باج گیرافزار WannaCry که در حال حاضر در تمام اینترنت پخش شده است، از بهره‌بردار ویندوزِ NSA استفاده می‌کند.

در اوایل روز جمعه ۱۲ می ۲۰۱۷ یک کمپین بسیار عظیم باج‌گیرافزار صدها کامپیوتر را در شرکت‌های خصوصی و سازمان‌های عمومی در سراسر جهان مورد حمله قرار داد و اعتقاد بر این است که این حمله بزرگترین کمپینِ تحویلِ باج‌گیرافزار تا به امروز بوده است.

این باج‌گیرافزار به عنوان یکی از انواع باج‌گیرافزارهای معروف به نام WannaCry شناخته شده است که به نام‌های دیگری مانند Wana Decrypt0r یا WannaCryptor و WCRY نیز معروف است.

مانند دیگر انواعِ باج‌گیرافزارهای مخرب، WannaCry دسترسی به یک کامپیوتر یا فایل‌های آن را مسدود کرده و درخواست پول جهت باز کردن آن‌ها می‌کند.

هنگام آلوده شدن با باج‌گیر افزار WannaCry، از قربانیان درخواست می‌‎شود تا مبلغ ۳۰۰ دلار را جهت پاکسازی سیستم خود از این باج‌گیرافزار پرداخت کنند، در غیر این صورت، کامپیوتر فرد قربانی بلا استفاده بوده و فایل‌های آن‌ها همچنان قفل باقی می‌ماند.

محققان همچنین یک کمپین پست الکترونیک مخربِ بسیار بزرگ را نیز کشف کردند که باج‌گیر‌افزار Jaff را با سرعت ۵٫۰۰۰٫۰۰۰ پست الکترونیک در ساعت منتشر کرده و کامپیوترهای مختلف را در سراسر جهان آلوده می‌کرد[۱].

این باج‌گیرافزار از بهره‌بردارِ NSA به منظور افزایش سرعت گسترش پیدا کردن استفاده می‌کند.

نکته جالب توجه در ارتباط با این باج‌گیرافزار این است که مهاجمان WannaCry از طریق یک بهره‌بردار ویندوز به سیستم مورد نظر نفوذ می‌کنند. این بهره‌بردار ویندوز از NSA گرفته شده و EternalBlue نام‌گذاری شده است[۲] که توسط گروه هکری Shadow Brokers از NSA در ماه گذشته دزدیده شده بود[۳].

مایکروسافت یک وصله برای این آسیب‌پذیری در ماه مارچ ۲۰۱۷ (MS17-010) منتشر کرد[۴] اما بسیاری از کاربران و سازمان‌ها که سیستم خود را وصله نکرده بودند در معرض این حملات قرار گرفته‌اند.

این بهره‌بردار این قابلیت را داراست که به ماشین‌هایی که دارای سیستم‌عامل‌های وصله نشده از ویندوز XP گرفته تا ویندوز ۲۰۰۸ نسخه R2 هستند توسطِ بهره‌برداری از یک آسیب‌پذیری در سرور SMB ویندوز، نفوذ کند. به همین علت است که کمپین باج‌گیرافزار WannaCry با این سرعت چشم‌گیر در حال گسترده شدن است.

هنگامی که یک سیستم در سازمان شما توسط باج‌گیرافزار WannaCry مورد حمله قرار گیرد، این باج‌گیرافزار به دنبال دیگر کامپیوترهای آسیب‌پذیر در سازمان شما می‌گردد و آن‌ها را نیز آلوده می‌کند.

این باج‌گیرافزار بسیاری از سیستم‌ها را در سراسر جهان آلوده کرده است.

تنها در چند ساعت، این باج‌گیرافزار بیش از ۴۵٫۰۰۰ کامپیوتر را در ۷۴ کشور مورد حمله قرار داد که این کشورها شامل ایالات متحده، روسیه، آلمان، ترکیه، ایتالیا، فیلیپین و ویتنام می‌شدند و این عدد بر طبق گزارش Kaspersky Labs همچنان در حال افزایش است[۵].

بر طبق این گزارش، حمله این باج‌گیرافزار موجب تعطیلی کار در ۱۶ بیمارستان در انگلستان شده است چراکه پزشکان قادر به دسترسی به فایل‌های اطلاعاتی مربوط به بیمارها نبودند. بر طبق یک گزارش دیگر، ۸۵ درصد از کامپیوترهای یک شرکت مخابراتی اسپانیایی به نام Telefonica نیز توسط این باج‌گیرافزار آلوده شده‌اند[۶].

یک محقق امنیتی مستقل دیگر از شرکت MalwareTech گزارش داده است که تعداد زیادی از سازمان‌های آمریکایی (حداقل ۱۶۰۰ سازمان) توسط باج‌گیرافزار WannaCry مورد حملع واقع شده‌اند و این تعداد در کشور روسیه ۱۱٫۲۰۰ سازمان و در چین در حدود ۶۵۰۰ سازمان است[۷].

اسکرین‌شات‌‎های مربوط به باج‌گیرافزار WannaCry نیز به به زبان‌‎های مختلف شامل انگلیسی، اسپانیایی و ایتالیایی به صورت آنلاین توسط کاربران مختلف و متخصصان در توییتر به اشتراک گذاشته شده است.

منابع مالی Bitcoin که ظاهرا مرتبط با این باج‌گیرافزار هستند نیز گزارش شده است که در حال پر شدن با پول نقد هستند.

سازمانِ پاسخ‌های اضطراری کامپیوتری در اسپانیا به نام CCN-CERT یک هشدار را منتشر کرده است که به کاربران نسبت به حمله بسیار عظیم باج‌گیرافزار WannaCry هشدار داده است که ترجمه آن در اینجا آورده شده است:

“این باج‌گیرافزار یک نسخه از WannaCry است که کامپیوترها را توسط رمزگذاری بر روی تمامی فایل‌هایشان آلوده می‌کند و از یک آسیب‌پذیری اجرای کد از راه دور از طریق SMB استفاده کرده و بر روی دیگر کامپیوترهای دارای سیستم‌عامل ویندوز بر روی شبکه مشابه با سیستم آلوده شده، گسترش پیدا می‌کند.”

این مطلب هنوز مشخص نیست که در ابتدا باج‌گیرافزار WannaCry چگونه سیستم‌ها را آلوده می‌کند اما شاخصه آشکار این حمله می‎تواند پست‌های الکترونیک phishing یا بازدید فرد قربانی از یک وب‌سایتِ حاوی این بدافزار باشد.

همچنین بر طبق خبر BBC شرکت تأمین برق Iberdrola و شرکت ارائه دهنده ابزار Gas Natural نیز گزارش داده‌اند که با این باج‌گیرافزار آلوده شده‌اند[۸].

چگونه از خود در برابر باج‌گیرافزار WannaCry محافظت کنیم؟

اول از همه اگر در حال حاضر سیستم‌عامل ویندوز و دیگر سرورهای خود را نسبت به آسیب‌پذیری بهره‌بردار EternalBlue وصله نکرده‌اید، همین الان این کار را انجام دهید.

برای در امان ماندن از آلوده شدن توسط این چنین باج‌گیرافزارهایی شما باید همیشه نسبت به پرونده‌های الکترونیکی ناخواسته و فرستاده شده از طریق پست‌الکترونیک، مشکوک باشید و هیچ‌گاه بر روی لینک‌های موجود در آن‌ها کلیک نکنید مگر اینکه منبع آن مورد تأیید شما باشد.

برای نگهداری از فایل‌ها و پرونده‌های الکترونیکی بسیار مهم خود به طور منظم و در یک فضای مجزا از آن‌ها پشتیبان تهیه کنید که این فضا همیشه به سیستم شما متصل نباشد.

علاوه بر این، از نصب بودن و به روز بودن یک آنتی‌ویروس خوب بر روی سیستم خود اطمینان حاصل کنید و مهم‌تر از همه این مطالب، همیشه در بازدید از وب‌سایت‌های مختلف در اینترنت جنبه احتیاط را رعایت کنید.

منابع

[۱] http://thehackernews.com/2017/05/decrypt-jaff-ransomware-files.html

[۲] http://thehackernews.com/2017/04/swift-banking-hacking-tool.html

[۳] http://thehackernews.com/2017/04/nsa-hacking-tools.html

[۴] http://thehackernews.com/2017/04/window-zero-day-patch.html

[۵] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world

[۶] https://www.telefonica.com/es/web/press-office/-/cibersecurity-incident

[۷] https://intel.malwaretech.com/botnet/wcrypt

[۸] http://www.bbc.com/news/technology-39901382

[۹] http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html