همانطور که رسانه های روسی گزارش داده اند، کار ادارات وزارت امور داخلی در چندین منطقه روسیه به دلیل باج افزاری که بسیاری از رایانه ها را آلوده کرده و همه داده ها را تهدید می کند مختل شده است. علاوه بر این، اپراتور ارتباطات مگافون مورد حمله قرار گرفت.

ما در مورد تروجان باج افزار WCry (WannaCry یا WannaCryptor) صحبت می کنیم. او اطلاعات را روی رایانه رمزگذاری می کند و برای رمزگشایی 300 یا 600 دلار بیت کوین باج می خواهد.

@[ایمیل محافظت شده]، فایل های رمزگذاری شده، پسوند WNCRY. یک ابزار کاربردی و دستورالعمل های رمزگشایی مورد نیاز است.

WannaCry فایل‌ها و اسناد را با پسوندهای زیر با افزودن .WCRY به انتهای نام فایل رمزگذاری می‌کند:

Lay6، .sqlite3، .sqlitedb، .accdb، .java، .class، .mpeg، .djvu، .tiff، .پشتیبان، .vmdk، .sldm، .sldx، .potm، .potx، .ppam، .pp. ppsm، .pptm، .xltm، .xltx، .xlsb، .xlsm، .dotx، .dotm، .docm، .docb، .jpeg، .onetoc2، .vsdx، .pptx، .xlsx، .docx

حمله WannaCry در سراسر جهان

حملات در بیش از 100 کشور ثبت شده است. روسیه، اوکراین و هند بزرگترین مشکلات را تجربه می کنند. گزارش‌هایی مبنی بر آلودگی به ویروس از بریتانیا، ایالات متحده آمریکا، چین، اسپانیا و ایتالیا می‌آید. خاطرنشان می شود که حمله هکرها بر بیمارستان ها و شرکت های مخابراتی در سراسر جهان تأثیر گذاشته است. یک نقشه تعاملی از گسترش تهدید WannaCrypt در اینترنت موجود است.

عفونت چگونه رخ می دهد؟

همانطور که کاربران می گویند، ویروس بدون هیچ اقدامی از جانب آنها وارد رایانه آنها می شود و به طور غیرقابل کنترلی در سراسر شبکه ها پخش می شود. در انجمن Kaspersky Lab آنها اشاره می کنند که حتی یک آنتی ویروس فعال نیز امنیت را تضمین نمی کند.

گزارش شده است که حمله باج افزار WannaCry (Wana Decryptor) از طریق آسیب پذیری Microsoft Security Bulletin MS17-010 رخ می دهد. سپس یک روت کیت بر روی سیستم آلوده نصب شد که با استفاده از آن مهاجمان یک برنامه رمزگذاری راه اندازی کردند. همه راه حل های Kaspersky Lab این روت کیت را به عنوان MEM:Trojan.Win64.EquationDrug.gen شناسایی می کنند.

عفونت ظاهرا چند روز قبل اتفاق افتاده است، اما ویروس تنها پس از رمزگذاری تمام فایل‌های رایانه خود را نشان می‌دهد.

نحوه حذف WanaDecryptor

شما قادر خواهید بود با استفاده از یک آنتی ویروس تهدید را حذف کنید؛ اکثر برنامه های آنتی ویروس قبلاً تهدید را شناسایی می کنند. تعاریف رایج:

Avast Win32: WanaCry-A، AVG Ransom_r.CFY، آویرا TR/FileCoder.ibtft، بیت دیفندر Trojan.Ransom.WannaCryptor.A، DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D، کسپرسکی Trojan-Ransom.Win32.Wanna.d، Malwarebytes Ransom.WanaCrypt0r، مایکروسافتباج: Win32/WannaCrypt، پاندا Trj/RansomCrypt.F، سیمانتک Trojan.Gen.2، Ransom.Wannacry

اگر قبلاً تهدید را روی رایانه خود راه اندازی کرده اید و فایل های شما رمزگذاری شده اند، رمزگشایی فایل ها تقریباً غیرممکن است، زیرا استفاده از این آسیب پذیری باعث راه اندازی رمزگذار شبکه می شود. با این حال، چندین گزینه برای ابزارهای رمزگشایی در دسترس است:

توجه داشته باشید: اگر فایل های شما رمزگذاری شده بودند و نسخه پشتیبان وجود نداشت و ابزارهای رمزگشایی موجود کمکی نکردند، توصیه می شود قبل از پاک کردن تهدید از رایانه خود، فایل های رمزگذاری شده را ذخیره کنید. اگر ابزار رمزگشایی که برای شما کار می کند در آینده ایجاد شود، مفید خواهند بود.

مایکروسافت: به روز رسانی های ویندوز را نصب کنید

مایکروسافت اعلام کرد که کاربرانی که آنتی ویروس رایگان این شرکت و به‌روزرسانی سیستم ویندوز را فعال کرده باشند، از حملات WannaCryptor محافظت می‌شوند.

به‌روزرسانی‌های تاریخ 14 مارس آسیب‌پذیری سیستمی را که از طریق آن تروجان باج‌افزار توزیع می‌شود، برطرف می‌کند. شناسایی امروز به پایگاه داده آنتی ویروس Microsoft Security Essentials/Windows Defender اضافه شد تا در برابر بدافزار جدیدی به نام Ransom:Win32.WannaCrypt محافظت کند.

• مطمئن شوید که آنتی ویروس شما روشن است و آخرین به روز رسانی ها نصب شده است.
• اگر رایانه شما هیچ گونه حفاظتی ندارد، یک آنتی ویروس رایگان نصب کنید.
• آخرین به روز رسانی های سیستم را با استفاده از Windows Update نصب کنید:
  • برای ویندوز 7، 8.1از منوی Start، Control Panel > Windows Update را باز کنید و روی Search for Updates کلیک کنید.
  • برای ویندوز 10به Settings > Update & Security بروید و روی "Check for updates" کلیک کنید.
• اگر به‌روزرسانی‌ها را به صورت دستی نصب می‌کنید، پچ رسمی مایکروسافت MS17-010 را نصب کنید، که آسیب‌پذیری سرور SMB مورد استفاده در حمله باج‌افزار WanaDecryptor را برطرف می‌کند.
• اگر آنتی ویروس شما دارای حفاظت باج افزار است، آن را روشن کنید. ما همچنین یک بخش جداگانه در وب سایت خود داریم، Ransomware Protection، که در آن می توانید ابزارهای رایگان را دانلود کنید.
• اسکن آنتی ویروس سیستم خود را انجام دهید.

کارشناسان خاطرنشان می کنند که ساده ترین راه برای محافظت از خود در برابر حمله، بستن پورت 445 است.

• sc stop lanmanserver را تایپ کرده و Enter را فشار دهید
• برای ویندوز 10 وارد کنید: sc config lanmanserver start=disabled، برای سایر نسخه های ویندوز: sc config lanmanserver start= disabled و Enter را فشار دهید
• کامپیوتر خود را مجددا راه اندازی کنید
• در خط فرمان، netstat -n -a | را وارد کنید findstr "گوش دادن" | findstr ":445" برای اطمینان از غیرفعال بودن پورت. اگر خطوط خالی وجود داشته باشد، پورت گوش نمی دهد.

در صورت لزوم، پورت را باز کنید:

• Command Prompt (cmd.exe) را به عنوان مدیر اجرا کنید
• برای ویندوز 10 وارد کنید: sc config lanmanserver start=auto، برای سایر نسخه های ویندوز: sc config lanmanserver start= auto و Enter را فشار دهید
• کامپیوتر خود را مجددا راه اندازی کنید

توجه داشته باشید: پورت 445 توسط ویندوز برای اشتراک گذاری فایل استفاده می شود. بستن این پورت مانع از اتصال رایانه شخصی به سایر منابع راه دور نمی شود، اما رایانه های شخصی دیگر نمی توانند به سیستم متصل شوند.