اقدامات عملی جهت پیشگیری و مقابله با باج افزار WannaCry

حAمـــدق

سلام دوستان.در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.تا این لحظه بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استان های کشور در دست انجام می باشد.

این حمله را میتوان بزرگترین حمله آلوده نمودن به باج افزار تاکنون نامید. این باج افزار به نامهای مختلفی همچونWannaCry ،Decrypt0r Wana ،WannaCryptor و WCRY شناخته میشود. این باج افزار همانند دیگر باج افزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.

باج افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده میکند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستمهای عامل ویندوز با شناسه ۰۱۰-MS17 استفاده میکند. در حال حاضر این آسیب پذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت ننموده اند نسبت به این حمله و آلودگی به این باج افزار آسیب پذیر هستند.

این باج افزار با استفاده از شبکه TOR و استفاده از حسابهای بیت کوین هویت خود را مخفی نموده است.حسابهای بیت کوین متعلق به این باج افزار از ساعات ابتدایی آلودگی پول زیادی به عنوان باج دریافت نموده اند.
تابحال بیش از ۲۸ پرداخت دریافت شده است. یعنی تنها در ساعات اولیه بیش از ۹۰۰۰ دلار باج دریافت شده است.

نحوه تاثیرگذاری این باج افزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باج افزار است.

این باج افزار فایلهای با پسوند زیر را رمز میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc

باتوجه به فعالیت این باج افزار در کشور ما، الزام است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به بروزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتی ویروس ها و اطلاع رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.

 

اقدامات عملی جهت پیشگیری و مقابله با باج افزار WannaCry

 

نصب وصله ۰۱۰-MS17 :

آسیب پذیری ۰۱۰-MS17 در پیاده سازی سرویس SMB (پروتکل اشتراک گذاری فایل) در همه نسخه های ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیب پذیری و جلوگیری از سوءاستفاده از آن الزام است.

آخرین بروز رسانی های سیستم عامل ویندوز اعمال گردد. برای این منظور الزام است با استفاده از ابزار بروزرسانی ویندوز (update windows) آخرین بروز رسانی های سیستم عامل دریافت شده و نصب گردد.
این باج افزار با استفاده از آسیب پذیری های حیاتی که در اواسط ماه مارچ توسط مایکروسافت اعلام شده بود و پچ آن نیز ارائه شده است منتشر می شود. .برای دریافت این patch به آدرس زیر مراجعه فرمایید :

چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد الزام است دسترسی به سرویس SMB مسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود.

 

💢 مسدودسازی دسترسی به سرویس SMB بدون توقف سرویس :

می توان نسبت به بستن پورت های ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB روی فایروال ویندوز اقدام نمود.

 

 

منبع رسمی : مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) زیر نظر سازمان فناوری اطلاعات ایران

 

1
اشتراک گزاری
حAمـــدق
حAمـــدق

من : فارغ التحصیل کارشناسی رشته ICT و فعال در حوزه IT و وبلاگ نویسی به دنیای تکنولوژی علاقه زیادی دارم و از بحث و مطالعه در مورد فناوری لذت میبرم.همیشه سعی میکنم سیاست‌ها، محصولات و خدمات‌ شرکت‌های فعال در حوزه‌ی فناوری را رصد و تجزیه و تحلیل کنم.

۱ نظر

  1. با تشکر
    ممنون از راهنمایی

انصراف از پاسخ