x
تبلیغات
WannaCrypt Top Image
 
در روزهای اخیر، باج افزاری تحت عنوان WannaCrypt با قابلیت خود انتشاری در شبکه کشورها شیوع یافته است. بر اساس اطلاعات منتشر شده، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.
 
تا کنون این اتفاق را می توان بزرگترین حمله جهت آلوده نمودن به باج افزار نامید. این باج افزار به نام های مختلفی همچون WannaCry ،Wana Decrypt0r ،WannaCryptor و WCRY شناخته می شود. این باج افزار همانند دیگر باج افزارها، دسترسی قربانی به رایانه و فایل ها را سلب کرده و برای بازگرداندن دسترسی، درخواست باج می نماید.
 
بد افزار مذکور به منظور انتشار، از یک کد آسیب پذیری متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می کند که مدتی پیش توسط گروه ShadowBrokers منتشر شد. این آسیب پذیری از یک نقطه نفوذ در سرویس SMB موجود در نسخه های گوناگون سیستم عامل Windows با شناسه MS17-010 استفاده می نماید. در حال حاضر، این آسیب پذیری توسط شرکت مایکروسافت مرتفع شده است اما رایانه هایی که بروزرسانی مربوطه را دریافت ننموده اند، نسبت به این حمله و آلودگی به این باج افزار آسیب پذیر هستند.
 
تصاویر زیر تصاویر پیامی است که باج افزار به قربانی نمایش می دهد. پیام باج افزار به زبان های مختلف قابل مشاهده است.
 
08 How to prevent wannacrypt ransomware
 
این باج افزار با استفاده از شبکه TOR و استفاده از حساب های Bitcoin، هویت خود را مخفی نموده است. جالب است که بدانید، حساب های Bitcoin متعلق به این باج افزار، از ساعت ابتدایی آلودگی، پول زیادی به عنوان باج دریافت نموده است.
 
نحوه تاثیرگذاری این باج افزار هنوز به صورت دقیق مشخص نشده است اما موردی که مشخص است؛ استفاده از ایمیل های فیشینگ و لینک های آلوده در سایت های غیر معتبر جهت انتشار باج افزار است.
 
نکته مهم: با اینکه در بسیاری از موارد، این باج افزار موفق به رمز گذاری تمام فایل‌ها در  سیستم ‌های قربانی نشده است. اما در خصوص موارد رمزگذاری موفق، تاکنون هیچ روش موثری برای رمزگشایی فایل‌های آسیب دیده در هیچ‌یک از کشورهای مورد حمله یافت نشده است.
 
این باج افزار، فایل هایی با پسوند زیر را رمز می نماید:
 
09 How to prevent wannacrypt ransomware
 
با توجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی های مرتبط با آن، مدیران شبکه نسبت به بروزرسانی سیستم عامل های Windows، تهیه پشتیبان از اطلاعات حیاتی، استفاده و بروزرسانی آنتی ویروس ها و اطلاع رسانی به کاربران جهت عدم اجرای فایل های پیوست ایمیل های ناشناس، در اسرع وقت اقدام کنند.
 

اقدامات پیشگیرانه

نصب وصله MS17-010: آسیب پذیری MS17-010 در پیاده سازی پروتکل SMB (پروتکل اشتراک گذاری فایل و پرینتر)، در همه نسخه های Windows وجود دارد. به منظور مقابله با این آسیب پذیری و جلوگیری از سوء استفاده از آن لازم است آخرین بروزرسانی های سیستم عامل Windows اعمال گردد. بدین منظور کافیست با استفاده از ابزارهایی مانند Windows Update، WSUS و یا ماژول Software Updates در System Center Configuration Manager، آخرین بروزرسانی های مرتبط، دریافت و اعمال گردد.

 
نکته: در خصوص سیستم عامل های Windows XP و Windows Server 2003 که البته مدتیست از چرخه پشتیبانی شرکت مایکروسافت خارج شده اند، خوشبختانه با توجه به اهمیت موضوع، شرکت مایکروسافت وصله های اختصاصی خود را در لینک زیر در دسترس قرار داده است:
 
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
 
چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد، لازم است دسترسی به پروتکل SMBv1 مسدود گردد (اگر چنانچه در شبکه سازمان خود، از سیستم عامل هایی نظیر Windows XP و یا Windows Server 2003 جهت اشتراک گذاری فایل و یا پرینتر استفاده نمی نمایید، غیر فعال کردن این پروتکل در سیستم عامل جدید همچون Windows Vista و بالاتر، هیچگونه تاثیر منفی در عملکرد سیستم عامل های مذکور نخواهد داشت). بدین منظور با توجه به نسخه سیستم عامل، نسبت به حذف و یا   توقف استفاده از این پروتکل اقدام نمود.
 
نکته: در بعضی از مستندات ارائه شده از سوی سازمان ها و نهادی امنیتی مانند ماهر، یکی از راهکارهای مقابله با این باج افزار را بستن پورت های مورد استفاده در پروتکل SMB بیان نموده اند. توجه داشته باشید که اگر چه با استفاده از این راهکار، انتشار بد افزار مورد نظر را مسدود نموده اید، اما استفاده از پروتکل های SMB v2 و بالاتر را با اختلال مواجه خواهید نمود. به همین دلیل، در این مستند، از بیان راهکارهای موجود در خصوص بستن پورت های مرتبط با پروتکل SMB، خودداری شده است.
 
غیر فعال کردن پروتکل SMBv1: در ادامه به چگونگی غیر فعال کردن پروتکل SMBv1 در سیستم عامل های مختلف، اشاره شده است.
 
غیر فعال کردن پروتکل SMBv1 با استفاده از PowerShell در سیستم عامل های Windows 8، Windows 8.1، Windows 10، Windows Server 2012، Windows Server 2012 R2 و Windows Server 2016
 
به منظور مشاهده وضعیت پیکربندی پروتکل SMBv1، کافیست دستور زیر را در محیط PowerShell به اجرا در آورید:
 
01 How to prevent wannacrypt ransomware
 
همانطور که در مثال فوق مشاهده می نمایید، پروتکل SMBv1 در سیستم مورد نظر، در حالت فعال قرار دارد.
 
حال به منظور غیر فعال کردن SMBv1 در سیستم عامل های مذکور، کافیست دستور زیر را به اجرا در آورید:
 
02 How to prevent wannacrypt ransomware
 
غیر فعال کردن پروتکل SMBv1 با استفاده از قسمت Programs and Features در سیستم عامل های Windows 8،Windows 8.1 و Windows 10
 
 بدین منظور کافیست طبق تصاویر زیر عمل شود:
 
03 How to prevent wannacrypt ransomware
 
04 How to prevent wannacrypt ransomware
 
نکته: به منظور اعمال تغییرات، بعد از انجام عملیات فوق، رایانه مورد نظر می بایست ری استارت گردد.
 
غیر فعال کردن پروتکل SMBv1 با استفاده از قسمت Server Manager در سیستم عامل های Windows Server 2012، Windows Server 2012 R2 و Windows Server 2016
 
بدین منظور کافیست طبق تصاویر زیر اقدام گردد:
 
05 How to prevent wannacrypt ransomware
 
 
06 How to prevent wannacrypt ransomware
 
نکته: به منظور اعمال تغییرات، بعد از انجام عملیات فوق، سرور مورد نظر می بایست ری استارت گردد.
 
غیر فعال کردن پروتکل SMBv1 با استفاده از PowerShell در سیستم عامل های Windows Vista، Windows 7، Windows 2008 و Windows Server 2008 R2
 
بدین منظور کافیست طبق تصویر زیر عمل شود:
 
07 How to prevent wannacrypt ransomware