WannaCry: چگونه از خود در برابر ویروس باج افزار محافظت کنید. باج‌افزار باج‌افزاری IB بودجه‌ای را برای ویروس Bad WannaCry ایجاد می‌کند که همه چیز را رمزگذاری می‌کند

بدافزار جدید باج‌افزار WannaCry (همچنین با نام‌های WannaCry Decryptor، WannaCrypt، WCry و WanaCrypt0r 2.0 نیز شناخته می‌شود) در 12 می 2017، زمانی که فایل‌های موجود در رایانه‌های چندین مؤسسه مراقبت‌های بهداشتی در بریتانیا رمزگذاری شدند، خود را به جهانیان معرفی کرد. همانطور که به زودی مشخص شد، شرکت ها در ده ها کشور در وضعیت مشابهی قرار گرفتند و روسیه، اوکراین، هند و تایوان بیشترین آسیب را متحمل شدند. طبق گفته آزمایشگاه کسپرسکی، تنها در روز اول حمله، ویروس در 74 کشور شناسایی شد.

چرا WannaCry خطرناک است؟ ویروس فایل ها را رمزگذاری می کند انواع مختلف(دریافت پسوند .wcry فایل ها را کاملاً ناخوانا می کند) و سپس باج 600 دلاری را برای رمزگشایی طلب می کند. برای سرعت بخشیدن به روند انتقال پول، کاربر از این واقعیت وحشت دارد که در سه روز مبلغ باج افزایش می یابد و پس از هفت روز، فایل ها به هیچ وجه قابل رمزگشایی نخواهند بود.

تهدید آلودگی به ویروس باج افزار WannaCry بر رایانه های مبتنی بر سیستم عامل ویندوز تأثیر می گذارد. اگر استفاده می کنید نسخه های دارای مجوزویندوز و به طور منظم به روز رسانی سیستم را انجام دهید، پس لازم نیست نگران باشید که ویروس از این طریق وارد سیستم شما شود.

کاربران MacOS، ChromeOS و Linux و همچنین سیستم عامل های موبایل iOS و Android به هیچ وجه نباید از حملات WannaCry بترسند.

اگر قربانی WannaCry شدید چه باید کرد؟

آژانس ملی جرم و جنایت بریتانیا (NCA) توصیه می‌کند که کسب‌وکارهای کوچکی که قربانی باج‌افزار شده‌اند و نگران انتشار آنلاین ویروس هستند، اقدامات زیر را انجام دهند:

  • کامپیوتر، لپ تاپ یا تبلت خود را فوراً از شبکه شرکتی/داخلی جدا کنید. وای فای را خاموش کنید.
  • درایورها را تغییر دهید
  • متصل نیست شبکه های وای فای، رایانه خود را مستقیماً به اینترنت وصل کنید.
  • تازه کردن سیستم عاملو تمامی نرم افزارهای دیگر
  • آنتی ویروس خود را آپدیت و اجرا کنید.
  • دوباره به شبکه وصل شوید.
  • نظارت کنید ترافیک شبکهو/یا اسکن ویروس را اجرا کنید تا مطمئن شوید که باج افزار ناپدید شده است.

مهم!

فایل های رمزگذاری شده توسط ویروس WannaCry توسط هیچ کس غیر از نفوذگران قابل رمزگشایی نیستند. بنابراین، وقت و پول خود را برای آن «نابغه فناوری اطلاعات» که قول می دهند شما را از این سردرد نجات دهند، تلف نکنید.

آیا ارزش پرداخت پول به مهاجمان را دارد؟

اولین سوالاتی که توسط کاربرانی که با ویروس جدید باج افزار WannaCry مواجه شده اند پرسیده می شود: نحوه بازیابی فایل ها و حذف ویروس. رایگان پیدا نکردن و راه های موثرتصمیمات، آنها با یک انتخاب روبرو هستند - به اخاذی پول بپردازند یا نه؟ از آنجایی که کاربران اغلب چیزی برای از دست دادن دارند (اسناد شخصی و آرشیو عکس در رایانه ذخیره می شوند)، تمایل به حل مشکل با کمک پول واقعاً ایجاد می شود.

اما NCA اصرار دارد نهپرداخت پول. اگر هنوز تصمیم به انجام این کار دارید، پس موارد زیر را در نظر داشته باشید:

  • اول، هیچ تضمینی وجود ندارد که به داده های خود دسترسی پیدا کنید.
  • ثانیاً، رایانه شما ممکن است حتی پس از پرداخت همچنان آلوده به ویروس باشد.
  • ثالثاً، شما به احتمال زیاد فقط پول خود را به مجرمان سایبری خواهید داد.

چگونه از خود در برابر WannaCry محافظت کنیم؟

ویاچسلاو بلاشوف، رئیس بخش اجرای سیستم های امنیت اطلاعات در SKB Kontur توضیح می دهد که چه اقداماتی برای جلوگیری از ابتلا به ویروس انجام شود:

ویژگی ویروس WannaCry این است که برخلاف سایر ویروس های باج افزار می تواند بدون دخالت انسان به سیستم نفوذ کند. قبلاً برای اینکه ویروس کار کند لازم بود کاربر بی توجه باشد - او پیوند مشکوکی را از ایمیلی که واقعاً برای او در نظر گرفته نشده بود دنبال می کرد یا یک پیوست مخرب را دانلود می کرد. در مورد WannaCry، یک آسیب پذیری مورد سوء استفاده قرار می گیرد که مستقیماً در خود سیستم عامل وجود دارد. بنابراین، در وهله اول در معرض خطر کامپیوترهای روشن بودند پایه ویندوز، که به روز رسانی های 14 مارس 2017 را نصب نکرد. فقط یک ایستگاه کاری آلوده را از آن می گیرد شبکه محلیبه طوری که ویروس به دیگران با آسیب پذیری موجود سرایت کند.

کاربرانی که تحت تاثیر ویروس قرار گرفته اند یک چیز طبیعی دارند سوال اصلی- چگونه اطلاعات خود را رمزگشایی کنیم؟ متاسفانه هنوز راه حل تضمینی وجود ندارد و بعید است که پیش بینی شود. حتی پس از پرداخت مبلغ مشخص شده نیز مشکل حل نمی شود. علاوه بر این، ممکن است وضعیت با این واقعیت تشدید شود که یک فرد به امید بازیابی اطلاعات خود، خطر استفاده از رمزگشاهای ظاهراً "رایگان" را که در واقع فایل های مخرب نیز هستند، می کند. بنابراین توصیه اصلی این است که مراقب باشید و تمام تلاش خود را برای جلوگیری از چنین وضعیتی انجام دهید.

در حال حاضر دقیقاً چه کاری می توان و باید انجام داد:

1. آخرین به روز رسانی ها را نصب کنید.

این نه تنها در مورد سیستم عامل ها، بلکه در مورد ابزارهای محافظت از آنتی ویروس نیز صدق می کند. اطلاعات مربوط به به روز رسانی ویندوز را می توان یافت.

2. از اطلاعات مهم نسخه پشتیبان تهیه کنید.

3. هنگام کار با پست و اینترنت مراقب باشید.

به ایمیل های دریافتی با لینک ها و پیوست های مشکوک توجه کنید. برای کار با اینترنت، توصیه می شود از افزونه هایی استفاده کنید که به شما امکان می دهد از شر تبلیغات غیر ضروری و پیوند به منابع بالقوه مخرب خلاص شوید.

  • بیش از 200000 رایانه قبلاً آلوده شده اند!
هدف اصلی این حمله بخش شرکت‌ها و به دنبال آن شرکت‌های مخابراتی در اسپانیا، پرتغال، چین و انگلیس بود.
  • بزرگترین ضربه به کاربران و شرکت های روسی وارد شد. از جمله مگافون، راه آهن روسیه و بر اساس اطلاعات تایید نشده، کمیته تحقیقات و وزارت امور داخلی. Sberbank و وزارت بهداشت نیز حملاتی را به سیستم های خود گزارش کردند.
برای رمزگشایی داده ها، مهاجمان باج 300 تا 600 دلاری بیت کوین (حدود 17000 تا 34000 روبل) را طلب می کنند.

نحوه نصب رسمی ISO ویندوز 10 بدون استفاده از ابزار ایجاد رسانه

نقشه تعاملی عفونت (روی نقشه کلیک کنید)
پنجره باج
فایل های پسوندهای زیر را رمزگذاری می کند

علیرغم هدف قرار دادن ویروس برای حمله به بخش شرکتی، کاربر معمولیهمچنین از نفوذ WannaCry و از دست دادن احتمالی دسترسی به فایل ها مصون نیست.
  • دستورالعمل هایی برای محافظت از رایانه و داده های موجود در آن در برابر عفونت:
1. برنامه Kaspersky System Watcher را نصب کنید، که دارای یک عملکرد داخلی برای برگرداندن تغییرات ناشی از اقدامات یک رمزگذاری است که همچنان می‌تواند ابزارهای حفاظتی را دور بزند.
2. به کاربران برنامه آنتی ویروس از Kaspersky Lab توصیه می شود که بررسی کنند که عملکرد نظارت بر سیستم فعال است.
3. برای کاربران آنتی ویروس ESET NOD32 برای ویندوز 10، عملکردی برای بررسی به روز رسانی های جدید سیستم عامل معرفی شده است. در صورتی که از قبل مراقبت کرده باشید و آن را فعال کرده باشید، تمام به روز رسانی های جدید ویندوز لازم نصب می شود و سیستم شما به طور کامل در برابر این ویروس WannaCryptor و سایر حملات مشابه محافظت می شود.
4. همچنین کاربران محصولات ESET NOD32 عملکردی مانند شناسایی تهدیدات هنوز ناشناخته را در برنامه دارند. این روشبر اساس استفاده از فناوری رفتاری و اکتشافی.

اگر یک ویروس مانند یک ویروس رفتار کند، به احتمال زیاد یک ویروس است.

از 12 می، فناوری سیستم ابری ESET LiveGrid در دفع تمام حملات این ویروس بسیار موفق بوده است و همه اینها حتی قبل از رسیدن به روز رسانی پایگاه داده امضا رخ داده است.
5. فن آوری های ESET امنیت را حتی برای دستگاه های قبلی فراهم می کند سیستم های ویندوز XP، ویندوز 8 و ویندوز سرور 2003 (توصیه می کنیم استفاده از این سیستم های قدیمی را متوقف کنید). با توجه به سطح تهدید بسیار بالایی که برای این سیستم عامل ها ایجاد شده است، مایکروسافت تصمیم به انتشار به روز رسانی گرفته است. آنها را دانلود کنید.
6. برای به حداقل رساندن خطر آسیب به رایانه شخصی خود، باید فوراً نسخه ویندوز 10 خود را به روز کنید: Start - Settings - Update and Security - Check for updates (در موارد دیگر: Start - All Programs - Windows Update - Search for updates - دانلود و نصب).
7. وصله رسمی (MS17-010) مایکروسافت را نصب کنید، که باگ را در سرور SMB که از طریق آن ویروس می تواند نفوذ کند، برطرف می کند. این سرور در این حمله نقش دارد.
8. بررسی کنید که همه ابزارهای امنیتی موجود در رایانه شما در حال اجرا و کارکردن هستند.
9. یک اسکن ویروس از کل سیستم انجام دهید. هنگامی که یک حمله مخرب به نام MEM:Trojan.Win64.EquationDrug.gen، سیستم را راه اندازی مجدد کنید.
و یک بار دیگر توصیه می کنم که بررسی کنید که پچ های MS17-010 نصب شده اند.

در حال حاضر، متخصصان Kaspersky Lab، ESET NOD32 و سایر محصولات آنتی ویروس به طور فعال روی نوشتن برنامه ای برای رمزگشایی فایل ها کار می کنند که به کاربران رایانه های شخصی آلوده کمک می کند تا دسترسی به فایل ها را بازگردانند.

برای چندین دهه، مجرمان سایبری با موفقیت از نقایص و آسیب پذیری های موجود در وب جهانی. با این حال، در سال‌های اخیر افزایش واضحی در تعداد حملات و همچنین افزایش سطح آنها مشاهده شده است - مهاجمان خطرناک‌تر می‌شوند و بدافزارها با سرعتی در حال گسترش هستند که قبلاً هرگز مشاهده نشده بود.

مقدمه

ما در مورد باج افزاری صحبت می کنیم که در سال 2017 جهشی باورنکردنی انجام داد و به هزاران سازمان در سراسر جهان آسیب رساند. به عنوان مثال، در استرالیا، حملات باج افزاری مانند WannaCry و NotPetya حتی نگرانی هایی را در سطح دولت ایجاد کرده است.

با جمع‌بندی «موفقیت‌های» باج‌افزار در سال جاری، ۱۰ مورد از خطرناک‌ترین آنها را که بیشترین آسیب را به سازمان‌ها وارد کردند، بررسی می‌کنیم. امیدواریم سال آینده عبرت بگیریم و از نفوذ این مشکل به شبکه هایمان جلوگیری کنیم.

نه پتیا

حمله این باج افزار با برنامه حسابداری اوکراینی M.E.Doc آغاز شد که جایگزین 1C شد که در اوکراین ممنوع شده بود. فقط در چند روز، NotPetya صدها هزار کامپیوتر را در بیش از 100 کشور آلوده کرد. این بدافزار یک نوع بدافزار قدیمی است اخاذی پتیا، تفاوت آنها فقط در این است که حملات NotPetya از همان اکسپلویت حملات WannaCry استفاده می کردند.

با گسترش آن، NotPetya بر چندین سازمان در استرالیا تأثیر گذاشت، مانند کارخانه شکلات Cadbury در تاسمانی، که مجبور شد به طور موقت کل سیستم IT خود را تعطیل کند. این باج افزار همچنین توانست به بزرگترین کشتی کانتینری جهان متعلق به مرسک نفوذ کند که طبق گزارش ها تا 300 میلیون دلار درآمد از دست داده است.

می خواهی گریه کنی

این باج افزار، در مقیاس وحشتناک، عملاً تمام جهان را به تصرف خود درآورده است. حملات او از سوء استفاده بدنام EternalBlue استفاده می کرد که از یک آسیب پذیری در پروتکل مایکروسافت سرور پیام بلوک (SMB) سوء استفاده می کرد.

WannaCry قربانیان را در 150 کشور و بیش از 200000 دستگاه تنها در روز اول آلوده کرد. ما این بدافزار هیجان انگیز را منتشر کرده ایم.

لاکی

Locky محبوب ترین باج افزار در سال 2016 بود، اما در سال 2017 متوقف نشده است. انواع جدیدی از Locky، به نام های Diablo و Lukitus، امسال با استفاده از همان بردار حمله (فیشینگ) برای راه اندازی اکسپلویت ها ظاهر شده اند.

این لاکی بود که پشت رسوایی کلاهبرداری ایمیل استرالیا پست بود. طبق گزارش کمیسیون رقابت و مصرف کننده استرالیا، شهروندان بیش از 80000 دلار به دلیل این کلاهبرداری ضرر کردند.

کریزیس

این نمونه به دلیل استفاده استادانه از پروتکل دسکتاپ از راه دور (RDP) مورد توجه قرار گرفت. RDP یکی از محبوب‌ترین روش‌های توزیع باج‌افزار است زیرا می‌تواند توسط مجرمان سایبری برای به خطر انداختن ماشین‌هایی که کل سازمان‌ها را کنترل می‌کنند، استفاده کند.

قربانیان CrySis مجبور شدند برای بازیابی فایل های خود بین 455 تا 1022 دلار بپردازند.

Nemucode

Nemucod از طریق یک ایمیل فیشینگ که شبیه یک فاکتور حمل و نقل است، توزیع می شود. این باج افزار فایل های مخرب ذخیره شده در وب سایت های هک شده را دانلود می کند.

وقتی صحبت از استفاده از ایمیل های فیشینگ می شود، Nemucod بعد از Locky در رتبه دوم قرار دارد.

جف

Jaff شبیه Locky است و از روش های مشابهی استفاده می کند. این باج افزار به دلیل روش های اصلی توزیع یا رمزگذاری فایل قابل توجه نیست، بلکه برعکس، موفق ترین روش ها را با هم ترکیب می کند.

مهاجمان پشت سر او تا 3700 دلار برای دسترسی به فایل های رمزگذاری شده درخواست کردند.

اسپور

برای گسترش این نوع باج افزار، مجرمان سایبری با افزودن کد جاوا اسکریپت به وب سایت های قانونی به آنها نفوذ می کنند. کاربرانی که در چنین سایتی قرار می گیرند یک اخطار پاپ آپ دریافت می کنند که از آنها می خواهد به روز رسانی کنند مرورگر کرومبرای ادامه مرور سایت پس از دانلود به اصطلاح بسته فونت کروم، کاربران به Spora آلوده شدند.

سربر

یکی از چندین بردار حمله ای که سربر استفاده می کند RaaS (Ransomware-as-a-Service) نام دارد. بر اساس این طرح، مهاجمان با وعده درصدی از پول دریافتی در مقابل، پیشنهاد پرداخت هزینه توزیع تروجان را می دهند. از طریق این «سرویس»، مجرمان سایبری باج‌افزار را ارسال می‌کنند و سپس ابزارهایی را برای گسترش آن در اختیار مهاجمان دیگر قرار می‌دهند.

کریپتومیکس

این یکی از معدود باج افزارهایی است که نوع خاصی از درگاه پرداخت را در وب تاریک ندارد. کاربران آسیب دیده باید منتظر بمانند تا مجرمان سایبری به آنها ایمیل بزنند پست الکترونیکدستورالعمل ها.

قربانیان Cryptomix کاربرانی از 29 کشور بودند که مجبور شدند تا 3000 دلار بپردازند.

اره منبت کاری اره مویی

بدافزار دیگری از این لیست که فعالیت خود را در سال 2016 آغاز کرد. Jigsaw تصویری از دلقک از سری فیلم Saw را در ایمیل های هرزنامه قرار می دهد. هنگامی که کاربر روی تصویر کلیک می کند، باج افزار نه تنها فایل ها را رمزگذاری می کند، بلکه در صورتی که کاربر برای پرداخت باج 150 دلاری خیلی دیر شود، فایل ها را حذف می کند.

نتیجه گیری

همانطور که می بینیم، تهدیدات مدرن از سوء استفاده های پیچیده و فزاینده ای در برابر شبکه های محافظت شده استفاده می کنند. در حالی که افزایش آگاهی کارکنان به مدیریت تاثیر عفونت ها کمک می کند، کسب و کارها برای محافظت از خود باید فراتر از استانداردهای اولیه امنیت سایبری بروند. محافظت در برابر تهدیدات امروزی مستلزم رویکردهای پیشگیرانه ای است که از قدرت تجزیه و تحلیل بلادرنگ مبتنی بر یک موتور یادگیری که شامل درک رفتار و زمینه تهدیدات است، استفاده می کند.

در 12 آوریل 2017، اطلاعاتی در مورد گسترش سریع یک ویروس رمزگذاری به نام WannaCry در سراسر جهان ظاهر شد که می تواند به عنوان "من می خواهم گریه کنم" ترجمه شود. کاربران در مورد به روز رسانی ویندوز از ویروس WannaCry سؤالاتی دارند.

یک ویروس روی صفحه کامپیوتر به شکل زیر است:

ویروس بد WannaCry که همه چیز را رمزگذاری می کند

این ویروس همه فایل‌های موجود در رایانه را رمزگذاری می‌کند و از کیف پول بیت کوین باج 300 یا 600 دلاری می‌خواهد تا ظاهراً رایانه را رمزگشایی کند. کامپیوترها در 150 کشور جهان آلوده شدند که بیشترین آسیب را روسیه دارد.

مگافون، راه آهن روسیه، وزارت امور داخلی، وزارت بهداشت و سایر شرکت ها با این ویروس روبرو شدند. در میان قربانیان کاربران عادی اینترنت هستند.

تقریباً همه در برابر ویروس برابر هستند. شاید تفاوت این باشد که در شرکت‌ها ویروس در سراسر شبکه محلی درون سازمان پخش می‌شود و فوراً حداکثر تعداد ممکن رایانه را آلوده می‌کند.

ویروس WannaCry فایل‌ها را روی رایانه‌های دارای ویندوز رمزگذاری می‌کند. در مارس 2017، مایکروسافت به‌روزرسانی‌های MS17-010 را برای انواع مختلف منتشر کرد نسخه های ویندوز XP، Vista، 7، 8، 10.

معلوم می شود که کسانی که پیکربندی شده اند به روز رسانی خودکارویندوز خارج از منطقه خطر ابتلا به ویروس است، زیرا آنها به‌روزرسانی را به موقع دریافت کردند و توانستند از آن جلوگیری کنند. من قصد ندارم ادعا کنم که واقعاً اینطور است.

برنج. 3. هنگام نصب به روز رسانی KB4012212 پیام دهید

پس از نصب، به‌روزرسانی KB4012212 نیاز به راه‌اندازی مجدد لپ‌تاپ داشت، که من واقعاً آن را دوست نداشتم، زیرا معلوم نیست این کار چگونه می‌تواند به پایان برسد، اما کاربر کجا باید برود؟ با این حال، راه اندازی مجدد به خوبی انجام شد. این بدان معنی است که ما تا حمله بعدی ویروس در آرامش زندگی می کنیم و افسوس که در انجام چنین حملاتی شکی نیست.


در هر صورت، داشتن مکانی برای بازیابی سیستم عامل و فایل های خود از آن مهم است.

به روز رسانی ویندوز 8 از WannaCry

برای لپ تاپ با ویندوز 8 دارای مجوز، به روز رسانی KB 4012598 نصب شد، زیرا