چند روزی است که صحنه جهانی و کشورمان شاهد ظهور و گسترش فوق العاده سریع گونه جدیدی از برنامه های مخرب در دسته باج افزارها (Ransomware) به نام WannaCry یا WannaCrypt بوده است.
هدف باج افزارها بطور کلی آلوده ساختن رایانه هدف و رمزگذاری (Encrypt) فایلهای با فرمتهای خاص و پرکاربرد آن و سپس درخواست مبلغی از قربانی برای رمزگشایی مجدد این فایلها می باشد که به نوعی می توان برای آن تعبیر گروگان گیری داده های رایانه قربانی و درخواست مبلغی برای آزادسازی آنها را به کار برد.
این باج افزار خاص در مرحله اولیه درخواست 300 دلار و در مرحله بعدی 600 دلار به صورت bitcoin برای رها کردن فایلهای رمزنگاری شده می کند و در صورت عدم پرداخت، تهدید به افزایش مبلغ و در نهایت غیر ممکن ساختن رمزگشایی می کند.
در بسیاری از موارد سازندگان باج افزار حتی پس از دریافت مبلغ اعلام شده از قربانی، داده های رایانه وی را از حالت رمزنگاری شده خارج نمی کنند یا حتی دست به نابودی این داده ها می زنند بنابراین هیچ تضمینی به بازیابی مجدد اطلاعات رایانه آلوده شده وجود ندارد.
باج افزارهای رایج و معمول تا کنون به اینگونه بوده اند که در اثر اشتباه کاربری نظیر کلیک بر روی لینک های مخرب در فضای وب، دانلود ضمیمه آلوده نامه الکترونیکی (Email)، اجرای ماکروهای مخرب یا ... سیستم قربانی را آلوده و فایلهای او را رمزنگاری می کردند اما این نوع جدید از باج افزارها از آسیب پذیری های موجود در ویندوز استفاده کرده و به کمک نفوذ از نوع RCE یا Remote Code Execution، کدهای مخرب خود را روی سیستم قربانی حتی بدون اینکه کاربر هدف کار خاصی انجام دهد، اجرا می کند.
باج افزار WannaCry علاوه بر مکانیسم رمزنگاری فایلها، برای گسترش خود از نقص ایمنی ( Exploit ) خاصی از ویندوز به نام EternalBlue استفاده می کند به این صورت که این Exploit از نقص پروتکلهای قدیمی ویندوز مانند SMBv1 برای گسترش و انتقال از یک رایانه آلوده به رایانه های دیگر در شبکه محلی یا اینترنت استفاده می کند که بسیار موثر است و عامل اصلی گسترش سریع آن در سطح جهانی نیز همین مورد است.
لازم به ذکر است که سیستم عامل های قدیمی و ضعیف ویندوز مانند Windows XP با توجه به نقایص امنیتی متعدد موجود در آنها به طور کلی در مقابل نفوذ هکرها و بطور خاص در این حمله آسیب پذیری بسیار بیشتری دارند.
برای اطمینان از ایمنی بیشتر و عدم آلودگی، توصیه اکید ما انجام موارد زیر در اسرع وقت می باشد:
1. مهمترین توصیه استفاده از وصله امنیتی منتشر شده توسط شرکت مایکروسافت است که برای تمام نسخه های ویندوز، وصله مربوط به آن نسخه در لینک زیر قرار دارد که جلوی آسیب پذیری موجود در پروتوکل SMBv1 ویندوز را می گیرد و بدین ترتیب از آلوده شدن رایانه از رایانه های آلوده دیگر در شبکه به این بد افزار جلوگیری به عمل می آید.
لازم به ذکر است که در صورت آلودگی به این بدافزار پیش از نصب این وصله امنیتی (Security Patch) یا اشتباهات کاربری مانند کلیک بر روی لینک آلوده یا ضمیمه نامه الکترونیکی آلوده حتی با وجود نصب این وصله، احتمال آلودگی سیستم وجود دارد و این وصله امنیتی تنها از آلودگی از طریق انتشار این باج افزار در شبکه بدون دخالت کاربر( که مهمترین عامل ابتلای سیستم ها به این باج افزار می باشد)، جلوگیری می کند.
لینک دریافت بروز رسانی امنیتی نسخه های تحت پشتیبانی ویندوز توسط مایکروسافت:
اهمیت این اپیدمی بدافزاری در حدی بوده که شرکت مایکروسافت برای نسخه های قدیمی و خارج از پشتیبانی ویندوز نظیر Windows XP و Windows Server 2003 نیز، بروزرسانی امنیتی در لینکی دیگر قرار داده که با توجه به آسیب پذیری فوق العاده زیاد سیستم عامل Windows XP، اکیداً توصیه می شود که این وصله امنیتی در اسرع وقت نصب گردد:
2. از اطلاعات حساس نسخه های پشتیبان تهیه کرده و آنها را در خارج از دسترس شبکه های معمول شرکت قرار دهید. در صورت داشتن نسخه پشتیبان از اطلاعات، در صورت آلوده شدن سیستم ها، خسارت جبران ناپذیری وارد نمی شود و می توان سیستم عامل و برنامه ها را نصب کرد و فایلهای پشتیبان را به سیستم ها باز گرداند.
3. از نسخه های قابل اطمینان نرم افزارهای ضد ویروس و فایروال استفاده کنید و بروز رسانی آنها و بررسی تمام نقاط مهم سیستم توسط نرم افزار ضد ویروس را انجام دهید.
نرم افزارهای ضد ویروس، WannaCry را معمولا به نام MEM:Trojan.Win64.EquationDrug.gen تشخیص می دهند.
4. در صورت استفاده از ویندوزهای جدیدتر مانند Windows 10، Windows 8 و Windows Server 2012 یا Windows Server 2016، برای اطمینان بیشتر می توان پروتکل SMBv1 را کلا در ویندوز غیر فعال کرد که برای این مورد از دستورات زیر در powershell ویندوز استفاده شود:
برای مشاهده وضعیت SMB1 در ویندوز:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
سپس در صورتی که عبارت زیر True،EnableSMB1Protocol بود، به کمک دستور زیر می توان آنرا غیر فعال کرد:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
همچنین می توان در ویندوزهای client نسخه های 10 و 8 در قسمت Programs and Features و Turn Windows Features On or Off، تیک عبارت :
SMB 1.0 / CIFS File Sharing Support
را برداشت.
در ویندوزهای سرور 2012 و 2016 ، تیک این مورد را در Server Manager در قسمت Manage و Remove Roles and Features بردارید. در صورت باقی ماندن ابهام و برای توضیحات بیشتر در رابطه با این مورد، لینک زیر را مشاهده نمایید:
5. می توان برای اطمینان بیشتر پورت های زیر را نیز که مربوط به پروتوکل های قدیمی NetBios,RPC و SMB ویندوز هستند در فایروال مسدود کرد:
TCP: 135,137,139,445
UDP:137,138
6. حتما توصیه می شود از اجرای پیوست نامه های الکترونیکی ناشناخته اجتناب کنید.
7. در نهایت با توجه به احتمال تغییر ساختار این باج افزار به مرور زمان، توصیه می شود که نرم افزارهای ضد ویروس و فایروال سیستم خود را به روز نگه دارید.
با توجه به رشد و پیشرفت روز افزون حملات سایبری و افزایش پیچیدگی این حملات طی سالیان اخیر و پیش بینی گسترش این حملات در آینده، توصیه ما اینست که برای اطمینان از ایمن ماندن سیستم ها و شبکه های رایانه ای خود همواره نسبت به اخبار منتشر شده درباره اپیدمی های جدید این حملات حساس بوده و در سریعترین زمان ممکن، پیشنهادات ارائه شده برای آنها را انجام دهید.
یکی از راههای افزایش اطمینان از ایمنی سیستم های رایانه ای، به روز نگه داشتن سیستم عامل از نظر وصله های ( Patch ) منتشر شده برای آن است.
همچنین توصیه می گردد که همواره از نرم افزارهای ضد ویروس و فایروال معتبر استفاده نموده و آنها را به روز نگه دارید.
علاوه بر این برنامه های موجود بر روی سیستم عامل خود را نیز به روز نگه دارید و ترجیحاً از آخرین نسخه های آن استفاده نمایید و سرویس های غیر ضروری را در سیستم خود غیر فعال نمایید. همچنین روی لینک های مشکوک و ناشناس در فضای مجازی و پیوست های نامه های الکترونیکی کلیک نکنید.
با طی کردن این مراحل به مقدار زیادی به ایمنی سیستم شما افزوده خواهد شد.
