نوشته‌ها

WannaCrypt: مروری اجمالی بر بزرگترین تهدید امنیت سایبری سال 2017

در ماه مه 2017 یک نرم افزار مخرب به نام WannaCrypt (یا WannaCry) به سیستم­های رایانه ای در سازمان های بزرگ و کسب و کارهای سراسر جهان نفوذ کرد. WannaCrypt، یک باج­افزار است و هنگامی که یک ماشین یا سیستم کامپیوتری را آلوده می­کند، تمام داده های روی آن ماشین­ ها را رمزگذاری می­کند.

هنگامی که فایل­ها رمزگذاری می­شوند، مالک ماشین یا سیستم کامپیوتری را مجبور می­کند که باج بدهند تا داده­ها را باز کند. پیشنهاد باج دارای محدودیت زمانی است و به کاربران یک شمارشگر معکوس را نشان می دهد. زیان اصلی این است که با سپری شدن زمان، قیمت باج افزایش می­یابد. هنگامی که شمارش معکوس به صفر رسید، WannaCrypt به طور خودکار اطلاعات کاربران را از بین می­برد.

پس از آن WannaCrypt توسط آژانس امنیت ملی کشف شد. اگرچه رشد و عملکرد WannaCrypt آهسته شده است، اما هنوز کاملاً از بین نرفته است. در تاریخ 21 اوت، ZDNet گزارش داد که الجی الکترونیک باج افزار WannaCrypt را در یک کیوسک در داکوتای جنوبی مشاهده کرده است. این شرکت تحت یک اقدام احتیاطی امنیتی، سیستم های کامپیوتری خود را به مدت دو روز به حالت آفلاین در آورد.

WannaCrypt بیش از 300،000 سیستم ویندوز در سراسر جهان را آلوده کرده است. این حمله یک هشدار برای همه کاربران بود تا در مورد امنیت سایبری دقت بیشتری داشته باشند. در مورد ایمیل هایی که باز می­کنید یا فایل­هایی که دانلود می­کنید، دقت بیشتری نمایید و از داده­هایتان Backup تهیه کنید تا در صورت نیاز، فایل­های خود را از ابتدا بازیابی کنید.

منبع: https://www.securemac.com/news/wannacrypt-overview-2017s-biggest-cybersecurity-threat

راهنمای امداد برای رایانه های آلوده شده به باج افزار WannaCry

باتوجه به آلوده شدن تعدادی از رایانه های کشور به باج افزار Wanna Cry و راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق در این زمینه به پیوست مستند فنی راهنمای امداد برای رایانه های آلوده شده به باج افزار Wanna Cry را ارایه می نماید.

آمادگی مرکز آپا جهت ارایه خدمات امداد و همیاری دستگاههای اجرایی استان قم

مدیران محترم دستگاههای اجرایی استان

همانگونه که مستحضرید، مرکز تخصصی آپا دانشگاه قم با مجوز رسمی از سازمان فناوری اطلاعات و ارتباطات ایران و مرکز ماهر و با بهره گیری از اساتید مجرب در حوزه امنیت فضاهای سایبری، مجازی و سامانه های اداری و سازمانی، جهت ارایه خدمات افتا، آگاهی ، پشتیبانی و امداد درخصوص مبانی و اصول امنیت فضاهای سایبری، مجازی، سرورهای مرکزی و … تأسیس و راه اندازی گردیده است.

با عنایت به حمله اخیر باج افزار WannaCrypt و متعاقب آن حملات وسیع به سرورهای مراکز حساس کشور که به نظر می رسد این حملات زمینه ساز حملاتی با دامنه بیشتر و مخربتر می­باشد، مرکز آپا دانشگاه قم وظیفه خود می داند که جهت ارایه خدمات امداد و همیاری دستگاههای اجرایی استان و نیاز به هرگونه اقدامی اعم از پیشگیری، آموزش کارشناسان و مدیران IT و امداد دستگاهها درصورت مواجهه با این حملات و تهدیدات، به صورت شبانه روزی، اعلام نموده و از کلیه دستگاههای اجرایی استان تقاضا دارد که در قدم اول نسبت به امنیت دیتا سنترها و شبکه های سازمانی و اداری خود اطمینان حاصل نموده و درصورت مواجهه با هرگونه بدافزار یا باج افزار یا هرگونه کد مشکوک، این مرکز را از طریق راههای زیر مطلع تا نسبت به امداد و کمک مورد نیاز قبل از هرگونه خسارت احتمالی و غیر قابل جبران، اقدام سریع به عمل آید.

مرکز تخصصی آپا

دانشگاه قم

راههای تماس  با کارشناسان مرکز آپای دانشگاه قم:

اطلاعات تماس با مرکز آپا

شماره تلفن های  02532103387 و  02532103388  در ساعات اداری و  09376320648 و 09030653015 به صورت 24 ساعته

وب سایت:               http://cert.qom.ac.ir               پست الکترونیک: apa@qom.ac.ir

دستورالعمل مقابله با باج‌گیر سایبری منتشر شد

 در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه حدود ۱۰۰ کشور شیوع یافته و بیش از ۷۵ هزار سیستم کامپیوتری را آلوده کرده است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز مشاهده شده به نحوی که تا این لحظه بیش از ۵۰ اپراتور و سازمان، قربانی این باج افزار در کشور شده اند که بیشتر این آلودگی ها نیز در حوزه اپراتورهای ارتباطی و حوزه پزشکی، سلامت و دانشگاهها شناسایی شده است.

در این راستا تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در  استان های کشور در حال انجام اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی از آن هستند.

این حمله سایبری با نام های مختلفی همچون WannaCry ، Wana Decrypt ، WannaCryptor و WCRY شناخته می شود و دسترسی قربانی به کامپیوتر و فایل ها را غیرممکن کرده و برای بازگرداندن دسترسی، باج خواهی می کند.

این باج افزار از یک آسیب پذیری در سرویس SMB سیستم عامل ویندوز استفاده می کند و اگرچه پیش از این، مایکروسافت این آسیب پذیری را رفع کرده بود اما کامپیوترهایی که ویندوزشان به روز نشده است، نسبت به حمله و آلودگی به این باج افزار، آسیب پذیرند.

این باج افزار در ۲ روز اولیه و از طریق حسابهای «بیت کوین» که قابل ردیابی نیست، پول زیادی دریافت کرده و گفته می شود بیش از ۲۸ پرداخت در این زمینه انجام شده است. به نحوی که در همان ساعت اولیه این حمله سایبری، ۹۰۰ دلار باج دریافت شده است.

گفته شده است که پخش این بدافزار باج گیر، از طریق استفاده از ایمیل های فیشینگ و لینک‌های آلوده در سایتهای غیرمعتبر صورت می گیرد.

حال با توجه به فعالیت این بدافزار باج گیر در کشور ما، برای پیشگیری از آلودگی به آن، باید اقدامات لازم صورت گیرد که شامل موارد زیر است:

۱. به روزرسانی سیستم عاملهای ویندوز

۲. تهیه کپی پشتیبان از اطلاعات مهم

۳. به روزرسانی آنتی ویروسها

۴. اطلاع رسانی به کاربران برای عدم اجرای فایلهای پیوست ایمیل های ناشناس

اقدامات پیشگیرانه

کاربران باید نسبت به نصب وصله MS۱۷-۰۱۰ به عنوان آخرین به روزرسانی سیستم عامل با استفاده از نصب ابزار «ویندوز آپدیت» اقدام کنند.

مایکروسافت به دلیل این مشکل، حتی در سیستم عامل های XP و ۲۰۰۳ که مدتی پشتیبانی خود را متوقف کرده بود، وصله امنیتی قرار داده است.

اگر امکان به روزرسانی سیستم عامل یا نصب وصله امنیتی وجود ندارد، باید دسترسی به سرویس SMB مسدود شود.

نحوه غیرفعالسازی SMB در ویندوزهای ۷ ، ۸ و ویستا و نیز ویندوز سرورهای ۲۰۰۸، ۲۰۰۸ R۲ و ۲۰۱۲ و بعد از آن از طریق پاورشل (POWERSHELL ) از طریق این لینک قابل دریافت است.

کاربران به عنوان راهکار جایگزین باید پورتهای ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندند.

مرکر ماهر وابسته به معاونت امنیت سازمان فناوری اطلاعات ایران از کلیه سازمانها و شرکت ها خواسته در صورت برخورد با آلودگی به باج افزار فوق، در اسرع وقت موارد را با شماره تلفن های ۲۲۱۱۵۹۵۰ و ۴۲۶۵۰۰۰ درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال کنند.

منبع:
خبرگزاری مهر

شناسایی بیش از ۲۰۰ قربانی آلوده به باج افزار WannaCry در فضای سایبر کشور

در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است. تا کنون بیش از ۲۰۰ قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.

این گزارش حاکی است، این حمله را می‌توان بزرگترین حمله آلوده نمودن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته می‌شود. این باج‌افزار همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.

باج افزار جدیدی ویندوزهای سرور ۲۰۰۸ و ۲۰۱۲ و ویندوز های دسکتاپ را هدف گرفته است این باج افزار که از رخنه امنیتی (باگ) سرویس SMBV1 استفاده می کند و تاکنون هزاران سرور و دسکتاپ را آلوده کرده است. باج‌افزار‌ها گونه‌ای از بدافزارها هستند که دسترسی به سیستم را محدود می‌کنند و ایجادکننده آن برای برداشتن محدودیت درخواست باج می‌کند. برخی از انواع آنها روی فایل‌های هارددیسک رمزگذاری انجام می‌دهند و برخی دیگر ممکن است به سادگی سیستم را قفل کنند و پیام‌هایی روی نمایشگر نشان دهند که از کاربر می‌خواهد مبالغی را واریز کنند.

باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.

آدرس دریافت پچ امنیتی

 روش مقابله با این باج افزار :

سرویس SMBv1 خود را به روش زیر غیرفعال کنید :

برای ویندوز سرور ۲۰۰۸ و ۲۰۱۲ – ویندوز دسکتاپ ویستا و هشت :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– گزینه Power Shell را از جستجوی ویندوز پیدا کرده و بر روی آن کلیک راست کنید سپس گزینه Run as Administrator را بزنید

– در Power Shell دو کامند زیر را اجرا بفرمایید

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

– بعد از اجرای کامندها سرور را ریستارت کنید.

برای ویندوزهای سرور ۲۰۱۲r2 و بالاتر :

– به محیط ریموت دسکتاپ سرور خود با کاربر Administrator وارد شوید

– به Server Manager رفته و بر روی منوی Manage کلیک کرده و گزینه Remove Roles and Features را باز کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– سرور را ریستارت کنید

برای ویندوز دسکتاپ ۸.۱ و بالاتر :

– Control Panel ویندوز را باز کنید بر روی Programs کلیک کرده و گزینه Turn Windows Features on or off را کلیک کنید

– ازپنجره باز شده  SMB1.0/CIFS File Sharing Support تیک checkbox این سرویس را برداشته و OK را بزنید تا پنجره بسته شود

– ویندوز را ریستارت کنید

شدیدا توصیه می شود بعد از غیرفعال سازی سرویس  SMB  ویندوز را به آخرین نسخه به روز رسانی کرده و مجددا راه اندازی کنید.