حمله سایبری WannaCry

31 ارديبهشت 1396
نویسنده :   Ali Salempanah

حمله سایبری جدید WannaCry :

 

در حال حاضر حمله سایبری جدیدی از نوع باج افزار که wannacry نام دارد، سیستم های کل دنیا را تحت شعاع قرار داده است.  و روزانه تعداد زیادی از کامپیوترهای مایکروسافتی را مورد حمله قرار می دهد. عملکرد این باج افزار به این صورت است که با استفاده از آسیب پذیری موجود در پروتکل Server Massage Block ( smb ) و پورت های 445 و 135 مربوط به این پروتکل، به سیستم قربانی نفوذ می کند. پس از نفوذ باج افزار به سیستم، فایل های حیاتی قربانی را با فرمت های گوناگون تشخیص داده و آنها را Encrypt می کند.پس از این اقدام، باج افزار Wannacry یک پیغام متنی بر روی سیستم قربانی نمایش می دهد تا قربانی را از حمله مطلع سازد که سیستم وی آلوده به این باج افزار شده است . در این پیام، از قربانی خواسته می شود برای بازگردانی اطلاعات کد شده خود به حالت اولیه، از طریق صفحه bitcoin – که پرداخت های اینترنتی را به شکل امن انجام می دهد – مبلغی را پرداخت کند وبه این ترتیب باج افزار wannacry اقدام به اخاذی از قربانیان این حمله می کند.

این حمله در روز جمعه 12 May 2017 راس ساعت 7:44 am شروع و ابتدا از آسیا استارت آن زده شد. و توانست بیش از 230000 کامپیوتر را در 150 کشور جهان آلوده به این ویروس کند که این میزان سرعت انتشار یک ویروس در دهه های اخیر امری بی سابقه بوده است. طبق گزارش ارائه شده توسط Kaspersky Lab ،کشور هایی که شدیدا متضرر این حمله شده اند کشورهای روسیه، اکراین، هند، و تایوان و بخش هایی از  National Health Service (NHS) بریتانیا،Fedex،Telefonica وDeutsche Bahn  اسپانیا و نیز شرکت های بزرگ و نام آشنایی مانند شرکتNissan Motor Manufacturing  وRenault  بودند که به دلیل آلوده شدن برخی از سیستم ها و سایت های آنها، کار تولید را متوقف ساخته تا از انتشار بیشتر این ویروس و از بین رفتن اطلاعات حساس خود توسط این باجافزار جلوگیری کنند. همچنین تعداد زیادی از کامپیوتر های موجود در سطح جهان، از طریق اتصال به شبکه جهانی اینترنت آلوده به این باجافزار شده اند که روند آلوده شدن سیستم های جهان به دلیل عدم اطلاع کاربران از نحوه مقابله با این حمله، همچنان رو به افزایش است. در تاریخ  17 May 2017  - 2:33 UTC  تعداد انتقال وجه انجام شده به 238 مورد رسیده است که مبلغ کل آن برابر با $72,144.76 می باشد.

ویروس WannaCry :

باجافزار WannaCry یک نوع کرم شبکه ای میباشد زیرا از یک مکانیزم انتقالی استفاده میکند که با ایجاد یک نسخه کپی از خود به صورت خودکار خود را در جای جای شبکه توزیع میکند. بعد از مدت کوتاهی از انتشار این باجافزار در دنیای اینترنت، یک محقق در زمینه امنیت وب که با نام Malware Tech وبلاگ مینویسد، توانست یک Kill Switch  یا کلید قطع اضطراری را (وظیفه kill switch این است که سیستم هایی را که با  مشکلی مواجه شده اند، به شکل امن و به طوری که به آن سیستم آسیبی نرسد، خاموش میکند) با ثبت کردن Domain Name یافت شده در code این باجافزار، شناسایی کند .این کار قدرت سرعت انتشار این ویروس را به شکل جشمگیری پایین آورد. هرچند که در نسخه جدید، این ویروس می تواند kill switch را دور بزند . در تاریخ 21 April 2017 کارشناسان امنیت گزارش دادند کامپیوتر هایی که DoublePulsar Backdoor بر روی آنها نصب شده است، به ده ها هزار کامپیوتر میرسند و پیش بینی کردند تا تاریخ 25 April 2017 تعداد کامپیوتر های آلوده شده با این Backdoor به چند صد هزار کامپیوتر خواهد رسید و این آمار روزانه به شکل فاجعه واری در حال افزایش می باشد. در تاریخ May 17  تعداد زیادی از کاربران اینترنتی مبلغ $300 - $ 600 را به این باجافزار پرداخت کرده اند، در صورتی که نه اطلاعی از شخصی که وجه را برای آن ارسال کرده اند دارند و نه از اینکه اطلاعات آنها رمزگشای می شوند یا خیر. این در حالی است که کارشناسان امنیت به نکته جالبی اشاره میکنند که طبق گفته های Checkpoint Software Technologies آنرا اینگونه گزارش کرده اند: " که هیچگونه موردی از این نوع مشاهده نشده که کسی با پرداخت مبلغ 300$ به رمزگشایی اطلاعات خود دست یافته باشد." هم چنین از طریق کد این باجافزار دریافتند که رمزگشایی اطلاعات قربانی های این ویروس، بدون دخالت مستقیم هکر امکان پذیر نمی باشد. در نتیجه با توجه به این حقایق کشف شده کارشناسان و متخصصان این حوزه توصیه می کنند که به هیچ عنوان مبلغی را برای این باجافزار پرداخت نکنید .

نحوه انتشار ویروس WannaCry :

باجافزار WannaCry از طریق شبکه های محلی ( local networks) و اینترنت، به سیستم هایی که توسط اخرین Patch های امنیتی به روز رسانی نشده اند، نفوذ و در شبکه گسترش می یابد. این باجافزار از نقطه ضعف امنیتی موجود در EternalBlue که توسط آژانس امنیت ملی امریکا  National Security Agency (NSA) ایجاد و گسترش یافته است، استفاده میکند. این کد مخرب یا به عبارت دیگر این EternalBlue exploit که میتواند از این باگ موجود استفاده لازم را برای آلوده ساختن سیستم ها کند، توسط The Shadow Brokers طراحی شده است. نکته جالب توجهی که در اینجا وجود دارد این می باشد که نمی توان به این vulnerability  EternalBlue نام Zero – Day Attack  انتساب کرد زیرا Microsoft به دلیل علم به آسیب پذیری موجود در EternalBlue در تاریخ 14 March 2017، درست 2 ماه قبل از اینکه این حمله سایبری جهان را تحت تاثیر خود قرار دهد، اقدام به ایجاد Patch امنیتی مربوط به این آسیب پذیری میکند. اما اکثر شرکت ها و سازمان های دولتی و همچنین کاربران اینترنتی، به دلیل عدم آگاهی از این Patch امنیتی، سیستم های خود را به روز رسانی نکردند و قربانی این ویروس شدند. Microsoft نیز فقط به این Patch بسنده نکرد و برای ایمنی سازی سیستم های قدیمی مانند Windows XP و Windows Server 2003 - که در نزد Microsoft  جز سیستم عامل های از رده خارج محسوب میشوند و طبق اعلام قبلی خود دیگر به روز رسانی ها را برای این نسخه های قدیمی اختصاص نخواهد داد- در یک اقدام غیر معمول یک قدم به عقب برگشته و برای حمایت از مشتریان خود که ممکن است هنوز از این سیستم عامل ها در سازمان و یا سیستم های خود استفاده میکنند، Patch امنیتی ایجاد کرد تا این قبیل سیستم عامل ها هم نیز همانند نسخه های بالاتر در برابر این دست حملات در حاشیه امنی قرار بگیرند.Patch  امنیتی که Microsoft در اختیار عموم قرار داده به نام MS 17 – 010 میباشد . باجافزار WannaCry ابتدا بررسی میکند که  kill switch domain name بر روی سیستم قربانی وجود نداشته باشد و پس از کسب اطمینان، کدی که از این مکانیزم انتقال استفاده میکند، برای یافتن آسیب پذیری شروع به اسکن کامپیوترها میکند و پس از اسکن، از آسیب پذیری EternalBlue برای ایجاد دسترسی و از آسیب پذیری DoublePulsar برای نصب و اجرای خود استفاده میکند و در مرحله بعدی فایل های مهم و حساس را در کامپیوتر قربانی پیدا کرده و اقدام به encrypt کردن اطلاعات میکند و برای کاربر یک پیام متنی نمایش میدهد که علاوه بر در جریان قرار دادن کاربر از آلوده شدن به این ویروس، از او در خواست پرداخت وجه به مقدار $300 از طریق BITCOIN میکند و بیان می کند که در صورت گذشت 3 روز از عدم پرداخت وجه مبلغ به $600 افزایش می یابد، که در صورت عدم پرداخت مجدد، در روز هفتم همانند بمب الکترونیکی عمل کرده و کل اطلاعات شما را حذف میکند. مکان های که این باجافزار خود را در ویندوز قرابانی جا میدهد در مکان های اشاره شده در زیر می باشد :

در ویندوزهای ویستا، 7 و 8 :

C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)

در ویندوز XP :

C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

 

راه حل امنیتی برای پیشگیری از آلوده شدن به این باجافزار :

ابتدا به لینک اشاره شده در زیر رفته و طبق مراحل زیر اقدام به ایمن سازی سیستم خود کنید :

https://www.catalog.update.microsoft.com/Home.aspx

  • در قسمت جستجو KB4012598 را تایپ کنید .
  • سپس سیستم عامل خود را انتخاب کنید که  ما Windows XP SP 3 را انتخاب میکنیم

  • در صورتی که هر کدام از اپدیت ها را انتخاب کنید، همانند شکل زیر اطلاعاتی را در اختیار شما قرار خواهد داد:

  • روی گزینه دانلود کلیک کنید تا صفحه زیر برای شما نمایش داده شود :


بعد از دانلود فایل، آن را اجرا کنید و گرینه Next  را انتخاب کنید :

  • سپس در گام بعدی ، I agree را انتخاب کنید:

  • بعد از نصب، گزینه Finish را انتخاب کنید :

 

 

غیر فعال کردن پرتکل SMB و پورت های 135 و 445  برروی ویندوز :

محیط CMD را به شکل Run as Administrator اجرا کنید و دستور زیر را در آن وارد کنید :

  • netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_TCP_P:135”

 

  • netsh advfirewall firewall add rule dir =in action=block protocol=TCP localport=445 name=”block_TCP_P:445”

 

 

در ادامه این دستورات برای ویندوزهای 8 به بالاتر این دستورات را وارد کنید :

C:\> dism /online /norestart /disable-feature /featurename:smb1Protocol

 

 
یا میتوانید وارد محیط control panel  شوید و گزینه Turn Window features on or off را انتخاب و پرتکل smb  را غیر فعال کنید :

 

 و برای ویندوز 7 :

C:\> sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

C:\> sc.exe config mrxsmb10 start= disabled

دستور های ارایه  شده در بالا برای بستن پورت های 135 و 445  و غیر فعال کردن SMB Protocol استفاده می شوند از آنجایی که کاربران معمولی استفاده چندانی از پرتکل SMB ندارند غیر فعال کردن این پرتکل و پورت های مربوط به آن مشکل خاصی را برای آنها دربر نخواهد داشت اما به دلیل اینکه سازمان ها معمولا از این پرتکل استفاده می کنند این راه حل را به آنها پیشنهاد نمی کنیم. بعد از انجام تمام این مراحل، سیستم شما در مقابل این باجافزار ایمن شده است.

بازگردانی اطلاعات بدون نیاز به پرداخت هزینه به باجافزار WannaCry  :

  حال در صورتی که سیستم شما به باجافزار WannaCry آلوده شده باشد و اطلاعات شما توسط این ابزار قفل شده باشد می توانید با استفاده از برنامه ای که توسط یک پژوهشگر فرانسوی به نام Adrin Guinet طراحی شده است فایل های خود را بدون نیاز به پرداخت هزینه $300  بازگردانی کنید زیرا که این ابزار قادر است کلید استفاده شده برای رمز کردن اطلاعات را بر روی سیستم قربانی این ویروس استخراج کند و از این کلید برای decrypt  کردن اطلاعات استفاد کند اما این در حالی امکان پذیر است که سیستم قربانی بعد از آلوده شدن به این ویروس سیستم خود را ریستارت یا خاموش نکرده باشد زیرا که کلید رمزنگاری باج افزار WannaCry برای ویندوز  XP در حافظه RAM آن باقی می ماند و اگر پس از آلودگی، کامپیوتر خود را Restart نکرده باشید ابزار Search_prime قادر است این کلید را استخراج کند . که شما می توانید با مراجعه به این لینک این ابزار را دانلود کنید:

http://github.com/aguinet/wannakey/blob/master/bin/Search_primes.exe

علاوه بر Adrin Guinet پژوهشگر دیگری به نام Benjamin Deply در این زمینه ابزاری را طراحی کرده است که علاوه بر سیستم عامل XP سایر سیستم عامل های ماکروسافتی مانند windows server 2003, vista, window 7, window server 2008 را پشتیبانی میکند که برای دانلود این ابزار شما میتوانید به لینک زیر رفته و این ابزار را دانلود کنید :

http://github.com/gentikiwi/wanakiwi/releases

 

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد