بخش های سایت
انتخاب سردبیر:
- بایوس هنگام روشن کردن کامپیوتر بوق میزند
- چگونه یک صفحه را در یک مخاطب حذف کنیم؟
- چگونه یک صفحه حذف شده VKontakte را حذف کنیم؟
- ENIAC - اولین کامپیوتر در جهان
- VKontakte در محل کار مسدود شد، چگونه می توانم آن را دور بزنم؟
- چگونه یک صفحه VKontakte را از تلفن خود حذف کنید
- روش های فرمت هارد دیسک با استفاده از بایوس
- در صورت مسدود شدن سایت چگونه به Odnoklassniki وارد شویم؟
- چگونه یک صفحه در تماس را برای همیشه حذف کنیم؟
- نحوه دور زدن مسدود کردن VK و Odnoklassniki در اوکراین
تبلیغات
WannaCry/WannaCrypt: یک موضوع شخصی |
(WannaCrypt، WCry، WanaCrypt0r 2.0، Wanna Decryptor) - بدافزار، کرم شبکه و باج افزار. این برنامه تقریباً تمام فایل های ذخیره شده در رایانه را رمزگذاری می کند و برای رمزگشایی آنها باج می خواهد. در سالهای اخیر تعداد زیادی بدافزار از این نوع به ثبت رسیدهاند، اما WannaCry به دلیل مقیاس توزیع و تکنیکهای مورد استفاده در بین آنها برجسته است. این ویروس رمزگذاری تقریباً در ساعت 10 صبح شروع به گسترش کرد و در عصر 12 می، رسانه ها شروع به گزارش عفونت های متعدد کردند. نشریات مختلف می نویسند که حمله هکری به بزرگترین هلدینگ ها از جمله Sberbank انجام شده است. سوال کاربر لپتاپ شخصی فعلی من که از ویندوز 7 Home Premium استفاده میکند، وقتی آن را خاموش میکنم وصلههای مختلفی را بهطور خودکار نصب میکند... و تبلت W10 که من دارم، بهطور خودکار وصلههای جدید را هنگام روشن شدن نصب میکند... آیا رایانههای شخصی رومیزی شرکتها بهطور خودکار سیستمعامل خود را هنگام روشن یا خاموش بهروزرسانی نمیکنند؟» واقعا - چرا؟ پس از مدتی، مجموعه کامل اکسپلویت ها به همراه فیلم های آموزشی در دسترس عموم قرار گرفت. هر کسی می تواند از آن استفاده کند. اتفاقی که دقیقاً افتاد. کیت بهره برداری شامل ابزار DoublePulsar است. هنگامی که پورت 445 باز است و بهروزرسانی MS 17-010 نصب نشده است، با استفاده از آسیبپذیری کلاس اجرای کد از راه دور (قابلیت آلوده کردن رایانه از راه دور (NSA EternalBlue))، میتوان تماسهای سیستم را رهگیری کرد و کدهای مخرب را به آن تزریق کرد. حافظه نیازی به دریافت هیچ ایمیلی نیست - اگر رایانه ای با دسترسی به اینترنت، با سرویس SMBv1 در حال اجرا و بدون نصب وصله MS17-010 دارید، مهاجم شما را پیدا می کند (مثلاً با آدرس های بی رحمانه). تجزیه و تحلیل WannaCryتروجان WannaCry (معروف به WannaCrypt) فایلهای با پسوندهای خاص را در رایانه شما رمزگذاری میکند و 300 دلار باج از بیتکوین میخواهد. سه روز برای پرداخت داده می شود، سپس مبلغ دو برابر می شود. الگوریتم آمریکایی AES با کلید 128 بیتی برای رمزگذاری استفاده می شود. در حالت تست، رمزگذاری با استفاده از کلید RSA دوم متصل به تروجان انجام می شود. در این راستا امکان رمزگشایی فایل های آزمایشی وجود دارد. در طی فرآیند رمزگذاری، چندین فایل به صورت تصادفی انتخاب می شوند. تروجان رمزگشایی رایگان آنها را پیشنهاد می کند تا قربانی متقاعد شود که پس از پرداخت باج می تواند بقیه را رمزگشایی کند. اما این فایل های انتخابی و بقیه با کلیدهای مختلف رمزگذاری می شوند. بنابراین، هیچ تضمینی برای رمزگشایی وجود ندارد! علائم عفونت WannaCryهنگامی که تروجان روی رایانه قرار گرفت، به عنوان یک سرویس سیستم ویندوز با نام mssecsvc2.0 (نام قابل مشاهده - Microsoft Security Center (2.0) Service) اجرا می شود. کرم قادر به پذیرش آرگومان های خط فرمان است. اگر حداقل یک آرگومان مشخص شده باشد، تلاش می کند تا سرویس mssecsvc2.0 را باز کند و آن را پیکربندی کند تا در صورت بروز خطا، راه اندازی مجدد شود. پس از راهاندازی، سعی میکند نام فایل C:\WINDOWS\tasksche.exe را به C:\WINDOWS\qeriuwjhrf تغییر دهد، آن را از منابع تروجان رمزگذار در فایل C:\WINDOWS\tasksche.exe ذخیره کرده و با /i راهاندازی میکند. پارامتر. هنگام راه اندازی، تروجان آدرس IP دستگاه آلوده را دریافت می کند و سعی می کند به پورت TCP 445 هر آدرس IP در زیر شبکه متصل شود - ماشین های موجود در شبکه داخلی را جستجو می کند و سعی می کند آنها را آلوده کند. کرم به طور خودکار 24 ساعت پس از شروع به عنوان یک سرویس سیستم خاموش می شود. بدافزار برای گسترش خود، سوکتهای ویندوز، CryptoAPI را راهاندازی میکند و چندین رشته را راهاندازی میکند. یکی از آنها تمام رابط های شبکه را در رایانه شخصی آلوده فهرست می کند و میزبان های موجود در شبکه محلی را نظرسنجی می کند، بقیه آدرس های IP تصادفی تولید می کنند. این کرم سعی می کند با استفاده از پورت 445 به این میزبان های راه دور متصل شود. اگر در دسترس باشد، میزبان های شبکه را در یک رشته جداگانه با استفاده از یک آسیب پذیری در پروتکل SMB آلوده می کند. بلافاصله پس از راه اندازی، کرم سعی می کند درخواستی را به یک سرور راه دور که دامنه آن در تروجان ذخیره شده است ارسال کند. اگر پاسخی به این درخواست دریافت شود، خارج می شود. < nulldot>0x1000eff2، 34، 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY < nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion < nulldot>0x1000f1b4، 12، 00000000.eky < nulldot>0x1000f270, 12, 00000000.pky < nulldot>0x1000f2a4، 12، 00000000.res محافظت در برابر WannaCrypt و سایر باج افزارهابرای محافظت در برابر باج افزار WannaCry و تغییرات بعدی آن، باید:
شکل 2. مثالی از مسدود کردن پورت 445 با استفاده از فایروالپنجره ها شکل 3. مثالی از مسدود کردن پورت 445 با استفاده از فایروالپنجره ها
شکل 4. مثالی از محدود کردن دسترسی به اینترنت به یک برنامه با استفاده از فایروال ویندوز |
خواندن: |
---|
محبوب:
ایمیل موقت به مدت 10 دقیقه؟ |
جدید
- چگونه یک صفحه را در یک مخاطب حذف کنیم؟
- چگونه یک صفحه حذف شده VKontakte را حذف کنیم؟
- ENIAC - اولین کامپیوتر در جهان
- VKontakte در محل کار مسدود شد، چگونه می توانم آن را دور بزنم؟
- چگونه یک صفحه VKontakte را از تلفن خود حذف کنید
- روش های فرمت هارد دیسک با استفاده از بایوس
- در صورت مسدود شدن سایت چگونه به Odnoklassniki وارد شویم؟
- چگونه یک صفحه در تماس را برای همیشه حذف کنیم؟
- نحوه دور زدن مسدود کردن VK و Odnoklassniki در اوکراین
- فرمت کردن از طریق بایوس