مقابله با WannaCry!
در دنیای سریع و پیشرفته امروز، ما بیشتر از آنچه تصور می کنیم به تکنولوژی تکیه کرده ایم. با وجود افزایش پروتکل های امنیتی نسبت به گذشته در این دنیا، حملات ویروس ها و فایل های مخرب بیشتر شده که امنیت ما را مورد مخاطره قرار داده است.
به تازگی یک باج افزار جدید به نام واناکرای ـ WannaCry به دنیای فناوری تزریق شده که بر هزاران (و شاید میلیون ها) رایانه در سرتاسر دنیا تأثیر گذاشته است. این بدافزار در 12 ماه می سال 2017 شناسایی شد، به طوری که در طی چند روز هرج و مرج شدیدی در جهان ایجاد کرد. خالقان این باج افزار معتقدند "بهتر است امن باشیم تا متأسف!".
همانند هزاران سیستم دیگر در کل دنیا، رایانه شما نیز می تواند از جانب WannaCrypt مورد تعرض قرار گیرد و مشکلات جدی را برایتان خلق کند. بنابراین بهتر است همیشه برای رویارویی با این مشکلات آماده باشید و علاوه بر محافظت از رایانه، از اطلاعات خود پشتیبان تهیه نمایید.
در این پست با نحوه بازگرداندن یا محافظت از رایانه تان در برابر باج افزار واناکرای آشنا خواهید شد.
قسمت اول: واناکرای (WannaCry) چیست؟
قسمت دوم: طریقه حذف باج افزار WannaCry
قسمت سوم: بازیابی فایل های کد شده (Encrypted)
قسمت چهارم: پیشنهاداتی برای امنیت بیشتر رایانه و موبایل شما
قسمت پنجم: اطلاعات بیشتر در رابطه با باج افزار واناکرای (WannaCry ransomware)
قسمت اول: واناکرای (WannaCry) چیست؟
ویروس های کامپیوتری و انواع آن ها یکی از بدترین موارد برای امنیت سایبری هستند، به طوری که می توانند آثار غیرقابل بازگشتی را از خود به جای گذارند. بدافزار یا باج افزاری که اخیرا در دنیای فناوری مشغول به تخریب می باشد واناکرای ـ WannaCry نام دارد. این باج افزار به بیش از 200 هزار سیستم در 150 کشور جهان آسیب رسانده و توانسته خود را عضو خانواده بزرگ ترین و گسترده ترین حملات سایبری چندین سال اخیر قرار دهد.
این باج افزار نوعی تروجان است که به راحتی می تواند خود را گسترش دهد و توانسته تنها طی چندین روز طیف وسیعی از دستگاه ها را مورد حمله و آسیب قرار دهد، به همین دلیل Europol (آژانس همکاری قانون اتحادیه اروپا) آن را بی نظیر خطاب کرده است.
واناکرای اولین بار در تاریخ 12 می 2017 در پیوست یک رایانامه شناسایی شد. در حالت ایده آل، باج افزار از طریق پیوست ایمیل به سیستم شما و از طریق سیستم شما بدون صرف کوچکترین زمان به شبکه تان دسترسی پیدا کند. به علاوه، آسیب پذیری SMB را بر روی هارد دیسک سیستم شما فعال می کند. افزون بر این ها، از طریق اینترنت (زمانی که به شبکه مشترک متصل باشد) به هر سیستمی دسترسی پیدا کرده و آن را آلوده کند.
از jpg به raw و از jar به txt، تقریباً تمامی پسوندها را مورد حمله قرار داده و آن را آلوده می کند و در عرض چند ثانیه سیستم شما تخریب خواهد کرد. بنابراین، اگر سیستم شما هنوز امن می باشد، می بایست بدون تعلل سعی کنید آن را با استفاده از اقدامات امنیتی استاندارد محافظت کنید.
قسمت دوم: طریقه حذف باج افزار WannaCry
اگر می خواهید امنیت سیستم خود را به دست بیاورید، ابتدا می بایست از شر باج افزار واناکرای (WannaCry Ransomware) خلاص شوید. اگر بدون مراقبت باقی بماند، می تواند به تدریج در تمامی سیستم خود را ذخیره و تقریباً هر نوع پرونده ای را تحت تأثیر قرار دهد. بنابراین، شما نیاز به اقدامات شدید امنیتی دارید و بدون معطلی بدافزار را از سیستم خود حذف کنید. این دستورالعمل ها را دنبال کنید و اطمینان حاصل کنید که آن را به صورت دستی از سیستم خود حذف کرده اید.
قدم اول: با استفاده از Folder Option تمامی فایل ها و پوشه ها را قابل رویت کنید
از آن جایی که بدافزار از ابتدا قابل مشاهده نیست، شما می بایست بدانید که هیچ فایلی یا فولدری از چشم شما پنهان نمی ماند. برای این کار از "Control Panel" وارد "Folder Option" شوید و تمامی فایل های مخفی را (مانند شکل زیر) به نمایش در آورید.
پس از انجام این کار برروی "Apply" و سپس "OK" کلیک نمایید.
قدم دوم: ریست رایانه و رفتن به حالت امن ویندوز (Safe Mode)
پس از این که قدم اول را با موفقیت به پایان رسید، نیاز دارید تا ویندوز رایانه خود را در حالت Safe Mode بارگذاری کنید. برای انجام این کار، سیستم خود را مجددا راه اندازی کنید (restart) و پیش از نمایش لوگو ویندوز در هنگام بارگذاری، کلید F8 را فشار دهید. با این کار به جای راه اندازی معمولی ویندوز، منوی پیشرفته بوت ویندوز برای شما به نمایش درخواهد آمد.
پس از نمایش منوی زیر، با کلیدهای جهت صفحه کلید، بر روی گزینه "Safe Mode" رفته و با فشردن کلید Enter آن را انتخاب کنید تا وارد حالت امن ویندوز شوید.
قدم سوم: ورود به Task Manager و بستن تمام عملیات های اضافه
بعد از ورود به حالت امن (Safe Mode) ویندوز، شما می بایست Task Manager را اجرا کنید. می توانید با فشردن Ctrl+Shift+Esc به همراه هم، وارد آن شوید.
پنجره Task Manager ـ مانند تصویر زیر ـ برای شما ظاهر می شود. از طریق این برنامه، شما می توانید تمامی فرآیندها و برنامه های مشکوک را که در سیستم شما اجرا می شود، به طور دستی بررسی کنید و پس از بررسی با انتخاب، فشردن کلیک راست ماوس و انتخاب "End Process" به فعالیت آن خاتمه دهید. توجه داشته باشید که تقریباً تمامی پردازش های سیستم در ویندوز در Task Manager قابل مشاهده و بررسی می باشد.
برای بستن عملیات مربوط به باج افزار، می بایست درنظر بگیرید که به فعالیت تمامی فرآیندهای مشکوک ـ که ممکن است با باج افزار ارتباط داشته باشد ـ را خاتمه دهید.
نکته: شما می توانید تمامی انواع فرآیندهای باج افزارها را در این لینک مشاهده کنید: https://id-ransomware.malwarehunterteam.com
قدم چهارم: جلوگیری از بوت شدن باج افزار
و حالا، به منظور جلوگیری از بوت شدن باج افزار به همراه ویندوز، می بایست از پاک بودن سیستم تان اطمینان حاصل کنید. بدین منظور وارد بخش پیکربندی سیستم (System Configuration) یا msconfig شوید.
برای اجرای msconfig می توانید با فشردن همزمان کلیدهای Windows+R یا اجرای "Run" و تایپ کلمه "msconfig" آن را بارگذاری نمایید.
پس از اجرای بخش پیکربندی سیستم (System Configuration) از پاک شدن سیستم و جلوگیری از بوت شدن باج افزار اطمینان حاصل خواهید کرد.
وارد تب (زبانه) راه اندازی یا Startup شده و تیک تمام گزینه هایی را که فکر می کنید از یک تولید کننده ناشناخته است را بردارید.
پس از اعمال این تغییرات، می توانید سیستم خود بارگذاری مجدد (Restart) کرده و در حالت عادی اجرا کنید. با این کار اطمینان حاصل کرده اید که باج افزار به طور کامل از سیستم شما حذف شده است. اکنون می توانید ادامه دهید و سعی کنید اطلاعات خود را بازیابی کنید.
قسمت سوم: رمزگشایی باج افزار و یا بازیابی فایل های رمز شده توسط WannaCry
پس از نابود کردن تمامی فرآیندهای مشکوک، می توانید تلاش خود برای رمزگشایی اطلاعات خود آغاز کنید؛ زیرا در صورت وجود یا اجرای آن، باج افزار اجازه این کار را به شما نخواهد داد و یا اطلاعات رمزگشایی شده را مجدداً رمزگذاری خواهد نمود. برای رمزگشایی می توانید از هر ابزار رمزگشای پیشرفته (و یا ابزارهایی که پیش از این در بلاگ قرار دادم) استفاده کنید، اما شانس شما برای گرفتن نتیجه سودمند بالا نخواهد بود.
از آنجا که باج افزار واناکرای (WannaCry Ransomware) از متد کدگزاری RSA + AES برای کد کردن اطلاعات شما استفاده می کند، دور از ذهن به نظر می رسد که حتی با ابزارهای پولی و غیر رایگان بتوانید آن ها را به طور کامل رمزگشایی کنید.
با این وجود، نباید خیلی زود ناامید شوید. واناکرای به طور مستقیم فایل ها را رمزگذاری نمی کند! به جای آن، یک کپی مخفی (shadow) از آن ایجاد کرده و فایل کپی را رمزگذاری می کند. به علاوه، بر اساس بررسی من، فایل اصلی در سیستم شما وجود دارد و آن را حذف نمی کند. پس اگر نمی توانید فایل های کد شده را رمزگشایی کنید، می توانید فایل اصلی خود را با کمک یک نرم افزار بازیابی اطلاعات (Data Recovery) مطمئن، پیدا و بازیابی کنید.
بنابراین اگر می خواهید فایل اصلی و حذف شده خود را پیدا کنید، به سادگی با استفاده از یک نرم افزار بازیابی اطلاعات به دنبال آن بگردید. ابزارهای بازیابی اطلاعات فراوانی در دسترس وجود دارد، اما تنها تعداد انگشت شماری از آن ها قادرند اطلاعات شما را به شیوه ای گسترده بازیابی کنند. توصیه می کنم از نرم افزارهای زیر برای بازگرداندن فایل های حذف شده خود استفاده کنید.
- Recoverit Data Recovery (P30Download) (Downloadly)
- GetDataBack Simple (P30Download) (Downloadly)
- ParetoLogic Data Recovery Pro (P30Download) (Downloadly) (DownloadSoftware)
- Auslogics File Recovery (P30Download) (Downloadly)
- EaseUS Data Recovery Wizard (P30Download) (Downloadly)
با کلیک روی یکی از لینک های مقابل نام هریک از آن ها و یا یک جست و جوی ساده در وبگاه های پارسی، آن ها (رایگان) را خواهید یافت. اگر سیستم شما اخیرا توسط باج افزار واناکرای آلوده شده است، می توانید فایل های حذف شده خود را با استفاده از این ابزارها، بازیابی کنید. هرچه سریعتر از آن استفاده کنید، به طور مؤثرتر و کامل تر اطلاعات خود را دریافت خواهید کرد.
قسمت چهارم: پیشنهاداتی برای امنیت بیشتر رایانه و موبایل شما
با پیشرفت روزافزون تکنولوژی، تدابیر قدیمی و اجرایی سیستم های امنیتی تا حدی بی فایده شده اند. اگر شما مایل به محافظت دقیق از رایانه ها و تلفن های همراهتان هستید، پس باید خوره تکنولوژی باشید. اگر نمیخواهید فایل ها و اطلاعات شما تحت تأثیر حمله ویروس ها و یا باج افزارهایی مانند WannaCry Ransomware باشد، می بایست از دستگاه های خود بهتر محافظت کنید. پیشنهاد می کنم تا جهت حفظ امنیت اطلاعات خود، این فعالیت ها را انجام دهید.
1. همیشه از اطلاعات خود نسخه پشتیبان تهیه کنید!
اگر در دنیای دیجیتال زندگی می کنید و از کامپیوتر، موبایل و ... استفاده می کنید و فکر می کنید همه تمهیدات امنیتی را در نظر گرفته و هیچ مشکل خاصی برایتان رخ نخواهد داد، اشتباه بزرگی می کنید! ممکن است تا هفته آینده هارددیسک شما خراب شود و یا بهخاطر یک باگ یا ویروس نرم افزاری ـ مانند یک باج افزار ـ تمام یا بخش با ارزشی از اطلاعات شما پاک شود! به نظر من، هر داده یا اطلاعاتی که سه نسخه از آن موجود نباشد، یعنی هیچگاه وجود نداشته است.
مفهوم این نیست که از تمامی فایل های یک هارد دیسک بک آپ تهیه کنید، بلکه فایل های مهم، کاربردی و یا حتی بایگانی می توانند جزو فایل های ملزم به پشتیبان گیری باشند. در نظر داشته باشید که مهمترین قانون پشتیبان گیری، نگهداری همزمان در بیش از یک حافظه فیزیکی یا ابری است.
باج افزار واناکرای تنها نمونه ای از بدافزارهای کامپیوتر است. باج افزارها ذاتاً با رمزگذاری اطلاعاتتان سعی بر گرفتن پول از شما دارند و البته هیچ ضمانتی بابت پرداخت وجه و رمزگشایی اطلاعاتتان توسط عاملان آن وجود ندارد. اتفاقی که با داشتن نسخه پشتیبان به راحتی می توان آن را نادیده گرفت و از کنار آن به راحتی عبور کرد. بنابراین، توصیه می شود که همیشه از داده های خود پشتیبان تهیه کنید. شما می توانید گزینه پشتیبان گیری خودکار را روی دستگاه خود (در سیستم عامل های مختلف) روشن کنید و یا به سادگی و به صورت دستی از اطلاعات خود پشتیبان گیری نمایید.
2. به روز باشید
شرکت های ارائه دهنده سیستم عامل ها، نظیر مایکروسافت (ویندوز)، همیشه در تکاپوی فراهم کردن بستری امن و مطمئن برای کاربران خود هستند. سیستم هایی که از نرم افزارها و سیستم عامل با بسته های به روز رسانی (Update) به روز استفاده نمی کنند، آسیب پذیرتر هستند. پس اطمینان حاصل کنید که دستگاه های خود را با نرم افزار به روز شده استفاده می کنید تا آسیب پذیری از طریق حمله یا موارد سوء استفاده و بدافزارها کمتر به سراغتان بیایند.
3. از ضد ویروس استفاده کنید
نیازی به گفتن نیست که شما باید یک نرم افزار ضد ویروس (Anti-Virus) قابل اعتماد و مطمئن در سیستم خود نصب کنید. نه فقط بر روی کامپیوتر، بلکه شما باید نرم افزار ضد ویروس را بر روی تلفن های همراه خود نیز نصب کنید. علاوه بر این، به روز رسانی ضد ویروس خود، برای حفظ امنیت سیستم را فراموش نکنید.
4. نرم افزار بازیابی اطلاعات داشته باشید
در صورتی که سیستم شما همچنان توسط نرم افزارهای مخرب تحت تأثیر و مورد آسیب قرار گیرد، باید نرم افزار بازیابی اطلاعات را که از قبل نصب شده (و یا آشنایی دارید) داشته باشید. این امر برای شما در موارد متعددی مفید خواهد بود. پس از حذف نرم افزارهای مخرب از سیستم، به راحتی می توانید برنامه بازیابی داده را برای بازیابی داده های آسیب دیده اجرا کرده و به اطلاعات خود دست پیدا کنید.
قسمت پنجم: اطلاعات بیشتر در رابطه با باج افزار واناکرای (WannaCry ransomware)
در حال حاضر هیچ اطلاعات رسمی در مورد منبع واناکرای (WannaCry) وجود ندارد. با این حال با نام WannaCry 0r 2.0 نام گذاری شده است. نوعی حمله سایبری محسوب می شود و همه را بر این باور رسانده که نسخه دوم از نرم افزارهای مخرب می باشد. نسخه ابتدایی آن Ransomware WeCry نام داشت که تقاضای 1 بیت کوین به عنوان باج می کرد.
خلق کنندگان واناکرای از Eternal Blue (اکسپلویت ویندوز) استفاده می کنند که خود توسط آژانس امنیتی ایالات متحده آمریکا (NSA) توسعه یافته است. این اکسپلویت ابتدا توسط یک گروه هکری به نام Shadow Brokers در آوریل 2017 منتشر شد و ماه بعد از آن در واناکرای مورد استفاده قرار گرفت. واناکرای از آسیب پذیری SMB (بلوک کردن پیام سرور ـ Server Message Block) در سیستم های ویندوز بهره می گیرد. این امر توسط اکسپلویت Eternal Blue انجام می شود. بر اساس بررسی ها و اطلاعات من، Eternal Blue در اصل یک نوع سلاح سایبری است که به عنوان رخنه ای برای نفوذ و آسیب به رایانه های سراسر دنیا، توسط آزانس امنیتی ایالات متحده طراحی شده بود.
همچنین واناکرای مزیت نصب درب پشتی ها (Backdoor) بر روی سیستم های آلوده را برای خود اختصاص می دهد.
این باج افزار بیش از 200.000 رایانه را در نزدیک به 150 کشور دنیا آلوده کرده و حتی تعداد زیادی از سازمان ها تحت تأثیر این حمله سایبری قرار گرفته اند که شامل بسیاری از بیمارستان ها در انگلستان، شرکت مخابرات اسپانیایی Telefónica و حتی بخش تدارکات FedEx است. این نشان می دهد که دسترسی باج افزار واناکرای چقدر قدرتمند است.
این حمله طی چند روز پس از کشف، با استفاده از بسته های اضطراری که توسط مایکروسافت ارائه شدند متوقف شد و یک کلید مرگ برای واناکرای برای جلوگیری از گسترش آلودگی در رایانه های بیشتر گردید.
واناکرای سیستم هایی را که برای MS-17-010 (که توسط مایکروسافت در مارس 2017 منتشر شد) وصله نشده اند، هدف قرار می دهد. بنابراین اگر سیستم تان هنوز پچ نشده است، شما در مقابل حمله آسیب پذیر خواهید بود. پس از نفوذ، داده های شما به آلوده شده و یک صفحه مانند بالا دریافت خواهید کرد. این پیام نشان می دهد که برای بازیابی فایل ها نیاز به انتقال Bitcoins به حساب داده شده دارید ...
