خلاصه: در انتهای هفته گذشته باجافزاری جدید با نام WannaCry تعداد زیادی از سیستمها را در کشورهای مختلف آلوده نموده است. این باجافزار فایلهای قربانی را رمز کرده و برای رمزگشایی آنها درخواست ۳۰۰ دلار امریکا باج میکند. این باجافزار به دلیل استفاده از یک آسیبپذیری که روی ویندوز وجود داشته و آژانس ملی امنیت امریکا از آن برای نفوذ به سیستمها استفاده مینمود استفاده میکند اگر یک کامپیوتر در یک سازمان یا شرکت آلوده به این باجافزار شود، اقدام به آلوده نمودن بقیه سیستمهای آسیبپذیر در شبکه محلی میکند.
در ساعات اولیه جمعه ۲۲ اردیبهشت ۱۳۹۶ یک کمپین باجافزاری هزاران کامپیوتر شرکتهای خصوصی و سازمانهای دولتی را در سراسر جهان را آلوده به باجافزار نمودهاند. این حمله را میتوان بزرگترین حمله آلوده نمودن به باجافزار تاکنون نامید. این باجافزار به نامهای مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته میشود. ای باجافزار همانند دیگر باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج مینماید.
مساله مهمی که در مورد این باجافزار وجود دارد این است که برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده میکند که توسط گروه دلالان سایه ماه گذشته کشف شد.
این کد اکسپلویت از یک آسیب پذیری روی ویندوز استفاده میکند. این آسیبپذیری که با شناسنه MS17-010 برای مایکروسافت شناخته میشود روی سرویس SMB مایکروسافت قرار دارد که وظیفه آن به اشتراک گذاشتن فایلها در شبکه محلی است. مایکروسافت پس از افشای این آسیبپذیری برای آن وصل منتشر نمود؛ اما کامپیوترهایی که این وصله را دریافت ننمودهاند نسبت به این حمله و آلودگی به این باجافزار آسیبپذیر هستند.
این باجافزار این توانایی را دارد دارد که کامپیوترهایی که این آسیبپذیری در آنها وصله نشده است را جستجو کرده و آنها را آلوده کند. این توانایی باعث شده سرعت گسترش این باجافزار به صورت حیرتانگیزی بالا باشد.
تنها در چند ساعت این باجافزار بیش از ۴۵.۰۰۰ کامپیوتر را در بیش از ۷۴ کشور آلوده نموده است. این آمار تا صبح یکشنبه به بیش از ۲۱۰.۰۰۰ رسیده است. روسیه، اوکراین و هند بیشترین آلودگی را داشتهاند.
بر اساس گزارشها تنها در انگلیس کار ۱۶ بیمارستان به دلیل آلودگی به این باجافزار مختل شده است. همچنین بیش از ۸۵٪ کامپیوترهای
موسسه اسپانیش تلکام به این بدافزار آلوده شده است. طبق آمار شرکت MalwateTech دیروز تعداد سیستمهای آلوده شده در روسیه، چین و امریکا به ترتیب ۱۱.۲۰۰، ۶.۵۰۰ و ۱۶۰۰ بوده است.
تصاویر زیر تصاویر پیامی است که باجافزار به قربانی نمایش میدهد. پیام باجافزار به زبانهای مختلف قابل مشاهده است.
این باجافزار با استفاده از شبکه TOR و استفاده از حسابهای بیتکوین هویت خود را مخفی نموده است. حسابهای بیتکوین متعلق به این باجافزار از ساعات ابتدایی آلودگی پول زیادی به عنوان باج دریافت نمودهاند. تابحال بیش از ۲۸ پرداخت دریافت شده است. یعنی تنها در ساعات اولیه بیش از ۹۰۰۰ دلار باج دریافت شده است.
نحوه تاثیرگذاری این باجافزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باجافزار است.
بر اساس بررسی معکوس این باجافزار مشخص شده که این باجافزار به محض اینکه روی سیستم نصب میشود اقدام به رمز کردن فایل های کاربر نمیکند. او ابتدا تلاش میکند به آدرس زیر متصل شود. در صورتی که بتواند به این آدرس متصل شود روی سیستم تاثیر نمیگذارد ولی اگر نتواند به آن متصل شود، اقدام به آلوده کردن سیستم میکند.
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
طبیعتا این آدرس وجود ندارد اما کارشناسان شرکت MalwareTech توانستهاند با ثبت آن و دادن امکان دسترسی به این آدرس، جلوی توزیع این باجافزار را بگیرند.
این باجافزار فایلهای با پسوند زیر را رمز میکند.
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
کاربران برای حفظ امنیت خود در مقابل این باجافزار ابتدا لازم است هرچه زودتر وصله امنیتی منتشر شده توسط مایکروسافت را که آسیبپذیری سرویس SMB را برطرف نموده است نصب کنند. نصب این وصله به صورت خودکار با بهروزرسانی ویندوز انجام میشود. اگر به هر دلیل علاقهای به بهروزرسانی ویندوز ندارید میتوانید وصله مورد نظر را از اینجا دانلود کنید.
خوشبختانه مایکروسافت یک بهروزرسانی اضطراری برای مقابله با این باجافزار منتشر نموده که حتی برای محصولاتی که پشتیبانی از آنها را پایان داده نیز وصله منتشر نموده است. از اینجا میتوانید وصله مورد نظر خود را دانلود و نصب نمایید.
با توجه به دشوار بودن دانلود وصلهها از مایکروسافت، مرکز تخصصی آپا این وصلهها را روی سرورهای خود قرار داده و امکان دانلود آنها از اینجا فراهم نموده است.
در صورتی که امکان بهروزرسانی یا نصب وصله برای شما وجود ندارد میتوان قابلیت SMB را غیر فعال نمود. البته این حالت تنها در مواقع ضروری پیشنهاد میشود؛ زیرا غیر فعال کردن این سرویس امکانات زیادی را مختل میکند. برای یر فعال کردن SMB به صورت زیر باید کدهای زیر در قسمت cmd وارد شوند.
- در ویندوز ۸ و ویندوز سرور ۲۰۱۲
- برای مشاهده وضعیت پروتکل سرور SMB:
- Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
- برای غیرفعال کردن SMBV1 روی سرور SMB:
- Set-SmbServerConfiguration -EnableSMB1Protocol $false
- برای غیرفعال کردن SMBV2 و SMBV3 روی سرور SMB:
- Set-SmbServerConfiguration -EnableSMB2Protocol $false
- برای فعال کردن SMBV1 روی سرور SMB:
- Set-SmbServerConfiguration -EnableSMB1Protocol $true
- برای فعال کردن SMBV2 و SMBV3 روی سرور SMB:
- Set-SmbServerConfiguration -EnableSMB2Protocol $true
- برای مشاهده وضعیت پروتکل سرور SMB:
- در ویندوز ۷، ویستا و ویندوز سرورهای ۲۰۰۸ و ۲۰۰۸ R2
- برای غیرفعال کردن SMBV1 روی سرور SMB:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
- برای غیرفعال کردن SMBV2 و SMBV3 روی سرور SMB:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
- برای فعال کردن SMBV1 روی سرور SMB:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
- برای فعال کردن SMBV2 و SMBV3 روی سرور SMB:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
- برای غیرفعال کردن SMBV1 روی سرور SMB:
توجه کنید که برای اینکه تنظیمات بالا اعمال شود باید کامپیوتر خود را ریستارت کنید.
مساله ای که مدیران شبکه در قبال این باجافزار باید رعایت کنند بستن دسترسی پروتکل SMB از بیرون از شبکه است. باید ترافیک وودی روی پورتهای TCP شماره ۴۴۵، ۱۳۷ و ۱۳۹ و همچنین پورتهای ۱۳۷ و ۱۳۸ UPD که متعلق به SMB است مسدود شود.
برای جلوگیری از آلودگی به باجافزار و یا دیگر یدافزارها لازم است که نسبت به هر فایل و سندی که برای ما ارسال میشود حساس باشیم و هرگز لینکها و ضمایم ایمیلهایی که از سمت افراد ناشناس برای ما ارسال میشود را باز نکنیم. یک کلیک روی لینک آلوده میتواند کامپیوتر را به این باجافزار آلوده نماید.
تنها راه قطعی مقابله با باجافزارها داشتن نسخههای پشتیبان از فایلها و اطلاعات مهم است. با داشتن یک برنامه مناسب برای گرفتن نسخههای پشتیبان از فایلها و اطلاعات مهم و نگهداری آنها در یک حافظه جانبی مقابله با باجافزار را به سادگی فراهم میکند.
استفاده از نرمافزارهای امنیتی مناسب و قدرتمند مانند آنتیویروسها و فایروالها کمک زیادی به آلوده نشدن به بدافزار میکند. همچنین استفاده از ابزارهای ضد باجافزار که به تازگی رونق یافته نسبت به جلوگیری از آلوده شدن به باجافزار کمک شایانی میکند. اما نکته مهمی که باید همواره به آن توجه داشت توجه کاربر به امنیت خود و وبگردی به صورت امن است.