شاید شما هم نام باج افزار WannaCry رو شنیده باشید! یکی از باج افزار هایی که اخیراً در کشور ایران هم دیده شده. مقالات متعددی پیرامون باج افزارها در سایت TOSINSO ارائه گردیده و شاید کمتر کاربر فعالی رو بشه در سایت پیدا کرد که در این ارتباط اطلاعات لازم رو نداشته باشه. مطالب متعددی از قبیل نحوه عملکرد باج افزارها، روشهای مبارزه و پیشگیری از نفوذ آنها به سیستم ها و بسیاری از موارد مشابه دیگه. برخی از این موارد عبارتند از:
اخیرا هم باج افزاری تحت عنوان wannacrypt بصورت گسترده در سطح کشورها نشر پیدا کرده که نمونه های از اون هم در کشور ما هم دیده شده و تعداد زیادی از سرورها که بدون رعایت ملاحظات امنیتی در اینترنت قرار داشته اند، گرفتار این باج افزار شده اند.
نامهای مختلفی برای این باج افزار وجود دارد که عبارتند از: Wana، Wana Decrypt0r، WannaCryptor، WCRY این باج افزارها هم مشابه هم خانواده های های خود بعد از نفوذ به سیستم قربانی، اقدام به encrypte کردن فایلهای مربوطه کرده. نحوه انتشار این باج افزار از طریق کد اکسپلویتی که متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue بوده می باشد. این کد اکسپلویت توسط گروه shadowbrokers منتشر شد. این کد از یک آسیبپذیری در سرویسSMBسیستمهای عامل ویندوز بهره می گرفته که در update های مایکروسافت رفع شده ولی هنوز بسیاری از سیستم ها که به روز رسانی در آنها انجام نگرفته، گرفتار این حمله و باج افزار شده اند. این باج افزار تا به الان بیش از 57000 کامپیوتر را در در 74 کشور جهان آلوده کرده است که بیشترین آسیب و نفوذ را به سیستم ها و سرورهای روسیه وارد کرده.این باج افزار 3 روز به قربانی فرصت می دهد تا مبلغ باج($300) را پرداخت کند، این مبلغ بعد از 6 روز دو برابر شده و در صورت عدم پرداخت مبلغ باج، کلیه فایلهای رمز شده بعد از 7 روز حذف می شود.
باج افزار بعد از آلوده کردن سیستم ، پیغامی را به کاربر نمایش می دهد که در آن علاوه بر اطلاع رسانی پیرامون آلوده شدن، مبلغ و نحوه پرداخت و موارد دیگی هم اشاره شده. به تصویر زیر دقت کنید:
باج افزار مربوطه از طریق سیستم پرداخت بیت کوین و tor مبلغ باج خود را دریافت و تقاضا می کند و تا به الان هم مبلغ زیادی در این ارتباط دریافت کرده است.این باج افزار کلیه فایلهای با پسوند زیر را مورد حمله و رمزگذاری قرار می دهد و این پسوندها عبارتند از:
Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi). Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv). Emails and email databases (.eml, .msg, .ost, .pst, .edb). Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd). Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm). Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes). Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd). Virtual machine files (.vmx, .vmdk, .vdi).
از اقدامات مهمی که بعنوان عملیات پیشگیرانه می توان انجام داد، موارد زیر است:
How to enable or disable SMB protocols on the SMB server Windows 8 and windows Server 2012
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
To disable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
To enable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008
To disable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
To enable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
To disable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
To enable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
To disable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
To enable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto