باج افزار واناکریپت
از مدتی پیش حمله وسیع سایبری باج افزار جدیدی بنام Wanna در سطح دنیاشکل گرفته است. باج افزار واناکریپت در حال حاضر ۷۴ کشور را در سراسر جهان با بیش از ۴۵,۰۰۰ حمله ی خوددرگیر کرده است. از جمله قربانیان اصلی این باج افزار چندین بیمارستان در سراسر کشور بریتانیا و بزرگترین شرکت مخابراتی تلفنی اسپانیا به نام تلفنیکا بوده است. در این حمله سایبری کم سابقه به کشورهای جهان، باج گیر وانا با استفاده از آسیب پذیری های حیاتی که در ۱۴ مارچ با نام (MS17-010) توسط مایکروسافت Patch شده است منتشر می شود. باج گیر واناکریپت ارائه خدمات بیمارستانی به بیماران را در بخشهای بهداشتی ( بیمارستانها، مراکزدرمانی و … ) در چندین کشور، بویژه در انگلستان با اختلال همراه کرده است.
خطر در کمین است؛ واناکریپت بلای جان ۲۰۰ کاربر ایرانی
تا این لحظه بیش از ۲۰۰ قربانی باجافزار واناکریپت در کشور مشاهده شده است که بیشتر این آلودگیها در مراکز پزشکی و سلامت قرار دارد. در این راستا اقدام برای جلوگیری از انتشار باج افزار و کاهش خسارات ناشی از آن، از سوی تیمهای امداد و نجات مرکز ماهر با نام مراکز آپا مستقر در استانهای کشور در حال انجام است. این حمله را میتوان بزرگترین حمله آلوده کردن به باجافزار نامید که تاکنون انجام شده است. باجافزار واناکریپت به نامهای مختلفی همچون WannaCry ،Wana Decryptor ،WannaCryptor و WCRY شناخته میشود. واناکریپت همانند دیگر باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب و برای بازگرداندن دسترسی درخواست باج میکند.
باجافزار واناکریپت برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده میکند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیبپذیری در سرویس SMB سیستمهای عامل ویندوز با شناسهی MS17-010 استفاده میکند. در حال حاضر این آسیبپذیری توسط مایکروسافت مرتفع شده است؛ اما کامپیوترهایی که بهروزرسانی مربوطه را دریافت نکردهاند، نسبت به این حمله و آلودگی به این باجافزار آسیبپذیر هستند.
آدرس نصب patch ماکروسافت : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
ثبت یک آدرس وب میتواند حملات باج افزار Wannacry را متوقف کند
در روزهای اخیر بیش از ۷۵ هزار کامپیوتر در سراسر جهان توسط یک باج افزار مورد هدف قرار گرفته است. اکنون به نظر میرسد که ثبت یک آدرس وب میتواند موجب توقف حملات باج افزار Wannacry شود. حملات باج افزار Wannacry در طول دو روز اخیر موجب آسیب دیدن سیستمهای رایانهای در بسیاری از سازمانهای سراسر جهان از جمله بیمارستانهای انگلیس و آب و برق اسپانیا شده است. روز گذشته محققان اعلام کردند که یک کلید توقف اضطراری را در باج افزار واناکریپت پیدا کردهاند و ثبت یک دامنه میتواند این حملات سایبری را متوقف کند.
این آدرس وب بسیار مهم در بخش کوچکی از کد Wannacry پیدا شده که هدف آن هنوز مشخص نیست. زمانی که این ویروس در حال آلوده کردن کامپیوتر است، در ابتدا یک آدرس وب مبهم را به نشانی iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com چک میکند. تا زمانی که این دامنه خالی باشد، رمزنگاری هارد دیسک کامپیوتر و قفل کردن آن برای باجخواهی از کاربر ادامه پیدا میکند. این ویژگی توسط یک محقق ۲۲ ساله بریتانیایی که با نام Malware Tech اقدام به نویسندگی میکند کشف شد. وی به صورت آزمایشی اقدام به ثبت دامنه مذکور کرد و متوجه شد که این کار میتواند موجب توقف حملات باج افزار Wannacry شود. زمانی که باج افزار واناکریپت با اشغال این دامنه مواجه شود، فرایند نصب را متوقف کرده و از سیستم خارج میشود.
علت وجود کلید قطع اضطراری در حملات باج افزار Wannacry
هنوز مشخص نیست که چرا این باج افزار شامل یک کلید قطع اضطراری است. برخی از متخصصان معتقدند که این کلید ممکن است راهی برای خاموش کردن سیستم از راه دور باشد؛ اگرچه تاکنون نشانهای از انجام این کار مشاهده نشده است. Malware Tech نیز نظریههای مختلفی در این باره ارائه کرد. به عقیده این محقق امنیت سایبری، چک کردن دامنه یک راه برای حفظ باج افزار از مشاهده شدن توسط محققان نرم افزارهای مخرب بود. اگر برنامه در یک محیط سندباکس کنترل شده اجرا شود، معمولا توسط محققان برای آزمودن کد بدون افشای آنها به نرم افزار مخرب، دامنه با محدودیتهای سندباکس مشغول میشد. در چنین مواردی جلوگیری از نصب و راهاندازی میتواند یک ترفند مفید باشد.
استفاده از این کلید قطع اضطراری ممکن است به طور کامل باج افزار Wannacry را متوقف نکند. مشخص نیست چه مقدار سیستم به این باج افزار آلوده شده باشد. همچنین میتواند ارسال یک نسخه جدید همراه با دامنه جدید و یا بدون پروتکل کلید قطع اضطراری برای مهاجمان کار آسانی باشد. در هر صورت نصب پچ مایکروسافت برای جلوگیری از آسیبپذیری سیستمها و به دست آوردن مجدد کنترل آنها تنها راهی است که میتواند قربانیان را از این مخمصه نجات دهد.