باج افزار WannaCrypt چیست و چگونه در مقابل آن از خود محافظت کنیم؟

شاید در این اواخر سخنانی در خصوص باج‌افزار "WannaCrypt" شنیده‌ باشید. این باج‌افزار با نام‌های دیگری همچون WannaCry، Wana Decrypt 0، WannaCryptor، WCRY نیز شناخته می‌شود.

باج‌افزاری که در 12 ماه می سال 2017 میلادی کشف شده و در یک حمله گسترده‌ شبکه‌ای بیش از 230000 رایانه شخصی از 150 کشور دنیا را آلوده است. نشانه‌هایی از نفوذ این باج‌افزار در رایانه‌های کشورمان نیز مشاهده شده است.

اولین حملات این باج‌افزار به خدمات و سازمان‌های بهداشتی بریتانیا، سازمان ارتباطات شرکت تدارکات فدرال اکسپرس اسپانیا بوده است که در یک حمله‌ای با مقیاس بزرگ باعث ایجاد خلل در سیستم‌ها و اطلاعات کامپیوتری آنان شده است. به طوری که بسیاری از سازمان‌های وابسته را به تعطیلی موقت کشاند.


چگونه باج‌افزار "WannaCrypt" وارد کامپیوتر می‌شود؟

طبق مشاهدات و تحقیقاتی که بعمل آمده است، عمده حملات این باج‌افزار در سراسر جهان از طریق ضمیمه کردن فایل‌هایی به ایمیل بوده است. بنابراین بعد از ذخیره این فایل ضمیمه شده در رایانه شخصی، این باج‌افزار نیز در کامپیوتر ما شروع به فعالیت و تخریب می‌کند.


چه کسی مسئول باج‌افزار "WannaCrypt" است؟

این باج‌افزار توسط گروهی به نام Shadowbrokers منتشر شده است.

در حال حاضر مهاجمان اینترنتی، مایکروسافت ویندوز را آماج اهداف خود قرار داده‌اند تا بدین طریق بتوانند به صورت اینترنتی، به اصطلاح "باج‌گیری" نمایند.

این باج‌افزار جهت پخش شدن از یک کد اکسپلویت (Exploit) که متعلق به آژانس امنیت ملی آمریکا با نام "EternalBlue" می‌باشد، استفاده می‌نماید. از طرفی این کد از حفره امنیتی موجود در سرویس SMB سیستم‌عامل ویندوز با شناسه "MS17-010" برای ویندوز استفاده می‌نماید که توسط مایکروسافت در ماه مارس 2017 میلادی منتشر گردید.


حال اگر این باج‌افزار بتواند با موفقیت به سیستم فرد قربانی نفوذ کرده و عملیات مخرب خود را انجام دهد، با پیام‌هایی که به چند زبان مختلف دنیا نیز قابل مشاهده است، شروع به اعلام و باج‌گیری خواهد نمود. اما آیا می‌دانید چگونه؟

برای مثال این باج‌افزار، دسترسی به اطلاعات و فایل‌های کامپیوترتان را مسدود کرده و در ازای بازگردانی و فعال کردن از شما درخواست پول خواهد نمود.

برای مثال از شما درخواست 300$ دلار خواهد کرد که طبق گزارشات دریافت شده، این باج‌افزار توانسته است در همان ساعات اولیه بیش از 9000 دلار باج‌گیری نماید!

جالب است بدانید که این باج‌افزار حتی برای درخواست‌های خود نیز تعرفه‌های خاصی را تعیین کرده است. به طوری که اگر طی 3 روز مبلغ درخواستی پرداخت نشود، میزان مبلغ درخواستی 2 برابر خواهد شد! نحوه پرداخت این مبلغ نیز به صورت "بیت‌کوین" می‌باشد.

فرمت‌های آلوده شده به این باج‌افزار عبارتند از:

123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .st
 

زمانی که باج‌افزار اقدام به تخریب فایل‌ها نماید، کلید رجیستری زیر را ایجاد می‌نماید:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun\<random string> = “<malware working directory>tasksche.exe”

HKLMSOFTWAREWanaCrypt0r\wd = “<malware working directory>”

اما چگونه در برابر باج‌افزار Wannacrypt از خود محافظت کنیم؟

- آپدیت کردن ویندوز 10 خود را جدی گرفته و حتما آن را به جدیدترین نسخه آپدیت نمایید.

- نصب وصله امنیتی "MS17-010" منتشر شده توسط مایکروسافت.

- خودداری از باز کردن هر ایمیل و ذخیره کردن فایل‌های ضمیمه شده به آن

- پشتیبان‌گیری و ذخیره از اطلاعات مهم در مکانی ایمن

- آپدیت کردن آنتی‌ویروس و استفاده از برخی نرم‌افزار‌های امنیتی در رابطه با WannaCrypt

- غیر فعال کردن SMBv1 برای جلوگیری از ترافیک‌های دریافتی SMB روی پورت 445


در آخر امیدواریم که هیچ‌گاه توسط چنین باج‌افزاری تهدید نشوید! بنابراین حتما نکات امنیتی را رعایت کنید.