خطر جدی: باج افزار چیست؟

خطر جدی: باج افزار چیست؟

باج افزارها یک تهدید گسترده و جدی برای رایانه ها می باشند و یک نوع پیچیده و پیشرفته از نرم افزارهای مخرب هستند که پس از ورود به رایانه قربانی، فایلها و اطلاعات مهم و حساس را شناسایی کرده و آنها را با روش های پیچیده رمز گذاری و از دسترس خارج  می کنند که این رمزنگاری ها حتی با تکنولوژی امروزه هم اکثراً تقریباً غیر قابل نفوذ می باشند و بدین دلیل احتمالاً تنها راهکار دسترسی مجدد به این اطلاعات برای قربانی، پرداخت وجه به تولید کننده این باج افزارها خواهد بود.
اما آنچه که مسلم است همیشه پیشگیری بهتر از درمان است بنابراین چند نکته بسیار مهم و در عین حال ساده می تواند کاربران را از مواجهه با مشکلات آتی مصون نگه دارد:
1-     تهیه نسخه پشتیبان (Backup):
در اختیار داشتن نسخه پشتیبان به این معنی است که اطلاعات شما از گزند باج افزارها در امان می باشند. بهترین راه این است که شما بعد از تهیه نسخه پشتیبان در زمان های مورد نیاز از فایل ها، پایگاه های داده و... آن را در مکانی غیر از سیستم اولیه نگهداری کنید و به این نکته دقت کنید که نسخه پشتیبانی که تهیه می کنید را به خوبی محافظت کنید.
2-     همیشه از یک آنتی ویروس قدرتمند و به روز استفاده کنید:
برای حفاظت از سیستم خود در برابر باج افزارها، یک آنتی ویروس خوب و قدرتمند بر روی آنها نصب کنید و آن را مداوم بروزرسانی نمایید.
3-     سیستم عامل (ویندوز) و تمامی نرم افزارهای خود را به روز نگه دارید:
وقتی برای سیستم عامل شما و یا نرم افزارهای نصب شده روی آنها نسخه جدیدی منتشر می شود، نسخه های جدید را نصب کنید و اگر نرم افزارها بخشی با عنوان به روز رسانی خودکار دارند، آن را غیر فعال نکنید.
4-     به موارد نامطمئن اعتماد نکنید:
هر سیستمی می تواند در معرض خطر باشد. باج افزارها می توانند از روش های مختلفی از جمله: شبکه های اجتماعی، بازی آنلاین، دانلود رایگان موسیقی، وب سایتهای خطرناک، ایمیل ناشناس و... وارد سیستم شده و آن را آلوده کنند.
در نظر داشته باشید که امنیت فرایندی همیشگی است بنابراین به روز باشید و همواره علاوه بر حساسیت نسبت به رویدادهایی که درون شبکه و سیستم های شما اتفاق می افتد نسبت به اخبار و اطلاعات حوزه امنیت رایانه ای
هوشیار باشید. 


اقدامات عملي جهت پیشگیری و مقابله با باج افزار wannacrypt
این حمله را میتوان بزرگترین حمله آلوده نمودن به باج افزار تاکنون نامید. باج افزارها دسترسی قربانی به کامپیوتر و فایلها را سلب کرده و برای بازگرداندن دسترسی درخواست باج میکند.
از یک آسیب پذیری در سرویس SMBv1 سیستمهای عامل ویندوز با شناسه  MS17-010 استفاده میکند. در حال حاضر این آسیب پذیری توسط مایکروسافت مرتفع شده است اما کامپیوترهایی که بروزرسانی مربوطه را دریافت ننموده اند نسبت به این حمله و آلودگی به این باج افزار آسیب پذیر هستند.
نحوه تاثیرگذاری این باج افزار هنوز به صورت دقیق مشخص نشده اما موردی که مشخص است استفاده از ایمیل های فیشینگ و لینک های آلوده در سایتهای غیر معتبر برای پخش باج افزار است.
این باج افزار فایلهای با پسوند زیر را رمز میکند:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm,
.ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml,
.lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi,
.ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd,
.jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg,
.asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd,
.nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar,
.tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti,
.sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd,
.edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm,
.pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot,
.docm, .docb, .docx, .doc

باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستمهای عامل ویندوز، تهیه کپی پشتیبان از اطلاعات مهم خود، بروزرسانی آنتی ویروسها و اطلاع رسانی به کاربران جهت عدم اجرای فایلهای پیوست ایمیلهای ناشناس در اسرع وقت اقدام کنند.
اقدامات پیشگیرانه
نصب وصله  : MS17-010
آسیب پذیری  MS17-010در پیاده سازی سرویس) SMBv1 پروتکل اشتراک گذاری فایل) در همه نسخه های ویندوز وجود دارد. راهکار اصلی و قطعی مقابله با این آسیب پذیری و جلوگیری از سوءاستفاده از آن لازم است آخرین بروزرسانی های سیستم عامل ویندوز اعمال گردد. برای این منظور لازم است با استفاده از ابزار بروزرسانی ویندوز (windows update) آخرین بروزرسانی های سیستم عامل دریافت شده و نصب گردد.
فایل های نصب وصله (بجز ویندوز 10 و سرور 2016) در آدرس: ftp://91.98.153.119/WannaCrypt/ وجود دارند و اقدام به نصب آنها نمایید و همچنین ftp://91.98.153.119/Cybereason-RansomFree.msi را برای امنیت کلی بصورت نسبی برای باج افزار ها استفاده نمایید.
چنانچه به دلیلی امکان بروزرسانی سیستم عامل یا نصب وصله مربوطه وجود نداشته باشد لازم است دسترسی به سرویس  SMBv1مسدود گردد. برای این منظور می توان با توجه به نسخه سیستم عامل نسبت به حذف و توقف سرویس و یا مسدود سازی پورت های مورد استفاده آن اقدام نمود.


غیر فعالسازی سرویس  SMBv1در ویندوز ویستا، 7 و ویندوز سرورهای  2008و 2008 R2 با استفاده از محیط  :powershell
برای غیرفعال کردن  SMBv1روی سرور :SMB
Set-ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 0 –Force

برای فعال کردن  SMBv1روی سرور :SMB
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 1 -Force


توجه کنید که برای اینکه تنظیمات بالا اعمال شود باید کامپیوتر خود را ریستارت کنید.

غیر فعالسازی سرویس  SMBv1در ویندوز ۸ و ویندوز سرور 2012 به بعد با استفاده از محیط :powershell
برای مشاهده وضعیت پروتکل سرور :SMB
Get-SmbServerConfiguration | Select EnableSMB1Protocol
برای غیرفعال کردن SMBv1 روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB1Protocol $false
برای فعال کردن  SMBv1روی سرور :SMB
Set-SmbServerConfiguration -EnableSMB1Protocol $true

مسدودسازی دسترسی به سرویس SMB بدون توقف سرویس
به عنوان راهکار جایگزین، می توان نسبت به بستن پورت های 445، 137 و 139 TCP و 138 و 137 UDP مربوط به پروتکل SMB روی فایروال ویندوز اقدام نمود. 
 
در صورت نیاز واحد IT شرکت سند پرداز آماده کمک راهکاری و... به واحد IT شرکت های مورد قرارداد میباشد.
با سپاس
واحد IT شرکت سند پرداز