همه چیز در مورد باج افزار واناکرای(Wannacry)

به تازگی باج‌افزار جدیدی به نام WannaCry کشف شده که حملات آن در طول هفته‌ی اخیر ادامه داشته است!

به تازگی باج‌افزار جدیدی به نام WannaCry کشف شده که حملات آن در طول هفته‌ی اخیر ادامه داشته است! باج‌افزار یک نرم‌افزار مخرب است که دسترسی به کامپیوتر را تا زمان پرداخت مبلغ مشخصی مسدود می‌کند. بر طبق گفته‌ی مسؤلین اروپایی این ویروس ۱۰,۰۰۰ سازمان و ۲۰۰,۰۰۰ فرد را در بیش ۱۵۰ کشور مختلف مورد حمله قرار داده است. اگرچه میزان سرعت پخش این بد افزار کم شده، انواع کوناگونی از آن شروع به فعالیت کرده‌اند!

مدیر Europol آقای Rob Wainwright به بی‌بی‌سی گفت که این حمله‌ی مجازی در ابعاد خود بی‌سابقه بوده و اشاره کرد ممکن است هنوز ادامه داشته باشد.

حمله‌ی این باج‌افزار هفته‌ی پیش شروع شد. ابتدا England’s National Health Service را آلوده کرد و باعث شد شرکت خودروساز رنو کارخانه‌های خود در فرانسه را به حالت تعلیق درآورد و موارد بسیار دیگر. یک جوان ۲۲ ساله‌ی خبره در امنیت مجازی معروف به MalwareTech توانست با ثبت یک نام دامنه که در کد این بدافزار کشف کرده بود، سرعت حمله‌ی آن‌را کاهش دهد.

او به بی‌بی‌سی گفت ممکت است حمله‌ی دیگری در راه باشد

او توییتر گفت: نسخه‌ی اول WannaCrypt متوقف شدنی بود اما ورژن ۲ احتمالاً این ضعف را برطرف خواهد کرد. فقط در صورتی که ASAP را پچ کنید در امان هستید.

محققان تا کنون دو نوع مختلف از این باج‌افزار را کشف کرده‌اند. یکی از آن‌ها با ثبت نام دامنه متوقف شد، اما نوع دیگر دکمه‌ی خاموش کردن ندارد اما فقط به صورت مقطعی فعالیت می‌کند.

این نرم‌افزار از یک رخنه در ویندوز ایکس‌پی سوءِاستفاده می‌کند و به محض این‌که یک کامپیوتر را آلوده ‌کرد فایل‌ها را کد گذاری می‌کند و به کامپیوترهای دیگر پخش ‌می‌شود. قربانیان یک تقاضا برای پرداخت بیت کوین معادل ۳۰۰ دلار در ازای بدست آوردن دسترسی به سیستم، دریافت می‌کنند. اگرچه الارقم گسترش جهانی، گفته می‌شود عاملان آن تنها عددی بالغ بر ۲۰۰۰۰ دلار بدست آورده‌اند.

آقای Rob Wainwright گفت کسب و کارها باید اطمینان حاصل کنند که سیستمشان با آخرین افزونه‌ی امنیتی آپدیت شده باشد.

محققین شرکت «سیمنتک» (Symantec) تقریباً مطمئن هستند که حمله گسترده و بی سابقه باج افزار «واناکرای» (WannaCry) توسط یکی از گروه های هکر شناخته شده وابسته به دولت کره شمالی صورت گرفته است. این کمپانی امنیتی در وبلاگ خود نوشته:

تجزیه و تحلیل حملات واناکرای توسط تیم «پاسخ امنیتی سیمنتک» شباهت های زیادی را بین ابزارها، تکنیک ها و زیرساخت مورد استفاده در این حمله و دیگر فعالیت های خرابکارانه تیم لازاروس (Lazarus) نشان می دهد، بنابراین تقریباً مطمئن هستیم آنها منبع اصلی انتشار واناکرای بوده اند.

واناکرای که به به نام های دیگری از جمله Wcry، واناکریپتور، واناکریپت نیز معروف است، از آغاز هفته گذشته صدها هزار کامپیوتر را در سرتاسر جهان آلوده ساخت. به نظر می رسد تیم لازاروس از ابزارهای جاسوسی به سرقت رفته متعلق به آژانس امنیت ملی آمریکا (NSA) برای انتشار این بدافزار استفاده کرده است.

گروه لازاروس از نسخه اولیه واناکرای برای حمله به سونی استفاده کرده است

با این حال ردپای نسخه های قبلی این باج افزار پیش از انتشار ابزارهای جاسوسی NSA نیز مشاهده شده که به صورت دستی وارد شبکه ها می شدند. سیمنتک می گوید گروه لازاروس از نسخه اولیه واناکرای برای هک «سونی پیکچرز» استفاده کرده. در ماه فوریه سال جاری، دو نسخه ابتدایی از بدافزار واناکرای به نام های Destover و Volgmer توسط سیمنتک کشف شدند که به ترتیب برای حمله به سونی و کره جنوبی به کار گرفته شده بودند.

در ماه های مارس و آوریل، نسخه دوم این باج افزار با ترکیب دو بدافزار دیگر لازاروس یعنی Alphanc و Bravonc کشف شدند. سیمنتک این ابزارهای نفوذ را در پنج حمله مجزای واناکرای شناسایی کرد و گفت پس از آغاز به کار Alphanc، واناکرای هم در کمتر از چند دقیقه فعال می شود. در هر دو مورد فوق، بدافزار از زیرساخت های کنترلی و فرمان پذیری مشترکی با دیگر حملات مخرب دولت کره شمالی استفاده می کرد.

گفتنیست هفته گذشته هم محققین گوگل و کارشناسان کسپرسکی کدهای مشابهی را بین ابزارهای نفوذ لازاروس و باج افزار واناکرای کشف کرده و گزارش نمودند.

روز جمعه ۱۹ می، ابزاری منتشر شده است که به گفته‌ی محققین، می‌تواند بسیاری از رایانه‌های آلوده به این باج افزار را بدون پرداخت مبلغ باج رمزگشایی کند. این برنامه قادر خواهد بود اطلاعات رایانه‌های آلوده به این باج افزار که از سیستم‌عامل‌های ویندوز XP ،۷ و ۲۰۰۳ استفاده می‌کنند، بازیابی کند. همچنین به گفته‌ی یکی از محققان که در ساخت این برنامه مشارکت داشته است، این امکان وجود دارد که ابزار منتشرشده بتواند روی دیگر نسخه‌های ویندوز همچون ویندوز سرور ۲۰۰۸، R2 ۲۰۰۸ و ویستا نیز عملکرد درستی داشته باشد. این برنامه، موسوم به WannaKiwi، بر پایه‌ی ابزاری که پیش‌ازاین و با نام واناکی منتشرشده بود، کلید رمز را پیدا می‌کند. WannaKey، در روز ۱۸ می به‌منظور استخراج اطلاعات لازم برای ساخت کلید رمزنگاری در سیستم‌عامل‌های XP منتشر شد؛ ولی این ابزار نیازمند برنامه‌ی جداگانه‌ای برای تبدیل بیت‌های استخراج‌شده به کلید رمزگشایی است.

مت سوییش، از بنیان‌گذاران شرکت امنیت سایبری Comae Technologies، در توسعه و ارزیابی واناکیوی همکاری داشته و اعلام کرده است که این برنامه به‌درستی کار می‌کند و جزئیات فنی آن را نیز برای عموم منتشر کرده است. همچنین یورو پل و آژانس مجری قانون اتحادیه اروپا هم این برنامه را تأیید کرده‌اند.

همچون واناکی، واناکیوی نیز از نقایص موجود در رابط برنامه‌نویسی برنامه‌های رمزنگاری مایکروسافت بهره می‌جوید؛ واناکرای و دیگر برنامه‌های کاربردی ویندوز هم از این رابط برای ساخت کلیدهای رمزنگاری و رمزگشایی استفاده می‌کنند. این رابط دارای توابعی برای پاک کردن کلیدهای ساخته‌شده، از حافظه‌ی کامپیوتر است؛ ولی نقص‌های این رابط باعث می‌شود گاهی اعداد اولی که برای ساخت کلید از آن‌ها استفاده می‌شود، در حافظه باقی بمانند. این اعداد را تا زمانی که رایانه خاموش نشده باشد یا آن قسمت از حافظه با مقدار جدیدی بازنویسی نشده باشد، می‌توان بازیابی کرد.

واناکیوی با جستجوی حافظه و یافتن مقادیر p و q که کلید رمزنگاری بر پایه‌ی آن‌ها ساخته‌شده است، کلید را بازیابی و سپس با استفاده از آن، فایل‌های قفل‌شده توسط باج افزار واناکرای را رمزگشایی می‌کند.

بنجامین دلپی، یکی از توسعه‌دهندگان واناکیوی این‌گونه بیان می‌کند که ابزار موجود تاکنون توانسته است رایانه‌های زیادی را رمزگشایی کند که برخی دارای سیستم‌عامل ۷ و ۲۰۰۳ بوده‌اند. او معتقد است که دیگر نسخه‌های ویندوز نیز می‌توانند به‌گونه‌ای مشابه بازیابی شوند. همچنین واناکیوی مزیت‌هایی نسبت به واناکی دارد، ازجمله رابط کاربری ساده و قابلیت تولید کلید رمزگشایی بدون نیاز به هیچ ابزار دیگری.

دلپی این‌گونه بیان می‌کند:

برای بازیابی فایل‌های خود، برنامه‌ی واناکیوی را دانلود کنید. اگر کلید رمزگشایی قابل بازیابی باشد، این برنامه آن را استخراج و شروع به رمزگشایی تمام فایل‌های قفل‌شده از هارد دیسکتان می‌کند، درست مانند زمانی که مبلغ باج را پرداخت کرده باشید. بااین‌حال در بسیاری از موارد این کلید قابلیت بازیابی ندارد و شانس کمی برای این کار وجود دارد.

ابزار واناکیوی در حال بازگشایی فایل‌های رمزنگاری‌ شده

ابزار واناکیوی را می‌توانید از اینجا دانلود کنید (از آنجایی که این برنامه توسط ما تست نشده است، هرگونه پیشامد احتمالی بر عهده‌ی خودتان است و زومیت مسئولیتی بر عهده نمی‌گیرد).

باید توجه داشته باشید اگر سیستم ریستارت شده باشد یا مکانی از حافظه که اطلاعات لازم برای بازیابی کلید ذخیره‌شده است، با داده‌های جدیدی بازنویسی شده باشد؛ این برنامه‌ی رمزگشا همچون واناکی قادر به یافتن کلید و بازیابی اطلاعات نخواهد بود. واناکیوی هنوز به‌صورت گسترده روی رایانه‌هایی با پردازنده‌های ۶۴ بیتی تست نشده است؛ لذا این امکان وجود دارد که عملکرد آن بر این رایانه‌ها با مشکلاتی همراه باشد. با وجود تمام محدودیت‌هایی که این برنامه‌ی رمزگشا دارد، واناکیوی پیشرفتی بزرگ در مسیر جبران خسارات وارده و کمکی ارزشمند برای حل مشکل بسیاری از مردم محسوب می‌شود.

 

هفته گذشته پلیس فتا راهنمایی جهت حذف این باج افزار در خروجی وب سایتش قرار داد که می توانید از این لینک دریافت نمایید.

 

پیشگیری :

نحوه تاثیرگذاری این باج افزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باج افزار است.

این باج افزار فایلهای با پسوند زیر را رمز میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc

باتوجه به فعالیت این باج افزار در کشور ما، الزام است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به بروزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتی ویروس ها و اطلاع رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.

  • با توجه به این که شرکت ها و سازمان ها احتمال گرفتن این ویروس در آنها زیاد است پیشنهاد می شود از نرم افزارهای خود روی هارد های اکسترنال نسخه پشتیبان تهیه کنند.
  • طبق بررسی های انجام شده توسط الماس ایران این ویروس روی فولدرهای Windows و Program File واقع در درایو C تاثیر نمی گذارد. بنابراین پیشنهاد می شود نرم افزارهای مالی طوری تنظیم شوند که در یکی از این شاخه ها نسخه پشتیان اتوماتیک، تهیه نمایید.
  • پورتهای ۴۴۵ و ۱۳۹ غیرضروری را بسته و از دسترس خارج کنند و اجازه اشتراک گذاری فایلها و اطلاعات روی دستگاهها را ندهید.
  • نصب وصله ۰۱۰-MS17 :

آسیب پذیری ۰۱۰-MS17 در پیاده سازی سرویس SMB (پروتکل اشتراک گذاری فایل) در همه نسخه های ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیب پذیری و جلوگیری از سوءاستفاده از آن الزام است.

آخرین بروز رسانی های سیستم عامل ویندوز اعمال گردد. برای این منظور الزام است با استفاده از ابزار بروزرسانی ویندوز (update windows) آخرین بروز رسانی های سیستم عامل دریافت شده و نصب گردد.
این باج افزار با استفاده از آسیب پذیری های حیاتی که در اواسط ماه مارچ توسط مایکروسافت اعلام شده بود و پچ آن نیز ارائه شده است منتشر می شود. .برای دریافت این patch به آدرس زیر مراجعه فرمایید :

چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد الزام است دسترسی به سرویس SMB مسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود.

  • پشتیبانی از SMBv 1 را غیر فعال کنید

راه دیگر جلوگیری از نفوذ wanna cry غیر فعال کردن SMBv 1 است که باز هم باید cmd را در حالت run as administrator باز کنید و دستور زیر را در آن اجرا کنید:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

همچنین میتوانید:
۱- استارت منو را باز کنید.
۲- تایپ کنید PowerShell و کلید های Ctrl+Shift+Enter را فشار دهید یا گزینه ی “Run as administrator” را انتخاب کنید.
۳- دستورات زیر را تایپ کنید و اینتر را فشار دهید :

Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 -Force

همچنین در ویندوز ۸ به بالا می توانید از control pannel وارد بخش Program and feature شوید، سپس گزینه ی Turn windows feature on or off را انتخاب کرده و برای گزینه SMB1.0/CIES File Shearing Support ، تیک را بر بردارید.

 

Leave a Comment

کد احراز هویت *