چه اتفاقی افتاد؟
در ۱۲ ماه می ۲۰۱۷، تعدادی از سازمان‌ها هدفِ باج افزارِ WannaCry قرار گرفتند. کاربران آلوده نمی‌توانند از دستگاه‌هایشان استفاده کنند و تا زمانی که باجی در حدود ۳۰۰$ بیت کوین پرداخت نکنند، فایل هایشان رمزگذاری شده است. با این حال یادداشتی بر روی این باج افزار ادعا می‌کند که اگر شما قادر به پرداخت این مبلغ نیستید، آنها به رایگان فایل هایتان را باز می‌کنند…پس از ۶ماه!

چطور ممکن است؟
لابراتوار اف سکیور در رابطه با سرعت فزاینده‌ی رشد این باج افزار و خطر ابزارهای نظارتی دولتی که در محیط رها شده اند هشدار داده است. به نظر میرسد WannaCry ترکیبی از خطرناکترین‌ها است.

چه کسانی هدف قرار گرفتند؟
تعداد قابل توجهی از سازمان‌ها و زیربناهای عمومی تحت تاثیر قرار گرفته‌اند. این شیوع جهانی است چرا که ما گزارش‌هایی را از بیش از ۶۰ کشور جهان دریافت کرده ایم. در این میان سازمان‌های بهداشت و درمان، مخابرات‌ها، شرکت‌های گاز و برق هدف قرار گرفته‌اند. برای مثال، خدمات ملی سلامت در انگلیس یکی از سازمان‌هایی ست که به شدت تحت تاثیر قرار گرفته تا آنجا که بیمارستان‌ها تعطیل شده اند و جراحی ها به تعویق افتاده اند.
بر اساس بررسی لابراتوار اف سکیور، کشورهایی که بیشتر تحت تاثیر قرار گرفته اند عبارتند از: روسیه و چین و سپس فرانسه، تایوان، آمریکا، اکراین و کره جنوبی.

این مشکل چه قدر گسترده است؟
Mikko Hypponen سرپرست ارشد تحقیقات اف سکیور این را “گسترده ترین شیوع باج افزار در تاریخ” می‌نامد. اما در روز شنبه یعنی یک روز پس از فراگیری باج افزار به گفته‌ی مسئول لابراتوار اف سکیور، Andy Patel فقط مقدار ناچیز ۲۵۰۰۰ دلار خسارت ایجاد شده بود. به نظر می‌رسد که این اکانت توئیتر، باج های پرداخت شده به حساب بیت کوین در ارتباط با این باج افزار را رصد می‌کند.
Andy Patel اشاره می‌کند: ” گسترش این باج افزار با فعالیت‌های یک <قهرمان تصادفی> کاهش یافت. این فرد دامنه‌ای به نام Kill Switch که کدها در آن ثبت شده اند پیدا کرد. با این حال ما هنوز در خطر هستیم. فقط یک ویرایش کوچک و عرضه‌ی دوباره نیاز است تا دوباره همه چیز مثل آتشی بی مهار پخش شود.”

چرا اینقدر گسترده است؟
WannaCry از یک نقص در بلوک پیام سرور (SMB)در ویندوز مایکروسافت بهره برداری می‌کند و این کد اجازه‌ی اجرای کدهای ریموت را صادر می‌کند. مایکروسافت در ماه مارچ این آسیب پذیری را وصله کرد (MS17-010).
اما بسیاری از محیط های فناوری اطلاعات از این وصله‌ها عقب هستند و یا ممکن است بازمانده سیستم عامل‌ها مانند ویندوز ایکس پی را استفاده کنند که دیگر پشتیبانی نمی‌شوند و با وصله‌های امنیتی به روز رسانی نمی‌شوند. همچنین تعداد بسیار زیادی از دستگاه‌ها کپی‌های سرقت شده از ویندوز را اجرا می‌کنند (به خصوص در چین و روسیه والبته ایران) و طبعا آپدیت‌های رسمی را دریافت نمی‌کنند بنابراین در خطر هستند.
با توجه به میزان همه گیری باج افزار، مایکروسافت روز گذشته برای ویندوز ایکس پی و سرور ۲۰۰۳ وصله تهیه کرده است.

چه چیزی جلوی باج افزار را میگیرد؟
میزان شیوع باج افزار، دالِ بر تعداد دستگاه‌هایی است که با آپدیت‌های امنیتی که در مارچ در دسترس قرار گرفت، وصله نشده اند. ۳ دلیل برای این امر وجود دارد؛ اول آنکه کاربران به دلایلی هنوز وصله‌ها را نصب نکرده اند. دوم آنکه آن ها از کپی های سرقتی ویندوز استفاده می‌کنند بنابراین آپدیت‌های امنیتی را مطابق کاربران قانونی دریافت نمی‌کنند و سومین دلیل آن است که کاربران ویندوز اکس پی را اجرا می‌کنند و این ویندوز دیگر پشتیبانی نمی‌شود و آپدیت‌ها را دریافت نمی‌کند.

چطور مانع آن شوید؟

نرم افزار خود را به روز نگه دارید.

چرا اینقدر سریع پخش شد؟
باج افزار به سرعت شیوع پیدا کرد چرا که آسیب پذیریِ MS17-010به کد اکسپلویت اجازه می‌دهد مانند کرم عمل کند و طبیعت کرم‌ها این است که سریع پخش می‌شوند.
WannaCry عملکردی مشابه کرم دارد. این باج افزار دیگر میزبان‌ها را اسکن و مکان یابی کرده و از طریق EternalBlue خودش را در دیگر دستگاه‌های در معرض خطر، جایگذاری می‌کند. این امر مستلزم هیچ فعل و انفعالی از جانب کاربر نمی‌باشد و این ادعا مبنی بر آنکه WannaCry در آغاز از طریق اسپم توزیع شده هنوز تایید نشده است.

کرم یا تروجان؟
WannaCry یک کرم اینترنتی نیست بلکه یک تروجان است که در شبکه مشابه کرم عمل می‌کند.

پس چرا اینقدر آشنا به نظر می آید؟
شان سالیوان، معاون اف سکیور میگوید: ” این انفجاری از گذشته است چرا که این نوع باج افزار چیز جدیدی نیست. دلیل اینکه WannaCry از کنترل خارج شده آن است که سازمان ها برای مدتی طولانی به فایروال اعتنای چندانی نداشتند.”

آیا من در برابر این تهدید در امان هستم؟
مشتریان اف سکیور با محافظت پیشرفته‌ی اند پوینت اف سکیور محافظت می‌شوند.این راه امنیتی تکنولوژی نسل بعد را عرضه می‌کند.عملکرد Deepguard یک تجزیه و تحلیل رفتاری مبتنی بر میزبان مهیا می‌کند و همچنین ضد اکسپلویت هایی عرضه می‌دارد که به صورت فعالانه باج افزارهایی از جمله Wannacry را بلاک می‌کنند.
سازمان‌ها باید مطمئن شوند که فایروال پیکربندی شده‌ی خوبی در اختیار دارند و آخرین آپدیت‌های امنیتی ویندوز به خصوص MS17-010 را نصب کرده‌اند تا مانع پخش شدن آلودگی بشوند. ویژگی Software Updater اف سکیور به شرکت‌ها کمک می‌کند تا سیستم‌های غیر معتبر را شناسایی کرده و پچ کنند.

آیا می‌توان فایل های رمزگذاری شده را بازیابی کرد؟
در حال حاضر رمزگشایی قابل دسترسی نیست و فایل‌های رمزگذاری شده باید در صورت امکان از طریق بک آپ‌ها بازگردانی شوند.

Wannacry از کجا آمد؟
شبیه به دیگر باج افزارها، این یک جاسوس افزار است… اما از آسیب پذیری‌ای بهره می‌برد که توسط NSA توسعه پیدا کرده است. این ابزارها در ماه آوریل توسط Shadow brokers فاش شدند. (گفته می‌شود این گروه روس هستند.)

آیا این یک حمله‌ی هدفمند است؟
نه، این حمله‌ای هدفمند نیست. فعالیت‌های باج افزارها معمولا بدون گزینش است.

خبر خوبی هم وجود دارد؟
ما میدانیم که این یک جاسوس افزار است؛ یعنی یک دشمن دولت و یا گروهی تروریستی پشت این ماجرا وجود ندارد. قربانی‌ها می‌توانند از طریق پرداخت باج دوباره به دستگاه هایشان دسترسی پیدا کنند. اگر مهاجمی بدجنس تر بود ممکن بود این راه را در اختیار نگذارد.

ما چگونه از شما در مقابل این باج افزار محافظت میکنیم؟
محصولات Endpoint اف سکیور، فعالانه از نمونههای غیرقابل کنترل این باج افزار جلوگیری می‌کند. ما این باج افزار را از زمان شکل گیری اش شناسایی کرده ایم؛ یعنی پیش از فراگیری باج افزار، محافظت در دسترس تمام مصرف کنندگان اف سکیور بوده است و مشتریان ما در امان هستند.

محافظت در این محصولات، در مقابل باج افزار در سه لایه انجام می‌گیرد تا تضمین شود که حمله‌ی باج افزار در طول حملات زنجیره ای متوقف می‌شود.
١- قابلیت مدیریت وصله، از طریق گسترش اتوماتیک وصله‌های امنیتی مربوطه، مانع اکسپلویت آسیب پذیری توسط WannaCry می‌شود.
٢- قابلیتِ DeepGuard اف سکیور، یک انالیز مبتنی بر هاست و موانع اکسپلویت مهیا می‌کند که ‏ WannaCry را مسدود می‌کند.
٣- فایروال اف سکیور مانع این می‌شود که ‏WannaCry بعداً در محیط پخش شده و فایل ها را رمزگذاری کند.
من مشتری اف سکیور هستم، باید چه کار کنم؟
DeepGuard حتما فعال باشد بنابراین محافظت بی وقفه بر روی تمام اند پوینت‌های شرکتی شما فعال است.
اند پوینت‌هایی که وصله منتشر شده ی مایکروسافت (۴۰۱۳۳۸۹) را ندارند و یا فاقد آپدیت کننده نرم افزار یا دیگر ابزار های موجود هستند را شناسایی کنید.
سیستم را بدون فوت وقت به آپدیت کننده‌های نرم افزار یا دیگر ابزارهای موجود پچ کنید. درصورتیکه قادر به وصله کردن آن در اسرع وقت نیستید، به شما پیشنهاد میکنیم که SMBv1 را از کار بیندازید تا سطح حمله را کاهش دهید.
فایروال را به خوبی پیکربندی کنید:
۱- شبکه و فایروال‌های مبتنی بر میزبان را به کار بگیرید تا ترافیک TCP/445 را از سیستم‌های غیر قابل اعتماد مسدود کنید.
۲- در صورت امکان وارد پورت ۴۴۵ را بر روی تمام سیستم‌های ویندوزی که در معرض اینترنت هستند بلاک کنید.
۳- ترفند فایروال اف سکیور را متناوبا می‌توانید بر روی بالاترین تنظیمات از پیش تعریف شده برای مسدودسازی حمله تنظیم کنید.

بهترین اقدامات برای محافظت در برابر باج افزار ها چیست؟
در اینجا ۵ مورد از برترین توصیه را ذکر میکنیم که به شما کمک می‌کند تا دستگاه خود را عاری از باج افزار در اختیار داشته باشید:
– مطمئن شوید که یک راه امنیتی قوی اجرا میکنید که تمام دستگاه های شما را پوشش میدهد ( کامپیوترهای شخصی، مک ها، تلفن های هوشمند و تبلت ها) و امنیت را مهیا می‌کند. محافظت اند پوینت اف سکیور از شما در برابر تمام تهدیدات شناخته شده‌ی باج افزارها محافظت می‌کند و تهدیدات جدید حمله ی روز صفر را به خوبی مسدود می‌کند. از آنجایی که باج افزار های گوناگون بعدا دوباره ظاهر می‌شوند، این امری مهم است.
– مرتب از اطلاعات خود بک آپ تهیه کنید. بک آپ‌ها را به شکل افلاین ذخیره کنید بنابراین آنها آلوده نخواهند شد. همچنین گاه به گاه بازیابی بک آپ ها را چک کنید تا مطمئن شوید واقعا کار می‌کنند. با وجود بک آپ‌های خوب، اگر شما مورد حمله قرار بگیرید به سرعت دوباره روی پای خود می ایستید بدون اینکه مجبور باشید به مجرمان پولی پرداخت کنید.
– نرم افزار تمام دستگاه‌هایتان را به روز نگه دارید تا مانع اکسپلویت شوید. اگر نمی‌دانید چطور همه چیز را آپدیت نگه دارید، از ابزاری استفاده کنید که ورژن های قدیمی نرم افزار را شناسایی می‌کند و آپدیت های جدید را پیشنهاد می‌کند.
– در رابطه با ضمیمه‌های ایمیل بسیار مراقب باشید به خصوص فایل های زیپ و آفیس (ورد، اکسل، پاورپوینت). ضمیمه های ایمیل را که توسط اشخاص ناشناس ارسال شده اند باز نکنید. همینطور ماکرو اسکریپت را برای هرگونه فایل آفیس که از طریق ایمیل دریات می‌کنید غیر فعال کنید.
– استفاده از پلاگین مرورگر را محدود کنید. چیزهایی که اغلب اکسپلویت می‌شوند را زمانی که استفاده نمی‌کنید غیرفعال کنید از جمله فلش پلیر و سیلورلایت. شما می‌توانید این را از طریق مرورگر و تحت تنظیمات پلاگین انجام دهید.

پس آیا واقعا مشکل در رابطه با پچ کردن است یا چیز دیگری؟
بله، شان سالیوان میگوید: برای جلوگیری از حمله‌ی بعدی باید دولت‌ها را مجبور کرد تا استفاده از این آسیب پذیری‌ها را متوقف کنند. این شرایط به خصوص می‌توانست خیلی بدتر باشد اگر ابزارهای خطرناک NSA فاش نشده بود. اگر یک تهدید مخرب محض عمل را به دست میگرفت اصلا خوب نبود. خوشبختانه ماموریت جنگ NSA به دفاع از شبکه برگشت و کم کم تمرکز خود را بر روی نگه داشتن کم کرد و در مقابل به گزارش آسیب پذیری ها بسنده کرد.”

این مساله یادآور رشد وابستگی ما به تکنولوژی و ذات آسیب پذیر آن است. همچنین درباره‌ی این است که چطور این وابستگی اتفاق می افتد سریع تر از اینکه ما برای حفاظت از سیستم هایمان اماده شویم.

“این درس بزرگ امروز است که باید یاد بگیریم. ما مشکلی داریم که با پچ های سریع و بک آپ‌های بهتر حاصل نخواهد شد. ”

آیا این بدترین مشکل است؟
شان سالیوان معتقد است “این بدترین نیست. روزنه ی امید این است که این یک تروریست مخرب و یا حمله ی ایالتی نبود. از آنجا که این عملیات، سودمحور بوده است، طراحی شده بود تا در صورت پرداخت باج، عملیات بازگردانده شود. بنابراین شانس بازیابی وجود دارد. با این حال یک مفهوم اثبات شده برای عمل کنندگان دولت ملی وجود دارد که می‌خواهند کاری انجام دهند که ممکن است بازگشت پذیر نباشد.”

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *