جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟

جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟

سرهنگ دوم علی نیک‌نفس رئیس مرکز تشخیص و پیشگیری پلیس فتا در خصوص باج افزار اظهار کرد: در روز 12 می 2017 (22 اردیبهشت 96) یک نمونه جدید از باج افزار Ransome.CryptXXX) wannacrypt) به طور گسترده‌ای تعداد زیادی از ارگان‌ها و سازمان‌ها به ویژه در اروپا را تحت تاثیر قرار داده و آلوده کرده است.

سرهنگ دوم علی نیک‌نفس در خصوص معرفی باج افزار  گفت:  این باج افزار داده‌ها را رمز کرده و سپس درخواست 300 دلار در قالب بیت‌کوین  در قبال رمز گشایی آن و اجازه دسترسی صاحبان اطلاعات را می‌کند. سپس عنوان می‌کند که اگر تا 3 روز مبلغ پرداخت نگردد میزان درخواستی آنها دوبرابر خواهد شد و اگر مبلغ تا هفت روز پرداخت نگردد، داده‌های رمز شده حذف خواهند شد. این باج افزار همچنین یک فایل با نام !Please Read Me!.txt به جا می‌گذارد که شامل متنی است که اعلام می‌کند که چه اتفاقی افتاده و باج ‌ درخواستی به چه صورت باید پرداخت شود.

جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟

 سرهنگ نیک نفس توضیح داد: باج افزار wannacrypt فایل هایی با پسوندهای .backup .tiff .djvu .mpeg .class .java.accdb .sqlitedb .sqlite3 .lay6 xltm .pptm .ppsm .ppsx .ppam .potx .potm .sldx .sldm .vmdk . vsdx .onetoc2 .jpeg .docb .docm.  dotm .dotx .xlsm .xlsb .xltx. docx .xlsx .pptx.  را رمزگذاری می کند.
 
 رئیس مرکز تشخیص و پیشگیری ادامه داد: این باج افزار به دیگر سیستم‌ها با بکارگیری آسیب پذیری کد اجرایی SMBv2 remote  در سیستم‌های ویندوزی انتقال پیدا می‌کند (MS17-010). سازمان‌ها می‌بایست مطمئن شوند که آخرین به روز رسانی امنیتی ویندوز و به خصوص MS17-010 را به منظور جلوگیری از انتشار آن نصب کرده‌اند.
 
سرهنگ نیک نفس در خصوص اینکه چه کاربران یا سازمان‌های تحت تاثیر این باج افزار قرار گرفته اند، گفت: تعدادی از سازمان‌ها که بیشتر آنها در اروپا هستند متاثر از این باج افزار شده‌اند. در زیر نوشته یک پزشک از یکی از بیمارستان‌های لندن که تحت تاثیر این باج افزار قرار گرفته آمده است: "همه چیز از کار افتاده است، هیچ نتیجه آزمایشی نداریم، هیچ گروه خونی در دسترس نیست، تمام عمل‌های جراحی کنسل شده است." بر طبق گزارش Symantec تاکنون رمزگشای این باج افزار  موجود نیست و در همان ساعات اولیه فعالیت باج افزار بیش از 74 کشور عمدتا در اروپا و آسیا را تحت تاثیر قرار داده است.

جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟
 
سرهنگ نیک نفس در تشریح میزان آلودگی در 24 ساعت گذشته گفت: این باج افزار به سرعت در حال گسترش است و  به تمامی قاره‌ها نفوذ کرده است.

جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟

 

وی در خصوص راهکارهای محافظتی برای جلوگیری از آلوده شدن سیستم ها به این باج افزار گفت: غیر فعال کردن SMBv1 با استفاده دستور    Disable-WindowsOptionalFeature –Online –FeatureName smb1protocol به کاربران کمک می کند تا مانع از آلودگی شوند.

 

جزئیات ویروس باج گیر / راهکاری برای جلوگیری از ویروس باج افزار/ ویروس باج افزار چیست؟

 

سرهنگ نیک نفس با بیان اینکه تمامی سیستم عامل‌ها و نرم افزارهای خود را به روز نگه دارید، افزود: آپدیت‌های جدید گاهی شامل Patchهای آسیب پذیری هستند که ممکن است باج افزارها از آن استفاده کنند. لذا باید به محض ارائه وصله های امنیتی جدید سیستم را به روز رسانی مجدد نمود.
 
رئیس مرکز تشخیص و پیشگیری ادامه داد: ایمیل‌ها یکی از اصلی‌ترین روش‌های انتشار باج افزار است. مراقب ایمیل‌های ناخواسته باشید. به ویژه ایمیل‌های که ضمیمه آن‌ها فایل های مایکروسافتی هستند. مطمئن شوید که ایمیل‌ها را از منبع مطمئن دریافت کرده‌اید و برای باز کردن فایل‌های ضمیمه، ماکرو را فعال نکنید.
 
به گفته وی پشتیبان گیری از داده‌های حساس ساده‌ترین راه برای مبازره با این باج‌افزار است.


براساس گزارش پلیس فتا، این باج افزار از آسیب پذیری ویندوزی استفاده کرده واقدام به آلوده کردن سیستم‌ها نموده است. سیستم آلوده نیز سیستم‌های متصل به شبکه را آلوده کرده و این فرآیند ادامه می‌یابد. در صورت به روز رسانی سیستم عامل و دیفندر آن، از ابتلای سیستم جلوگیری به عمل می‌آید.

روش دیگر برای جلوگیری از این باج افزار بستن Port 445 می باشد که در ادامه راه های بستن این پورت آموزش داده شده است.

اموزش راه اول بستن پورت 445 در ویندوز 7.

ابتدا وارد "Control Panel" شوید و بعد "Windows Firewall" را باز کنید.در منوی ویندوز فایروال بر روی"Advanced Setting"کلیک کرده و"Inbound Rules" روش کیک کنید در سمت راست"New Rule"رو بزنید...و  بعد که باز شد تیک "Port"رو بزنید و بعد "Next" و مانند تصاویر زیر قدم به قدم عمل کنید.

روش دوم بستن پرت 445:

بر روی "My Cuomputer" راست کلیک کرده و وارد "Manage"شوید در"Computer Managment" در سمت راست "Menu" بر روی "Service And Applications" کلیک کرده و وارد شوید.  در همون "Menu" شما بر روی "Services" کلیک کرده و وارد شوید,در "Services" " شما باید "Server" رو پیدا کنید و بعد دوبار کلیک کره بر روش و وارد "(Server Properties(Local Computer شوید و بعد در قسمت "General" در اون پایین "Startup typ" این گزینه "Automatic Delayed Start" رو "Disable" کنید و "Ok" بزنید و بعد کامپیوتر خود را "Restart" کنید,بعد از انجام این کارها و ریستارت کردن سیستم,در CMD  تایپ کنید<"Netstat -an و میبینید که اثری از پورت "445" نیست<>

در زیر به صورت کلی و تخصصی آموزش جلوگیری از این باج افزار آموزش داده شده است:

اقدامات عملي جهت پیشگیری و مقابله با باج افزار wanacrypt:


1-  نصب وصله  MS17-010:
آسیب پذیری  MS17-010در پیاده سازی سرویس ( SMBپروتکل اشتراک گذاری فایل) در همه نسخه های ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیب پذیری و جلوگیری از سوءاستفاده از آن لازم است آخرین بروزرسانیهای سیستم عامل ویندوز اعمال گردد. برای این منظور لازم است با استفاده از ابزار بروزرسانی
ویندوز ( )windows updateآخرین بروزرسانیهای سیستم عامل دریافت شده و نصب گردد.
در خصوص سیستمهای عامل ویندوز  xpو  200۳که مدتی است مورد پشتیبانی شرکت مایکروسافت قرار ندارند، خوشبختانه با توجه به اهمیت موضوع، شرکت مایکروسافت وصلههای اختصاصی خود را در لینک زیر در دسترس قرار داده است:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد لازم است دسترسی به سرویس  SMBمسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود

2-  غیر فعالسازی سرویس  SMBدر ویندوز  ،۷ویستا و ویندوز سرورهای  2008و 2008 R2با استفاده از محیط :powershell
• برای غیرفعال کردن  SMBV1روی سرور SMB :
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 0 -Force
• برای غیرفعال کردن  SMBV2و  SMBV3روی سرور :SMB
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -
Type DWORD -Value 0 -Force
• برای فعال کردن  SMBV1روی سرور :SMB
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 1 -Force
• برای فعال کردن  SMBV2و  SMBV3روی سرور :SMB
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -
Type DWORD -Value 1 -Force
توجه کنید که برای اینکه تنظیمات بالا اعمال شود باید کامپیوتر خود را ریستارت کنید.


3- غیر فعالسازی سرویس  SMBدر ویندوز  ۸و ویندوز سرور  2012به بعد با استفاده از محیط :powershell
• برای مشاهده وضعیت پروتکل سرور SMB:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
• برای غیرفعال کردن  SMBV1روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB1Protocol $false
• برای غیرفعال کردن  SMBV2و  SMBV3روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB2Protocol $false
• برای فعال کردن  SMBV1روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB1Protocol $true
• برای فعال کردن  SMBV2و  SMBV3روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB2Protocol $true

4- مسدودسازی دسترسی به سرویس  SMBبدون توقف سرویس
به عنوان راهکار جایگزین، می توان نسبت به بستن پورت های  445 و 139 مربوط به پروتکل SMB روی فایروال ویندوز اقدام نمود. آموزش بستن پورت 445 در بالا بیان شده است.

تعداد قربانیان ویروس باج افزار در ایران

همه چیز در مورد ویروس باج گیر راه های بازیابی فایل های آلوده به ویروس باجگیر 

تگ ها:
مطالب مرتبط
قیمت و مشخصات فنی سوبارو BRZ مدل ۲۰۱۹، اعلام شد
قیمت و مشخصات فنی سوبارو BRZ مدل ۲۰۱۹، اعلام شد
آیا می‌توان با پول مردم ایران، صاحب خودروسازان خارجی شد؟
آیا می‌توان با پول مردم ایران، صاحب خودروسازان خارجی شد؟
موتور جستجوی گوگل چین، شماره تلفن کاربر را ضمیمه نتایج جستجو می‌کند
موتور جستجوی گوگل چین، شماره تلفن کاربر را ضمیمه نتایج جستجو می‌کند
تبلیغات
loading...
نظرات