در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه بسیاری از کشور ها شیوع یافته است. این حمله را میتوان بزرگترین حمله آلوده نمودن به باجافزار تاکنون نامید. این باجافزار به نامهای مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته میشود وهمانند دیگر باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست ۳۰۰ دلار باج باج به صورت بیت کوین می نماید.
تمرکز اصلی این بدافزار روی سیستمهای کامپیوتری فعال در سرویسهای متعلق به بخشهای بهداشتی ( بیمارستانها، مراکزدرمانی و … ) است که از جمله در انگلستان که بسیاری از بیمارستانها را دچار مشکل کرده است.
باجافزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده میکند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستمهای عامل ویندوز با شناسه MS17-010 استفاده میکند. در حال حاضر این آسیبپذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت ننمودهاند نسبت به این حمله و آلودگی به این باجافزار آسیبپذیر هستند.
برخی از پسوندهایی که این باج افزار مورد هدف قرار میدهد عبارتند از :
.crt, .csr, .p12, .pem, .odt,.sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi,.ibd, .mdf, .ldf,.cmd, .bat, .ps1, .vbs,.jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd,.nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar,.tgz, .tar, .bak, .tbk, .bz2, .vmx, .vmdk, .vdi, .pdf,.rtf, .csv, .txt, .vsdx, .vsd,.edb, .eml, .msg, .ost, .pst, .docx, .doc
ویروس کدهای باج افزار :
این باج افزار توسط آنتی ویروس کسپرسکی قابل شناسایی بوده و امکان پاکسازی آن وجود دارد و آن را بانام های زیر شناسایی می کند:
- Trojan-Ransom.Win32.Gen.djd.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
توصیه های امنیتی :
- بروز رسانی آنتی ویروس در سطح کل شبکه
- محدود نمودن پورتهای مربوط به سرویس SMB در شبکه ۱۳۹و۴۴۵
- تهیه نسخه پشتیبان از اطلاعات به صورت روزانه و ذخیره سازی آن ها بر روی Tape Drive ها با استفاده از تکنولوژی WORM
- فعال سازی قابلیت اسکن میل ها و وب سایت ها توسط دستگاههای UTM در لبه اینترنت
- بروز رسانی تمامی سیستم عامل ها (در صورت عدم بروز رسانی حداقل وصله امنیتی MS17-010 بر روی سیستم ها نصب گردد)
وصله امنیتی MS17-010 را برای سیستم عاملهای مختلف می توانید از لینک های زیر دانلود نمایید :
- ویندوز ویستا (Vista)
32 بیتی (KB4012598)
64 بیتی (KB4012598)
- ویندوز سرور ۲۰۰۸ (Windows Server 2008)
32 بیتی (KB4012598)
64 بیتی (KB4012598)
- ویندوز ۷ (Windows 7)
32 بیتی (KB4012215)
64 بیتی(KB4012215)
- ویندوز سرور ۲۰۰۸ (Windows Server 2008 R2)
- ویندوز ۸٫۱ (Windows 8.1)
64 بیتی (KB4012216)
32 بیتی (KB4012216)
- ویندوز سرور ۲۰۱۲ (Windows Server 2012)
- ویندوز سرور ۲۰۱۲ (Windows Server 2012 R2)
- ویندوز (Windows RT 8.1)
- ویندوز ۱۰ (Windows 10)
32 بیتی (KB4012606)
64 بیتی (KB4012606)
- ویندوز ۱۰ نسخه ی ۱۵۱۱ (Windows 10 version 1511)
32 بیتی (KB4013198)
64 بیتی (KB4013198)
- ویندوز ۱۰ نسخه ی ۱۶۰۷ (Windows 10 version 1607)
32 بیتی (KB4013429)
64 بیتی (KB401342)
- ویندوز سرور ۲۰۱۶ (Windows Server 2016)
- ویندوز سرور ۲۰۰۳ (Windows Server 2003 SP2)
- ویندوز ایکس پی (Windows XP SP2)
- ویندوز ایکس پی (Windows XP SP3)
