Play

مجموعة Royal اللي غيرت اسمها لـ BlackSuit بتستهدف بشكل رئيسي القطاع الصحي والبنية التحتية الحيوية. أما Akira فهي مجموعة جديدة نسبياً بس نموها سريع جداً وبتستهدف الشركات الصغيرة والمتوسطة بالتحديد — يعني الشريحة اللي ما عندها حماية قوية. ومجموعة Play بتركز على استغلال ثغرات VPN وRDP وبتستخدم أدوات شرعية زي Cobalt Strike عشان تتحرك داخل الشبكة بدون ما تنكشف.

كيف يوصل Ransomware لجهازك أو شبكتك؟

هسا بعد ما عرفنا شو هو الـ Ransomware ومين أخطر المجموعات، لازم نفهم كيف بيوصل لجهازك أصلاً. لأنو لو عرفت طرق الدخول، بتقدر تسكرها كلها. خليني أحكيلك عن كل طريقة بالتفصيل.

1. Phishing Emails — إيميلات التصيد (67% من الهجمات)

هاي أكثر طريقة شائعة وأكثر طريقة ناجحة. المهاجم بيبعتلك إيميل يبين إنو من جهة رسمية — بنك، شركة شحن، حتى من زميلك بالعمل. الإيميل بيكون فيه مرفق (ملف Word أو PDF أو ZIP) أو رابط. لما تفتح المرفق أو تضغط على الرابط، البرنامج الخبيث بينزل وبيبدأ يشتغل. في 2026، إيميلات التصيد صارت متطورة جداً بفضل الذكاء الاصطناعي — المهاجمين بيستخدموا AI عشان يكتبوا إيميلات مقنعة بدون أخطاء إملائية وبتبين حقيقية 100%. خليني أوريك كيف تحلل إيميل مشبوه:

# Analyzing a suspicious email header
# Check these fields for phishing indicators:

# 1. Check SPF, DKIM, DMARC results
Authentication-Results: spf=fail; dkim=fail; dmarc=fail

# 2. Check the actual sender (not display name)
From: "Microsoft Support" <support@micr0soft-security.xyz>
# RED FLAG: misspelled domain, suspicious TLD

# 3. Check Reply-To (often different from From)
Reply-To: hacker@protonmail.com
# RED FLAG: different domain than sender

# 4. Check for URL obfuscation in links
# Hover over links - don't click!
# Displayed: https://microsoft.com/security
# Actual:    https://micr0soft-security.xyz/payload.exe

# 5. PowerShell: Extract and check URLs from .eml file
$email = Get-Content suspicious.eml -Raw
$urls = [regex]::Matches($email, 'https?://[^\s"><]+')
$urls | ForEach-Object {
    $url = $_.Value
    # Check against VirusTotal API
    Write-Host "Checking: $url"
    # Use curl to check URL reputation
    # curl -s "https://www.virustotal.com/vtapi/v2/url/report?apikey=YOUR_KEY&resource=$url"
}

2. RDP Brute Force — اختراق سطح المكتب البعيد

الـ Remote Desktop Protocol (RDP) هو من أكتر نقاط الدخول اللي بيستغلها المهاجمين. كتير من الشركات والأفراد بيخلوا RDP مفتوح على الإنترنت (Port 3389) بدون حماية كافية. المهاجم بيستخدم أدوات Brute Force عشان يجرب آلاف كلمات المرور لحد ما يلاقي الصح. وبعد ما يدخل، بيكون عنده وصول كامل للجهاز. في محركات بحث زي Shodan بتقدر تلاقي آلاف أجهزة RDP مفتوحة على الإنترنت — وهاد إشي مرعب. الحل؟ لا تخلي RDP مفتوح على الإنترنت أبداً. استخدم VPN أو Zero Trust Network Access.

3. استغلال الثغرات — Exploiting Vulnerabilities

المهاجمين بيستغلوا ثغرات أمنية بالأنظمة والبرامج اللي ما تم تحديثها. وأخطر نوع هو ثغرات الـ Zero-day — يعني ثغرات ما حدا بيعرف عنها حتى الشركة المصنعة. في 2026، مجموعات زي Cl0p بتشتري ثغرات Zero-day من السوق السوداء وبتستخدمها لاختراق آلاف الشركات دفعة وحدة. عشان هيك التحديث المستمر لأنظمتك وبرامجك مش رفاهية — هو خط الدفاع الأول.

4. Supply Chain Attacks — هجمات سلسلة التوريد

هاي من أذكى وأخطر الطرق. بدل ما يهاجمك مباشرة، المهاجم بيخترق برنامج أو خدمة أنت بتستخدمها وبتثق فيها. يعني مثلاً بيخترق شركة برمجيات وبيحط كود خبيث بالتحديث الجديد. لما أنت تحدث البرنامج (وهاد إشي طبيعي ومتوقع)، البرنامج الخبيث بينزل عندك. أشهر مثال هو هجوم SolarWinds اللي أثر على آلاف الشركات والحكومات. وكمان في طرق تانية زي Drive-by Downloads (مجرد زيارة موقع مخترق)، USB Drops (فلاشات ملوثة بتنحط بأماكن عامة)، والـ Social Engineering (التلاعب النفسي بالموظفين عشان يعطوا معلومات أو يفتحوا ملفات).

علامات إن جهازك أو شبكتك تحت هجوم Ransomware

واحدة من أهم المهارات اللي لازم تتعلمها هي إنك تكتشف الهجوم بدري قبل ما يكمل. لأنو لو اكتشفته بمرحلة الـ Lateral Movement أو قبل التشفير، بتقدر توقفه وتنقذ بياناتك. المشكلة إنو كتير من الناس ما بيلاحظوا العلامات إلا بعد ما يكون فات الأوان وملفاتهم انشفرت. فخليني أحكيلك عن كل العلامات اللي لازم تنتبهلها.

العلامات الواضحة (بعد التشفير)

أول إشي وأوضح علامة هي إنك تلاقي ملفاتك بامتدادات غريبة ما شفتها قبل — زي .locked أو .encrypted أو .crypted أو حتى امتدادات عشوائية زي .a3b5c7. كل مجموعة Ransomware عندها امتداد خاص فيها. كمان رح تلاقي ملف على سطح المكتب أو بكل مجلد اسمه زي README.txt أو DECRYPT_INSTRUCTIONS.html أو HOW_TO_RECOVER.txt — هاد ملف الفدية اللي بيحكيلك كيف تدفع. وممكن كمان تتغير خلفية سطح المكتب لرسالة من المهاجمين.

العلامات المبكرة (قبل التشفير) — الأهم

هاي العلامات اللي لو انتبهتلها بتقدر تنقذ كل إشي. أول إشي — بطء مفاجئ وغير مبرر بالشبكة. هاد ممكن يكون بسبب Data Exfiltration — يعني المهاجم عم بينقل بياناتك لسيرفراته. ثاني إشي — عمليات مشبوهة بالـ Task Manager. لو شفت عمليات ما بتعرفها بتستهلك CPU أو ذاكرة بشكل غريب، هاد ممكن يكون البرنامج الخبيث عم بيشتغل. ثالث إشي — الـ Antivirus أو الـ Windows Defender انطفى لحاله فجأة. المهاجمين أول إشي بيعملوه هو تعطيل برامج الحماية. رابع إشي — Event Logs ممسوحة. لو فتحت Event Viewer ولقيت إنو السجلات انمسحت، هاد علامة خطيرة جداً لأنو المهاجم عم بيغطي آثاره.

كمان انتبه لأي محاولات تسجيل دخول فاشلة متكررة، أو حسابات جديدة ما أنت عاملها، أو أدوات غريبة زي PsExec أو Mimikatz أو Cobalt Strike موجودة على الأجهزة. هاي كلها أدوات بيستخدمها المهاجمين للتحرك داخل الشبكة. هسا خليني أعطيك سكربت PowerShell بيساعدك تكتشف هالعلامات بشكل تلقائي:

# Ransomware Early Detection Script - Shadow Hacker
# Run as Administrator on Windows

# 1. Check for suspicious file extensions
Write-Host "[*] Scanning for ransomware file extensions..." -ForegroundColor Cyan
$suspiciousExtensions = @('.locked', '.encrypted', '.crypted', '.crypt',
    '.enc', '.pay', '.ransom', '.wnry', '.locky', '.cerber')
$found = Get-ChildItem -Path C:\Users -Recurse -ErrorAction SilentlyContinue |
    Where-Object { $suspiciousExtensions -contains $_.Extension }
if ($found) {
    Write-Host "[!] ALERT: Suspicious files found!" -ForegroundColor Red
    $found | Select-Object FullName, Extension, LastWriteTime | Format-Table
} else {
    Write-Host "[+] No suspicious extensions found." -ForegroundColor Green
}

# 2. Check for ransom notes
Write-Host "`n[*] Checking for ransom notes..." -ForegroundColor Cyan
$ransomNotes = @('README.txt', 'DECRYPT*', 'HOW_TO_RECOVER*',
    'RESTORE_FILES*', 'YOUR_FILES*', '_readme.txt')
foreach ($pattern in $ransomNotes) {
    $notes = Get-ChildItem -Path C:\Users -Filter $pattern `
        -Recurse -ErrorAction SilentlyContinue
    if ($notes) {
        Write-Host "[!] ALERT: Possible ransom note: $($notes.FullName)" `
            -ForegroundColor Red
    }
}

# 3. Check if Windows Defender is disabled
Write-Host "`n[*] Checking Windows Defender status..." -ForegroundColor Cyan
$defenderStatus = Get-MpComputerStatus -ErrorAction SilentlyContinue
if ($defenderStatus.RealTimeProtectionEnabled -eq $false) {
    Write-Host "[!] ALERT: Real-time protection is DISABLED!" `
        -ForegroundColor Red
} else {
    Write-Host "[+] Real-time protection is active." -ForegroundColor Green
}

# 4. Check for cleared event logs
Write-Host "`n[*] Checking for cleared event logs..." -ForegroundColor Cyan
$clearedLogs = Get-WinEvent -FilterHashtable @{
    LogName='Security'; Id=1102
} -MaxEvents 5 -ErrorAction SilentlyContinue
if ($clearedLogs) {
    Write-Host "[!] ALERT: Security logs were recently cleared!" `
        -ForegroundColor Red
    $clearedLogs | Format-Table TimeCreated, Message -Wrap
}

# 5. Check for suspicious processes
Write-Host "`n[*] Checking for suspicious processes..." -ForegroundColor Cyan
$suspiciousProcs = @('psexec', 'mimikatz', 'cobalt', 'beacon',
    'rubeus', 'sharphound', 'bloodhound')
$procs = Get-Process | Where-Object {
    $name = $_.ProcessName.ToLower()
    $suspiciousProcs | Where-Object { $name -like "*$_*" }
}
if ($procs) {
    Write-Host "[!] ALERT: Suspicious processes detected!" -ForegroundColor Red
    $procs | Select-Object ProcessName, Id, Path | Format-Table
}

# 6. Check for high CPU encryption activity
Write-Host "`n[*] Checking for high CPU processes..." -ForegroundColor Cyan
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 `
    ProcessName, Id, CPU, WorkingSet64 | Format-Table

Write-Host "`n[*] Scan complete." -ForegroundColor Cyan

الخطوة الأولى — النسخ الاحتياطي (Backup Strategy)

أحب أقولك إشي بصراحة — لو ما عندك نسخ احتياطية، أنت فعلياً تحت رحمة المهاجمين. النسخ الاحتياطي هو خط الدفاع الأخير والأهم ضد Ransomware. حتى لو كل طبقات الحماية الثانية فشلت، لو عندك نسخة احتياطية سليمة ومحدثة، بتقدر ترجع بياناتك بدون ما تدفع فلس واحد. بس المشكلة إنو كتير من الناس بيعملوا نسخ احتياطي بطريقة غلط — وبيكتشفوا هالإشي بأسوأ وقت ممكن.

قاعدة 3-2-1 الكلاسيكية

هاي القاعدة الذهبية للنسخ الاحتياطي وبتقول: احتفظ بـ 3 نسخ من بياناتك، على 2 وسائط تخزين مختلفة (مثلاً هارد خارجي + كلاود)، و1 نسخة خارج الموقع (Offsite — يعني مش بنفس المكان الفيزيائي). بس في 2026، هاي القاعدة لحالها ما عادت كافية. ليش؟ لأنو مجموعات الـ Ransomware صارت تستهدف النسخ الاحتياطية بالتحديد. أول إشي بيعملوه بعد ما يدخلوا الشبكة هو إنهم يدوروا على النسخ الاحتياطية ويشفروها أو يمسحوها.

قاعدة 3-2-1-1-0 المحدثة

عشان هيك ظهرت القاعدة المحدثة 3-2-1-1-0 وهاي بتضيف طبقتين إضافيتين: 1 نسخة Offline (يعني مفصولة عن الشبكة تماماً — Air-gapped) و0 أخطاء (يعني لازم تتأكد إنو النسخ الاحتياطية سليمة وبتشتغل عن طريق اختبار الاستعادة بشكل دوري). النسخة الـ Offline هي اللي رح تنقذك لأنو المهاجم ما بيقدر يوصلها مهما عمل — لأنها حرفياً مش متصلة بأي شبكة.

أنواع النسخ الاحتياطي

في ثلاث أنواع رئيسية لازم تفهمها: Full Backup — نسخة كاملة من كل البيانات. هاي بتاخذ وقت ومساحة بس بتكون أسهل بالاستعادة. Incremental Backup — بتنسخ بس التغييرات اللي صارت من آخر نسخة (سواء كاملة أو تزايدية). هاي أسرع وأصغر بس الاستعادة بتاخذ وقت أطول لأنك محتاج كل النسخ التزايدية. Differential Backup — بتنسخ كل التغييرات من آخر نسخة كاملة. حجمها بين الاثنين والاستعادة أسرع من التزايدية. أنا بنصح بمزيج: نسخة كاملة أسبوعية + نسخ تزايدية يومية.

أدوات مجانية للنسخ الاحتياطي

ما لازم تدفع مصاري عشان يكون عندك نسخ احتياطي محترم. في أدوات مجانية ومفتوحة المصدر ممتازة. أنا شخصياً بستخدم restic وبحبه لأنو سريع، بيدعم التشفير، وبيشتغل مع أي مكان تخزين (لوكال، S3، SFTP، وغيرها). كمان في BorgBackup اللي ممتاز للـ Linux، وDuplicati اللي عنده واجهة رسومية سهلة، وVeeam Community Edition اللي مجاني للاستخدام الشخصي والشركات الصغيرة. هسا خليني أوريك كيف تعمل نسخ احتياطي تلقائي باستخدام restic:

#!/bin/bash
# Automated Restic Backup Script - Shadow Hacker
# Save as: /opt/scripts/backup.sh

# Configuration
export RESTIC_REPOSITORY="/mnt/backup/restic-repo"
export RESTIC_PASSWORD_FILE="/root/.restic-password"
BACKUP_PATHS="/home /etc /var/www /opt/data"
EXCLUDE_FILE="/opt/scripts/backup-excludes.txt"
LOG_FILE="/var/log/restic-backup.log"
RETENTION_DAYS=30
RETENTION_WEEKS=8
RETENTION_MONTHS=12

# Initialize repo if not exists
if ! restic snapshots > /dev/null 2>&1; then
    echo "[$(date)] Initializing restic repository..." | tee -a "$LOG_FILE"
    restic init
fi

echo "[$(date)] Starting backup..." | tee -a "$LOG_FILE"

# Run backup with exclude patterns
restic backup \
    $BACKUP_PATHS \
    --exclude-file="$EXCLUDE_FILE" \
    --exclude-caches \
    --verbose \
    2>&1 | tee -a "$LOG_FILE"

# Check backup integrity
echo "[$(date)] Verifying backup integrity..." | tee -a "$LOG_FILE"
restic check --read-data-subset=5% 2>&1 | tee -a "$LOG_FILE"

# Apply retention policy (keep backups organized)
echo "[$(date)] Applying retention policy..." | tee -a "$LOG_FILE"
restic forget \
    --keep-daily $RETENTION_DAYS \
    --keep-weekly $RETENTION_WEEKS \
    --keep-monthly $RETENTION_MONTHS \
    --prune \
    2>&1 | tee -a "$LOG_FILE"

# Verify latest snapshot can be restored (test restore)
LATEST=$(restic snapshots --json | jq -r '.[-1].id')
echo "[$(date)] Test restoring snapshot $LATEST..." | tee -a "$LOG_FILE"
restic restore "$LATEST" --target /tmp/restore-test --include "/etc/hostname" \
    2>&1 | tee -a "$LOG_FILE"

if [ -f /tmp/restore-test/etc/hostname ]; then
    echo "[$(date)] Restore test PASSED" | tee -a "$LOG_FILE"
    rm -rf /tmp/restore-test
else
    echo "[$(date)] ALERT: Restore test FAILED!" | tee -a "$LOG_FILE"
    # Send alert (customize with your notification method)
    # curl -X POST "https://your-webhook" -d "Backup restore test failed!"
fi

echo "[$(date)] Backup completed successfully." | tee -a "$LOG_FILE"

# --- Crontab entry (add with: crontab -e) ---
# Run daily at 2:00 AM
# 0 2 * * * /opt/scripts/backup.sh

Air-Gapped Backups — النسخ المعزولة

خليني أشدد على نقطة مهمة جداً — النسخ الاحتياطية المعزولة (Air-gapped) هي أهم إشي بتقدر تعمله. الفكرة بسيطة: عندك هارد خارجي أو شريط تخزين (Tape) بتوصله بالجهاز وقت النسخ الاحتياطي بس، وبعد ما يخلص بتفصله وبتحطه بمكان آمن. المهاجم ما بيقدر يشفر إشي مش متصل بالشبكة. بعض الشركات بتستخدم أنظمة تخزين Immutable — يعني بمجرد ما البيانات تنكتب، ما حدا بيقدر يعدلها أو يمسحها لفترة محددة. خدمات زي AWS S3 Object Lock وAzure Immutable Blob Storage بتوفر هالميزة.

اختبار الاستعادة — أهم خطوة بينساها الجميع

بصراحة، هاي أكبر غلطة بشوفها. ناس بتعمل نسخ احتياطي بانتظام بس ما عمرها جربت ترجع البيانات من النسخة. وبيكتشفوا إنو النسخ فاسدة أو ناقصة أو ما بتشتغل — بأسوأ وقت ممكن يعني وقت الهجوم. لازم تعمل اختبار استعادة كامل على الأقل مرة بالشهر. جرب ترجع ملفات عشوائية، جرب ترجع قاعدة بيانات كاملة، جرب ترجع سيرفر كامل. وسجل النتائج. لو الاستعادة فشلت، عالج المشكلة فوراً. النسخة الاحتياطية اللي ما بتقدر ترجعها هي نفس إشي ما عندك نسخة أصلاً.

تأمين الشبكة من Ransomware

الشبكة هي الساحة اللي بيتحرك فيها المهاجم بعد ما يدخل. لو شبكتك مفتوحة وكل إشي متصل بكل إشي، المهاجم رح ينتشر زي النار بالهشيم. بس لو شبكتك مقسمة ومحمية صح، بتقدر تحد الضرر وتوقف الانتشار. خليني أحكيلك عن أهم الخطوات لتأمين شبكتك.

Network Segmentation — فصل الشبكات

هاي من أهم الخطوات اللي بتقدر تعملها. الفكرة إنك تقسم شبكتك لأجزاء منفصلة (Segments أو VLANs) وتتحكم بالتواصل بينها. يعني مثلاً: شبكة الموظفين منفصلة عن شبكة السيرفرات، وشبكة السيرفرات منفصلة عن شبكة قواعد البيانات، وشبكة الضيوف منفصلة عن الكل. بهالطريقة، لو المهاجم اخترق جهاز موظف، ما بيقدر يوصل مباشرة للسيرفرات أو قواعد البيانات. لازم يخترق كل طبقة لحالها — وهاد بياخذ وقت وبيعطيك فرصة تكتشفه.

Firewall Rules — قواعد الجدار الناري

الـ Firewall مش بس إنك تحطه وتنساه. لازم تعمل قواعد صارمة — اسمح بس بالبورتات والبروتوكولات اللي فعلاً محتاجها. أي إشي ثاني يكون ممنوع بشكل افتراضي (Default Deny). بالتحديد، تأكد إنك سادد البورتات هاي من الإنترنت: Port 3389 (RDP)، Port 445 (SMB)، Port 135-139 (NetBIOS). هاي البورتات هي أكتر البورتات اللي بيستغلها المهاجمين. وكمان فعّل logging على الـ Firewall عشان تقدر تراقب أي محاولات مشبوهة.

تأمين RDP أو تعطيله

بصراحة، أفضل إشي تعمله هو تعطيل RDP بالكامل لو مش محتاجه. بس لو لازم تستخدمه، ما تخليه مفتوح على الإنترنت أبداً. حطه ورا VPN عشان أي حدا بده يوصل لازم أولاً يتصل بالـ VPN. وفعّل Multi-Factor Authentication (MFA) — يعني حتى لو حدا عرف كلمة المرور، ما بيقدر يدخل بدون الكود الثاني. وغيّر البورت الافتراضي من 3389 لبورت ثاني (هاد مش حماية حقيقية بس بيقلل الهجمات الأوتوماتيكية). وحط Account Lockout Policy — يعني بعد 5 محاولات فاشلة الحساب ينقفل.

DNS Filtering — فلترة الـ DNS

كتير من البرامج الخبيثة بتتواصل مع سيرفرات التحكم (C2 Servers) عن طريق الـ DNS. لو استخدمت خدمة DNS filtering زي Quad9 (9.9.9.9) أو Cloudflare Gateway أو Pi-hole، بتقدر تحظر الدومينات الخبيثة المعروفة تلقائياً. يعني حتى لو البرنامج الخبيث نزل على جهاز، ما رح يقدر يتواصل مع المهاجم لأنو الـ DNS مش رح يحل عنوان السيرفر الخبيث.

IDS/IPS — أنظمة كشف ومنع التسلل

أنظمة الـ Intrusion Detection/Prevention بتراقب حركة الشبكة وبتكتشف الأنشطة المشبوهة. في أدوات مجانية ممتازة زي Suricata وSnort. هاي الأدوات بتقدر تكتشف محاولات الاختراق، حركة البرامج الخبيثة، ومحاولات نقل البيانات المشبوهة. خليني أوريك كيف تعمل قواعد Suricata مخصصة لكشف نشاط Ransomware:

# Suricata Rules for Ransomware Detection
# Save to: /etc/suricata/rules/ransomware.rules

# Detect known ransomware C2 communication patterns
alert tls $HOME_NET any -> $EXTERNAL_NET any (
    msg:"RANSOMWARE Possible C2 TLS connection to .onion proxy";
    tls.sni; content:".onion."; nocase;
    classtype:trojan-activity; sid:3000001; rev:1;
)

# Detect large data exfiltration (possible pre-encryption theft)
alert tcp $HOME_NET any -> $EXTERNAL_NET any (
    msg:"RANSOMWARE Possible data exfiltration - large upload";
    flow:to_server,established;
    dsize:>10000;
    threshold: type both, track by_src, count 100, seconds 60;
    classtype:policy-violation; sid:3000002; rev:1;
)

# Detect SMB lateral movement (EternalBlue-style)
alert smb $HOME_NET any -> $HOME_NET any (
    msg:"RANSOMWARE Possible SMB lateral movement";
    flow:to_server,established;
    smb.share; content:"ADMIN$"; nocase;
    classtype:trojan-activity; sid:3000003; rev:1;
)

# Detect PsExec usage (common in ransomware deployment)
alert smb $HOME_NET any -> $HOME_NET any (
    msg:"RANSOMWARE PsExec service installation detected";
    flow:to_server,established;
    content:"PSEXESVC"; nocase;
    classtype:trojan-activity; sid:3000004; rev:1;
)

# Detect rapid file rename operations (encryption indicator)
alert smb $HOME_NET any -> $HOME_NET any (
    msg:"RANSOMWARE Rapid file rename - possible encryption";
    flow:to_server,established;
    smb.cmd; content:"rename";
    threshold: type both, track by_src, count 50, seconds 10;
    classtype:trojan-activity; sid:3000005; rev:1;
)

# Detect Cobalt Strike beacon traffic
alert http $HOME_NET any -> $EXTERNAL_NET any (
    msg:"RANSOMWARE Possible Cobalt Strike beacon";
    flow:to_server,established;
    http.uri; content:"/submit.php?id="; depth:20;
    http.header; content:"Cookie:";
    pcre:"/Cookie:\s[a-zA-Z0-9+/]{60,}={0,2}/";
    classtype:trojan-activity; sid:3000006; rev:1;
)

تأمين الأجهزة (Endpoint Protection)

بعد ما أمّنا الشبكة، لازم نأمّن الأجهزة نفسها — سواء كانت أجهزة Windows أو Linux أو حتى سيرفرات. الجهاز هو نقطة النهاية (Endpoint) واللي منها المهاجم بيبدأ هجومه وعليها بيشفر الملفات. فكل ما كان الجهاز محمي أكتر، كل ما صعّبت على المهاجم يشتغل.

Windows Hardening — تقوية نظام ويندوز

ويندوز هو أكتر نظام مستهدف من Ransomware لأنو الأكثر استخداماً. في خطوات كتيرة بتقدر تعملها عشان تقوي حمايته. أول إشي وأهم إشي — تعطيل الماكرو (Macros) بملفات Office. أغلب هجمات Phishing بتعتمد على ملفات Word أو Excel فيها ماكرو خبيث. لما تعطل الماكرو، حتى لو الموظف فتح الملف، الكود الخبيث ما رح يشتغل. ثاني إشي — PowerShell Constrained Language Mode. الـ PowerShell أداة قوية جداً بس المهاجمين بيستخدموها كتير لتنفيذ أوامرهم. لما تحطها بوضع Constrained، بتحد من الأوامر اللي بتقدر تنفذها وبتمنع تحميل وتشغيل أكواد خبيثة. ثالث إشي — AppLocker أو Windows Defender Application Control (WDAC). هاي بتسمحلك تحدد بالضبط شو البرامج المسموح تشتغل على الجهاز. أي برنامج مش بالقائمة البيضاء ما رح يشتغل — وهاد بيشمل الـ Ransomware.

هسا خليني أعطيك سكربت PowerShell شامل بيعمل كل هالإعدادات مع بعض:

# Windows Hardening Against Ransomware - Shadow Hacker
# Run as Administrator

Write-Host "=== Shadow Hacker - Windows Ransomware Hardening ===" `
    -ForegroundColor Red
Write-Host ""

# 1. Disable Office Macros via Registry
Write-Host "[1] Disabling Office Macros..." -ForegroundColor Cyan
$officeVersions = @("16.0", "15.0")  # Office 2016/2019/365, Office 2013
$officeApps = @("Word", "Excel", "PowerPoint")
foreach ($ver in $officeVersions) {
    foreach ($app in $officeApps) {
        $regPath = "HKCU:\Software\Microsoft\Office\$ver\$app\Security"
        if (!(Test-Path $regPath)) {
            New-Item -Path $regPath -Force | Out-Null
        }
        # VBAWarnings = 4 means disable all macros without notification
        Set-ItemProperty -Path $regPath -Name "VBAWarnings" -Value 4 `
            -Type DWord -Force
        # Block macros from internet
        Set-ItemProperty -Path $regPath -Name "blockcontentexecutionfrominternet" `
            -Value 1 -Type DWord -Force
    }
}
Write-Host "[+] Office Macros disabled successfully." -ForegroundColor Green

# 2. Enable PowerShell Constrained Language Mode
Write-Host "`n[2] Configuring PowerShell Constrained Mode..." `
    -ForegroundColor Cyan
# Set environment variable for Constrained Language Mode
[Environment]::SetEnvironmentVariable(
    '__PSLockdownPolicy', '4', 'Machine'
)
# Enable PowerShell Script Block Logging
$psLogPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"
if (!(Test-Path $psLogPath)) {
    New-Item -Path $psLogPath -Force | Out-Null
}
Set-ItemProperty -Path $psLogPath -Name "EnableScriptBlockLogging" `
    -Value 1 -Type DWord
# Enable Module Logging
$psModPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging"
if (!(Test-Path $psModPath)) {
    New-Item -Path $psModPath -Force | Out-Null
}
Set-ItemProperty -Path $psModPath -Name "EnableModuleLogging" `
    -Value 1 -Type DWord
Write-Host "[+] PowerShell hardened successfully." -ForegroundColor Green

# 3. Disable Remote Desktop (if not needed)
Write-Host "`n[3] Disabling RDP..." -ForegroundColor Cyan
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" `
    -Name "fDenyTSConnections" -Value 1 -Type DWord
# Disable RDP through firewall
Disable-NetFirewallRule -DisplayGroup "Remote Desktop" `
    -ErrorAction SilentlyContinue
Write-Host "[+] RDP disabled." -ForegroundColor Green

# 4. Enable Controlled Folder Access (Ransomware Protection)
Write-Host "`n[4] Enabling Controlled Folder Access..." -ForegroundColor Cyan
Set-MpPreference -EnableControlledFolderAccess Enabled
# Add protected folders
$protectedFolders = @(
    "$env:USERPROFILE\Documents",
    "$env:USERPROFILE\Desktop",
    "$env:USERPROFILE\Pictures",
    "D:\Data",
    "D:\Projects"
)
foreach ($folder in $protectedFolders) {
    if (Test-Path $folder) {
        Add-MpPreference -ControlledFolderAccessProtectedFolders $folder
    }
}
Write-Host "[+] Controlled Folder Access enabled." -ForegroundColor Green

# 5. Enable Attack Surface Reduction (ASR) Rules
Write-Host "`n[5] Enabling ASR Rules..." -ForegroundColor Cyan
$asrRules = @{
    # Block executable content from email and webmail
    "BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550" = 1
    # Block Office apps from creating executable content
    "3B576869-A4EC-4529-8536-B80A7769E899" = 1
    # Block Office apps from creating child processes
    "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" = 1
    # Block JavaScript/VBScript from launching downloaded content
    "D3E037E1-3EB8-44C8-A917-57927947596D" = 1
    # Block execution of potentially obfuscated scripts
    "5BEB7EFE-FD9A-4556-801D-275E5FFC04CC" = 1
    # Block credential stealing from LSASS
    "9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2" = 1
    # Block process creations from PSExec and WMI
    "D1E49AAC-8F56-4280-B9BA-993A6D77406C" = 1
    # Block ransomware behavior patterns
    "C1DB55AB-C21A-4637-BB3F-A12568109D35" = 1
}
foreach ($rule in $asrRules.GetEnumerator()) {
    Add-MpPreference -AttackSurfaceReductionRules_Ids $rule.Key `
        -AttackSurfaceReductionRules_Actions $rule.Value
}
Write-Host "[+] ASR Rules enabled." -ForegroundColor Green

# 6. Disable SMBv1 (used by WannaCry and others)
Write-Host "`n[6] Disabling SMBv1..." -ForegroundColor Cyan
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol `
    -NoRestart -ErrorAction SilentlyContinue
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Write-Host "[+] SMBv1 disabled." -ForegroundColor Green

# 7. Enable Windows Firewall logging
Write-Host "`n[7] Enabling Firewall logging..." -ForegroundColor Cyan
Set-NetFirewallProfile -Profile Domain,Public,Private `
    -LogBlocked True -LogAllowed False `
    -LogFileName "%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log" `
    -LogMaxSizeKilobytes 32767
Write-Host "[+] Firewall logging enabled." -ForegroundColor Green

Write-Host "`n=== Hardening Complete ===" -ForegroundColor Red
Write-Host "IMPORTANT: Restart the computer to apply all changes." `
    -ForegroundColor Yellow

Linux Hardening — تقوية نظام لينكس

لو بتشتغل على سيرفرات Linux، لا تفكر إنك بأمان. مجموعات زي BlackCat وAkira عندها نسخ خاصة بـ Linux وVMware ESXi. أول إشي — فعّل SELinux أو AppArmor وتأكد إنهم شغالين بوضع Enforcing مش Permissive. هاي الأنظمة بتحد من صلاحيات البرامج وبتمنعها تعمل أي إشي خارج نطاقها المحدد. ثاني إشي — استخدم Immutable File Attributes على الملفات المهمة. يعني حتى لو المهاجم وصل لصلاحيات root، ما بيقدر يعدل أو يمسح ملفات معينة. استخدم الأمر chattr +i filename عشان تخلي الملف غير قابل للتعديل. وكمان فعّل auditd لمراقبة كل العمليات على الملفات الحساسة.

EDR Solutions — حلول كشف واستجابة نقاط النهاية

الـ Antivirus التقليدي ما عاد كافي بـ 2026. محتاج EDR (Endpoint Detection and Response) — وهاد نظام أذكى بكتير بيراقب سلوك البرامج مش بس التوقيعات. يعني لو برنامج بدأ يشفر ملفات بسرعة، الـ EDR بيكتشف هالسلوك ويوقفه حتى لو البرنامج جديد وما حدا شافه قبل. في حلول مجانية ممتازة: Wazuh — هاد نظام SIEM + EDR مفتوح المصدر وقوي جداً. بيقدر يراقب الملفات، يكتشف التغييرات، يحلل السجلات، ويرسلك تنبيهات. OSSEC — نظام كشف تسلل مبني على المضيف (HIDS) مجاني ومفتوح المصدر. وكمان Velociraptor — أداة جبارة للتحقيق الرقمي والاستجابة للحوادث.

Application Whitelisting — القائمة البيضاء للتطبيقات

هاي من أقوى طبقات الحماية اللي بتقدر تطبقها. الفكرة بسيطة — بدل ما تحاول تحظر كل البرامج الخبيثة (وهاد مستحيل لأنو كل يوم في برامج جديدة)، بتسمح بس للبرامج المعروفة والموثوقة إنها تشتغل. أي إشي ثاني ممنوع تلقائياً. على Windows بتقدر تستخدم AppLocker أو WDAC. على Linux بتقدر تستخدم fapolicyd أو AIDE. هاد الأسلوب بيوقف الـ Ransomware بشكل فعال جداً لأنو البرنامج الخبيث ببساطة ما رح يقدر يشتغل — مش موجود بالقائمة البيضاء. التحدي الوحيد هو إنك لازم تدير القائمة وتحدثها كل ما ثبتت برنامج جديد، بس الحماية اللي بتوفرها تستاهل الجهد.

8. Email Security — خط الدفاع الأول

خليني أحكيلك إحصائية بتخوف — 67% من هجمات Ransomware بتبدأ من إيميل. يعني ثلثين الهجمات اللي بتصير حول العالم سببها إنو حدا فتح مرفق خبيث أو ضغط على رابط مشبوه بإيميل. الإيميل هو البوابة الرئيسية للمهاجمين لأنو بيوصل مباشرة للموظف — الحلقة الأضعف بأي منظومة أمنية. وبـ 2026 مع تطور أدوات الذكاء الاصطناعي، إيميلات التصيد صارت مقنعة لدرجة إنو حتى الخبراء ممكن ينخدعوا فيها. المهاجمين بيستخدموا AI عشان يكتبوا إيميلات بلغة مثالية، بدون أخطاء، ومخصصة لكل ضحية بناءً على معلوماته المتوفرة على الإنترنت.

SPF, DKIM, DMARC — الثلاثي الذهبي لحماية الإيميل

هاي ثلاث تقنيات أساسية لازم تفعلها على دومينك عشان تمنع المهاجمين من إرسال إيميلات باسم شركتك (Email Spoofing). الـ SPF (Sender Policy Framework) بيحدد مين السيرفرات المسموح لها ترسل إيميلات من دومينك. الـ DKIM (DomainKeys Identified Mail) بيضيف توقيع رقمي على كل إيميل عشان يثبت إنو ما تم التلاعب فيه. والـ DMARC (Domain-based Message Authentication) بيجمع الاثنين مع بعض وبيحدد شو يصير بالإيميلات اللي بتفشل بالتحقق — ترفضها أو تحطها بالسبام. هسا خليني أوريك كيف تعمل إعداد DMARC record صحيح:

# DNS TXT Records for Email Security

# 1. SPF Record - Add to your DNS zone
your-domain.com.  IN TXT  "v=spf1 mx ip4:203.0.113.0/24 include:_spf.google.com -all"

# 2. DKIM - Generate keys first:
# opendkim-genkey -s selector2026 -d your-domain.com
selector2026._domainkey.your-domain.com.  IN TXT  "v=DKIM1; k=rsa; p=YOUR_PUBLIC_KEY_HERE"

# 3. DMARC Record - Phased deployment
# Phase 1 - Monitor (p=none):
_dmarc.your-domain.com.  IN TXT  "v=DMARC1; p=none; rua=mailto:dmarc@your-domain.com; pct=100"

# Phase 2 - Quarantine (after 2-4 weeks):
_dmarc.your-domain.com.  IN TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@your-domain.com; pct=100"

# Phase 3 - Reject (full protection):
_dmarc.your-domain.com.  IN TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@your-domain.com; sp=reject; adkim=s; aspf=s; pct=100"

# Verify:
# nslookup -type=txt _dmarc.your-domain.com
# dig txt your-domain.com +short

Email Filtering و Sandbox لفحص المرفقات

بالإضافة لـ SPF/DKIM/DMARC، محتاج نظام فلترة إيميلات قوي بيفحص كل إيميل داخل قبل ما يوصل للموظف. في حلول مجانية ممتازة: MailScanner بيفحص الإيميلات ضد الفيروسات والسبام، وSpamAssassin بيستخدم قواعد ذكية لتصنيف الإيميلات. الأهم من هيك — لازم تفعل Attachment Sandboxing. يعني أي مرفق بيوصل بالإيميل بينفتح أولاً ببيئة معزولة (Sandbox) وبيتم تحليل سلوكه. لو المرفق حاول يشغل أكواد خبيثة أو يتواصل مع سيرفرات مشبوهة، بينحظر تلقائياً. أدوات زي Cuckoo Sandbox (مفتوح المصدر) بتقدر تعمل هالإشي. وكمان في ANY.RUN اللي بيعطيك sandbox تفاعلي بتقدر تحلل فيه الملفات المشبوهة يدوياً.

تدريب الموظفين على كشف Phishing

التقنية لحالها ما بتكفي — لازم تدرب موظفينك. اعمل حملات Phishing Simulation شهرية — ابعت إيميلات تصيد وهمية وشوف مين بيضغط عليها. اللي بيضغط، ما تعاقبه — علمه. استخدم أدوات مجانية زي GoPhish لإدارة حملات التوعية. علم الموظفين يتحققوا من: عنوان المرسل الحقيقي (مش بس الاسم الظاهر)، الروابط قبل ما يضغطوا عليها (Hover over)، أي إحساس بالاستعجال أو التهديد بالإيميل، والمرفقات غير المتوقعة. خلي عندهم ثقافة إنو "لو شاكك بإيميل، بلّغ عنه ولا تفتحه". هاي الثقافة أفضل من ألف جدار ناري.

9. إدارة الصلاحيات والوصول — Zero Trust

واحدة من أكبر الأخطاء اللي بشوفها هي إنو كل الموظفين عندهم صلاحيات Admin أو وصول لكل إشي بالشبكة. هاد الإشي بيخلي شغل المهاجم سهل جداً — بيخترق حساب موظف واحد وبيوصل لكل البيانات. الحل هو تطبيق مبدأ Zero Trust — يعني "لا تثق بأي حدا، تحقق من الكل". ما تعطي أي مستخدم أو جهاز وصول تلقائي لأي إشي. كل طلب وصول لازم يتم التحقق منه بغض النظر مين الشخص أو وين موجود.

Principle of Least Privilege — مبدأ أقل صلاحية

هاد المبدأ بيقول: أعطي كل مستخدم بالضبط الصلاحيات اللي محتاجها لشغله — لا أكتر ولا أقل. المحاسب ما محتاج وصول لسيرفرات التطوير. والمبرمج ما محتاج وصول لقاعدة بيانات الرواتب. كل واحد بياخذ بس اللي محتاجه. وهاد بينطبق كمان على الـ Service Accounts — الحسابات اللي بتستخدمها البرامج والخدمات. كتير من المهاجمين بيستغلوا Service Accounts لأنها عادة عندها صلاحيات عالية وكلمات مرورها ما بتتغير. لازم تراجع صلاحيات كل الحسابات بشكل دوري وتشيل أي صلاحية مش ضرورية.

MFA — المصادقة متعددة العوامل (مش SMS)

فعّل MFA على كل إشي — كل إشي بدون استثناء. إيميل، VPN، أنظمة إدارة، سيرفرات، كل إشي. بس لا تستخدم SMS كعامل ثاني — الرسائل النصية ممكن تنسرق عن طريق SIM Swapping. استخدم FIDO2 Security Keys (زي YubiKey) أو TOTP Authenticator Apps (زي Google Authenticator أو Authy). مفاتيح FIDO2 هي الأقوى لأنها مقاومة لهجمات Phishing — حتى لو المستخدم دخل على صفحة تصيد، المفتاح ما رح يشتغل لأنو بيتحقق من الدومين الحقيقي.

Privileged Access Management و Active Directory Hardening

الحسابات ذات الصلاحيات العالية (Domain Admins, Enterprise Admins) هي الهدف الأول للمهاجمين. استخدم PAM (Privileged Access Management) عشان تتحكم بالوصول لهالحسابات. الفكرة إنو ما حدا عنده وصول دائم لصلاحيات Admin — بيطلب الوصول لما يحتاجه وبيحصل عليه لفترة محدودة (Just-in-Time Access). بالنسبة لـ Active Directory — هاد قلب الشبكة وأول إشي بيستهدفه المهاجمين. لازم تعمل: تعطيل الحسابات القديمة، تفعيل LAPS (Local Administrator Password Solution) عشان كل جهاز يكون عنده كلمة مرور Admin مختلفة، حماية الـ KRBTGT account، ومراقبة أي تغييرات على Group Policy. هسا خليني أعطيك سكربت PowerShell لمراجعة الصلاحيات:

# Active Directory Privilege Audit - Shadow Hacker
# Run on Domain Controller as Domain Admin

Write-Host "=== Shadow Hacker - AD Privilege Audit ===" -ForegroundColor Red

# 1. List all Domain Admins
Write-Host "`n[1] Domain Admins:" -ForegroundColor Cyan
Get-ADGroupMember -Identity "Domain Admins" -Recursive |
    Select-Object Name, SamAccountName, Enabled |
    Format-Table -AutoSize

# 2. Find accounts with AdminCount=1 (privileged)
Write-Host "[2] Privileged Accounts (AdminCount=1):" -ForegroundColor Cyan
Get-ADUser -Filter {AdminCount -eq 1} -Properties AdminCount, LastLogonDate |
    Select-Object Name, SamAccountName, Enabled, LastLogonDate |
    Format-Table -AutoSize

# 3. Find inactive privileged accounts (90+ days no login)
Write-Host "[3] Inactive privileged accounts:" -ForegroundColor Yellow
$threshold = (Get-Date).AddDays(-90)
Get-ADUser -Filter {AdminCount -eq 1 -and LastLogonDate -lt $threshold} `
    -Properties LastLogonDate |
    Select-Object Name, SamAccountName, LastLogonDate |
    Format-Table -AutoSize

# 4. Service accounts in privileged groups
Write-Host "[4] Service accounts in admin groups:" -ForegroundColor Cyan
$privGroups = @("Domain Admins", "Enterprise Admins", "Administrators")
foreach ($group in $privGroups) {
    $members = Get-ADGroupMember -Identity $group -Recursive |
        Where-Object { $_.SamAccountName -like "svc_*" -or
                       $_.SamAccountName -like "service*" }
    if ($members) {
        Write-Host "  [!] Service accounts in $group :" -ForegroundColor Red
        $members | Select-Object Name, SamAccountName | Format-Table
    }
}

# 5. Check for users with Password Never Expires
Write-Host "[5] Users with Password Never Expires:" -ForegroundColor Yellow
Get-ADUser -Filter {PasswordNeverExpires -eq $true -and Enabled -eq $true} |
    Select-Object Name, SamAccountName |
    Format-Table -AutoSize

Write-Host "=== Audit Complete ===" -ForegroundColor Red

10. Patch Management — سد الثغرات قبل ما يستغلوها

إحصائية صادمة — أكثر من 60% من هجمات Ransomware الناجحة بتستغل ثغرات أمنية معروفة وموجود لها تحديثات. يعني الشركة كانت تقدر تحمي نفسها بس لو حدّثت أنظمتها بالوقت. التحديثات مش رفاهية ومش إشي بتأجله — هي خط دفاع أساسي. كل يوم بتأخر فيه تحديث ثغرة معروفة، أنت بتعطي المهاجمين فرصة يستغلوها.

أولويات التحديث — CISA KEV Catalog

مش كل الثغرات بنفس الخطورة. عشان هيك لازم يكون عندك نظام أولويات. أفضل مرجع هو CISA Known Exploited Vulnerabilities (KEV) Catalog — هاي قائمة بتحدثها وكالة الأمن السيبراني الأمريكية وبتحتوي على الثغرات اللي فعلياً بيتم استغلالها بالهجمات الحقيقية. لو ثغرة موجودة بهالقائمة، لازم تحدثها خلال أيام مش أسابيع. بعدها بتيجي الثغرات بتصنيف CVSS 9.0+ (Critical)، وبعدين الثغرات اللي عليها Proof of Concept عام. استخدم أدوات مجانية زي WSUS لتحديث أنظمة Windows، وosquery لمراقبة حالة التحديثات على كل الأجهزة، وAnsible لأتمتة التحديثات على سيرفرات Linux.

Virtual Patching مع WAF

أحياناً ما بتقدر تحدث نظام فوراً — ممكن يكون نظام قديم أو التحديث محتاج اختبار طويل. بهالحالة استخدم Virtual Patching عن طريق WAF (Web Application Firewall) أو IPS. الفكرة إنك تحط قاعدة بتمنع استغلال الثغرة بدون ما تعدل على النظام نفسه. هاد حل مؤقت لحد ما تقدر تطبق التحديث الحقيقي. أدوات زي ModSecurity (مفتوح المصدر) بتوفر هالميزة مجاناً. هسا خليني أوريك Ansible Playbook للتحديثات التلقائية:

# Ansible Playbook - Automated Patch Management
# Save as: /opt/ansible/patch-management.yml
---
- name: Shadow Hacker - Automated Patch Management
  hosts: all
  become: yes
  vars:
    reboot_timeout: 600
    patch_log: /var/log/patch-management.log

  tasks:
    - name: Update all packages (Debian/Ubuntu)
      apt:
        upgrade: safe
        update_cache: yes
        cache_valid_time: 3600
      when: ansible_os_family == "Debian"
      register: apt_result

    - name: Update all packages (RHEL/CentOS)
      yum:
        name: "*"
        state: latest
        security: yes
      when: ansible_os_family == "RedHat"
      register: yum_result

    - name: Check if reboot is required
      stat:
        path: /var/run/reboot-required
      register: reboot_required
      when: ansible_os_family == "Debian"

    - name: Reboot if required
      reboot:
        reboot_timeout: "{{ reboot_timeout }}"
        msg: "Patching reboot by Ansible"
      when: >
        (reboot_required.stat.exists is defined and
         reboot_required.stat.exists) or
        (yum_result.changed is defined and yum_result.changed)

    - name: Log patch results
      lineinfile:
        path: "{{ patch_log }}"
        line: "{{ ansible_date_time.iso8601 }} - {{ inventory_hostname }} - Patched"
        create: yes

11. خطة الاستجابة للحوادث — Incident Response Plan

مهما كانت حمايتك قوية، لازم يكون عندك خطة جاهزة لو صار هجوم. الشركات اللي عندها خطة استجابة واضحة ومجربة بتقدر تتعافى أسرع بـ 50% من الشركات اللي ما عندها. الخطة مش بس ورقة بتنحط بالدرج — لازم تكون مفصلة، كل واحد يعرف دوره، ولازم تنعمل تمارين عليها بشكل دوري.

مراحل الاستجابة الست

خطة الاستجابة بتمر بست مراحل أساسية:

فريق الاستجابة ومسؤولياته

لازم يكون عندك فريق استجابة محدد ومعروف. الفريق بيشمل: Incident Commander — المسؤول الرئيسي عن إدارة الحادثة واتخاذ القرارات. Technical Lead — المسؤول التقني عن التحليل والاحتواء. Communications Lead — المسؤول عن التواصل مع الإدارة والعملاء والإعلام. Legal Advisor — المستشار القانوني لضمان الامتثال للقوانين. كل واحد لازم يعرف دوره بالضبط ويكون عنده معلومات الاتصال بالباقيين متوفرة 24/7.

Communication Plan — مين تبلغ؟

لما يصير هجوم، لازم تعرف مين تبلغ وبأي ترتيب. أول إشي — فريق الاستجابة الداخلي. ثاني إشي — الإدارة العليا. ثالث إشي — الجهات القانونية والتنظيمية (حسب قوانين بلدك). رابع إشي — العملاء المتأثرين (لو في بيانات عملاء تسربت). خامس إشي — شركة التأمين السيبراني (لو عندك). بالنسبة للالتزامات القانونية، الـ GDPR بيلزمك تبلغ خلال 72 ساعة من اكتشاف التسريب. وكتير من الدول العربية هسا عندها قوانين حماية بيانات مشابهة. تأكد إنك تعرف القوانين المحلية اللي بتنطبق عليك.

هل تدفع الفدية؟ — الجواب القصير: لا

هاد السؤال الأصعب اللي بيواجه أي شركة تتعرض لهجوم. وجوابي الواضح: لا تدفع. ليش؟ أولاً — الإحصائيات بتقول إنو 80% من الشركات اللي دفعت الفدية تعرضت لهجوم ثاني. المهاجمين بيعرفوا إنك بتدفع فبيرجعولك. ثانياً — 35% من اللي دفعوا ما استرجعوا بياناتهم كاملة. ثالثاً — الدفع بيمول الجريمة المنظمة وبيشجع هجمات أكتر. رابعاً — بعض الدول بتعتبر دفع الفدية لمجموعات معينة مخالفة قانونية (خصوصاً لو المجموعة على قوائم العقوبات). الحل الحقيقي هو إنك تكون جاهز من قبل — نسخ احتياطية سليمة وخطة استجابة مجربة.

12. أدوات مجانية لمكافحة Ransomware

واحدة من أحلى الأشياء بمجال الأمن السيبراني إنو في أدوات مجانية قوية جداً بتقدر تساعدك تحمي نفسك وتتعافى من هجمات Ransomware. ما لازم تدفع آلاف الدولارات عشان يكون عندك حماية محترمة. خليني أعرفك على أهم الأدوات المجانية المتوفرة.

No More Ransom Project

هاد مشروع تعاوني بين Europol وشركات أمنية كبيرة (Kaspersky, McAfee, وغيرهم). الموقع بيوفر أدوات فك تشفير مجانية لأكتر من 170 نوع Ransomware. يعني لو ملفاتك انشفرت، أول إشي روح على nomoreransom.org وجرب — ممكن يكون في أداة فك تشفير لنوع الـ Ransomware اللي أصابك. المشروع لحد هسا ساعد أكتر من 6 مليون ضحية حول العالم ووفر عليهم أكتر من مليار دولار بالفديات.

ID Ransomware

لو ما بتعرف نوع الـ Ransomware اللي أصابك، ارفع ملف الفدية (Ransom Note) أو عينة من ملف مشفر على موقع id-ransomware.malwarehunterteam.com. الموقع بيحلل الملف وبيحكيلك بالضبط شو نوع الـ Ransomware وهل في أداة فك تشفير متوفرة ولا لا. بيتعرف على أكتر من 1100 نوع مختلف.

Emsisoft Decryptors و Kaspersky RakhniDecryptor

شركة Emsisoft بتوفر أدوات فك تشفير مجانية لعشرات أنواع Ransomware. وكمان Kaspersky RakhniDecryptor بيفك تشفير أنواع كتيرة. دايماً جرب هالأدوات قبل ما تفكر بأي خيار ثاني. بس انتبه — لازم تستخدم الأداة الصحيحة للنوع الصحيح. أداة فك تشفير لـ GandCrab ما رح تشتغل على LockBit مثلاً.

Wazuh — SIEM مفتوح المصدر

Wazuh هو نظام SIEM + XDR مفتوح المصدر ومجاني بالكامل. بيقدر يراقب كل أجهزتك، يحلل السجلات، يكتشف التهديدات، ويرسلك تنبيهات فورية. بيدعم File Integrity Monitoring (مراقبة تغييرات الملفات)، Vulnerability Detection (كشف الثغرات)، وCompliance Monitoring. بديل ممتاز لحلول SIEM التجارية اللي بتكلف عشرات آلاف الدولارات سنوياً.

YARA Rules لكشف Ransomware

YARA هي أداة لكتابة قواعد كشف البرامج الخبيثة. بتقدر تكتب قواعد مخصصة بتكتشف Ransomware بناءً على أنماط معينة بالكود أو السلوك. كمان CrowdStrike CRT (Community Response Tool) أداة مجانية بتساعدك بالتحقيق بالحوادث وجمع الأدلة. هسا خليني أوريك كيف تكتب YARA rule لكشف Ransomware:

// YARA Rule - Ransomware Detection
// Shadow Hacker - Generic Ransomware Indicators

rule Ransomware_Generic_Indicators {
    meta:
        author = "Shadow Hacker"
        description = "Detects generic ransomware behavior patterns"
        date = "2026-05-01"
        severity = "critical"

    strings:
        // Common ransom note strings
        $note1 = "Your files have been encrypted" ascii wide nocase
        $note2 = "All your files are encrypted" ascii wide nocase
        $note3 = "decrypt" ascii wide nocase
        $note4 = "bitcoin" ascii wide nocase
        $note5 = "wallet" ascii wide nocase
        $note6 = ".onion" ascii wide

        // Crypto API calls (Windows)
        $crypto1 = "CryptEncrypt" ascii
        $crypto2 = "CryptGenKey" ascii
        $crypto3 = "CryptAcquireContext" ascii
        $crypto4 = "BCryptEncrypt" ascii

        // File operations (mass encryption indicators)
        $file1 = "FindFirstFile" ascii
        $file2 = "FindNextFile" ascii
        $file3 = "MoveFileEx" ascii
        $file4 = "DeleteFileW" ascii

        // Shadow copy deletion
        $shadow1 = "vssadmin" ascii wide nocase
        $shadow2 = "delete shadows" ascii wide nocase
        $shadow3 = "wmic shadowcopy" ascii wide nocase
        $shadow4 = "bcdedit" ascii wide nocase

        // Anti-recovery
        $recovery1 = "wbadmin delete" ascii wide nocase
        $recovery2 = "bootstatuspolicy ignoreallfailures" ascii wide nocase

    condition:
        uint16(0) == 0x5A4D and  // MZ header (PE file)
        filesize < 5MB and
        (
            (2 of ($note*) and 2 of ($crypto*)) or
            (2 of ($shadow*) and 2 of ($crypto*) and 2 of ($file*)) or
            (1 of ($recovery*) and 2 of ($shadow*) and 2 of ($crypto*))
        )
}

rule Ransomware_Extension_Changer {
    meta:
        author = "Shadow Hacker"
        description = "Detects ransomware that changes file extensions"
        severity = "high"

    strings:
        $s1 = ".locked" ascii wide
        $s2 = ".encrypted" ascii wide
        $s3 = ".crypted" ascii wide
        $s4 = ".crypt" ascii wide
        $s5 = "DECRYPT_INSTRUCTION" ascii wide
        $s6 = "HOW_TO_RECOVER" ascii wide
        $s7 = "RANSOM_NOTE" ascii wide

    condition:
        uint16(0) == 0x5A4D and
        filesize < 5MB and
        3 of ($s*)
}

13. حماية الهاتف من Ransomware

كتير من الناس بيفكروا إنو Ransomware بس بيصيب الكمبيوتر — وهاد غلط كبير. الهواتف الذكية كمان مستهدفة، وبـ 2026 هجمات Ransomware على الموبايل زادت بنسبة 300% مقارنة بـ 2023. تلفونك فيه صور شخصية، رسائل، حسابات بنكية، وبيانات حساسة — يعني هدف مغري جداً للمهاجمين.

Android Ransomware — الأكثر استهدافاً

أندرويد هو الأكثر عرضة لـ Ransomware لأنو نظام مفتوح وبيسمح بتثبيت تطبيقات من خارج المتجر الرسمي. في نوعين رئيسيين: Screen Lockers — بيقفلوا شاشة تلفونك وبيطلبوا فدية عشان يفتحوها. هاي أسهل بالتعامل معها لأنو بياناتك ما بتنشفر فعلياً. وCrypto Ransomware — هاي الأخطر لأنها فعلاً بتشفر ملفاتك على التلفون. أغلب هالبرامج بتوصل عن طريق تطبيقات مزيفة من متاجر غير رسمية، أو روابط خبيثة بالرسائل، أو حتى إعلانات ملوثة (Malvertising).

iPhone — أقل عرضة بس مش محصن

الآيفون أقل عرضة لـ Ransomware التقليدي بسبب نظام Apple المغلق والصارم. بس هاد ما بيعني إنو محصن 100%. في هجمات بتستهدف حسابات iCloud — المهاجم بيسرق بيانات حسابك وبيستخدم ميزة "Find My iPhone" عشان يقفل جهازك ويطلب فدية. وكمان في ثغرات Zero-day بتظهر بين فترة وفترة بتسمح بتثبيت برامج خبيثة حتى على iOS. عشان هيك لازم تحمي حساب Apple ID تبعك بـ MFA قوي وكلمة مرور فريدة.

نصائح حماية الهاتف

عشان تحمي تلفونك من Ransomware، اتبع هالنصائح: أولاً — ما تثبت تطبيقات من خارج المتجر الرسمي (Google Play أو App Store). ثانياً — حدّث نظام التشغيل والتطبيقات أول بأول. ثالثاً — اعمل نسخ احتياطي لبيانات تلفونك بشكل دوري على الكلاود وعلى الكمبيوتر. رابعاً — لا تضغط على روابط مشبوهة بالرسائل أو الإيميلات. خامساً — فعّل Google Play Protect على أندرويد. سادساً — لا تعمل Root أو Jailbreak لتلفونك لأنو بيشيل طبقات حماية أساسية.

ماذا تفعل لو هاتفك اتصاب؟

لو تلفونك اتصاب بـ Ransomware، أول إشي طفي الإنترنت فوراً (WiFi و Mobile Data). ثاني إشي — جرب تشغل التلفون بـ Safe Mode (على أندرويد: اضغط مطولاً على زر Power، بعدين اضغط مطولاً على "Power Off" لحد ما يظهر خيار Safe Mode). بـ Safe Mode بتقدر تمسح التطبيق الخبيث. لو ما زبط، ممكن تحتاج تعمل Factory Reset — وهون بتبين أهمية النسخ الاحتياطي. لو عندك نسخة احتياطية، بترجع كل بياناتك بعد الـ Reset. لو ما عندك — للأسف ممكن تخسر بياناتك.

14. مستقبل Ransomware — شو متوقع في 2027 وما بعد؟

عالم الـ Ransomware بيتطور بسرعة مجنونة. المهاجمين دايماً بيبتكروا طرق جديدة وبيستخدموا أحدث التقنيات. خليني أحكيلك عن أهم التوجهات اللي متوقع نشوفها بالسنوات الجاية عشان تكون جاهز من هسا.

AI-Powered Ransomware — هجمات ذكية

الذكاء الاصطناعي مش بس بيساعد بالحماية — المهاجمين كمان بيستخدموه. متوقع نشوف Ransomware بيستخدم AI عشان: يختار الملفات الأهم للتشفير (بدل ما يشفر كل إشي، بيشفر بس الملفات اللي رح تضغط عليك أكتر)، يتجنب أنظمة الكشف بتغيير سلوكه تلقائياً، يكتب إيميلات تصيد مخصصة لكل ضحية بناءً على بياناته على السوشال ميديا، ويحدد مبلغ الفدية المثالي بناءً على حجم الشركة وقدرتها المالية. هاد الإشي بيخلي الهجمات أذكى وأصعب بالكشف.

Quantum Computing Threat — تهديد الحوسبة الكمية

الحوسبة الكمية ممكن تغير قواعد اللعبة بالكامل. الكمبيوترات الكمية بتقدر تكسر خوارزميات التشفير الحالية (RSA, ECC) بوقت قصير. هاد بيعني إنو المهاجمين ممكن يسرقوا بيانات مشفرة هسا ويستنوا لحد ما تتوفر حوسبة كمية عشان يفكوها (هجوم "Harvest Now, Decrypt Later"). عشان هيك لازم تبدأ تفكر بـ Post-Quantum Cryptography — خوارزميات تشفير مقاومة للحوسبة الكمية. NIST بدأت تعتمد معايير جديدة زي CRYSTALS-Kyber وCRYSTALS-Dilithium.

IoT Ransomware — أجهزة ذكية تحت التهديد

مع انتشار أجهزة IoT (إنترنت الأشياء) — كاميرات مراقبة، أجهزة طبية، أنظمة تحكم صناعية، سيارات ذكية — المهاجمين بيلاقوا أهداف جديدة. تخيل Ransomware بيقفل نظام التدفئة بمستشفى بنص الشتاء، أو بيعطل خط إنتاج بمصنع. هالأجهزة عادة حمايتها ضعيفة وصعب تحدثها. متوقع نشوف زيادة كبيرة بهجمات Ransomware على IoT بـ 2027.

Ransomware يستهدف Cloud Infrastructure

مع انتقال أغلب الشركات للكلاود، المهاجمين بيتبعوهم. متوقع نشوف هجمات Ransomware بتستهدف بيئات AWS وAzure وGCP مباشرة — تشفير S3 Buckets، قفل قواعد بيانات RDS، تعطيل Kubernetes clusters. الحماية بالكلاود مسؤولية مشتركة — مزود الخدمة بيحمي البنية التحتية، بس أنت مسؤول عن حماية بياناتك وإعداداتك.

Deepfake + Ransomware — ابتزاز بفيديوهات مزيفة

هاد من أخطر التوجهات الجديدة. المهاجمين بيستخدموا تقنية Deepfake عشان يعملوا فيديوهات مزيفة لأشخاص بمواقف محرجة أو غير قانونية، وبعدين يبتزوهم بنشرها. مش لازم يسرقوا بيانات حقيقية — بيصنعوا أدلة مزيفة وبيهددوا فيها. هاد النوع من الابتزاز صعب التعامل معه لأنو حتى لو الفيديو مزيف، الضرر بالسمعة ممكن يكون حقيقي. الحل هو التوعية وعدم الاستجابة للابتزاز والتبليغ للجهات المختصة فوراً.

الأسئلة الشائعة — FAQ

هل لازم أدفع الفدية لو اخترقوني؟

لا، لا تدفع الفدية أبداً. الإحصائيات بتقول إنو 80% من اللي دفعوا تعرضوا لهجوم ثاني، و35% ما استرجعوا بياناتهم كاملة. الدفع بيمول الجريمة المنظمة وبيشجع المهاجمين يستمروا. بدل ما تدفع، استخدم النسخ الاحتياطية وتواصل مع خبراء أمن معلومات وبلّغ الجهات المختصة.

هل الـ Antivirus يحمي من Ransomware؟

الـ Antivirus التقليدي لحاله ما بيكفي بـ 2026. محتاج حل EDR (Endpoint Detection and Response) اللي بيراقب سلوك البرامج مش بس التوقيعات. كمان محتاج طبقات حماية إضافية: نسخ احتياطي، تأمين شبكة، تدريب موظفين، وإدارة صلاحيات. الحماية الحقيقية بتيجي من مزيج كل هالطبقات مع بعض.

كيف أعرف نوع الـ Ransomware اللي أصابني؟

استخدم موقع ID Ransomware (id-ransomware.malwarehunterteam.com). ارفع ملف الفدية (Ransom Note) أو عينة من ملف مشفر والموقع رح يحكيلك بالضبط شو النوع. كمان بتقدر تعرف من امتداد الملفات المشفرة — كل مجموعة Ransomware عندها امتداد خاص فيها.

هل ممكن أفك تشفير الملفات بدون دفع؟

أحياناً نعم. روح على موقع No More Ransom (nomoreransom.org) وشوف إذا في أداة فك تشفير مجانية لنوع الـ Ransomware اللي أصابك. كمان جرب أدوات Emsisoft وKaspersky المجانية. بس مع المجموعات الكبيرة زي LockBit وBlackCat، عادة ما في أدوات فك تشفير مجانية لأنو تشفيرهم قوي جداً.

هل النسخ الاحتياطي على نفس الجهاز كافي؟

لا، أبداً. لو النسخة الاحتياطية على نفس الجهاز أو نفس الشبكة، الـ Ransomware رح يشفرها كمان. لازم يكون عندك نسخة Offline (مفصولة عن الشبكة) ونسخة على الكلاود. اتبع قاعدة 3-2-1-1-0: ثلاث نسخ، وسيطتين مختلفتين، نسخة خارج الموقع، نسخة Offline، وصفر أخطاء بالاستعادة.

هل الشركات الصغيرة مستهدفة بـ Ransomware؟

نعم، وبشكل كبير. الشركات الصغيرة والمتوسطة هي من أكثر الأهداف لأنو حمايتها عادة أضعف وما عندها فرق IT متخصصة. 60% من الشركات الصغيرة اللي بتتعرض لهجوم Ransomware بتقفل خلال 6 شهور. مجموعات زي Akira بتستهدف الشركات الصغيرة بالتحديد لأنها فريسة سهلة.

كم وقت يحتاج المهاجم داخل الشبكة قبل التشفير؟

متوسط وقت البقاء (Dwell Time) في 2026 هو حوالي 5 أيام. خلال هالفترة المهاجم بيسرق بياناتك، بيتحرك بالشبكة، بيرفع صلاحياته، وبيحضر للهجوم الكبير. بعض المهاجمين بيضلوا أسابيع أو حتى شهور داخل الشبكة قبل ما يفعلوا التشفير. عشان هيك المراقبة المستمرة مهمة جداً.

هل التأمين السيبراني يغطي هجمات Ransomware؟

أغلب وثائق التأمين السيبراني بتغطي هجمات Ransomware — بس بشروط. شركات التأمين هسا بتطلب إنك تكون مطبق حد أدنى من الحماية (MFA، نسخ احتياطي، EDR) قبل ما تعطيك تغطية. ولو ما كنت ملتزم بالشروط، ممكن ترفض تدفعلك. كمان بعض الوثائق ما بتغطي دفع الفدية نفسها — بس بتغطي تكاليف التعافي والتحقيق.

هل Linux محصن من Ransomware؟

لا، Linux مش محصن. مجموعات زي BlackCat وAkira وRoyal عندها نسخ Ransomware خاصة بـ Linux وVMware ESXi. سيرفرات Linux مستهدفة بشكل متزايد لأنها بتشغل بنية تحتية حيوية. لازم تأمّن سيرفرات Linux بنفس الجدية — فعّل SELinux/AppArmor، حدّث باستمرار، راقب السجلات، واعمل نسخ احتياطي.

شو أول شيء أعمله لو اكتشفت هجمة Ransomware؟

أول إشي — اعزل الجهاز المصاب عن الشبكة فوراً (اسحب كيبل الإنترنت أو طفي الـ WiFi). هاد بيمنع الانتشار لباقي الأجهزة. ثاني إشي — لا تطفي الجهاز (ممكن تخسر أدلة بالذاكرة). ثالث إشي — بلّغ فريق الاستجابة أو مسؤول IT. رابع إشي — وثّق كل إشي (صور الشاشة، سجل الأحداث). خامس إشي — حدد نوع الـ Ransomware وابحث عن أدوات فك تشفير مجانية. سادس إشي — ابدأ الاستعادة من النسخ الاحتياطية بعد ما تتأكد إنو مصدر الهجوم تم إغلاقه.

فيروسات الفدية 2026، حماية من Ransomware، كيف تحمي شركتك من الفدية، LockBit 2026، BlackCat ransomware، backup strategy ransomware، incident response plan، No More Ransom، أدوات فك تشفير ransomware، Zero Trust security، email security ransomware، endpoint protection، Wazuh SIEM، YARA rules ransomware، ransomware protection 2026