همه چیز در مورد باج افزار واناکرای(Wannacry)

به تازگی باج‌افزار جدیدی به نام WannaCry کشف شده که حملات آن در طول هفته‌ی اخیر ادامه داشته است! باج‌افزار یک نرم‌افزار مخرب است که دسترسی به کامپیوتر را تا زمان پرداخت مبلغ مشخصی مسدود می‌کند. بر طبق گفته‌ی مسؤلین اروپایی این ویروس ۱۰,۰۰۰ سازمان و ۲۰۰,۰۰۰ فرد را در بیش ۱۵۰ کشور مختلف مورد حمله قرار داده است. اگرچه میزان سرعت پخش این بد افزار کم شده، انواع کوناگونی از آن شروع به فعالیت کرده‌اند!

مدیر Europol آقای Rob Wainwright به بی‌بی‌سی گفت که این حمله‌ی مجازی در ابعاد خود بی‌سابقه بوده و اشاره کرد ممکن است هنوز ادامه داشته باشد.

 

حمله‌ی این باج‌افزار هفته‌ی پیش شروع شد. ابتدا England’s National Health Service را آلوده کرد و باعث شد شرکت خودروساز رنو کارخانه‌های خود در فرانسه را به حالت تعلیق درآورد و موارد بسیار دیگر. یک جوان ۲۲ ساله‌ی خبره در امنیت مجازی معروف به MalwareTech توانست با ثبت یک نام دامنه که در کد این بدافزار کشف کرده بود، سرعت حمله‌ی آن‌را کاهش دهد.

او به بی‌بی‌سی گفت ممکت است حمله‌ی دیگری در راه باشد

او توییتر گفت: نسخه‌ی اول WannaCrypt متوقف شدنی بود اما ورژن ۲ احتمالاً این ضعف را برطرف خواهد کرد. فقط در صورتی که ASAP را پچ کنید در امان هستید.

محققان تا کنون دو نوع مختلف از این باج‌افزار را کشف کرده‌اند. یکی از آن‌ها با ثبت نام دامنه متوقف شد، اما نوع دیگر دکمه‌ی خاموش کردن ندارد اما فقط به صورت مقطعی فعالیت می‌کند.

این نرم‌افزار از یک رخنه در ویندوز ایکس‌پی سوءِاستفاده می‌کند و به محض این‌که یک کامپیوتر را آلوده ‌کرد فایل‌ها را کد گذاری می‌کند و به کامپیوترهای دیگر پخش ‌می‌شود. قربانیان یک تقاضا برای پرداخت بیت کوین معادل ۳۰۰ دلار در ازای بدست آوردن دسترسی به سیستم، دریافت می‌کنند. اگرچه الارقم گسترش جهانی، گفته می‌شود عاملان آن تنها عددی بالغ بر ۲۰۰۰۰ دلار بدست آورده‌اند.

آقای Rob Wainwright گفت کسب و کارها باید اطمینان حاصل کنند که سیستمشان با آخرین افزونه‌ی امنیتی آپدیت شده باشد.

 

هفته گذشته پلیس فتا راهنمایی جهت حذف این باج افزار در خروجی وب سایتش قرار داد که می توانید از این لینک دریافت نمایید.

 

پیشگیری :

نحوه تاثیرگذاری این باج افزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باج افزار است.

این باج افزار فایلهای با پسوند زیر را رمز میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc

باتوجه به فعالیت این باج افزار در کشور ما، الزام است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به بروزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتی ویروس ها و اطلاع رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.

• با توجه به این که شرکت ها و سازمان ها احتمال گرفتن این ویروس در آنها زیاد است پیشنهاد می شود از نرم افزارهای خود روی هارد های اکسترنال نسخه پشتیبان تهیه کنند.
• طبق بررسی های انجام شده توسط الماس ایران این ویروس روی فولدرهای Windows و Program File واقع در درایو C تاثیر نمی گذارد. بنابراین پیشنهاد می شود نرم افزارهای مالی طوری تنظیم شوند که در یکی از این شاخه ها نسخه پشتیان اتوماتیک، تهیه نمایید.
• پورتهای ۴۴۵ و ۱۳۹ غیرضروری را بسته و از دسترس خارج کنند و اجازه اشتراک گذاری فایلها و اطلاعات روی دستگاهها را ندهید.
• نصب وصله ۰۱۰-MS17 :

آسیب پذیری ۰۱۰-MS17 در پیاده سازی سرویس SMB (پروتکل اشتراک گذاری فایل) در همه نسخه های ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیب پذیری و جلوگیری از سوءاستفاده از آن الزام است.

آخرین بروز رسانی های سیستم عامل ویندوز اعمال گردد. برای این منظور الزام است با استفاده از ابزار بروزرسانی ویندوز (update windows) آخرین بروز رسانی های سیستم عامل دریافت شده و نصب گردد.
این باج افزار با استفاده از آسیب پذیری های حیاتی که در اواسط ماه مارچ توسط مایکروسافت اعلام شده بود و پچ آن نیز ارائه شده است منتشر می شود. .برای دریافت این patch به آدرس زیر مراجعه فرمایید :

چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد الزام است دسترسی به سرویس SMB مسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود.

• پشتیبانی از SMBv 1 را غیر فعال کنید

راه دیگر جلوگیری از نفوذ wanna cry غیر فعال کردن SMBv 1 است که باز هم باید cmd را در حالت run as administrator باز کنید و دستور زیر را در آن اجرا کنید:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

همچنین میتوانید:
۱- استارت منو را باز کنید.
۲- تایپ کنید PowerShell و کلید های Ctrl+Shift+Enter را فشار دهید یا گزینه ی “Run as administrator” را انتخاب کنید.
۳- دستورات زیر را تایپ کنید و اینتر را فشار دهید :

Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 -Force

همچنین در ویندوز ۸ به بالا می توانید از control pannel وارد بخش Program and feature شوید، سپس گزینه ی Turn windows feature on or off را انتخاب کرده و برای گزینه SMB1.0/CIES File Shearing Support ، تیک را بر بردارید.