(WannaCrypt، WCry، WanaCrypt0r 2.0، Wanna Decryptor) - بدافزار، کرم شبکه و باج افزار. این برنامه تقریباً تمام فایل های ذخیره شده در رایانه را رمزگذاری می کند و برای رمزگشایی آنها باج می خواهد. در سال‌های اخیر تعداد زیادی بدافزار از این نوع به ثبت رسیده‌اند، اما WannaCry به دلیل مقیاس توزیع و تکنیک‌های مورد استفاده در بین آن‌ها برجسته است.

این ویروس رمزگذاری تقریباً در ساعت 10 صبح شروع به گسترش کرد و در عصر 12 می، رسانه ها شروع به گزارش عفونت های متعدد کردند. نشریات مختلف می نویسند که حمله هکری به بزرگترین هلدینگ ها از جمله Sberbank انجام شده است.

سوال کاربر لپ‌تاپ شخصی فعلی من که از ویندوز 7 Home Premium استفاده می‌کند، وقتی آن را خاموش می‌کنم وصله‌های مختلفی را به‌طور خودکار نصب می‌کند...

و تبلت W10 که من دارم، به‌طور خودکار وصله‌های جدید را هنگام روشن شدن نصب می‌کند... آیا رایانه‌های شخصی رومیزی شرکت‌ها به‌طور خودکار سیستم‌عامل خود را هنگام روشن یا خاموش به‌روزرسانی نمی‌کنند؟» واقعا - چرا؟

پس از مدتی، مجموعه کامل اکسپلویت ها به همراه فیلم های آموزشی در دسترس عموم قرار گرفت. هر کسی می تواند از آن استفاده کند. اتفاقی که دقیقاً افتاد. کیت بهره برداری شامل ابزار DoublePulsar است. هنگامی که پورت 445 باز است و به‌روزرسانی MS 17-010 نصب نشده است، با استفاده از آسیب‌پذیری کلاس اجرای کد از راه دور (قابلیت آلوده کردن رایانه از راه دور (NSA EternalBlue))، می‌توان تماس‌های سیستم را رهگیری کرد و کدهای مخرب را به آن تزریق کرد. حافظه نیازی به دریافت هیچ ایمیلی نیست - اگر رایانه ای با دسترسی به اینترنت، با سرویس SMBv1 در حال اجرا و بدون نصب وصله MS17-010 دارید، مهاجم شما را پیدا می کند (مثلاً با آدرس های بی رحمانه).

تجزیه و تحلیل WannaCry

تروجان WannaCry (معروف به WannaCrypt) فایل‌های با پسوندهای خاص را در رایانه شما رمزگذاری می‌کند و 300 دلار باج از بیت‌کوین می‌خواهد. سه روز برای پرداخت داده می شود، سپس مبلغ دو برابر می شود.

الگوریتم آمریکایی AES با کلید 128 بیتی برای رمزگذاری استفاده می شود.

در حالت تست، رمزگذاری با استفاده از کلید RSA دوم متصل به تروجان انجام می شود. در این راستا امکان رمزگشایی فایل های آزمایشی وجود دارد.

در طی فرآیند رمزگذاری، چندین فایل به صورت تصادفی انتخاب می شوند. تروجان رمزگشایی رایگان آنها را پیشنهاد می کند تا قربانی متقاعد شود که پس از پرداخت باج می تواند بقیه را رمزگشایی کند.

اما این فایل های انتخابی و بقیه با کلیدهای مختلف رمزگذاری می شوند. بنابراین، هیچ تضمینی برای رمزگشایی وجود ندارد!

علائم عفونت WannaCry

هنگامی که تروجان روی رایانه قرار گرفت، به عنوان یک سرویس سیستم ویندوز با نام mssecsvc2.0 (نام قابل مشاهده - Microsoft Security Center (2.0) Service) اجرا می شود.

کرم قادر به پذیرش آرگومان های خط فرمان است. اگر حداقل یک آرگومان مشخص شده باشد، تلاش می کند تا سرویس mssecsvc2.0 را باز کند و آن را پیکربندی کند تا در صورت بروز خطا، راه اندازی مجدد شود.

پس از راه‌اندازی، سعی می‌کند نام فایل C:\WINDOWS\tasksche.exe را به C:\WINDOWS\qeriuwjhrf تغییر دهد، آن را از منابع تروجان رمزگذار در فایل C:\WINDOWS\tasksche.exe ذخیره کرده و با /i راه‌اندازی می‌کند. پارامتر. هنگام راه اندازی، تروجان آدرس IP دستگاه آلوده را دریافت می کند و سعی می کند به پورت TCP 445 هر آدرس IP در زیر شبکه متصل شود - ماشین های موجود در شبکه داخلی را جستجو می کند و سعی می کند آنها را آلوده کند.

کرم به طور خودکار 24 ساعت پس از شروع به عنوان یک سرویس سیستم خاموش می شود.

بدافزار برای گسترش خود، سوکت‌های ویندوز، CryptoAPI را راه‌اندازی می‌کند و چندین رشته را راه‌اندازی می‌کند. یکی از آنها تمام رابط های شبکه را در رایانه شخصی آلوده فهرست می کند و میزبان های موجود در شبکه محلی را نظرسنجی می کند، بقیه آدرس های IP تصادفی تولید می کنند. این کرم سعی می کند با استفاده از پورت 445 به این میزبان های راه دور متصل شود. اگر در دسترس باشد، میزبان های شبکه را در یک رشته جداگانه با استفاده از یک آسیب پذیری در پروتکل SMB آلوده می کند.

بلافاصله پس از راه اندازی، کرم سعی می کند درخواستی را به یک سرور راه دور که دامنه آن در تروجان ذخیره شده است ارسال کند. اگر پاسخی به این درخواست دریافت شود، خارج می شود.

< nulldot>0x1000eff2، 34، 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4، 12، 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4، 12، 00000000.res

محافظت در برابر WannaCrypt و سایر باج افزارها

برای محافظت در برابر باج افزار WannaCry و تغییرات بعدی آن، باید:

1. سرویس های استفاده نشده، از جمله SMB v1 را غیرفعال کنید.

• غیرفعال کردن SMBv1 با استفاده از PowerShell امکان پذیر است:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• از طریق رجیستری:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters، پارامتر SMB1 از نوع DWORD = 0
• شما همچنین می توانید خود سرویس را که مسئول SMBv1 است حذف کنید (بله، یک سرویس جداگانه از SMBv2 شخصاً مسئول آن است):
  پیکربندی sc.exe lanmanworkstation depend=bowser/mrxsmb20/nsi
  پیکربندی sc.exe mrxsmb10 start=disabled

1. از فایروال برای بستن پورت های شبکه استفاده نشده، از جمله پورت های 135، 137، 138، 139، 445 (درگاه های SMB) استفاده کنید.

شکل 2. مثالی از مسدود کردن پورت 445 با استفاده از فایروالپنجره ها

شکل 3. مثالی از مسدود کردن پورت 445 با استفاده از فایروالپنجره ها

1. از یک آنتی ویروس یا فایروال برای محدود کردن دسترسی برنامه ها به اینترنت استفاده کنید.

شکل 4. مثالی از محدود کردن دسترسی به اینترنت به یک برنامه با استفاده از فایروال ویندوز