اقدامات عملي جهت پیشگیری و مقابله با باج افزار wannacrypt

1 مقدمه
با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته wannacrypt در روزهای اخیر باج افزاری تحت عنوان
است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.
تا این لحظه بیش از 200 قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت
شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر )مراکز آپا(
مستقر در استان های کشور در دست انجام می باشد.
این حمله را میتوان بزرگترین حمله آلوده نمودن به باجافزار تاکنون نامید. این باجافزار به نامهای مختلفی همچون
شناخته میشود. این باجافزار همانند دیگر WCRY و WannaCryptor ،Wana Decrypt0r ،WannaCry
باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.
EternalBlue باجافزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام
منتشر شد. این کد اکسپلویت از یک آسیب shadowbrokers استفاده میکند که مدتی پیش توسط گروه
استفاده میکند. در حال حاضر این MS17- سیستمهای عامل ویندوز با شناسه 010 SMB پذیری در سرویس
آسیبپذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت ننمودهاند
نسبت به این حمله و آلودگی به این باجافزار آسیبپذیر هستند.
تصاویر زیر تصاویر پیامی است که باجافزار به قربانی نمایش میدهد. پیام باجافزار به زبانهای مختلف قابل مشاهده
است.
wannacrypt اقدامات عملي جهت پیشگیری و مقابله با باجافزار
3
و استفاده از حسابهای بیتکوین هویت خود را مخفی نموده است. TOR این باجافزار با استفاده از شبکه
حسابهای بیتکوین متعلق به این باجافزار از ساعات ابتدایی آلودگی پول زیادی به عنوان باج دریافت نمودهاند.
تابحال بیش از 28 پرداخت دریافت شده است. یعنی تنها در ساعات اولیه بیش از 9000 دلار باج دریافت شده
است.
نحوه تاثیرگذاری این باجافزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیلهای
فیشینگ و لینکهای آلوده در سایتهای غیر معتبر برای پخش باجافزار است.
این باجافزار فایلهای با پسوند زیر را رمز میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm,
.ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml,
.lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi,
.ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd,
.jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg,
.asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd,
.nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar,
.tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti,
.sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd,
.edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm,
.pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc
باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به
برورزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتیویروسها و اطلاع
رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.
2 اقدامات پیشگیرانه
: MS17- نصب وصله 010 ➢
wannacrypt اقدامات عملي جهت پیشگیری و مقابله با باجافزار4
پروتکل اشتراک گذاری فایل( در همه نسخههای ( SMB در پیاده سازی سرویس MS17- آسیبپذیری 010
ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیبپذیری و جلوگیری از سوءاستفاده از آن لازم است
آخرین بروزرسانیهای سیستم عامل ویندوز اعمال گردد. برای این منظور لازم است با استفاده از ابزار بروزرسانی
آخرین بروزرسانیهای سیستم عامل دریافت شده و نصب گردد. )windows update( ویندوز
و 200۳ که مدتی است مورد پشتیبانی شرکت مایکروسافت قرار ندارند، xp در خصوص سیستمهای عامل ویندوز
خوشبختانه با توجه به اهمیت موضوع، شرکت مایکروسافت وصلههای اختصاصی خود را در لینک زیر در دسترس
قرار داده است:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد لازم است دسترسی به
مسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف SMB سرویس
سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود.
wannacrypt اقدامات عملي جهت پیشگیری و مقابله با باجافزار5
در ویندوز ۷، ویستا و ویندوز سرورهای 2008 و 2008 SMB غیر فعالسازی سرویس ➢
:powershell با استفاده از محیط R2
:SMB روی سرور SMBV • برای غیرفعال کردن 1
Set-ItemProperty -Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 –
Type DWORD -Value 0 -Force
:SMB روی سرور SMBV و 3 SMBV • برای غیرفعال کردن 2
Set-ItemProperty -Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 –
Type DWORD -Value 0 -Force
:SMB روی سرور SMBV • برای فعال کردن 1
Set-ItemProperty -Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 –
Type DWORD -Value 1 -Force
:SMB روی سرور SMBV و 3 SMBV • برای فعال کردن 2
Set-ItemProperty -Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 –
Type DWORD -Value 1 -Force
توجه کنید که برای اینکه تنظیمات بالا اعمال شود باید کامپیوتر خود را ریستارت کنید.
در ویندوز ۸ و ویندوز سرور 2012 به بعد با استفاده از محیط SMB غیر فعالسازی سرویس ➢
:powershell
:SMB • برای مشاهده وضعیت پروتکل سرور
wannacrypt اقدامات عملي جهت پیشگیری و مقابله با باجافزار

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
:SMB روی سرور SMBV • برای غیرفعال کردن 1
Set-SmbServerConfiguration -EnableSMB1Protocol $false
:SMB روی سرور SMBV و 3 SMBV • برای غیرفعال کردن 2
Set-SmbServerConfiguration -EnableSMB2Protocol $false
:SMB روی سرور SMBV • برای فعال کردن 1
Set-SmbServerConfiguration -EnableSMB1Protocol $true
:SMB روی سرور SMBV و 3 SMBV • برای فعال کردن 2
Set-SmbServerConfiguration -EnableSMB2Protocol $true
بدون توقف سرویس SMB مسدودسازی دسترسی به سرویس ➢
روی فایروال SMB به عنوان راهکار جایگزین، می توان نسبت به بستن پورت های 445 و 1۳9 مربوط به پروتکل
ویندوز اقدام نمود.

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *