بدافزارها

باج افزار WannaCry
۹ آبان ۱۳۹۶

باج افزار WannaCry

بسیاری از سازمان‌های بزرگ در می ۲۰۱۷ به صورت همزمان شروع به گزارش دادن باج افزار جدیدی که به آن گرفتار شده بودند، کردند. این باج افزار جدید که WannaCry نام داشت بیش از ۲۰۰٫۰۰۰ سیستم را آلوده کرد، این تعداد بالا از آلودگی در مدت کوتاهی شهرت زیادی برای این باج افزار به وجود آورد.

تمرکز باج‌ افزار WannaCry بر روی روسیه، اکراین، هند و تایوان بود. اما به طور کل باج افزار WannaCry در روز اول ۷۴ کشور را مورد هدف قرار داد.

 

نام‌های دیگر:

  • WCry 2.0
  • WannaCrypt0r
  • WannaCrypt
  • Wana Decrypt0r

شماره(های) مرجع مرتبط:

  • CVE-2017-0143
  • CVE-2017-0144
  • CVE-2017-0145
  • CVE-2017-0146
  • CVE-2017-0148
باج افزار WannaCry

ساختار باج افزار WannaCry

باج افزار WannaCry یک بدافزار چند منظوره محسوب می‌گردد. در حقیقت این بدافزار از دو قسمت تشکیل شده است:

  • یک اکسپلویت که قصد آن انتشار و آلوده سازی است.
  • دومین قسمت که یک رمزنگار است که بعد از آلوده شدن سیستم بر روی آن بارگذاری می‌گردد.

تفاوت اصلی باج افزار WannaCry با مابقی رمزنگارها هم در قسمت نخست ساختارش می‌باشد. در حقیقت در باج افزارهای قبلی، کاربر با کلیک بر روی یک لینک آلوده، اجرای یک ماکرو آلوده، بارگذاری پیوست‌های آلوده و غیره باعث انتشار باج افزار می‌شد. اما باج افزار WannaCry به هیچکدام از این روش‌ها نیازی ندارد و اصلا نیازی به اشتباهی از طرف کاربر ندارد.

انتشار باج افزار WannaCry

سازنده WannaCry از اکسپلویت شناخته شده‌ی ویندوزEternalBlue استفاده کرد. اکسپلویتی که گروه Shadow Brokers قبل‌تر منتشر کرده بود. اکسپلویتی که بر مبنای آسیب‌پذیری ای که مایکروسافت در اکتبر ۲۰۱۷ وصله کرده بود patched in security update MS17-010 بنا نهاده شده بود. با استفاده از این آسیب پذیری باج افزار WannaCry قادر بود تا به کامپیوترهای آلوده از راه دور دسترسی یافته و رمزنگار خودش را بر روی آن نصب نماید. 

باج افزار WannaCry  بعد از آلوده کردن یک سیستم در یک شبکه با یک رفتار کرم گونه خود را درشبکه منتشر می‌کند. رمزنگار آن هم شبکه را برای یافتن کامپیوترهایی که آسیب‌پذیری ذکر شده را دارند فعال می‌شود. درنتیجه باج افزار WannaCry تنها با نفوذ به یک کامپیوتر و آلوده کردن آن به بقیه‌ی شبکه را نیز آلوده می‌نماید.

رمز کردن فایل‌ها توسط WannaCry

WannaCry فایل‌ها را در فرمت‌های مختلفی رمز می‌نماید که لیستی از آن‌ها را می‌توانید مشاهده نمایید. فایل‌های رمز شده  با پسوند WCRY ذخیره می‌شوند و بعد از آن شکل آیکون فایل را به صورت تصویری درمی‌آید که در آن اطلاعاتی راجع به نحوه‌ی پرداخت باج برای برگردان فایل‌ها در آن وجود دارد.

صورت دریافتی باج هم طبق معمول ارز دیجیتال است. که در ابتدا مجرمان سایبری ۳۰۰ دلار طلب می‌نمایند و بعد از آن رقم درخواستی خود را به ۶۰۰ دلار افزایش می‌دهند.

پیشنهاد متخصصان کسپرسکی این است که باج را پرداخت ننمایید. مجرمان سایبری که در پشت باج افزار WannaCry قرار دارند ادعا می‌کنند که در طی سه روز میزان باج دو برابر شده و بعد از هفت روز باز پس گیری فایل‌ها غیر ممکن است. متخصصان کسپرسکی می‌گویند در صورت پرداخت باج هیچ گونه تضمینی برای رمز گشایی فایل‌ها از سوی مجرمان وجود ندارد.

پیشگیری از باج افزار WannaCry

  • حتما به روز‌رسانی‌های ویندوز را جدی بگیرید. همیشه در سریع ترین زمان ممکن سیستم عامل خود را به روز رسانی نموده و وصله‌های امنیتی را نصب نمایید. به مدیران شبکه پیشنهاد می‌گردد همیشه از اخبار آسیب‌پذیری‌ها مطلع باشند.
  •  از اطلاعات خود نسخه‌ی پشتیبان تهیه نمایید.
  • از یک ضد ویروس معتبر استفاده نمایید.

اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:

  • ابتدا سیستم خود را با کسپرسکی پویش نمایید
  • اگر ضد ویروس کسپرسکی MEM:Trojan.Win64.EquationDrug.gen را نمایش داد آن را پاک نموده و سیستم خود را reboot نمایید.
  • همچنین System Watcher کسپرسکی را فعال نمایید.

زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌نماید، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی نیست.

آرمان داده پویان نمایندگی رسمی کسپرسکی در ایران


تازه ترین ها