همه چیز در مورد باج افزار معروف WannaCry و راه های مقابله با آن

همه چیز در مورد باج افزار معروف WannaCry و راه های مقابله با آن
  • 1396/2/29
  • محمدرضا مرتضایی
  • 0

هفته گذشته گروهی از هکرها، یک نرم افزاز مخرب را از اسلحه‌خانه سایبری آژانس امنیت ملی آمریکا (NSA) سرقت کرده و از آن علیه شهروندان، و نهادهای مختلفی چون دولت‌ها، بیمارستان‌ها، بنگاه‌های اقتصادی (مانند FedEx در ایالات متحده، Telefonica در اسپانیا و MegaFon، یک سازمان ارتباطی در روسیه) در سراسر دنیا استفاده کردند. طبق گزارش‌های موسسه Kaspersky، کشورهایی که در میان ۱۵۰ کشور آلوده شده، بیشترین آسیب را از این بدافزار دیده اند، روسیه، اوکراین، هند و تایوان هستند. گفته می‌شود این ویروس به بیش از ۲۳۰۰۰۰ سیستم راه پیدا کرده است.

گویا آی تی -هفته گذشته گروهی از هکرها، یک نرم افزاز مخرب را از اسلحه‌خانه سایبری آژانس امنیت ملی آمریکا (NSA) سرقت کرده و از آن علیه شهروندان، و نهادهای مختلفی چون دولت‌ها، بیمارستان‌ها، بنگاه‌های اقتصادی (مانند FedEx در ایالات متحده، Telefonica در اسپانیا و MegaFon، یک سازمان ارتباطی در روسیه) در سراسر دنیا استفاده کردند. طبق گزارش‌های موسسه Kaspersky، کشورهایی که در میان ۱۵۰ کشور آلوده شده، بیشترین آسیب را از این بدافزار دیده اند، روسیه، اوکراین، هند و تایوان هستند. گفته می‌شود این ویروس به بیش از ۲۳۰۰۰۰ سیستم راه پیدا کرده است.
در ادامه تمام اطلاعاتی که باید در مورد این حمله، که بمب اتم جرائم سایبری نام گرفته است، بدانید، ارائه خواهد شد.

۱٫این بدافزار چگونه کار می‌کند؟
این گروه از هکرها، از نرم افزاری با نام “Wanna Decryptor” – نسخه ای از باج افزار WannaCry –استفاده کرده اند که داده ها را کدگذاری کرده، سیستم را برای کاربر مسدود می کند و برای دسترسی مجدد به آن، درخواست باج می کند. جریان انتشار این بدافزار با قرار گرفتن در ضمیمه یک ایمیل جعلی از یک منبع ظاهرا رسمی آغاز شده است، و پس از آن با استفاده از یک کرم اینترنتی به سرعت و با آلوده شدن تنها یک کامیپوتر از یک شبکه، به سایر کامپیوترهای آن منتقل شده است. روشی که این باج افزار برای هک کردن استفاده می کند، در اصل به عنوان یک سلاح سایبری توسط NSA ساخته شده است. نتیجه چیست؟ کدگذاری کامل داده‌های کاربر، که برای رمزگشایی آن ، حدود ۳۰۰ دلار بر حسب بیتکوین مطالبه می شود. این گروه از هکرها، باج افزار خود را طوری طراحی کرده اند که مقدار پول درخواست شده در بازه های مشخصی افزایش پیدا می کند تا زمانی که در نهایت، تهدید به آن جا می‌رسد که با گذشتن زمانی مشخص، تمام داده ها را پاک خواهد کرد. کدگذاری داده‌ها به شکلی انجام می‌شود که باج افزار، تا زمانی که کاربر آن را باز نکند، توسط سیستم های امنیتی قابل تشخیص نیست، و پس از آن، دیگر کار از کار گذشته است.

۲٫تأثیرات این باج افزار در بریتانیا
با مسدود شدن دسترسی شبکه برای کامپیوتر ها در بیش از ۳۰ بیمارستان و تهدید شدن اطلاعات آن ها – نظیر سوابق و پیشینه بیمار – اعلام شد که در صورت عدم پرداخت مبلغ، اطلاعات حذف خواهد شد. حتی بخش های اورژانس بیمارستان‌ها نیز مجبور شدند بیمارانی را که نیازمند مراقبت های فوری بودند، از خود برانند. گزارش شده است که در ساعات اولیه روز جمعه، به کارمندان مرکز خدمات بهداشتی ملی انگلیس (NHS) هشدار داده شده بوده است، اما آن ها زمان کافی برای واکنش نشان دادن به موقع را نداشتند.

۳٫تأثیرات آن در هند
در کشور هند، کامپیوترها در بیش از ۱۸ واحد پلیس در بخش های مختلف ایالت آندراپرادش، توسط این باج افزار آلوده شدند. گلشن رای، مسئول امنیت سایبری، به روزنامه India Today گفته است:” حدود ۱۰۰ سیستم در هند مورد حمله واقع شده اند، اما اکنون دیگر خطری وجود ندارد. ما توجه هستیم که برخی سیستم ها در این ایالت آسیب دیده اند، اما تاکنون ارزیابی ما به این صورت است که آلودگی جدی نبوده است.”

۴٫تأثیر آن در روسیه
وزارت داخلی روسیه اعلام کرده است ” در حدود ۱۰۰۰ کامپیوتر در این کشور، آلوده شده اند.” که کمتر از ۱ درصد کل سیستم های موجود است، و متخصصان این رشته توانسته اند انتشار این باج‌افزار را مهارکنند.

۵٫نقش دولت آمریکا
تابستان گذشته، گروهی از هکرها که نام “کارگزاران سایه” را برای خود انتخاب کرده بودند، ابزارهای نرم افزاری را از مجموعه سلاح های سایبری دولت آمریکا سرقت کردند، با این حال، این دولت در اختیار داشتن این سلاح ها را تکذیب کرد.
ماه گذشته، در مورد نوعی آسیب پذیری در ساختارهای گذشته سیستم های مایکروسافت – مانند ویندوز اکس پی – به این شرکت هشدار داده شد که هنوز از این ویندوز در بسیاری از سیستم‌های هند، استفاده می شود. مایکروسافت تنها در مدت چند ساعت یک Patch را برای مقابله با آن منتشر کرد، اما روند کند استفاده کاربران از این Patch، برای مثال در بیمارستان های انگلیس، سیستم ها را در معرض خطر آلودگی به این بدافزار قرار داد. بسیاری از کارشناسان معتقدند که هشدار ارسال شده برای مایکروسافت – که این شرکت، منبع آن را فاش نمی‌کند – در اصل، توسط دولت آمریکا، و در زمانی انجام شده است که این دولت از به سرقت رفتن یکی از ابزارهای هک خود با عنوان “آبی بی‌کران” مطلع شده اند. این ابزار با هدف قرار دادن ضعف ها در سیستم های ویندوز طراحی شده بوده است.

۶٫واکنش مایکروسافت
مایکروسافت، در یک اقدام بسیار عجیب، در آغاز این حملات، برای نسخه‌های قدیمی ویندوز خود، یا همان ویندوزهای XP، یک Patch اصلاحی منتشر کرد؛ در حالی که از حدود سه سال پیش این ویندوز را کنار گذاشته بود. برد اسمیت مدیر شرکت مایکروسافت، بیاینه ای را در وبسایت رسمی خود منتشر کرده و اعلام کرد که بیشترین مسئولیت را باید دولت آمریکا، برای آگاه نکردن مایکروسافت در رابطه با این آسیب پذیری از قبل، بر عهده بگیرد. او می نویسد:” این حمله، نمونه عینی این واقعیت است که چرا انباشتگی این نقاط ضعف و آسیب، توسط دولت آمریکا می تواند مشکل آفرین باشد. این یک الگوی نوظهور در سال ۲۰۱۷ است. در دهه اخیر نقاط ضعف بسیاری را که سازمان سیا از آن استفاده می کرد، در سایت WikiLeaks منتشر شد و اکنون آسیب پذیری که از NSA به سرقت رفته است، افراد بسیاری را در سراسر جهان تحت تأثیر قرار داده است. بارها و بارها، بدافزارها از دست دولت ها به حوزه عمومی درز کرده و آسیب های فراگیری را برجای گذاشته است. اتفاقی مشابه در رابطه با سلاح های متداول، زمانی رخ داد که موشک های Tomahawk ارتش آمریکا به سرقت رفتند. حمله اخیر نشان دهنده یک ارتباط غیر عمدی اما نگران کننده بین دو نوع از جدی‌ترین تهدیدهای امنیت سایبری در جهان امروز است – اقدامات ایالتی- ملی و جرائم سازمان یافته.
” دولت‌های جهان باید این حمله را یک هشدار برای بیداری به حساب بیاورند. آن ها باید رویکرد متفاوتی را در پیش گرفته و در فضای سایبری نیز به قانون هایی که در دنیای فیزیکی در مورد سلاح ها اعمال می‌شود، وفادار بمانند. ما باید از دولت‌ها بخواهیم آسیب‌های ناشی از این نقاط ضعف و استفاده از این بدافزارها را در نظر بگیرند. به همین دلیل ما در ماه فوریه، فراخوانی برای یک “همایش دیجیتال در ژنو” منتشر کردیم تا در آن، به این‌گونه مسائل، از جمله الزامات جدید دولت ها برای گزارش دادن این نقاط آسیب پذیر به سازندگان نرم افزارها، به جای انباشتگی، فروش یا سوء استفاده از آن ها پرداخته شود.”

۷٫این آلودگی چگونه مهار شد؟
یک پژوهشگر ۲۲ ساله انگلیسی، که موسس MalwareTech است، در حال تحقیق در مورد WannaCry، متوجه شد که دامنه وب استفاده شده توسط یکی از حمله‌کنندگان به ثبت نرسیده است، و او با پرداخت ۶۹/۱۰ دلار هزینه ثبت، دامنه را خریداری کرده و ردیابی فعالیت‌های آنان را آغاز کرد.
یکی از مقالات سایت Forbes توضیح می‌دهد ” هرکسی که پشت این باج افزار بوده است، ابزاری برای تشخیص ابزارهای امنیتی در اختیار داشته است، که برای کامپیوترهای شخصی قرنطینه شده، با استفاده از یک IP مشخص، برای پاسخ به تمام درخواست های کامپیوتر، دسترسی اینترنتی جعلی ایجاد می کند. این یکی از امکانات Sandbox است، که در آن ابزارهای امنیتی، کدها در یک محیط محفوظ در یک رایانه شخصی، آزمایش می‌کنند. زمانی که MalwareTech، دامنه خود را برای ردیابی شبکه آلوده شده ثبت کرد، آدرس IP یکسانی به تمام کامپیوترهای شخصی آلوده، و نه فقط آن هایی که مجهز به سیستم Sandbox بودند اختصاص داده شد.”
MalWareTechبه وبسایت Forbes گفته است: “به این ترتیب، بدافزار تصور کرد که درون یک Sandbox به دام افتاده است، و خودش را از بین برد. این باج افزار به صورت یک ابزار ضد Sandbox ایجاد شده بود که نتوانست شرایط را به طور کامل تحلیل کند.”

۸٫فعال سازی دوباره
پس از آنکه MalwareTech توانست راه حل از بین بردن این باج افزار یا سوئیچ مرگ آن را پیدا کند، شایعاتی مبنی بر آن مطرح شد که WannaCry بار دیگر یک حمله سایبری خواهد داشت، و این بار سیستمی که پروتکل سوئیچ مرگ را دارد، و مسئول محدود شدن حمله اولیه در روز جمعه بود، در آن وجود نخواهد داشت. Matt Suiche، بنیانگذار شرکت Comae Technologies، در وبلاگ خود ادعا می‌کند که دو نسخه جدید از این باج افزار را یافته است:” یکی از آن‌ها را با ثبت نام دامنه جدید، بلاک کردم و مورد دوم، به صورت جزئی فعال است، چون این مورد تنها پخش می‌شود و قادر نیست فایل‌ها را کدگذاری کند. یک نسخه جدید توسط @benkow_ کشف شده و برای تحلیل برای من ارسال شد. من این نسخه را معکوس کرده و رمز جدید غیر فعالسازی آن را پیدا کردم و بلافاصله برای متوقف کردن موج جدید حمله ها، آن را ثبت کردم. سپس با وبلاگ @MalwareTechBlog و @۲sec4u برای ترسیم دامنه جدید تا سرورهایی گرفتار شده همکاری کردم تا نقشه زنده آلودگی تعاملی آن ها را منتشر کنم:
یک نسخه جدید بدون سوئیچ مرگ توسط شرکت Kaspersky کشف شد. اگرچه این نوع، با اختلال در آرشیو باج افزار، تنها به صورت جزئی کار می‌کند، روند گسترش و پخش آن هنوز ادامه دارد.

۹٫چگونه از خود در برابر این باج افزار مراقبت کنید؟
برای حفاظت از خود، حتی اگر ویندوز شما XP نباشد، مطمئن شوید که سیستم عامل ویندوز شما، با جدید ترین آپدیت و سیستم های امنیتی به روزرسانی شده است. جدیدترین انواع ویندوز، بخشی با عنوان مدافع ویندوز یا Windows Defender دارد، یک نرم افزار ضد ویروس که در خود ویندوز گنجانده شده است. از سوی دیگر، کاربران XP باید ویندوز خود را به نسخه جدیدتر به روز کنند، که به روز ترین نوع آن، ویندوز ۱۰ است. یوروپل، آژانس اجرای قوانین اروپا، درمورد کلیک روی لینک‌ها یا دانلود فایل‌های ضمیمه در ایمیل‌های ارسال شده از افراد ناشناس، هشدار داده و توصیه به بلاک کردن Pop up ها و تبلیغات مختلف در سایت های مشکوک می کند. برای کاربران ویندوز ۷، نرم افزار ضروریات امنیتی ویندوز می تواند این سطح از ایمنی را برقرار کند. اگر کامپیوتر شما آلوده شده است، آنتی ویروسی را در یک سیستم آلوده نشده دانلود کرده و آن را توسط یک سی‌دی رام یا USB به سیستم خود منتقل کنید. سایت Microsoft.com راهنمایی های خوبی در این رابطه ارائه کرده است. علاوه بر این، باید یک نسخه پشتیبان از داده‌های مهم خود، روی یک هارد‌دیسک اکسترنال تهیه کنید.

دیدگاه خود را وارد کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *