باتوجه به آلوده شدن تعدادی از رایانه های کشور به باج افزار Wanna Cry و راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق در این زمینه به پیوست مستند فنی راهنمای امداد برای رایانه های آلوده شده به باج افزار Wanna Cry را ارایه می نماید.
مدیران محترم دستگاههای اجرایی استان
همانگونه که مستحضرید، مرکز تخصصی آپا دانشگاه قم با مجوز رسمی از سازمان فناوری اطلاعات و ارتباطات ایران و مرکز ماهر و با بهره گیری از اساتید مجرب در حوزه امنیت فضاهای سایبری، مجازی و سامانه های اداری و سازمانی، جهت ارایه خدمات افتا، آگاهی ، پشتیبانی و امداد درخصوص مبانی و اصول امنیت فضاهای سایبری، مجازی، سرورهای مرکزی و … تأسیس و راه اندازی گردیده است.
با عنایت به حمله اخیر باج افزار WannaCrypt و متعاقب آن حملات وسیع به سرورهای مراکز حساس کشور که به نظر می رسد این حملات زمینه ساز حملاتی با دامنه بیشتر و مخربتر میباشد، مرکز آپا دانشگاه قم وظیفه خود می داند که جهت ارایه خدمات امداد و همیاری دستگاههای اجرایی استان و نیاز به هرگونه اقدامی اعم از پیشگیری، آموزش کارشناسان و مدیران IT و امداد دستگاهها درصورت مواجهه با این حملات و تهدیدات، به صورت شبانه روزی، اعلام نموده و از کلیه دستگاههای اجرایی استان تقاضا دارد که در قدم اول نسبت به امنیت دیتا سنترها و شبکه های سازمانی و اداری خود اطمینان حاصل نموده و درصورت مواجهه با هرگونه بدافزار یا باج افزار یا هرگونه کد مشکوک، این مرکز را از طریق راههای زیر مطلع تا نسبت به امداد و کمک مورد نیاز قبل از هرگونه خسارت احتمالی و غیر قابل جبران، اقدام سریع به عمل آید.
مرکز تخصصی آپا
دانشگاه قم
راههای تماس با کارشناسان مرکز آپای دانشگاه قم:
اطلاعات تماس با مرکز آپا
شماره تلفن های 02532103387 و 02532103388 در ساعات اداری و 09376320648 و 09030653015 به صورت 24 ساعته
وب سایت: http://cert.qom.ac.ir پست الکترونیک: apa@qom.ac.ir
در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز مشاهده شده به نحوی که تا این لحظه بیش از ۵۰ اپراتور و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها شناسایی شده است.
در این راستا تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استان های کشور در حال انجام اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی از آن هستند.
این حمله سایبری با نام های مختلفی همچون WannaCry ، Wana Decrypt ، WannaCryptor و WCRY شناخته می شود و دسترسی قربانی به کامپیوتر و فایل ها را غیرممکن کرده و برای بازگرداندن دسترسی، باج خواهی می کند.
این باج افزار از یک آسیب پذیری در سرویس SMB سیستم عامل ویندوز استفاده می کند و اگرچه پیش از این، مایکروسافت این آسیب پذیری را رفع کرده بود اما کامپیوترهایی که ویندوزشان به روز نشده است، نسبت به حمله و آلودگی به این باج افزار، آسیب پذیرند.
این باج افزار در ۲ روز اولیه و از طریق حسابهای «بیت کوین» که قابل ردیابی نیست، پول زیادی دریافت کرده و گفته می شود بیش از ۲۸ پرداخت در این زمینه انجام شده است. به نحوی که در همان ساعت اولیه این حمله سایبری، ۹۰۰ دلار باج دریافت شده است.
گفته شده است که پخش این بدافزار باج گیر، از طریق استفاده از ایمیل های فیشینگ و لینکهای آلوده در سایتهای غیرمعتبر صورت می گیرد.
حال با توجه به فعالیت این بدافزار باج گیر در کشور ما، برای پیشگیری از آلودگی به آن، باید اقدامات لازم صورت گیرد که شامل موارد زیر است:
۱. به روزرسانی سیستم عاملهای ویندوز
۲. تهیه کپی پشتیبان از اطلاعات مهم
۳. به روزرسانی آنتی ویروسها
۴. اطلاع رسانی به کاربران برای عدم اجرای فایلهای پیوست ایمیل های ناشناس
اقدامات پیشگیرانه
کاربران باید نسبت به نصب وصله MS۱۷-۰۱۰ به عنوان آخرین به روزرسانی سیستم عامل با استفاده از نصب ابزار «ویندوز آپدیت» اقدام کنند.
مایکروسافت به دلیل این مشکل، حتی در سیستم عامل های XP و ۲۰۰۳ که مدتی پشتیبانی خود را متوقف کرده بود، وصله امنیتی قرار داده است.
اگر امکان به روزرسانی سیستم عامل یا نصب وصله امنیتی وجود ندارد، باید دسترسی به سرویس SMB مسدود شود.
نحوه غیرفعالسازی SMB در ویندوزهای ۷ ، ۸ و ویستا و نیز ویندوز سرورهای ۲۰۰۸، ۲۰۰۸ R۲ و ۲۰۱۲ و بعد از آن از طریق پاورشل (POWERSHELL ) از طریق این لینک قابل دریافت است.
کاربران به عنوان راهکار جایگزین باید پورتهای ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندند.
مرکر ماهر وابسته به معاونت امنیت سازمان فناوری اطلاعات ایران از کلیه سازمانها و شرکت ها خواسته در صورت برخورد با آلودگی به باج افزار فوق، در اسرع وقت موارد را با شماره تلفن های ۲۲۱۱۵۹۵۰ و ۴۲۶۵۰۰۰ درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال کنند.
در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است. تا کنون بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.
این گزارش حاکی است، این حمله را میتوان بزرگترین حمله آلوده نمودن به باجافزار تاکنون نامید. این باجافزار به نامهای مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته میشود. این باجافزار همانند دیگر باجافزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.
باج افزار جدیدی ویندوزهای سرور ۲۰۰۸ و ۲۰۱۲ و ویندوز های دسکتاپ را هدف گرفته است این باج افزار که از رخنه امنیتی (باگ) سرویس SMBV1 استفاده می کند و تاکنون هزاران سرور و دسکتاپ را آلوده کرده است. باجافزارها گونهای از بدافزارها هستند که دسترسی به سیستم را محدود میکنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج میکند. برخی از انواع آنها روی فایلهای هارددیسک رمزگذاری انجام میدهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیامهایی روی نمایشگر نشان دهند که از کاربر میخواهد مبالغی را واریز کنند.
باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستمهای عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.
روش مقابله با این باج افزار :
سرویس SMBv1 خود را به روش زیر غیرفعال کنید :
برای ویندوز سرور ۲۰۰۸ و ۲۰۱۲ – ویندوز دسکتاپ ویستا و هشت :
– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید
– گزینه Power Shell را از جستجوی ویندوز پیدا کرده و بر روی آن کلیک راست کنید سپس گزینه Run as Administrator را بزنید
– در Power Shell دو کامند زیر را اجرا بفرمایید
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
– بعد از اجرای کامندها سرور را ریستارت کنید.
برای ویندوزهای سرور ۲۰۱۲r2 و بالاتر :
– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید
– به Server Manager رفته و بر روی منوی Manage کلیک کرده و گزینه Remove Roles and Features را باز کنید
– ازپنجره باز شده SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود
– سرور را ریستارت کنید
برای ویندوز دسکتاپ ۸.۱ و بالاتر :
– Control Panel ویندوز را باز کنید بر روی Programs کلیک کرده و گزینه Turn Windows Features on or off را کلیک کنید
– ازپنجره باز شده SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود
– ویندوز را ریستارت کنید
شدیدا توصیه می شود بعد از غیرفعال سازی سرویس SMB ویندوز را به آخرین نسخه به روز رسانی کرده و مجددا راه اندازی کنید.