بخش های سایت
انتخاب سردبیر:
- بایوس هنگام روشن کردن کامپیوتر بوق میزند
- چگونه یک صفحه را در یک مخاطب حذف کنیم؟
- چگونه یک صفحه حذف شده VKontakte را حذف کنیم؟
- ENIAC - اولین کامپیوتر در جهان
- VKontakte در محل کار مسدود شد، چگونه می توانم آن را دور بزنم؟
- چگونه یک صفحه VKontakte را از تلفن خود حذف کنید
- روش های فرمت هارد دیسک با استفاده از بایوس
- در صورت مسدود شدن سایت چگونه به Odnoklassniki وارد شویم؟
- چگونه یک صفحه در تماس را برای همیشه حذف کنیم؟
- نحوه دور زدن مسدود کردن VK و Odnoklassniki در اوکراین
تبلیغات
ویروس WannaCry |
WannaCry یک برنامه ویژه است که تمام دادههای موجود در سیستم را مسدود میکند و کاربر را تنها با دو فایل میگذارد: دستورالعملهایی در مورد کارهای بعدی و خود برنامه Wanna Decryptor - ابزاری برای باز کردن قفل دادهها. اکثر شرکت های امنیت کامپیوتری ابزارهای رمزگشایی باج دارند که می توانند نرم افزار را دور بزنند. برای انسان های معمولی، روش "درمان" هنوز ناشناخته است. رمزگشای WannaCry (یا WinCry، WannaCry، .wcry، WCrypt، WNCRY، WanaCrypt0r 2.0)،در حال حاضر "ویروس 2017" نامیده می شود. و اصلا بی دلیل نیست. این باج افزار تنها در 24 ساعت اول از زمان انتشار، بیش از 45000 رایانه را آلوده کرد. برخی از محققان بر این باورند که در حال حاضر (15 می) بیش از یک میلیون کامپیوتر و سرور در حال حاضر آلوده شده اند. یادآوری می کنیم که شیوع این ویروس از 12 می آغاز شد. اولین افرادی که تحت تأثیر قرار گرفتند، کاربران روسیه، اوکراین، هند و تایوان بودند. در حال حاضر این ویروس با سرعت بالایی در اروپا، آمریکا و چین در حال گسترش است. اطلاعات روی رایانه ها و سرورهای سازمان های دولتی (به ویژه وزارت امور داخلی روسیه)، بیمارستان ها، شرکت های فراملیتی، دانشگاه ها و مدارس رمزگذاری شده بود. Wana Decryptor (Wanna Cry یا Wana Decrypt0r) کار صدها شرکت و سازمان دولتی را در سراسر جهان فلج کرد. در اصل، WinCry (WannaCry) یک سوء استفاده از خانواده EternalBlue است که از آسیبپذیری نسبتاً قدیمی در سیستم عامل ویندوز (ویندوز XP، ویندوز ویستا، ویندوز 7، ویندوز 8 و ویندوز 10) استفاده میکند و بیصدا خود را در سیستم بارگذاری میکند. سپس با استفاده از الگوریتمهای مقاوم در برابر رمزگشایی، دادههای کاربر (اسناد، عکسها، ویدئوها، صفحات گسترده، پایگاههای داده) را رمزگذاری میکند و برای رمزگشایی دادهها باج میخواهد. این طرح جدید نیست، ما دائماً در مورد انواع جدیدی از رمزگذارهای فایل می نویسیم - اما روش توزیع جدید است. و این منجر به یک اپیدمی شد. ویروس چگونه کار می کنداین بدافزار اینترنت را برای یافتن میزبان هایی که به دنبال رایانه هایی با پورت TCP باز 445 هستند، اسکن می کند، که مسئول سرویس پروتکل SMBv1 است. با شناسایی چنین کامپیوتری، این برنامه چندین بار تلاش می کند تا از آسیب پذیری EternalBlue روی آن سوء استفاده کند و در صورت موفقیت آمیز بودن، درب پشتی DoublePulsar را نصب می کند که از طریق آن کد اجرایی برنامه WannaCry دانلود و راه اندازی می شود. با هر تلاش برای بهره برداری، بدافزار وجود DoublePulsar را در رایانه مورد نظر بررسی می کند و در صورت شناسایی، مستقیماً از طریق این درب پشتی دانلود می کند.
پس از راه اندازی، بدافزار مانند یک باج افزار کلاسیک عمل می کند: یک جفت کلید نامتقارن RSA-2048 منحصر به فرد برای هر رایانه آلوده تولید می کند. سپس، WannaCry شروع به اسکن سیستم به دنبال انواع خاصی از فایلهای کاربر میکند، و آنهایی را که برای عملکرد بیشتر آن حیاتی هستند، دست نخورده باقی میگذارد. هر فایل انتخاب شده با استفاده از الگوریتم AES-128-CBC با یک کلید منحصر به فرد (تصادفی) برای هر یک از آنها رمزگذاری می شود که به نوبه خود با کلید عمومی RSA سیستم آلوده رمزگذاری شده و در سربرگ فایل رمزگذاری شده ذخیره می شود. در این حالت، پسوند به هر فایل رمزگذاری شده اضافه می شود .ون گریه کن. جفت کلید RSA سیستم آلوده با کلید عمومی مهاجمان رمزگذاری شده و به سرورهای کنترلی آنها که در شبکه Tor قرار دارد ارسال می شود و پس از آن همه کلیدها از حافظه دستگاه آلوده حذف می شوند. پس از تکمیل فرآیند رمزگذاری، برنامه پنجره ای را نمایش می دهد که از شما می خواهد مقدار مشخصی بیت کوین (معادل 300 دلار) را در مدت سه روز به کیف پول مشخص شده منتقل کنید. در صورت عدم دریافت باج به موقع، مبلغ آن به طور خودکار دو برابر می شود. در روز هفتم، اگر WannaCry از سیستم آلوده حذف نشود، فایل های رمزگذاری شده از بین می روند. پیام به زبان مربوط به زبان نصب شده بر روی رایانه نمایش داده می شود. در مجموع، این برنامه از 28 زبان پشتیبانی می کند. به موازات رمزگذاری، برنامه آدرس های اینترنتی دلخواه و شبکه محلی را برای آلودگی بعدی رایانه های جدید اسکن می کند. طبق تحقیقات Symantec، الگوریتم مهاجمان برای ردیابی پرداخت های فردی به هر قربانی و ارسال کلید رمزگشایی برای آنها با خطای شرط مسابقه پیاده سازی شده است. این امر پرداخت باج را بیمعنا میسازد، زیرا در هر صورت کلیدهای جداگانه ارسال نمیشوند و فایلها رمزگذاری شده باقی میمانند. با این حال، یک روش قابل اعتماد برای رمزگشایی فایل های کاربر کوچکتر از 200 مگابایت وجود دارد، و همچنین احتمال بازیابی فایل های بزرگتر وجود دارد. علاوه بر این، در سیستمهای قدیمی ویندوز XP و Windows Server 2003، به دلیل ویژگیهای اجرای سیستم از الگوریتم محاسبه اعداد شبه تصادفی، حتی میتوان کلیدهای خصوصی RSA را بازیابی کرد و تمام فایلهای آسیبدیده را رمزگشایی کرد، اگر رایانه آن را نداشته باشد. از لحظه عفونت راه اندازی مجدد شده است. بعداً، گروهی از کارشناسان امنیت سایبری فرانسوی از Comae Technologies این ویژگی را به ویندوز 7 گسترش دادند و با انتشار این ابزار در حوزه عمومی، آن را به اجرا درآوردند. WanaKiwi، که به شما امکان می دهد فایل ها را بدون باج رمزگشایی کنید. کد نسخه های اولیه این برنامه شامل یک مکانیسم خود تخریبی بود، به اصطلاح Kill Switch - این برنامه در دسترس بودن دو دامنه اینترنتی خاص را بررسی می کرد و در صورت وجود، به طور کامل از رایانه حذف می شد. این اولین بار توسط مارکوس هاچینز در 12 می 2017 کشف شد. (انگلیسی)روسی ، یک تحلیلگر ویروس 22 ساله برای شرکت انگلیسی Kryptos Logic که در توییتر با نام مستعار @MalwareTechBlog می نویسد و یکی از دامنه ها را به نام خود ثبت کرده است. بنابراین، او توانست به طور موقت تا حدی از گسترش این اصلاح برنامه مخرب جلوگیری کند. در 14 اردیبهشت دومین دامنه ثبت شد. در نسخههای بعدی این ویروس، این مکانیسم خود غیرفعال حذف شد، اما این کار نه در کد برنامه منبع، بلکه با ویرایش فایل اجرایی انجام شد، که نشان میدهد منشاء این اصلاح از نویسندگان WannaCry اصلی نبوده است. ، اما از مهاجمان شخص ثالث. در نتیجه، مکانیسم رمزگذاری آسیب دید و این نسخه از کرم تنها با یافتن رایانههای آسیبپذیر میتواند خود را گسترش دهد، اما قادر به ایجاد آسیب مستقیم به آنها نیست. نرخ بالای گسترش WannaCry، منحصر به باج افزار، با بهره برداری از یک آسیب پذیری در پروتکل شبکه SMB سیستم عامل مایکروسافت ویندوز منتشر شده در فوریه 2017، که در بولتن MS17-010 شرح داده شده است، تضمین می شود. اگر در طرح کلاسیک باج افزار به لطف اقدامات خود کاربر از طریق ایمیل یا پیوند وب وارد رایانه شد، در مورد WannaCry مشارکت کاربر کاملاً منتفی است. فاصله زمانی بین تشخیص یک کامپیوتر آسیب پذیر تا آلودگی کامل آن حدود 3 دقیقه است. شرکت توسعهدهنده وجود یک آسیبپذیری را در تمام محصولات کاربر و سرور که دارای پروتکل SMBv1 هستند تأیید کرده است - از Windows XP/Windows Server 2003 تا پایان به Windows 10/Windows Server 2016. در 14 مارس 2017، مایکروسافت مجموعهای از بهروزرسانیها را منتشر کرد که برای خنثی کردن این آسیبپذیری در همه سیستمعاملهای پشتیبانیشده طراحی شدهاند. به دنبال گسترش WannaCry، این شرکت گام بیسابقهای را برداشت که همچنین بهروزرسانیهایی را برای محصولات پایان پشتیبانی (ویندوز XP، ویندوز سرور 2003 و ویندوز 8) در 13 می منتشر کرد. انتشار ویروس WannaCryاین ویروس می تواند به روش های مختلفی پخش شود:
من شخصاً نمی دانم که چرا اتصال شبکه توسط آنتی ویروس اسکن نمی شود. همان روش آلوده شدن از طریق بازدید از یک وب سایت یا مرورگر، درماندگی توسعه دهندگان را ثابت می کند و اینکه وجوه درخواستی برای نرم افزار دارای مجوز برای محافظت از رایانه شخصی به هیچ وجه توجیه نمی شود. علائم عفونت و درمان ویروسپس از نصب موفقیت آمیز بر روی رایانه شخصی کاربر، WannaCry سعی می کند مانند یک کرم در سراسر شبکه محلی به رایانه های شخصی دیگر گسترش یابد. فایل های رمزگذاری شده پسوند سیستم .WCRY را دریافت می کنند و کاملاً غیرقابل خواندن می شوند و امکان رمزگشایی خودتان وجود ندارد. پس از رمزگذاری کامل، Wcry تصویر زمینه دسکتاپ را تغییر میدهد و «دستورالعملهایی» برای رمزگشایی فایلها در پوشههایی با دادههای رمزگذاری شده باقی میگذارد. در ابتدا، هکرها 300 دلار برای کلیدهای رمزگشایی اخاذی کردند، اما سپس این رقم را به 600 دلار رساندند. چگونه از آلوده شدن رایانه شخصی خود به باج افزار WannaCry Decryptor جلوگیری کنیم؟به روز رسانی سیستم عامل را از وب سایت مایکروسافت دانلود کنید. چه باید کردآیا کامپیوتر شما آلوده شده است؟از دستورالعمل های زیر برای بازیابی حداقل برخی از اطلاعات رایانه شخصی آلوده استفاده کنید. آنتی ویروس خود را به روز کنید و پچ سیستم عامل را نصب کنید. رمزگشای این ویروس هنوز در طبیعت وجود ندارد. ما اکیداً پرداخت باج به مهاجمان را توصیه نمی کنیم - هیچ تضمینی، حتی کوچکترین، وجود ندارد که آنها پس از دریافت باج، داده های شما را رمزگشایی کنند. باج افزار WannaCry را با استفاده از پاک کننده خودکار حذف کنیدیک روش بسیار موثر برای کار با بدافزار به طور کلی و باج افزار به طور خاص. استفاده از یک مجموعه محافظ اثبات شده، تشخیص کامل هر گونه اجزای ویروسی و حذف کامل آنها را با یک کلیک تضمین می کند. لطفاً توجه داشته باشید که ما در مورد دو فرآیند مختلف صحبت می کنیم: حذف یک عفونت و بازیابی فایل ها در رایانه شخصی. با این حال، مطمئناً باید این تهدید حذف شود، زیرا اطلاعاتی در مورد معرفی سایر تروجان های رایانه ای وجود دارد که از آن استفاده می کنند.
بازیابی دسترسی به فایل های رمزگذاری شدههمانطور که اشاره شد، باجافزار no_more_ransom فایلها را با استفاده از یک الگوریتم رمزگذاری قوی قفل میکند، به طوری که دادههای رمزگذاریشده را نمیتوان با موجی از عصای جادویی بازیابی کرد. اما برخی از روش ها واقعا می توانند نجات دهنده ای باشند که به شما در بازیابی اطلاعات مهم کمک می کند. در زیر می توانید با آنها آشنا شوید. برنامه بازیابی خودکار فایل (رمزگشا) یک وضعیت بسیار غیر معمول شناخته شده است. این عفونت فایل های اصلی را به صورت رمزگذاری نشده پاک می کند. بنابراین، فرآیند رمزگذاری برای اهداف اخاذی، کپی هایی از آنها را هدف قرار می دهد. این امکان را برای نرم افزارهایی مانند نرم افزار بازیابی اطلاعاتبازیابی اشیاء پاک شده، حتی اگر قابلیت اطمینان حذف آنها تضمین شده باشد. به شدت توصیه می شود به روش بازیابی فایل متوسل شوید؛ اثربخشی آن بدون شک است. کپی سایه از مجلدات این رویکرد مبتنی بر فرآیند پشتیبانگیری از فایل ویندوز است که در هر نقطه بازیابی تکرار میشود. یک شرط مهم برای کارکرد این روش: عملکرد "بازیابی سیستم" باید قبل از عفونت فعال شود. با این حال، هر گونه تغییر در فایل پس از نقطه بازیابی، در نسخه بازیابی شده فایل ظاهر نمی شود. پشتیبان گیری این بهترین روش در بین تمام روشهای بدون باج است. اگر قبل از حمله باج افزار به رایانه شما از روش تهیه نسخه پشتیبان از داده ها در یک سرور خارجی استفاده می شد، برای بازیابی فایل های رمزگذاری شده فقط باید رابط مناسب را وارد کنید، فایل های لازم را انتخاب کنید و مکانیسم بازیابی اطلاعات را از پشتیبان اجرا کنید. قبل از انجام عملیات، باید مطمئن شوید که باج افزار به طور کامل حذف شده است. اجزای احتمالی باقیمانده باجافزار WannaCry را بررسی کنیدتمیز کردن دستی باعث از دست رفتن تکههای باجافزاری میشود که میتوانند بهعنوان اشیاء مخفی سیستمعامل یا آیتمهای رجیستری حذف شوند. برای از بین بردن خطر حفظ جزئی عناصر مخرب فردی، رایانه خود را با استفاده از یک بسته نرم افزار امنیتی قابل اعتماد که در نرم افزارهای مخرب تخصص دارد اسکن کنید. رمزگشاییاما هیچ اطلاعاتی از کسانی که برای رمزگشایی پول پرداخت کرده اند وجود ندارد، همانطور که هیچ اطلاعاتی در مورد قصد هکرها برای آرام کردن روح مردم و رمزگشایی اطلاعات پس از پرداخت وجود ندارد (((( اما در هاب اطلاعاتی در مورد اصل عملکرد دکمه Decrypt وجود دارد و همچنین این واقعیت که مهاجمان راهی برای شناسایی کاربرانی که بیت کوین ارسال کرده اند ندارند ، به این معنی که هیچ کس چیزی را برای قربانیان بازیابی نمی کند:
سازندگان ویروس WannaCry حفاظت موقت را در قالب یک دامنه بی معنی دور زدندسازندگان ویروس باجافزار WannaCry که رایانههای بیش از ۷۰ کشور را تحت تأثیر قرار داده است، نسخه جدیدی از آن را منتشر کردهاند. Motherboard می نویسد که فاقد کد برای دسترسی به یک دامنه بی معنی است که برای جلوگیری از انتشار ویروس اصلی استفاده می شود. این نشریه تأیید ظهور نسخه جدیدی از ویروس را از دو متخصص دریافت کرد که موارد جدید عفونت رایانه را مطالعه کردند. یکی از آنها کوستین رایو، رئیس تیم تحقیقاتی بین المللی در آزمایشگاه کسپرسکی است. کارشناسان مشخص نکردند که آیا تغییرات دیگری در WannaCry ظاهر شده است یا خیر. در 13 می، انتشار ویروس توسط متخصص Proofpoint، دارین هاس و نویسنده وبلاگ MalwareTech متوقف شد - آنها متوجه شدند که ویروس به یک نام دامنه بی معنی دسترسی دارد و این آدرس را ثبت کردند. پس از آن، آنها متوجه شدند که گسترش WannaCry متوقف شده است - با این حال، کارشناسان خاطرنشان کردند که سازندگان این ویروس به احتمال زیاد به زودی نسخه به روز شده این برنامه را منتشر خواهند کرد. |
خواندن: |
---|
محبوب:
ایمیل موقت به مدت 10 دقیقه؟ |
جدید
- چگونه یک صفحه را در یک مخاطب حذف کنیم؟
- چگونه یک صفحه حذف شده VKontakte را حذف کنیم؟
- ENIAC - اولین کامپیوتر در جهان
- VKontakte در محل کار مسدود شد، چگونه می توانم آن را دور بزنم؟
- چگونه یک صفحه VKontakte را از تلفن خود حذف کنید
- روش های فرمت هارد دیسک با استفاده از بایوس
- در صورت مسدود شدن سایت چگونه به Odnoklassniki وارد شویم؟
- چگونه یک صفحه در تماس را برای همیشه حذف کنیم؟
- نحوه دور زدن مسدود کردن VK و Odnoklassniki در اوکراین
- فرمت کردن از طریق بایوس