باج‌افزار WannaCrypt

باج‌افزار WannaCrypt

باج‌افزار WannaCrypt که با نام‌های دیگری همچون WannaCry، Wana Decrypt 0، WannaCryptor، WCRY نیز شناخته می‌شود، ویروسی است بسیار خطرناک که سروکارش با برنامه ها نیست که بتوانید آنها را بعد از ویروس کشی حذف کنید؛ ویروس باجگیر دقیقآ دنبال فایلهای مورد نیاز شماست. یعنی فایل های مهم شما مثل قراردادها، یادداشتها، موسیقی ها، کلیپ ها، عکس های یادگاری شما و خلاصه بدنبال همه چیزهای مهم و شخصی شماست. ویژگی اصلی ویروس‌های باجگیر یا Ransomware، رمزگذاری بر روی فایل‌های مهم ذخیره شده بر روی کامپیوتر و قفل کردن آنهاست.

این باج‌افزار در ۱۲ می ۲۰۱۷ میلادی (۲۲ اردیبهشت ۱۳۹۶) کشف شده و در یک حمله گسترده‌ شبکه‌ای بیش از ۲۳۰۰۰۰ رایانه شخصی از ۱۵۰ کشور دنیا را آلوده کرده است. نشانه‌هایی از نفوذ این باج‌افزار در رایانه‌های کشورمان نیز مشاهده شده است که بیشترین آن در شهرهای تهران و اصفهان می باشد.

اولین حملات این باج‌افزار به خدمات و سازمان‌های بهداشتی بریتانیا، سازمان ارتباطات شرکت تدارکات فدرال اکسپرس اسپانیا بوده است که در یک حمله‌ای با مقیاس بزرگ باعث ایجاد خلل در سیستم‌ها و اطلاعات کامپیوتری آنان شده است. به طوری که بسیاری از سازمان‌های وابسته را به تعطیلی موقت کشاند.

طبق مشاهدات و تحقیقات به عمل آمده، عمده حملات این باج‌افزار در سراسر جهان از طریق ضمیمه کردن فایل‌هایی به ایمیل بوده است. بنابراین بعد از ذخیره این فایل ضمیمه شده در رایانه شخصی، این باج‌افزار نیز در کامپیوتر شروع به فعالیت و تخریب می‌کند.

در حال حاضر مهاجمان اینترنتی، مایکروسافت ویندوز را آماج اهداف خود قرار داده‌اند تا بدین طریق بتوانند به صورت اینترنتی، به اصطلاح باج‌گیری نمایند. باج‌افزار WannaCrypt توسط گروهی به نام Shadowbrokers منتشر شده است.

این باج‌افزار جهت پخش شدن از یک کد اکسپلویت (Exploit) که متعلق به آژانس امنیت ملی آمریکا با نام “EternalBlue” می‌باشد، استفاده می‌نماید. این کد با استفاده از حفره امنیتی موجود در سرویس SMB سیستم‌عامل ویندوز با شناسه “MS17-010” اقدام به تخریب و آسیب رسانی می کند. گرچه این حفره امنیتی توسط مایکروسافت و در ماه مارس ۲۰۱۷ میلادی برطرف شده است اما کامپیوترهایی که به روزرسانی مربوطه را دریافت نکرده اند، نسبت به این حمله و آلودگی به این باج افزار آسیب پذریر هستند.

حال اگر این باج‌افزار بتواند با موفقیت به سیستم فرد قربانی نفوذ کرده و عملیات مخرب خود را انجام دهد، با پیام‌هایی که به چند زبان مختلف دنیا نیز قابل مشاهده است، شروع به اعلام نفوذ و باج‌گیری خواهد نمود. روش کار این باج‌افزار بدین گونه است که در ابتدا دسترسی به اطلاعات و فایل‌های کامپیوترتان را با تغییر فرمت فایلها و تبدیل آنها به کد، مسدود کرده و در ازای بازگرداندن و فعال کردن آنها از شما درخواست مبلغ ۳۰۰$ دلار می کند. طبق گزارشات دریافت شده، این باج‌افزار توانسته است در همان ساعات اولیه بیش از ۹۰۰۰ دلار باج‌گیری نماید!

باج افزار WannaCrypt
این باج افزار همچنین یک فایل با نام Please Read Me!.txt به جا می‌گذارد که شامل متنی است که اعلام می‌کند که چه اتفاقی افتاده و باج ‌درخواستی به چه صورت باید پرداخت شود. جالب است بدانید که این باج‌افزار حتی برای درخواست‌های خود نیز تعرفه‌های خاصی را تعیین کرده است. به طوری که با نمایش یک پیغام به همراه ثانیه شمار به شما هشدار می دهد که اگر طی ۳ روز مبلغ درخواستی (۳۰۰ دلار) پرداخت نشود، میزان مبلغ درخواستی ۲ برابر خواهد شد! و پس از ۷ روز در صورت عدم پرداخت، اطلاعات رمزگذاری شده حذف خواهند شد. نحوه پرداخت این مبلغ نیز به صورت “بیت‌کوین” یا همان پول مجازی است، بدین ترتیب قابل ردیابی نخواهد بود زیرا بیت کوین به گونه ای است که برای حفظ امنیت کاربران، اطلاعات نقل و انتقالات حساب آنها را در اختیار هیچ کسی قرار نداده و کاملا به صورت رمز گذاری شده است.

فرمت‌های آلوده شده به این باج‌افزار عبارتند از:

.jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .st , .backup , .tiff , .djvu , .mpeg , .class , .java , .accdb , .sqlitedb , .sqlite3 , .lay6 , . xltm , .pptm , .ppsm , .ppsx , .ppam , .potx , .potm , .sldx , .sldm , .vmdk , .vsdx , .onetoc2 , .docb , .docm , .dotm , .dotx , .xlsb , .xltx , .xlsx , .pptx , .xlsm , .docx

زمانی که باج‌افزار اقدام به تخریب فایل‌ها نماید، کلید رجیستری زیر را ایجاد می‌کند:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun\<random string> = “<malware working directory>tasksche.exe”

HKLMSOFTWAREWanaCrypt0r\wd = “<malware working directory>”

برای حذف باج‌افزار wannacrypt از سیستم و ترمیم کلیدهای رجیستری سیستم عامل می‌توان از نرم‌افزارهای پاک‌سازی و ترمیم رجیستری استفاده کرد اما توجه فرمایید که با این‌کار نمی‌توان فایل‌های قفل شده را بازگرداند و تنها میتوان از انتشار آن جلوگیری نمود.

 

برای محافظت سیستم خود در برابر باج‌افزار Wannacrypt موارد زیر را انجام داده و رعایت کنید:

– نصب وصله امنیتی “MS17-010” منتشر شده توسط مایکروسافت

– خودداری از باز کردن ایمیل های ناشناس و ذخیره سازی فایل‌های ضمیمه شده به آنها

– پشتیبان‌گیری و ذخیره اطلاعات مهم در مکانی ایمن

– آپدیت کردن ویندوز به جدیدترین نسخه آن

– آپدیت کردن آنتی‌ویروس و استفاده از برخی نرم‌افزار‌های امنیتی در رابطه با WannaCrypt

– غیر فعال کردن SMBv1 برای جلوگیری از ترافیک‌های دریافتی SMB بر روی پورت ۴۴۵

 

خوشبختانه به منظور جلوگیری از آلوده شدن سیستم کاربران به این باج افزار، آخرین ورژن آنتی ویروس های Eset Smart Security و KasperSky ارائه شده توسط شرکت پارس قادر به شناسایی و حذف این باج افزار به محض ورود به سیستم می باشند و از انجام هر گونه عملیات مخربی توسط این باج افزار جلوگیری به عمل می آورند. برای دانلود هر یک از این آنتی ویروس ها لطفا بر روی اسم آن کلیک نمایید.

این نوشته را به اشتراک بگذارید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − چهار =


دکتر وردپرس
صفحه اصلی
تماس با ما
ارسال تیکت