هر آنچه نیاز است در رابطه با باج افزار “WannaCry” بدانید

این روزها کمتر کسی را می‌توان یافت که در رابطه با باج افزار جهانی که بانام “WannaCry” شناخته می‌شود، بی‌خبر باشد. این باج افزار یکی از بزرگ‌ترین حملات سایبری است که تاکنون ثبت‌شده و در روزهای اخیر تمام نقاط و اخبار جهان را تحت شعاع خود قرار داده است.

بدافزار WannaCry به این صورت عمل می‌کند که دسترسی کاربران به سیستم‌ را مسدود کرده و سپس از آنها درخواست پرداخت مبالغی در قالب بیت کوین، در قبال بازگرداندن دسترسی به اطلاعات و اختیار سیستم به صاحبان آنها می‌کند. طبق دسته‌بندی امنیت این قسم از بدافزارها را “باج افزار” می‌نامند.

مقیاس حملات این باج افزار مقداری نگران کنند بود بخصوص هنگامی‌که نام ادارات دولتی بزرگ مانند سرویس سلامت ملی بریتانیا (NHS) و یکی از بزرگ‌ترین ارائه‌کننده سرویس‌های مخابراتی اسپانیا در لیست قربانیان این باج افزار قرار می‌گیرند.

در ادامه به‌طور کامل هر آنچه در مورد این باج افزار نیاز است بدانید برای شما گردآوری‌شده است.

WannaCry چیست؟

WannaCry یک باج افزار است که سیستم‌های کامپیوتری را باهدف اخاذی مالی از آنها در قبال بازگرداندن دسترسی کاربران به داده‌ها و محتوای سیستم، آلوده می‌سازد. این باج افزار تمام فایل‌ها را رمزنگاری می‌کند و ادعا می‌کند که تنها راه شکستن قفل آن پرداخت مبلغ مشخص‌شده می‌باشد.

کدام پلتفرم ها از این باج افزار متاثر گشته اند؟

تاکنون تنها سیستم‌عامل ویندوز مایکروسافت از این باج افزار متأثر گشته است. درواقع مشخص‌شده که هدف اصلی این باج افزار را شرکت‌های مختلف استفاده‌کننده از ویندوز XP در برمی‌گیرند. گزارش‌ها حاکی از آن است که WannaCry از یک رخنه نرم‌افزاری در ویندوز بهره می‌برد که این رخنه توسط سازمان امنیت ملی آمریکا (NSA) مورد سو استفاده قرار می‌گرفته است. تمام نسخه‌هایی از سیستم‌عامل ویندوز که تحت چتر پشتیبانی مایکروسافت قرار دارند وصله‌های بروز رسانی امنیتی برای مقابله با این بدافزار را دریافت کرده‌اند اما همان‌طور که اطلاع دارید ویندوز XP از پشتیبانی مایکروسافت خارج‌شده و همین امر دلیلی بر عدم دریافت به‌روزرسانی‌ها و آسیب‌پذیر شدن این سیستم‌عامل در مقابل این باج افزار شده است.

طبق گزارش مایکروسافت، بروز رسانی امنیتی برای مقابله با این رخنه در سیستم‌عامل ویندوز این شرکت در مارس ۲۰۱۷ با عنوان MS17-010 منتشرشده بود.

حجم حملات صورت گرفته چقدر بزرگ است؟

بر طبق اظهارنظر مقامات اروپایی، این باج افزار حدود ۱۰,۰۰۰ شرکت و ۲۰۰,۰۰۰ نفر از افراد مختلف را در سراسر جهان تحت تأثیر قرار داده است. با توجه به این آمار این حجم از قربانی‌ها و مقیاس سیستم‌هایی که تحت تأثیر قرارگرفته‌اند تاکنون بی‌سابقه می‌باشد.

مقدار پول در خواستی باج افزار چقدر است؟

هم اکنون ۳۰۰ دلار در قالب بیت کوین.

چگونه کامپیوتر ها را آلوده می کند؟

درواقع منشأ این حملات ابزار و برنامه‌ای به نام EternalBlue است که توسط سازمان امنیت ملی ایالات‌متحده آمریکا توسعه داده‌شده و مورد استفاده قرار می‌گرفته و متأسفانه بعدها این ابزار به بیرون از این سازمان درز کرده است. یک توصیف سریع در رابطه با نحوه گسترش این باج افزار در ادامه آمده است:

این باج افزار از یک رخنه شناخته‌شده و منتشرشده به‌صورت عمومی، در SMBv1 (بلاک سرور پیام، نسخه ۱) استفاده می‌کند. این یک پروتکل سطح برنامه است که به‌منظور اشتراک‌گذاری فایل‌ها و چاپگرها در محیط شبکه‌ای مورداستفاده قرار می‌گیرد.

یک توصیه تکراری و مکرر کارشناسان امنیت در رابطه با فضاهای تحت شبکه این است که هرگز روی لینک‌های مشکوک کلیک نکنید و یا فایل‌هایی را که از سلامت آنها مطمئن نیستید باز نکنید. البته این موارد لزوماً دلیل این باج افزار خاص نیستند اما تعداد بسیار زیادی از بدافزار های مشابه به این مورد وجود دارند که از همین روش‌های به سیستم‌ها رخنه می‌کنند.

اگر کامپیوتر من به این باج افزار آلوده شد، باید مبلغ درخواستی را پرداخت کنم؟

به هیچ‌وجه! به یاد داشته باشید که منتشرکنندگان این باج افزار قانون‌شکن هستند و به‌احتمال‌قوی حتی با پرداخت مبلغ درخواستی به اطلاعات خود دست پیدا نخواهید کرد. به‌عبارت‌دیگر هم داده‌ها و هم پول خود را از کف می‌دهید. یک متخصص امنیت بریتانیایی در این رابطه این‌گونه به بی‌بی‌سی پاسخ داد:

متخصص امنیت، پرفسور آلن وودوارد بیان می‌کند که انتظار می‌رود در این شرایط قربانیان با متخلفان سایبری برای دریافت کلید رمزگشایی از فایل‌های قفل‌شده خود تماس برقرار کنند.

با توجه به اینکه در حال حاضر تمام توجه‌ها به این موضوع معطوف گشته است من به‌شدت بعید می‌دانم کسی درخواست آنها را اصلاً پاسخگو باشد.

درواقع اگر کسی مبلغ اخاذی را پرداخت کند بیشتر مثل این است که مبلغی بیت کوین را به آدرسی فرستاده و پرداخت کرده است که برای همیشه آنجا بماند، بدون شک انتظار هیچ‌چیز دیگه ای را نداشته باشند.

بدون شک افرادی که این حملات را شکل داده‌اند به‌هیچ‌وجه قصد گیر افتادن ندارند، درنتیجه بسیار بعید به نظر می‌آید که مرتکب کوچک‌ترین حرکتی گردند که مقامات امنیتی بتوانند از طریق آن، آنها را ردیابی کنند.

آیا من هم درخطر این باج افزار هستم؟

متأسفانه همگی ما، همیشه به مقدار یکسان در معرض خطرهای امنیتی موجود در فضای اینترنت قرار داریم. به‌هرحال مایکروسافت خیلی صریح اعلام کرد که کاربران ویندوز ۱۰ که به‌روزرسانی‌های عرضه‌شده را دریافت کرده‌اند و Windows Defender سیستم آنها فعال است در امنیت قرار دارند.

سخنگوی مایکروسافت:

مشتریان ویندوزهای ما که در حال اجرای برنامه ضدویروس رایگان ما هستند و به‌روزرسانی‌های منتشرشده برای سیستم‌عامل آنها را دریافت کرده‌اند در مقابل باج افزار محافظت‌شده‌اند. ‘Sky News Newsdesk (@SkyNewsBreak) May 12, 2017’

اگر تابه‌حال به دریافت به‌روزرسانی‌ها اقدام نکرده‌اید به نظر می‌رسد زمان آن رسیده تا به‌روزرسانی‌های منتشرشده را دریافت کنید.

چگونه فایل های خود را بازگردانید؟

متأسفانه در حال حاضر راه‌حل چندانی در رابطه با نحوه بازگردانی فایل‌های ازدست‌رفته قربانیان این باج افزار پیشنهاد نشده است. اگر شما از فایل‌های خود یک نسخه پشتیبان ندارید، به‌احتمال‌قوی شما داده‌های خود را ازدست‌داده. شاید این اتفاق درس عبرتی نه تنها برای قربانیان بلکه برای همه کاربران دیگر نیز خواهد بود که تهیه نسخه پشتیبان از داده‌های خود را جدی بگیرند.

آیا می توانید کامپیوتر خود را تعمیر کنید؟

در برخی از انجمن‌ها مثل  Bleeping Computer راهنمایی‌هایی در رابطه با آموزش حذف این باج افزار از کامپیوتر قربانیان مطرح شده است، انجام مراحل این کار اصلاً ساده نیست ولی اگر راه دیگری پیش روی خود نمی‌بینید بهتر است به این صفحه مراجعه کنید.

آیا مایکروسافت هیچ کاری برای کمک به قربانیان می‌کند؟

بله. با وجود اینکه واقعاً این اتفاق به دلیل اشتباه مایکروسافت رخ نداده است مخصوصاً برای آن دسته از کاربرانی که در سال ۲۰۱۷ هنوز در حال استفاده از ویندوز XP هستند، ردموندی ها از هیچ تلاشی برای مقابله با این مشکل و کمک به قربانیان این باج افزار کوتاهی نکرده‌اند. مدت زیادی از پایان پشتیبانی رسمی از ویندوز XP توسط مایکروسافت می‌گذرد اما مایکروسافت اقدام به انتشار وصله‌های امنیتی برای ویندوز XP به‌منظور مقابله بانفوذ WannaCry به این سیستم‌عامل کرده است. نکته مهم این است که موفقیت این وصله‌های امنیتی به این وابسته است که این بروز رسانی‌ها را قبل از آلوده شدن سیستم خود دریافت کنید.

حجم گسترش آن هنوز هم ادامه دارد ؟

یک محقق امنیت سایبری از بریتانیا به‌صورت تصادفی روشی را برای کاهش سرعت گسترش این حملات با استفاده از کدی که “kill switch” نام‌گرفته، یافته است.

من اعتراف می‌کنم که قبل از ثبت دامنه از این موضوع که ممکن است باعث توقف گسترش این باج افزار شود بی‌اطلاع بودم بنابراین ابتدا این موضوع کاملاً تصادفی رخ داد. ‘MalwareTech (@MalwareTechBlog) May 13, 2017’

خوشبختانه به سادگی تمام، یک دامنه داخل کدهای WannaCry یافت شده است و ثبت دامنه روی این کدهای باج افزار در گسترش آن بسیار مؤثر می‌باشد. گاردین به این شکل این موضوع را توضیح می‌دهد:

kill switch به شکل غیرقابل تغییری در این بدافزار به‌منظور توقف گسترش آن ایجادشده بود و شامل یک نام دامنه مزخرف بسیار طولانی می‌شد که باج افزار به آن درخواستی را ارسال می‌کند و اگر پاسخ از این دامنه بازگردد و نشان‌دهنده فعال بودن دامنه باشد، kill switch فعال‌شده و گسترش این باج افزار را متوقف می‌کند. قیمت این دامنه ۱۰/۶۹ دلار بوده و بلافاصله بعد از ثبت آن هزاران درخواست در هر ثانیه به آن ارسال‌شده است.

با توجه به اینکه دامنه باز پس گرفته نشده است، باید گسترش WannaCry رو به کاهش و کم کم متوقف گردد اما به یاد داشته باشید که این قضیه نمی‌تواند دلیلی بر عدم دریافت بروز رسانی‌ها گردد زیرا خطر آلوده شدن به این باج افزار هنوز وجود دارد و از بین نرفته است.

عواقب آن تا چه وقت ادامه دارد؟

بزرگ‌ترین نگرانی پیرامون این باج افزار این بود که بعد از پایان یافتن آخر هفته و بازگشت تعداد زیادی از کارمندان به شرکت‌ها با روشن کردن سیستم‌های خود موج عظیم دیگری از گسترش این باج افزار آغاز شود و تعداد قربانیان آن بیش‌ازپیش گردند. اما خوشبختانه گزارش‌ها حاکی از کاهش قابل‌توجه آمار آلوده شدن سیستم می‌دهد و بسیاری از آسیب دیدگان از اولین روزهای ظهور این باج افزار، هم‌اکنون در حال فعالیت برای پاک‌سازی این بدافزار هستند.

سازمان سلامت ملی بریتانیا یکی از سازمان‌هایی بود که بالاترین درصد آلودگی به این باج افزار را داشت و درحالی‌که بیشتر سازمان‌هایی که به این باج افزار آلوده شدن توانسته‌اند مشکلات خود را حل کنند اما این سازمان احتمالاً هفته آینده را نیز صرف پاک‌سازی و جایگزینی سیستم‌های آلوده‌شده به این باج افزار خواهد کرد.

هشدار اصلی در مورد این باج افزار این است که تهدید حملات مشابه دیگری هنوز وجود دارد و اصلاً نمی‌توان گفت همه‌چیز پایان‌یافته است.

سخن پایانی

می‌توان گفت مطالب بالا به شکل مختصر تمام اطلاعات در دست در مورد باج افزار WannaCry را که تا به زمان انتشار این مطلب جمع‌آوری‌شده است را شامل می‌گردد. بار دیگر این حمله سایبری به کاربران اهمیت دریافت به‌روزرسانی سیستمی و بخصوص وصله‌های امنیتی را گوش زد می‌کند. علاوه بر آن یادآور می‌شویم که استفاده از برنامه‌های بروز که هنوز از پشتیبانی شرکت‌های سازنده آنها برخوردار هستند و تهیه نسخه پشتیبان همواره در کاهش حجم خسارات کاربران در مقابل بدافزارها و چنین حملاتی نقش به سزایی دارد.