[ratings]

اقدامات عملی جهت پیشگیری و مقابله با باجافزار WannaCry (بخش ۱)

مقدمه

با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته wannacrypt در روزهای اخیر باج افزاری تحت عنوان است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است. تا این لحظه بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر )مراکز آپا( مستقر در استان های کشور در دست انجام می باشد.

این حمله را میتوان بزرگترین حمله آلوده نمودن به باجافزار تاکنون نامید. این باجافزار به نامهای مختلفی همچون شناخته میشود. این باجافزار همانند دیگر WCRY و WannaCryptor ،Wana Decrypt0r ،WannaCry باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.
EternalBlue باجافزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام منتشر شد. این کد اکسپلویت از یک آسیب shadowbrokers استفاده میکند که مدتی پیش توسط گروه استفاده میکند. در حال حاضر این MS17- سیستمهای عامل ویندوز با شناسه ۰۱۰ SMB پذیری در سرویس آسیبپذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت ننموده اند نسبت به این حمله و آلودگی به این باجافزار آسیب پذیر هستند.

تصاویر زیر تصاویر پیامی است که باجافزار به قربانی نمایش میدهد. پیام باجافزار به زبانهای مختلف قابل مشاهده است.

و استفاده از حسابهای بیتکوین هویت خود را مخفی نموده است. TOR این باجافزار با استفاده از شبکه حسابهای بیتکوین متعلق به این باجافزار از ساعات ابتدایی آلودگی پول زیادی به عنوان باج دریافت نمودهاند. تابحال بیش از ۲۸ پرداخت دریافت شده است. یعنی تنها در ساعات اولیه بیش از ۹۰۰۰ دلار باج دریافت شده است.

نحوه تاثیرگذاری این باجافزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باجافزار است.

این باجافزار فایلهای با پسوند زیر را رمز میکند:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm,
.ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml,
.lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi,
.ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd,
.jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg,
.asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd,
.nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar,
.tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti,
.sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd,
.edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm,
.pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc

باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتیویروسها و اطلاع رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.

اقدامات پیشگیرانه را می توانید در بخش دوم مشاهده فرمایید.