هشدار؛بزرگ‌ترین حمله باج‌گیر سایبری و آماده‌باش دنیا!

«می‌خوای گریه کنی و قفل بشی!» در کمین است

هشدار؛بزرگ‌ترین حمله باج‌گیر سایبری و آماده‌باش دنیا!

راه‌حل پیشگیری؛ تهیه نسخه پشتیبان از اطلاعات و انسداد پورت‌های ۴۴۵ و ۱۳۹

مایکروسافت برای XP هم وصله امنیتی منتشر کرد!

گروه IT – طی روزهای گذشته حملات سایبری بی‌سابقه‌ای در کل جهان با سوءاستفاده از نشت اطلاعات از آژانس امنیت ملی آمریکا آغاز شده است. این حمله سایبری که گفته می‌شود در بیش از ۱۰۰ کشور جهان مشاهده شده از طریق یک باج‌افزار به نام WannaCry به معنای می‌خوای گریه کنی؟ (البته در اصل نام آن wannacrypt بوده است به معنای می‌خوای قفل بشی که به اصطلاح آن را مخفف کرده‌اند) و نفوذ به سیستم‌عامل ویندوز مایکروسافت انتشار یافته است.

به گزارش مناقصه‌مزایده؛ بررسی‌ها نشان می‌دهد این بدافزار خطرناک هدف خاصی را تعقیب نمی‌کند و صرفاً به دنبال نصب خود بر روی رایانه‌هایی با امنیت ضعیف و آزار و اذیت کاربران از طریق به گروگان گرفتن اطلاعات موجود در آنها و اخاذی است.

بررسی‌ها نشان می‌دهد حدود ۷۰ نفر برای دسترسی مجدد به فایل‌های رایانه‌ای کدگذاری شده خود توسط این باج‌افزار مبلغ ۲۰ هزار دلار را در قالب بیت‌کوین به هکر‌ها پرداخت کرده‌اند.

فعالیت باج‌افزار WannaCry از روز جمعه آغاز شده و به نظر می‌رسد تداوم فعالیت‌های آن کشورهای جهان را به بازنگری جدی در تصمیمات و قوانینشان در حوزه امنیت سایبری و حریم شخصی وادار کند. فعالیت‌هایی که فعلاً در این زمینه صورت می‌گیرد کند و مقطعی است. از سوی دیگر باید توجه داشت عامل اصلی موفقیت این حملات اهمال و بی‌دقتی آژانس امنیت ملی آمریکاست که باعث لو رفتن شیوه‌های جاسوسی سایبری آن شده و در نتیجه هکر‌ها نهایت سوءاستفاده را از این روش‌ها به عمل آورده‌اند.

تهیه دستورالعمل پیشگیری از نفوذ بزرگ‌ترین باج گیر سایبری

معاون سازمان فناوری اطلاعات ایران از تنظیم دستورالعمل پیشگیری از نفوذ باج‌افزار سایبری که در روزهای گذشته در بیش از ۱۰۰ کشور شناسایی شده و ابلاغ آن به نهاد‌ها و سازمان‌های کشور خبر داد.

سیدهادی سجادی، معاون امنیت سازمان فناوری اطلاعات ایران آخرین اقدامات انجام شده برای جلوگیری از شیوع این باج‌افزار در ایران را تشریح کرد.

وی با بیان این‌که نفوذ این باج‌افزار به سرعت در حال گسترش بوده و نه تنها در ایران بلکه برای بسیاری از کشور‌ها نیز مشکل‌آفرین شده است، گفت: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) به شدت در حال پیگیری این نفوذ است. براین اساس، نسبت به تنظیم دستورالعمل پیشگیری از نفوذ این باج‌افزار در سیستم‌های کامپیوتری کشور، اقدام کردیم. این دستورالعمل به تمامی سازمان‌ها و نهاد‌ها ارسال شده است.

معاون امنیت سازمان فناوری اطلاعات ایران با تأکید براین‌که هم اکنون مراکز آپای استانی (مراکز آگاهی‌رسانی و پشتیبانی حملات سایبری) و مراکز ماهر در کل استان‌ها در حالت آماده باش قرار دارند، خاطرنشان کرد: در این زمینه به مدیران سازمان‌ها اطلاعیه دادیم و از آنها خواسته‌ایم که نسبت به به‌روزرسانی سیستم‌های خود اقدام کنند.

سجادی با بیان این‌که مهم‌ترین مسأله این است که مدیران نسبت به به‌روزرسانی نسخه ویندوز سیستم‌های کامپیوتری اقدام کنند، افزود: این باج‌افزار ناشی از یک آسیب‌پذیری در سیستم‌عامل ویندوز است که مایکروسافت پیش از این نیز در این خصوص هشدار داده بود اما بسیاری از کاربران این سیستم را به‌روزرسانی نکردند.

وی با اشاره به کد اسپلویت لو رفته در این سیستم‌عامل و دستیابی هکر‌ها به این کد، گفت: این مشکل تنها مربوط به یک نوع خاص از ویندوز نبوده و این حمله سایبری نسخه‌های مختلف ویندوز را هدف قرارداده است.

سجادی گفت: در این دستورالعمل از تمامی مدیران سازمانی خواسته شده که پورت‌های ۴۴۵ و ۱۳۹ غیرضروری را بسته و از دسترس خارج کنند و اجازه اشتراک‌گذاری فایل‌ها و اطلاعات روی دستگاه‌ها را ندهند.

وی با اشاره به این‌که درحال رصد اوضاع لحظه به لحظه هستیم، گفت: تاکنون بیش از ۲۰۰ سیستم رایانه‌ای در ایران به این باج‌افزار آلوده شده که اطلاع‌رسانی لازم در این زمینه صورت گرفته است.

سجادی از کاربران و مدیران فناوری اطلاعات سازمان‌ها خواست تا نسبت به به‌روزرسانی نسخه ویندوز سیستم‌عامل خود اقدام کنند و گفت: کاربران و مدیران شبکه‌ها باید از فایل‌های مهم و حساس بک‌آپ (فایل پشتیبان) بگیرند و فایل‌های مشکوک و ناآشنا را باز نکنند.

این مقام مسؤول در مرکز ماهر با تأکید براین‌که این باج‌افزار بد‌ترین نوع باج‌افزاری است که تاکنون شیوع یافته گفت: این نرم‌افزار مخرب به شیوه انتقال پول بیت‌کوین باج‌خواهی می‌کند و پس از آلوده کردن سیستم و سرقت اطلاعات، حدود ۳۰۰ دلار از قربانی درخواست می‌کند تا اجازه دسترسی مجدد به فایل‌های قربانی را بدهد.

وی با بیان این‌که از آنجایی که نقل و انتقال پول از طریق بیت‌کوین قابل ردیابی نیست و امکان بازگشت پول وجود ندارد افزود: در این مورد گفته شده است که بدافزار باج گیر، حتی به ازای زمان‌هایی که کاربران به درخواستش پاسخ ندهند درخواست باج‌خواهی می‌کند. ما به شدت در حال کنترل و بررسی شرایط هستیم و علاوه بر سیستم‌های پزشکی و سلامت، بخش اطلاعات بسیاری از سیستم‌های دیگر نیز هدف این باج‌افزار قرار گرفته است.

سجادی گفت: برای پیشگیری، دستورالعمل مدنظر در سایت اینترنتی مرکز ماهر قرار دارد.

مرکز ماهر اعلام کرد که از میان بیش از ۲۰۰ قربانی این باج‌افزار در کشور، بیش‌تر این آلودگی‌ها در حوزه پزشکی و سلامت بوده که شناسایی شده و اقدام جهت رفع آلودگی و پاکسازی آنها از سوی تیم‌های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استان‌های کشور در دست انجام است.

این حمله را می‌توان بزرگ‌ترین حمله آلوده کردن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt۰r، WannaCryptor و WCRY شناخته می‌شود و همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می‌کند.

شواهد نشان می‌دهد که از جمله سازمان‌های مهمی که به دنبال این حملات آسیب دیده‌اند می‌توان به سازمان ملی بهداشت آمریکا، شرکت مخابراتی دولتی تله فونیکای اسپانیا و شرکت مشهور FedEx اشاره کرد. حملات یاد شده در انگلیس تا بدان حد پیش رفت که به تعطیلی بیمارستان‌ها انجامید و برخی عمل‌های جراحی را نیز لغو کرد. همچنین پزشکان و پرستاران در این بیمارستان‌ها مجبور شدند به استفاده از قلم و کاغذ روی آورند.

مایکروسافت برای رفع حفره‌های امنیتی افشا شده توسط هکر‌ها وصله‌هایی را عرضه کرده، اما کاربرانی که این وصله‌ها را نصب نکرده‌اند، به‌طور جدی در معرض خطر هستند.

عرضه وصله اضطراری ویندوز برای مقابله با حملات جهانی یک باج‌افزار

مایکروسافت در اقدامی بی‌سابقه برای ویندوز بازنشسته ایکس‌پی وصله امنیتی عرضه کرد تا جلوی نفوذ باج‌افزار واناکریپ به این سیستم‌عامل در صد‌ها کشور جهان را بگیرد.

مایکروسافت از چندین سال قبل ویندوز ایکس‌پی را بازنشسته کرده و هیچ وصله نرم‌افزاری برای به روزکردن این سیستم‌عامل عرضه نمی‌کند. اما خطر ناشی از بدافزار WannaCrypt تا بدان حد جدی است که این شرکت را وادار به تجدیدنظر در تصمیم خود کرد.

شرکت‌های تجاری، سازمان‌های دولتی و افراد در حدود صد کشور جهان قربانی ده‌ها هزار حمله باج‌افزار WannaCrypt هستند که با نفوذ به رایانه‌ها، فایل‌های ذخیره شده در آنها را قفل می‌کند و برای رمزگشایی از آنها ۳۰۰ دلار طلب می‌کند. در صورتی که قربانیان این رقم را ظرف ۳ روز پرداخت نکنند، مبلغ درخواستی به دو برابر افزایش می‌یابد. همچنین کاربران تهدید می‌شوند که اگر ظرف یک هفته باج درخواستی را پرداخت نکنند، فایل‌های آنها به‌طور کامل پاک می‌شود.

حملات باج‌افزار WannaCrypt تا بدان حد مؤثر بوده که منجر به قفل شدن و آفلاین شدن کامل سیستم‌های رایانه‌ای سازمان ملی بهداشت انگلیس شد و بسیاری از عمل‌های جراحی و قرارهای ملاقات بیماران با پزشکان در بیمارستان‌ها و مراکز درمانی مختلف به همین علت لغو شد.

علت موفقیت حمله مذکور یک آسیب‌پذیری در سیستم‌عامل ویندوز موسوم به EternalBlue است که البته مایکروسافت برای عرضه آن در نسخه‌های مختلف ویندوز وصله‌هایی عرضه کرده است، اما بی‌توجهی کاربران و عدم نصب وصله‌های یاد شده باعث موفقیت باج‌افزار WannaCrypt شد. با توجه به بازنشسته شدن ویندوز ایکس‌پی مایکروسافت عرضه وصله برای آن را نادیده گرفته بود، اما سرانجام برای این ویندوز هم وصله‌ای عرضه کرد.

شناسایی بیش از ۲۰۰ قربانی آلوده به باج‌افزار در فضای سایبری کشور

تا لحظه مخابره این خبر، بیش از ۲۰۰ قربانی آلوده به باج‌افزار در فضای سایبری کشور از سوی مرکز ماهر شناسایی و اقدام‌های لازم عملیاتی شده است.

باتوجه به فعالیت این باج‌افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به به‌روزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.

توصیه‌های پلیس فتا

رییس مرکز تشخیص و پیشگیری پلیس فتا در خصوص باج‌افزار wannacrypt گفت: در روز ۱۲ می‌۲۰۱۷ (۲۲ اردیبهشت ۹۶) یک نمونه جدید از باج‌افزار Ransome.CryptXXX) wannacrypt) به‌طور گسترده‌ای تعداد زیادی از ارگان‌‌ها و سازمان‌ها به ویژه در اروپا را تحت‌تأثیر قرارداده و آلوده کرده است.

سرهنگ دوم علی نیک‌نفس در خصوص معرفی باج‌افزار wannacrypt گفت: این باج‌افزار داده‌ها را رمز کرده و سپس درخواست ۳۰۰ دلار در قالب بیت‌کوین در قبال رمز گشایی آن و اجازه دسترسی صاحبان اطلاعات را می‌کند. سپس عنوان می‌کند که اگر تا ۳ روز مبلغ پرداخت نشود، میزان درخواستی آنها دوبرابر خواهد شد و اگر مبلغ تا ۷ روز پرداخت نشود، داده‌های رمز شده حذف خواهند شد.

وی ادامه داد: این باج‌افزار همچنین یک فایل با نام ! Please Read Me! .txt به جا می‌گذارد که شامل متنی است که اعلام می‌کند که چه اتفاقی افتاده و باج درخواستی به چه صورت باید پرداخت شود.

نیک‌نفس توضیح داد: باج‌افزار wannacrypt فایل‌هایی با پسوندهای .backup .tiff .djvu .mpeg .class .java.accdb .sqlitedb .sqlite3 .lay6 xltm .pptm .ppsm .ppsx .ppam .potx .potm .sldx .sldm .vmdk. vsdx .onetoc2 .jpeg .docb .docm. dotm .dotx .xlsm .xlsb .xltx. docx .xlsx .pptx. را رمزگذاری می‌کند.

رییس مرکز تشخیص و پیشگیری ادامه داد: این باج‌افزار به دیگر سیستم‌ها با به‌کارگیری آسیب‌پذیری کد اجرایی SMBv2 remote در سیستم‌های ویندوزی انتقال پیدا می‌کند (MS17-010). سازمان‌ها می‌بایست مطمئن شوند که آخرین به روز رسانی امنیتی ویندوز و به خصوص MS17-010 را به منظور جلوگیری از انتشار آن نصب کرده‌اند.

نیک‌نفس در خصوص این‌که چه کاربران یا سازمان‌های تحت‌تأثیر این باج‌افزار قرار گرفته‌اند، گفت: تعدادی از سازمان‌ها که بیش‌تر آنها در اروپا هستند متأثر از این باج‌افزار شده‌اند. در زیر نوشته یک پزشک از یکی از بیمارستان‌های لندن که تحت‌تأثیر این باج‌افزار قرار گرفته آمده است: «همه چیز از کار افتاده است، هیچ نتیجه آزمایشی نداریم، هیچ گروه خونی در دسترس نیست، تمام عمل‌های جراحی کنسل شده است.»

وی ادامه داد: بر طبق گزارش Symantec تاکنون رمزگشای این باج‌افزار موجود نیست و در همان ساعات اولیه فعالیت باج‌افزار بیش از ۷۴ کشور عمدتاً در اروپا و آسیا را تحت‌تأثیر قرارداده است.

 سرهنگ نیک نفس در تشریح میزان آلودگی در ۲۴ ساعت گذشته گفت: این باج‌افزار به سرعت در حال گسترش است و به تمامی قاره‌ها نفوذ کرده است.

وی در خصوص راهکارهای محافظتی برای جلوگیری از آلوده شدن سیستم‌ها به این باج‌افزار گفت: غیرفعال کردن SMBv1 با استفاده دستور Disable-WindowsOptionalFeature –Online –FeatureName smb1protocol به‌کاربران کمک می‌کند تا مانع از آلودگی شوند.

نیک‌نفس با بیان این‌که تمامی سیستم‌عامل‌‌ها و نرم‌افزارهای خود را به روز نگه دارید، افزود: آپدیت‌های جدید گاهی شامل Patchهای آسیب‌پذیری هستند که ممکن است باج‌افزار‌ها از آن استفاده کنند. لذا باید به محض ارایه وصله‌های امنیتی جدید سیستم را به‌روزرسانی مجدد نمود.

 رییس مرکز تشخیص و پیشگیری ادامه داد: ایمیل‌‌ها یکی از اصلی‌‌ترین روش‌های انتشار باج‌افزار است. مراقب ایمیل‌های ناخواسته باشید. به ویژه ایمیل‌های که ضمیمه آنها فایل‌های مایکروسافتی هستند. مطمئن شوید که ایمیل‌‌ها را از منبع مطمئن دریافت کرده‌اید و برای باز کردن فایل‌های ضمیمه، ماکرو را فعال نکنید.

 به گفته وی پشتیبان‌گیری از داده‌های حساس ساده‌‌ترین راه برای مبارزه با این باج‌افزار است.

همچنین مرکز ماهر اعلام کرده است: از کلیه سازمان‌ها و شرکت‌های محترم درخواست می‌شود در صورت برخورد با آلودگی به باج‌افزار فوق در اسرع وقت موارد را با شماره تلفن‌های ۲۲۱۱۵۹۵۰ و ۴۲۶۵۰۰۰ با همکاران مرکز ماهر درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال نمایند.

منابع:

مرکز ماهر ایران

سایت پلیس فتا

خبرگزاری رویترز

خبرگزاری مهر

 

ZDnet.com