WannaCry یک برنامه ویژه است که تمام داده‌های موجود در سیستم را مسدود می‌کند و کاربر را تنها با دو فایل می‌گذارد: دستورالعمل‌هایی در مورد کارهای بعدی و خود برنامه Wanna Decryptor - ابزاری برای باز کردن قفل داده‌ها.

اکثر شرکت های امنیت کامپیوتری ابزارهای رمزگشایی باج دارند که می توانند نرم افزار را دور بزنند. برای انسان های معمولی، روش "درمان" هنوز ناشناخته است.

رمزگشای WannaCry (یا WinCry، WannaCry، .wcry، WCrypt، WNCRY، WanaCrypt0r 2.0)،در حال حاضر "ویروس 2017" نامیده می شود. و اصلا بی دلیل نیست. این باج افزار تنها در 24 ساعت اول از زمان انتشار، بیش از 45000 رایانه را آلوده کرد. برخی از محققان بر این باورند که در حال حاضر (15 می) بیش از یک میلیون کامپیوتر و سرور در حال حاضر آلوده شده اند. یادآوری می کنیم که شیوع این ویروس از 12 می آغاز شد. اولین افرادی که تحت تأثیر قرار گرفتند، کاربران روسیه، اوکراین، هند و تایوان بودند. در حال حاضر این ویروس با سرعت بالایی در اروپا، آمریکا و چین در حال گسترش است.

اطلاعات روی رایانه ها و سرورهای سازمان های دولتی (به ویژه وزارت امور داخلی روسیه)، بیمارستان ها، شرکت های فراملیتی، دانشگاه ها و مدارس رمزگذاری شده بود.

Wana Decryptor (Wanna Cry یا Wana Decrypt0r) کار صدها شرکت و سازمان دولتی را در سراسر جهان فلج کرد.

در اصل، WinCry (WannaCry) یک سوء استفاده از خانواده EternalBlue است که از آسیب‌پذیری نسبتاً قدیمی در سیستم عامل ویندوز (ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8 و ویندوز 10) استفاده می‌کند و بی‌صدا خود را در سیستم بارگذاری می‌کند. سپس با استفاده از الگوریتم‌های مقاوم در برابر رمزگشایی، داده‌های کاربر (اسناد، عکس‌ها، ویدئوها، صفحات گسترده، پایگاه‌های داده) را رمزگذاری می‌کند و برای رمزگشایی داده‌ها باج می‌خواهد. این طرح جدید نیست، ما دائماً در مورد انواع جدیدی از رمزگذارهای فایل می نویسیم - اما روش توزیع جدید است. و این منجر به یک اپیدمی شد.

ویروس چگونه کار می کند

این بدافزار اینترنت را برای یافتن میزبان هایی که به دنبال رایانه هایی با پورت TCP باز 445 هستند، اسکن می کند، که مسئول سرویس پروتکل SMBv1 است. با شناسایی چنین کامپیوتری، این برنامه چندین بار تلاش می کند تا از آسیب پذیری EternalBlue روی آن سوء استفاده کند و در صورت موفقیت آمیز بودن، درب پشتی DoublePulsar را نصب می کند که از طریق آن کد اجرایی برنامه WannaCry دانلود و راه اندازی می شود. با هر تلاش برای بهره برداری، بدافزار وجود DoublePulsar را در رایانه مورد نظر بررسی می کند و در صورت شناسایی، مستقیماً از طریق این درب پشتی دانلود می کند.

به هر حال، این مسیرها توسط برنامه های آنتی ویروس مدرن ردیابی نمی شوند و همین باعث شده است که عفونت بسیار گسترده شود. و این سنگفرش بزرگی در باغ توسعه دهندگان نرم افزار ضد ویروس است. چگونه می توان اجازه داد که این اتفاق بیفتد؟ برای چی پول میگیری؟

پس از راه اندازی، بدافزار مانند یک باج افزار کلاسیک عمل می کند: یک جفت کلید نامتقارن RSA-2048 منحصر به فرد برای هر رایانه آلوده تولید می کند. سپس، WannaCry شروع به اسکن سیستم به دنبال انواع خاصی از فایل‌های کاربر می‌کند، و آن‌هایی را که برای عملکرد بیشتر آن حیاتی هستند، دست نخورده باقی می‌گذارد. هر فایل انتخاب شده با استفاده از الگوریتم AES-128-CBC با یک کلید منحصر به فرد (تصادفی) برای هر یک از آنها رمزگذاری می شود که به نوبه خود با کلید عمومی RSA سیستم آلوده رمزگذاری شده و در سربرگ فایل رمزگذاری شده ذخیره می شود. در این حالت، پسوند به هر فایل رمزگذاری شده اضافه می شود .ون گریه کن. جفت کلید RSA سیستم آلوده با کلید عمومی مهاجمان رمزگذاری شده و به سرورهای کنترلی آنها که در شبکه Tor قرار دارد ارسال می شود و پس از آن همه کلیدها از حافظه دستگاه آلوده حذف می شوند. پس از تکمیل فرآیند رمزگذاری، برنامه پنجره ای را نمایش می دهد که از شما می خواهد مقدار مشخصی بیت کوین (معادل 300 دلار) را در مدت سه روز به کیف پول مشخص شده منتقل کنید. در صورت عدم دریافت باج به موقع، مبلغ آن به طور خودکار دو برابر می شود. در روز هفتم، اگر WannaCry از سیستم آلوده حذف نشود، فایل های رمزگذاری شده از بین می روند. پیام به زبان مربوط به زبان نصب شده بر روی رایانه نمایش داده می شود. در مجموع، این برنامه از 28 زبان پشتیبانی می کند. به موازات رمزگذاری، برنامه آدرس های اینترنتی دلخواه و شبکه محلی را برای آلودگی بعدی رایانه های جدید اسکن می کند.

طبق تحقیقات Symantec، الگوریتم مهاجمان برای ردیابی پرداخت های فردی به هر قربانی و ارسال کلید رمزگشایی برای آنها با خطای شرط مسابقه پیاده سازی شده است. این امر پرداخت باج را بی‌معنا می‌سازد، زیرا در هر صورت کلیدهای جداگانه ارسال نمی‌شوند و فایل‌ها رمزگذاری شده باقی می‌مانند. با این حال، یک روش قابل اعتماد برای رمزگشایی فایل های کاربر کوچکتر از 200 مگابایت وجود دارد، و همچنین احتمال بازیابی فایل های بزرگتر وجود دارد. علاوه بر این، در سیستم‌های قدیمی ویندوز XP و Windows Server 2003، به دلیل ویژگی‌های اجرای سیستم از الگوریتم محاسبه اعداد شبه تصادفی، حتی می‌توان کلیدهای خصوصی RSA را بازیابی کرد و تمام فایل‌های آسیب‌دیده را رمزگشایی کرد، اگر رایانه آن را نداشته باشد. از لحظه عفونت راه اندازی مجدد شده است. بعداً، گروهی از کارشناسان امنیت سایبری فرانسوی از Comae Technologies این ویژگی را به ویندوز 7 گسترش دادند و با انتشار این ابزار در حوزه عمومی، آن را به اجرا درآوردند. WanaKiwi، که به شما امکان می دهد فایل ها را بدون باج رمزگشایی کنید.

کد نسخه های اولیه این برنامه شامل یک مکانیسم خود تخریبی بود، به اصطلاح Kill Switch - این برنامه در دسترس بودن دو دامنه اینترنتی خاص را بررسی می کرد و در صورت وجود، به طور کامل از رایانه حذف می شد. این اولین بار توسط مارکوس هاچینز در 12 می 2017 کشف شد. (انگلیسی)روسی ، یک تحلیلگر ویروس 22 ساله برای شرکت انگلیسی Kryptos Logic که در توییتر با نام مستعار @MalwareTechBlog می نویسد و یکی از دامنه ها را به نام خود ثبت کرده است. بنابراین، او توانست به طور موقت تا حدی از گسترش این اصلاح برنامه مخرب جلوگیری کند. در 14 اردیبهشت دومین دامنه ثبت شد. در نسخه‌های بعدی این ویروس، این مکانیسم خود غیرفعال حذف شد، اما این کار نه در کد برنامه منبع، بلکه با ویرایش فایل اجرایی انجام شد، که نشان می‌دهد منشاء این اصلاح از نویسندگان WannaCry اصلی نبوده است. ، اما از مهاجمان شخص ثالث. در نتیجه، مکانیسم رمزگذاری آسیب دید و این نسخه از کرم تنها با یافتن رایانه‌های آسیب‌پذیر می‌تواند خود را گسترش دهد، اما قادر به ایجاد آسیب مستقیم به آنها نیست.

نرخ بالای گسترش WannaCry، منحصر به باج افزار، با بهره برداری از یک آسیب پذیری در پروتکل شبکه SMB سیستم عامل مایکروسافت ویندوز منتشر شده در فوریه 2017، که در بولتن MS17-010 شرح داده شده است، تضمین می شود. اگر در طرح کلاسیک باج افزار به لطف اقدامات خود کاربر از طریق ایمیل یا پیوند وب وارد رایانه شد، در مورد WannaCry مشارکت کاربر کاملاً منتفی است. فاصله زمانی بین تشخیص یک کامپیوتر آسیب پذیر تا آلودگی کامل آن حدود 3 دقیقه است.

شرکت توسعه‌دهنده وجود یک آسیب‌پذیری را در تمام محصولات کاربر و سرور که دارای پروتکل SMBv1 هستند تأیید کرده است - از Windows XP/Windows Server 2003 تا پایان به Windows 10/Windows Server 2016. در 14 مارس 2017، مایکروسافت مجموعه‌ای از به‌روزرسانی‌ها را منتشر کرد که برای خنثی کردن این آسیب‌پذیری در همه سیستم‌عامل‌های پشتیبانی‌شده طراحی شده‌اند. به دنبال گسترش WannaCry، این شرکت گام بی‌سابقه‌ای را برداشت که همچنین به‌روزرسانی‌هایی را برای محصولات پایان پشتیبانی (ویندوز XP، ویندوز سرور 2003 و ویندوز 8) در 13 می منتشر کرد.

انتشار ویروس WannaCry

این ویروس می تواند به روش های مختلفی پخش شود:

• از طریق یک شبکه کامپیوتری واحد؛
• از طریق پست؛
• از طریق مرورگر

من شخصاً نمی دانم که چرا اتصال شبکه توسط آنتی ویروس اسکن نمی شود. همان روش آلوده شدن از طریق بازدید از یک وب سایت یا مرورگر، درماندگی توسعه دهندگان را ثابت می کند و اینکه وجوه درخواستی برای نرم افزار دارای مجوز برای محافظت از رایانه شخصی به هیچ وجه توجیه نمی شود.

علائم عفونت و درمان ویروس

پس از نصب موفقیت آمیز بر روی رایانه شخصی کاربر، WannaCry سعی می کند مانند یک کرم در سراسر شبکه محلی به رایانه های شخصی دیگر گسترش یابد. فایل های رمزگذاری شده پسوند سیستم .WCRY را دریافت می کنند و کاملاً غیرقابل خواندن می شوند و امکان رمزگشایی خودتان وجود ندارد. پس از رمزگذاری کامل، Wcry تصویر زمینه دسکتاپ را تغییر می‌دهد و «دستورالعمل‌هایی» برای رمزگشایی فایل‌ها در پوشه‌هایی با داده‌های رمزگذاری شده باقی می‌گذارد.

در ابتدا، هکرها 300 دلار برای کلیدهای رمزگشایی اخاذی کردند، اما سپس این رقم را به 600 دلار رساندند.

چگونه از آلوده شدن رایانه شخصی خود به باج افزار WannaCry Decryptor جلوگیری کنیم؟

به روز رسانی سیستم عامل را از وب سایت مایکروسافت دانلود کنید.

چه باید کردآیا کامپیوتر شما آلوده شده است؟

از دستورالعمل های زیر برای بازیابی حداقل برخی از اطلاعات رایانه شخصی آلوده استفاده کنید. آنتی ویروس خود را به روز کنید و پچ سیستم عامل را نصب کنید. رمزگشای این ویروس هنوز در طبیعت وجود ندارد. ما اکیداً پرداخت باج به مهاجمان را توصیه نمی کنیم - هیچ تضمینی، حتی کوچکترین، وجود ندارد که آنها پس از دریافت باج، داده های شما را رمزگشایی کنند.

باج افزار WannaCry را با استفاده از پاک کننده خودکار حذف کنید

یک روش بسیار موثر برای کار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی و حذف کامل آنها را با یک کلیک تضمین می کند. لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف یک عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.

1. برنامه حذف ویروس WannaCry را دانلود کنید. پس از راه اندازی نرم افزار، روی دکمه کلیک کنید شروع به اسکن کامپیوتر(شروع به اسکن کنید). برنامه حذف باج افزار را دانلود کنید می خواهی گریه کنی .
2. نرم افزار نصب شده گزارشی از تهدیدات شناسایی شده در حین اسکن ارائه می دهد. برای حذف تمام تهدیدات شناسایی شده، گزینه را انتخاب کنید رفع تهدیدها(از بین بردن تهدیدات). بدافزار مورد نظر به طور کامل حذف خواهد شد.

بازیابی دسترسی به فایل های رمزگذاری شده

همانطور که اشاره شد، باج‌افزار no_more_ransom فایل‌ها را با استفاده از یک الگوریتم رمزگذاری قوی قفل می‌کند، به طوری که داده‌های رمزگذاری‌شده را نمی‌توان با موجی از عصای جادویی بازیابی کرد. اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کند. در زیر می توانید با آنها آشنا شوید.

برنامه بازیابی خودکار فایل (رمزگشا)

یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین، فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این امکان را برای نرم افزارهایی مانند نرم افزار بازیابی اطلاعاتبازیابی اشیاء پاک شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. به شدت توصیه می شود به روش بازیابی فایل متوسل شوید؛ اثربخشی آن بدون شک است.

کپی سایه از مجلدات

این رویکرد مبتنی بر فرآیند پشتیبان‌گیری از فایل ویندوز است که در هر نقطه بازیابی تکرار می‌شود. یک شرط مهم برای کارکرد این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود.

پشتیبان گیری

این بهترین روش در بین تمام روش‌های بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است.

اجزای احتمالی باقیمانده باج‌افزار WannaCry را بررسی کنید

تمیز کردن دستی باعث از دست رفتن تکه‌های باج‌افزاری می‌شود که می‌توانند به‌عنوان اشیاء مخفی سیستم‌عامل یا آیتم‌های رجیستری حذف شوند. برای از بین بردن خطر حفظ جزئی عناصر مخرب فردی، رایانه خود را با استفاده از یک بسته نرم افزار امنیتی قابل اعتماد که در نرم افزارهای مخرب تخصص دارد اسکن کنید.

رمزگشایی

اما هیچ اطلاعاتی از کسانی که برای رمزگشایی پول پرداخت کرده اند وجود ندارد، همانطور که هیچ اطلاعاتی در مورد قصد هکرها برای آرام کردن روح مردم و رمزگشایی اطلاعات پس از پرداخت وجود ندارد ((((

اما در هاب اطلاعاتی در مورد اصل عملکرد دکمه Decrypt وجود دارد و همچنین این واقعیت که مهاجمان راهی برای شناسایی کاربرانی که بیت کوین ارسال کرده اند ندارند ، به این معنی که هیچ کس چیزی را برای قربانیان بازیابی نمی کند:

رمزگذار دو نوع فایل ایجاد می‌کند: اول، بخشی از آن با استفاده از AES 128 بیتی رمزگذاری می‌شود و کلید رمزگشایی ایجاد شده مستقیماً به فایل رمزگذاری شده اضافه می‌شود. فایل های رمزگذاری شده به این روش پسوند داده می شود .wncyrو اینها هستند که با کلیک بر روی Decrypt رمزگشایی می شوند. بخش عمده ای از موارد رمزگذاری شده پسوند را دریافت می کند .ون گریه کنو کلید دیگر آنجا نیست.
در این حالت رمزگذاری در خود فایل انجام نمی شود، بلکه ابتدا فایلی روی دیسکی که محتوای رمزگذاری شده در آن قرار می گیرد ایجاد می شود و سپس فایل اصلی حذف می شود. بر این اساس، برای مدتی فرصتی برای بازیابی بخشی از داده ها با استفاده از ابزارهای مختلف حذف شده وجود دارد.
برای مبارزه با چنین ابزارهایی، رمزگذار دائماً انواع زباله ها را روی دیسک می نویسد، به طوری که فضای دیسک به سرعت مصرف می شود.
اما اینکه چرا هنوز هیچ اطلاعاتی در مورد پرداخت و مکانیسم های تأیید آن وجود ندارد واقعاً تعجب آور است. شاید مبلغ نسبتا مناسب (300 دلار) که برای چنین چکی لازم است تأثیرگذار باشد.»

سازندگان ویروس WannaCry حفاظت موقت را در قالب یک دامنه بی معنی دور زدند

سازندگان ویروس باج‌افزار WannaCry که رایانه‌های بیش از ۷۰ کشور را تحت تأثیر قرار داده است، نسخه جدیدی از آن را منتشر کرده‌اند. Motherboard می نویسد که فاقد کد برای دسترسی به یک دامنه بی معنی است که برای جلوگیری از انتشار ویروس اصلی استفاده می شود. این نشریه تأیید ظهور نسخه جدیدی از ویروس را از دو متخصص دریافت کرد که موارد جدید عفونت رایانه را مطالعه کردند. یکی از آنها کوستین رایو، رئیس تیم تحقیقاتی بین المللی در آزمایشگاه کسپرسکی است.

کارشناسان مشخص نکردند که آیا تغییرات دیگری در WannaCry ظاهر شده است یا خیر.

در 13 می، انتشار ویروس توسط متخصص Proofpoint، دارین هاس و نویسنده وبلاگ MalwareTech متوقف شد - آنها متوجه شدند که ویروس به یک نام دامنه بی معنی دسترسی دارد و این آدرس را ثبت کردند. پس از آن، آنها متوجه شدند که گسترش WannaCry متوقف شده است - با این حال، کارشناسان خاطرنشان کردند که سازندگان این ویروس به احتمال زیاد به زودی نسخه به روز شده این برنامه را منتشر خواهند کرد.