ویروس WannaCry یک برنامه باج افزار است که از سوء استفاده EternalBlue برای آلوده کردن رایانه های دارای سیستم عامل مایکروسافت ویندوز استفاده می کند. این باج افزار با نام های WannaCrypt0r، WannaCryptor، WCry و Wana Decrypt0r نیز شناخته می شود. هنگامی که به رایانه مورد نظر برخورد می کند، به سرعت همه فایل ها را رمزگذاری می کند و آنها را با یکی از پسوندهای زیر برچسب گذاری می کند: .wcry, .wncrytو .ون گریه کن

این ویروس با استفاده از رمزگذاری قوی، داده ها را بی فایده می کند، تصویر زمینه دسکتاپ را تغییر می دهد، یک یادداشت باج ایجاد می کند "Please Read Me!.txt" و سپس پنجره برنامه ای به نام "WannaDecrypt0r" را راه اندازی می کند که گزارش می دهد فایل های روی رایانه رمزگذاری شده اند. این بدافزار از قربانی می خواهد که باج 300 تا 600 دلاری را در بیت کوین بپردازد و قول می دهد که اگر قربانی پول را ظرف 7 روز پرداخت نکند، همه پرونده ها را حذف خواهد کرد.

بدافزار برای جلوگیری از بازیابی اطلاعات رمزگذاری شده، کپی های سایه را حذف می کند. علاوه بر این، باج‌افزار مانند یک کرم عمل می‌کند، زیرا هنگامی که بر روی رایانه مورد نظر قرار می‌گیرد، شروع به جستجوی رایانه‌های دیگر برای آلوده کردن می‌کند.

حتی با وجود اینکه ویروس قول می دهد فایل های شما را پس از پرداخت بازیابی کند، دلیلی برای اعتماد به مجرمان وجود ندارد. تیم سایت حذف باج‌افزار را در حالت امن با استفاده از درایورهای شبکه، با استفاده از برنامه‌های ضد بدافزار مانند .

مجرمان سایبری از این باج افزار در یک حمله سایبری گسترده که در روز جمعه 12 می 2017 راه اندازی شد، استفاده کردند. بر اساس گزارش های اخیر، این حمله مخرب با موفقیت بیش از 230000 رایانه را در بیش از 150 کشور تحت تأثیر قرار داده است.

تأثیر یک حمله سایبری وخیم است زیرا این ویروس سازمان‌هایی را از بخش‌های مختلف هدف قرار می‌دهد، به نظر می‌رسد مراقبت‌های بهداشتی بدترین ضربه را وارد کرده است. به دلیل این حمله، خدمات مختلف بیمارستانی به حالت تعلیق درآمد و صدها عمل جراحی لغو شد. بر اساس گزارش ها، اولین شرکت های بزرگی که از این خرید ضربه خوردند، تلفونیکا، گاز طبیعی و ایبردرولا بودند.

برخی از شرکت‌های آسیب‌دیده دارای پشتیبان‌گیری از داده‌ها بودند، در حالی که برخی دیگر با عواقب غم انگیزی مواجه شدند. بدون استثنا، به همه قربانیان توصیه می شود که WannaCry را در اسرع وقت حذف کنند، زیرا ممکن است به جلوگیری از گسترش بیشتر باج افزار کمک کند.

WannaCry با استفاده از اکسپلویت EternalBlue گسترش می یابد

عامل اصلی آلودگی باج‌افزار WannaCry، بهره‌برداری EternalBlue است، که یک نرم‌افزار جاسوسی سایبری است که از آژانس امنیت ملی ایالات متحده (NSA) به سرقت رفته و توسط گروهی از هکرها به نام Shadow Brokers به ​​صورت آنلاین منتشر شده است.

حمله EternalBlue آسیب‌پذیری Windows CVE-2017-0145 در پروتکل Microsoft SMB (Block Message Block) را هدف قرار می‌دهد. طبق بولتن امنیتی مایکروسافت MS17-010 (منتشر شده در 14 مه 2017) این آسیب پذیری اکنون اصلاح شده است. کد اکسپلویت استفاده شده توسط مجریان برای آلوده کردن سیستم های قدیمی ویندوز 7 و ویندوز سرور 2008 در نظر گرفته شده بود، اما کاربران ویندوز 10 طبق گزارش ها ممکن است تحت تأثیر ویروس قرار نگیرند.

بدافزار معمولاً به شکل یک قطره چکان تروجان است که شامل مجموعه ای از سوء استفاده ها و خود باج افزار است. سپس قطره چکان سعی می کند به یکی از سرورهای راه دور متصل شود تا باج افزار را در رایانه دانلود کند. آخرین نسخه WannaCry از طریق girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 در منطقه APAC توزیع شده است. باج‌افزار می‌تواند بر هر کسی که اطلاعاتی در مورد توزیع باج‌افزار ندارد تأثیر بگذارد، بنابراین توصیه می‌کنیم این راهنمای جلوگیری از باج‌افزار WannaCry را که توسط کارشناسان ما تهیه شده است را مطالعه کنید:

1. به روز رسانی امنیتی سیستم MS17-010 را که اخیرا توسط مایکروسافت منتشر شده است، نصب کنید که آسیب پذیری مورد سوء استفاده باج افزار را برطرف می کند. به روز رسانی ها به طور انحصاری برای سیستم عامل های قدیمی تر مانند ویندوز XP یا ویندوز 2003 منتشر شد.
2. منتظر به روز رسانی سایر برنامه های کامپیوتری باشید.
3. یک ابزار آنتی ویروس قابل اعتماد برای محافظت از رایانه خود در برابر تلاش های غیرقانونی برای آلوده کردن سیستم شما به بدافزار نصب کنید.
4. هرگز ایمیل‌هایی را که از طرف افراد غریبه یا شرکت‌هایی که با آن‌ها تجارت ندارید، باز نکنید.
5. SMBv1 را با استفاده از دستورالعمل های ارائه شده توسط مایکروسافت غیرفعال کنید.

محقق اسکرین شات های گرفته شده در حین حمله WannaCry را نشان می دهد. شما می توانید پنجره Wanna Decrypt0r و همچنین تصویر تنظیم شده توسط WannaCry را به عنوان پس زمینه دسکتاپ خود پس از آلوده شدن سیستم و رمزگذاری تمام فایل های روی آن مشاهده کنید.
روش 1. (حالت ایمن)
"حالت ایمن با شبکه" را انتخاب کنید روش 1. (حالت ایمن)
"فعال کردن حالت ایمن با شبکه" را انتخاب کنید

"حالت ایمن با خط فرمان" را انتخاب کنید روش 2. (بازیابی سیستم)
"Enable Safe Mode with Command Prompt" را انتخاب کنید
روش 2. (بازیابی سیستم)
"cd restore" را بدون نقل قول تایپ کنید و "Enter" را فشار دهید.
روش 2. (بازیابی سیستم)
"rstrui.exe" را بدون نقل قول تایپ کنید و "Enter" را فشار دهید.
روش 2. (بازیابی سیستم)
در پنجره "System Restore" که ظاهر می شود، "Next" را انتخاب کنید.
روش 2. (بازیابی سیستم)
نقطه بازیابی خود را انتخاب کنید و روی "بعدی" کلیک کنید
روش 2. (بازیابی سیستم)
روی "بله" کلیک کنید و بازیابی سیستم را شروع کنید ⇦ ⇨

اسلاید 1 از جانب 10

نسخه های WannaCry

این ویروس از رمز رمزنگاری AES-128 برای قفل کردن ایمن فایل‌ها استفاده می‌کند، پسوند فایل .wcry را به نام آن‌ها اضافه می‌کند و درخواست می‌کند تا 0.1 بیت کوین را به کیف پول مجازی ارائه شده منتقل کند. بدافزار ابتدا از طریق ایمیل های اسپم توزیع می شد. با این حال، این ویروس خاص درآمد چندانی برای توسعه دهندگان خود نداشت. با وجود این واقعیت که فایل های رمزگذاری شده توسط این باج افزار بدون کلید رمزگشایی غیرقابل بازیابی بودند، توسعه دهندگان تصمیم گرفتند برنامه مخرب را به روز کنند.

ویروس باج افزار WannaCrypt0r. این نام دیگری برای نسخه به روز شده باج افزار است. نسخه جدید آسیب پذیری های ویندوز را به عنوان بردار اصلی حمله هدف قرار می دهد و تمام فایل های ذخیره شده در سیستم را در چند ثانیه رمزگذاری می کند. فایل های آلوده را می توان از طریق پسوندهای اضافه شده به نام فایل بلافاصله پس از نام فایل اصلی - wncry، wncryt یا .wcry شناسایی کرد.

هیچ راهی برای بازیابی اطلاعات آسیب دیده بدون پشتیبان گیری یا کلید خصوصی ایجاد شده در طول فرآیند رمزگذاری داده ها وجود ندارد. این ویروس معمولاً 300 دلار طلب می کند، اگرچه اگر قربانی پول را ظرف سه روز پرداخت نکند، قیمت باج را به 600 دلار افزایش می دهد.

ویروس باج افزار WannaDecrypt0r. WannaDecrypt0r برنامه ای است که ویروس پس از نفوذ موفقیت آمیز به سیستم مورد نظر اجرا می شود. محققان قبلاً متوجه شده‌اند که نسخه‌های Wanna Decryptor 1.0 و Wanna Decryptor 2.0 به قربانیان نزدیک می‌شوند.

این بدافزار یک ساعت شمارش معکوس را نشان می دهد که نشان می دهد چقدر زمان باقی مانده برای پرداخت باج قبل از رسیدن به حداکثر قیمت آن، و همچنین یک ساعت شمارش معکوس یکسان نشان می دهد که چقدر زمان باقی مانده تا ویروس تمام داده ها را از رایانه حذف کند. این نسخه در 12 می 2017 جامعه مجازی را شوکه کرد، اگرچه چند روز بعد توسط یک محقق امنیتی با نام MalwareTech متوقف شد.