چند روزي است که صحنه جهاني و کشورمان شاهد ظهور و گسترش فوق العاده سريع گونه جديدي از برنامه هاي مخرب در دسته باج افزارها (Ransomware) به نام WannaCry يا WannaCrypt بوده است.
هدف باج افزارها بطور کلي آلوده ساختن رايانه هدف و رمزگذاري (Encrypt) فايلهاي با فرمتهاي خاص و پرکاربرد آن و سپس درخواست مبلغي از قرباني براي رمزگشايي مجدد اين فايلها مي باشد که به نوعي مي توان براي آن تعبير گروگان گيري داده هاي رايانه قرباني و درخواست مبلغي براي آزادسازي آنها را به کار برد.
اين باج افزار خاص در مرحله اوليه درخواست 300 دلار و در مرحله بعدي 600 دلار به صورت bitcoin براي رها کردن فايلهاي رمزنگاري شده مي کند و در صورت عدم پرداخت، تهديد به افزايش مبلغ و در نهايت غير ممکن ساختن رمزگشايي مي کند.
در بسياري از موارد سازندگان باج افزار حتي پس از دريافت مبلغ اعلام شده از قرباني، داده هاي رايانه وي را از حالت رمزنگاري شده خارج نمي کنند يا حتي دست به نابودي اين داده ها مي زنند بنابراين هيچ تضميني به بازيابي مجدد اطلاعات رايانه آلوده شده وجود ندارد.
باج افزارهاي رايج و معمول تا کنون به اينگونه بوده اند که در اثر اشتباه کاربري نظير کليک بر روي لينک هاي مخرب در فضاي وب، دانلود ضميمه آلوده نامه الکترونيکي (Email)، اجراي ماکروهاي مخرب يا ... سيستم قرباني را آلوده و فايلهاي او را رمزنگاري مي کردند اما اين نوع جديد از باج افزارها از آسيب پذيري هاي موجود در ويندوز استفاده کرده و به کمک نفوذ از نوع RCE يا Remote Code Execution، کدهاي مخرب خود را روي سيستم قرباني حتي بدون اينکه کاربر هدف کار خاصي انجام دهد، اجرا مي کند.
باج افزار WannaCry علاوه بر مکانيسم رمزنگاري فايلها، براي گسترش خود از نقص ايمني ( Exploit ) خاصي از ويندوز به نام EternalBlue استفاده مي کند به اين صورت که اين Exploit از نقص پروتکلهاي قديمي ويندوز مانند SMBv1 براي گسترش و انتقال از يک رايانه آلوده به رايانه هاي ديگر در شبکه محلي يا اينترنت استفاده مي کند که بسيار موثر است و عامل اصلي گسترش سريع آن در سطح جهاني نيز همين مورد است.
لازم به ذکر است که سيستم عامل هاي قديمي و ضعيف ويندوز مانند Windows XP با توجه به نقايص امنيتي متعدد موجود در آنها به طور کلي در مقابل نفوذ هکرها و بطور خاص در اين حمله آسيب پذيري بسيار بيشتري دارند.
براي اطمينان از ايمني بيشتر و عدم آلودگي، توصيه اکيد ما انجام موارد زير در اسرع وقت مي باشد:
1. مهمترين توصيه استفاده از وصله امنيتي منتشر شده توسط شرکت مايکروسافت است که براي تمام نسخه هاي ويندوز، وصله مربوط به آن نسخه در لينک زير قرار دارد که جلوي آسيب پذيري موجود در پروتوکل SMBv1 ويندوز را مي گيرد و بدين ترتيب از آلوده شدن رايانه از رايانه هاي آلوده ديگر در شبکه به اين بد افزار جلوگيري به عمل مي آيد.
لازم به ذکر است که در صورت آلودگي به اين بدافزار پيش از نصب اين وصله امنيتي (Security Patch) يا اشتباهات کاربري مانند کليک بر روي لينک آلوده يا ضميمه نامه الکترونيکي آلوده حتي با وجود نصب اين وصله، احتمال آلودگي سيستم وجود دارد و اين وصله امنيتي تنها از آلودگي از طريق انتشار اين باج افزار در شبکه بدون دخالت کاربر( که مهمترين عامل ابتلاي سيستم ها به اين باج افزار مي باشد)، جلوگيري مي کند.
لينک دريافت بروز رساني امنيتي نسخه هاي تحت پشتيباني ويندوز توسط مايکروسافت:
اهميت اين اپيدمي بدافزاري در حدي بوده که شرکت مايکروسافت براي نسخه هاي قديمي و خارج از پشتيباني ويندوز نظير Windows XP و Windows Server 2003 نيز، بروزرساني امنيتي در لينکي ديگر قرار داده که با توجه به آسيب پذيري فوق العاده زياد سيستم عامل Windows XP، اکيداً توصيه مي شود که اين وصله امنيتي در اسرع وقت نصب گردد:
2. از اطلاعات حساس نسخه هاي پشتيبان تهيه کرده و آنها را در خارج از دسترس شبکه هاي معمول شرکت قرار دهيد. در صورت داشتن نسخه پشتيبان از اطلاعات، در صورت آلوده شدن سيستم ها، خسارت جبران ناپذيري وارد نمي شود و مي توان سيستم عامل و برنامه ها را نصب کرد و فايلهاي پشتيبان را به سيستم ها باز گرداند.
3. از نسخه هاي قابل اطمينان نرم افزارهاي ضد ويروس و فايروال استفاده کنيد و بروز رساني آنها و بررسي تمام نقاط مهم سيستم توسط نرم افزار ضد ويروس را انجام دهيد.
نرم افزارهاي ضد ويروس، WannaCry را معمولا به نام MEM:Trojan.Win64.EquationDrug.gen تشخيص مي دهند.
4. در صورت استفاده از ويندوزهاي جديدتر مانند Windows 10، Windows 8 و Windows Server 2012 يا Windows Server 2016، براي اطمينان بيشتر مي توان پروتکل SMBv1 را کلا در ويندوز غير فعال کرد که براي اين مورد از دستورات زير در powershell ويندوز استفاده شود:
براي مشاهده وضعيت SMB1 در ويندوز:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
سپس در صورتي که عبارت زير True،EnableSMB1Protocol بود، به کمک دستور زير مي توان آنرا غير فعال کرد:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
همچنين مي توان در ويندوزهاي client نسخه هاي 10 و 8 در قسمت Programs and Features و Turn Windows Features On or Off، تيک عبارت :
SMB 1.0 / CIFS File Sharing Support
را برداشت.
در ويندوزهاي سرور 2012 و 2016 ، تيک اين مورد را در Server Manager در قسمت Manage و Remove Roles and Features برداريد. در صورت باقي ماندن ابهام و براي توضيحات بيشتر در رابطه با اين مورد، لينک زير را مشاهده نماييد:
5. مي توان براي اطمينان بيشتر پورت هاي زير را نيز که مربوط به پروتوکل هاي قديمي NetBios,RPC و SMB ويندوز هستند در فايروال مسدود کرد:
TCP: 135,137,139,445
UDP:137,138
6. حتما توصيه مي شود از اجراي پيوست نامه هاي الکترونيکي ناشناخته اجتناب کنيد.
7. در نهايت با توجه به احتمال تغيير ساختار اين باج افزار به مرور زمان، توصيه مي شود که نرم افزارهاي ضد ويروس و فايروال سيستم خود را به روز نگه داريد.
با توجه به رشد و پيشرفت روز افزون حملات سايبري و افزايش پيچيدگي اين حملات طي ساليان اخير و پيش بيني گسترش اين حملات در آينده، توصيه ما اينست که براي اطمينان از ايمن ماندن سيستم ها و شبکه هاي رايانه اي خود همواره نسبت به اخبار منتشر شده درباره اپيدمي هاي جديد اين حملات حساس بوده و در سريعترين زمان ممکن، پيشنهادات ارائه شده براي آنها را انجام دهيد.
يکي از راههاي افزايش اطمينان از ايمني سيستم هاي رايانه اي، به روز نگه داشتن سيستم عامل از نظر وصله هاي ( Patch ) منتشر شده براي آن است.
همچنين توصيه مي گردد که همواره از نرم افزارهاي ضد ويروس و فايروال معتبر استفاده نموده و آنها را به روز نگه داريد.
علاوه بر اين برنامه هاي موجود بر روي سيستم عامل خود را نيز به روز نگه داريد و ترجيحاً از آخرين نسخه هاي آن استفاده نماييد و سرويس هاي غير ضروري را در سيستم خود غير فعال نماييد. همچنين روي لينک هاي مشکوک و ناشناس در فضاي مجازي و پيوست هاي نامه هاي الکترونيکي کليک نکنيد.
با طي کردن اين مراحل به مقدار زيادي به ايمني سيستم شما افزوده خواهد شد.