قالب وردپرس پوسته وردپرس قالب فروشگاهی وردپس

باج افزار Ransomware WannaCry

باج افزار Ransomware WannaCry

باج افزار  Ransomware WannaCry

در تاریخ ۱۲ May 2017 باج افزار جدیدی کشف شد که در چند کشور منتشر گردیده که سیستمهای کامپیوتری کاربران سازمان ها و مراکز دولتی ، مراکز بهداشتی از جمله بیمارستانها و مراکز آموزشی و خدماتی را هدف خود قرار داده است.

در این حملات که توسط باج افزاری به نام WannaCry انجام شده است تمامی فایلهای سیستمها با پسوند *.WCRY رمزگذاری شده است.

در این حملات که توسط این باج افزار انجام میشود متخصصین مشخص کردند که از یک سرویس مایکروسافت ویندوز که SMBv2 نام دارد استفاده میشود که بصورت Remote code روی آن اجرا می شود.

این Exploit به نام Eternalblue شناخته میشود که از تاریخ ۱۴ Apr 2017 توسط گروه Shadobrokers داخل دارک وب یا همان اینترنت تاریک که محیط تبادل اطلاعات غیر قانونی و غیر قابل ردیابی قرار داده شده و در حال حاضر نیز وجود دارد

توضیح اینکه در تاریخ ۱۴ Mar 2017  شرکت مایکروسافت وصله امنیتی مشخصی را به نام MS17-010 ارائه نموده است.

که متاسفانه اکثر سازمانها و مراکز ، این وصله امنیتی را نصب نکرده بودند و دچار مشکلات فراوانی شدند.

برای اطلاعات بیشتر به موارد زیر توجه بفرمایید.

در صورتی که با این صفحه مواجه شدید سیستم شما باج افزار گرفته است.

  • نوع Exploit کد اجرا شده و مایکروسافت Bulletin مربوطه

Detection signatures

MS Bulletin

Exploit Name

 

Exploit.Win32/64.ShadowBrokers.*

UDS:DangerousObject.Multi.Generic

Trojan.Win32/64.EquationDrug.*

Trojan.Win32/64.ShadowBrokers.*Top of FormBottom of Form

 

MS17-010

Eternalblue

Notes:

SMBv2 Exploitation Tool, RCE.

The vulnerability was fixed by Microsoft on March 14, 2017.We detect the exploitation tools and are investigating this vulnerability further to create generic defense mechanisms against similar attack in the future.

در نظر داشته باشید که این خیلی مهم است  تا زمانی که سیستمها آپدیت نشده باشند این امکان وجود دارد تا باج افزار از طریق  سرویس SMB ریموت کد زده و سیستم را آلوده نماید. پس بسیار اهمیت دارد تا همین الان اقدام به پچ کردن سیستم های ویندوز خود نمایید.

توجه : آپدیت های مذکور از طریق ویندوز آپدیت قابل دسترسی بوده و امکان دانلود آن به تنهایی وجود ندارد.

اطلاعات مربوط به آپدیت در لینک زیر قابل دسترس می باشد :

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  • اهداف این باج افزار : ویندوز های سرور ۲۰۰۸ به بالا و ویندوز Vista به بالا شامل این حملات خواهند شد.
  1. Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
  2. Less common and nation-specific office formats (.sxw, .odt, .hwp).
  3. Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  4. Emails and email databases (.eml, .msg, .ost, .pst, .edb).
  5. Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  6. Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm).
  7. Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  8. Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
  9. Virtual machine files (.vmx, .vmdk, .vdi).
  • اقدامات پیش گیرانه برای مقابه با باج افزار :

 

  1. مطمئن شوید که سیستمها اعم از سرور و کلاینت از آخرین پچهای رسمی مایکروسافت و آپدیت های آن استفاده می نماید و قابلیت اتوماتیک آپدیت آنها فعال می باشد.
  2. مطمئن شوید که تمام سیستمهای شبکه از راهکارهای امنیتی شبکه ای برخوردار باشند.
  3. اگر از راهکار امنیتی کسپرسکی استفاده می نمایید مطمئن شوید که هوش مصنوعی آن که همانا System Watcher که یک تشخیص دهنده رفتارهای مشکوک می باشد وجود داشته و حتما فعال باشد.
  4. یک Critical Area Scan Task داخل آنتی ویروس شما وجود دارد حتما آن را اجرا کرده یا حداقل برنامه ای برای اجرای آن در ۲۴ ساعت آینده داشته باشید.
  5. در صورت یافتن تروجانی به نام MEM: Trojan.Win64.EquationDrug.gen سیستم را ریستارت نمایید.
  6. مطمئن  شوید که آخرین بک آپ را از اطلاعات خود در جایی غیر از محیط شبکه داشته باشید.
  7. در صورتی که از لایسنس Advance برای محصولات کسپرسکی استفاده می نمایید مطمئن شوید که امکان Software Update and Patch Management کنسول مدیریتی شما فعال بوده و اقدام به آپدیت نمایید.
  8. پیشنهاد می شود در صورتی که لایسنس مذکور را ندارید در اولین فرصت اقدام به تهیه آن نمایید.
  9. در صورت وجود WSUS سرور در شبکه برای آپدیت تمامی سیستمهای شبکه از آن استفاده نمایید.
  10. ایمیلهای مشکوک با فایلهای ضمیمه یا لینک های بی همویت را کلیک نکرده یا دانلود نکنید.

 

  • کسپرسکی این باج افزار را با نام های زیر شناسایی می نماید :

Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic

 

 

 

مطالب مرتبط

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *