تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »
تهاجم گسترده ویروس باجگیر « واناکرای WannaCry »

«مرجع آنتی ویروس ایران» به علت تهاجم بی‌نهایت سریع و گسترده ویروس باجگیر « واناکرای WannaCry » به معرفی آن تنها یک روز بعد از انتشار آن می‌پردازد. با توجه به اهمیت موضوع این مرجع اکیداً توصیه می‌کند با مطالعه دقیق این مطلب و توجه به نکات ارائه شده آن علاوه بر رعایت موارد اعلام شده نسبت به آگاه سازی دیگران نیز اقدام نمایید.

بعلت آلودگی تعداد بسیار زیادی از کامپیوترهای دنیا در عرض زمانی کوتاهی توسط ویروس باجگیر « واناکرای WannaCry » ، آنرا تنها بعد از یک روز پس از انتشار بعنوان بیرحمانه‌ترین ویروس باجگیر تاریخ دنیا می‌شناسند، بنابراین لازم است ابتدا به تهیه پشتیبان از اطلاعات مهم خود بر روی DVD یا CD بپردازید و سپس به توصیه‌های دیگر عمل نمایید.

هدف ویروس باجگیر « واناکرای WannaCry » دقیقاً مشابه ویروس های باجگیر قبلی، رمزنگاری کردن اطلاعات و درخواست باج است. در حال حاضر مبلغ باج حدود یک میلیون و دویست هزار تومان می‌باشد که در صورت عدم پرداخت تا سه روز به دو برابر افزایش پیدا می‌کند. تفاوت اصلی آن با دیگر ویروسهای باجگیر در نحوه نفوذ آن به کامپیوتر قربانی می‌باشد. ویروسهای باجگیر قبلی برای وارد شدن به کامپیوتر قربانی بیشتر از طریق ایمیل اقدام می‌کردند و کاربر با اشتباه خود باعث ورود آنها می‌شد اما در مورد این ویروس جدید یعنی « واناکرای WannaCry » نحوه نفوذ از طریق ضعف امنیتی سیستم عامل ویندوز چه در نسخه سروری و چه در نسخه کلاینتی بصورت اتوماتیک و بدون دخالت کاربر صورت می‌گیرد. ویروس باجگیر « واناکرای WannaCry » به صورت یک « کرم worm » عمل می‌کند و خود را مرتباً به دیگر کامپیوترها می‌رساند.

نحوه نفوذ
ویروس باجگیر « واناکرای WannaCry » با استفاده از ضعف امنیتی MS17-010 سیستم عامل های ویندوز به کامپیوتر قربانی نفوذ می‌کند. این ایراد امنیتی که به نام EternalBlue شناخته می‌شود در تمامی نسخه‌های ویندوز چه از نوع سرور  و چه از نوع کلاینت وجود دارد. برنامه نویسان این ویروس باجگیر با دسترسی به اطلاعات محرمانه آژانس امنیت ملی آمریکا این ضعف امنیتی را پیدا و با استفاده از آن ویروس خود را برنامه نویسی کرده‌اند. همانطور که گفته شد « واناکرای WannaCry » به صورت یک « کرم worm » عمل می‌کند و بصورت اتوماتیک و بدون دخالت کاربر از طریق ضعف امنیتی سیستم عامل ویندوز به کامپیوتر قربانی نفوذ می‌کند.

نحوه خرابکاری
این ویروس ها با استفاده از رمزنگاری تمام فایلهای کامپیوتر قربانی را رمز و غیرقابل استفاده می‌کند. اطلاعات رمز شده فقط با داشتن کلید انحصاری قابل بازگشت می باشند. در اصل دو کلید وجود دارد یک کلید عمومی و یک کلید اختصاصی که این کلید اختصاصی در سرور سازنده ذخیره می‌گردد و بعد از پرداخت باج به همراه یک برنامه به قربانی داده می‌شود. به نام هر فایل پسوند WCRY را اضافه می‌کند. تمام فایلهای مهم کامپیوتر قربانی را که فایلهایی با پسوند زیر می‌باشند را رمز و غیرقابل استفاده می‌کند:

  • .lay6
  • .sqlite3
  • .sqlitedb
  • .accdb
  • .java
  • .class
  • .mpeg
  • .djvu
  • .tiff
  • .backup
  • .vmdk
  • .sldm
  • .sldx
  • .potm
  • .potx
  • .ppam
  • .ppsx
  • .ppsm
  • .pptm
  • .xltm
  • .xltx
  • .xlsb
  • .xlsm
  • .dotx
  • .dotm
  • .docm
  • .docb
  • .jpeg
  • .onetoc2
  • .vsdx
  • .pptx
  • .xlsx
  • .docx

متن باجگیری
متن رسمی باجگیری بصورت زیر می باشد که البته یک فایل متنی به نام !Please Read Me!.txt را هم در بیشتر فولدرها می‌سازد:

فایل !Please Read Me!.txt در بیشتر پوشه‌ها ساخته می‌شود:



شناسایی ویروس قبل از خرابکاری

اگر سیستم شما بطور ناگهانی و غیرمعمول درصد زیادی از توان CPU را بکار می‌گیرد و فن خنک کننده کامپیوتر شما با سرعت بالایی کار می‌کند یا صدای فن خنک کننده CPU بیش از اندازه است، ممکن است در حال آلوده شدن به این ویروس باشید و اطلاعات شما در حال رمز شدن با این ویروس است.
در حالت بالا شما با خاموش کردن سیستم خود و کمک یک متخصص می‌توانید بخش زیادی از فایلهای خود را نجات دهید. معمولاً یک متخصص با متصل کردن هارددیسک شما به کامپیوتر خود تا جایی که بتواند فایلهای شما را نجات می‌دهد. متوجه باشید نباید حافظه های فلش یا هارد دیسک اکسترنال خود را با کامپیوتر آلوده وصل کنید چون آنها براحتی آلوده این ویروس می‌شوند.


پیشگیری از آلودگی:
قبل از هرچیز از اطلاعات مهم خود روی DVD پشتیبان تهیه نمایید. توجه نمایید در وضعیت اضطراری نوع دوم استفاده از هارد دیسک اکسترنال و یا حافظه فلش غیرمجاز و اشتباه است.
ابتدا با نصب وصله امنیتی مایکروسافت از لینک زیر مشکل ضعف امنیتی ویندوزهای خود را رفع نمایید.
https://support.microsoft.com/en-us/help/4013389/title
سپس آنتی ویروس خود را آپدیت نمایید.
در آخر اگر آنتی ویروس شما AntiCryptor دارد آنرا فعال نمایید.


راه حل : خوشبختانه یک برنامه رمزگشای رایگان برای آن ساخته شده است.
لطفاً به این لینک که مربوط به سازنده برنامه رمزگشا می‌باشد مراجعه نمایید و فایل مورد نظر را دانلود نمایید. نحوه استفاده از آن بصورت زیر است:

wanakiwi.exe

البته بخش PID (شماره پروسس) اختیاری می‌باشد و خود برنامه رمزگشا سعی میکند از روی wnry.exe یا wcry.exe شماره پروسس (PID) را بدست آورد اما در صورتی که موفق نشود، بایستی آنرا وارد نمود.
لطفاً در صورت موفقیت در رمزگشایی فایلهای خود با این برنامه آنرا در قسمت نظرات اعلام نمایید.


نتیجه گیری
بطور کلی بهترین روش در امان بودن از ویروس‌ها، پیشگیری از آنها است، بنابراین لازم است حتماً به یک آنتی‌ویروس اورجینال با دیتابیس بروز مجهز باشید و حتماً از جدیدترین نسخه آن استفاده نمایید. همیشه آپدیت اتوماتیک ویندوز خود را فعال نگهدارید تا ویندوز خود را آپدیت نماید و جدیدترین وصله های امنیتی در آن نصب شود. از بازکردن ایمیل‌های تبلیغاتی یا ایمیل‌های با آدرس ناآشنا بپرهیزید. بعنوان کارشناس ارشد علوم کامپیوتر به شما توصیه می‌کنم حتماً از اطلاعات خود روی DVD پشتیبان بگیرید تا درصورت آلوده شدن به این ویروس مجبور به پرداخت باج نباشید.

از شما تقاضا دارم به تمامی اعضای خانواده، دوستان و آشنایان خود در مورد این ویروس اطلاع رسانی مناسب بفرمایید.

علی عارفی

انتشار این مطلب با ذکر نام «مرجع آنتی ویروس ایران» و آدرس« antivirus.ir » به عنوان منبع بلامانع می باشد.

نویسندهعلی عارفی
تاریخ انتشار۹۶/۰۲/۲۳

نظرات

برای ثبت نظر ابتدا باید وارد شوید و یا ثبت نام کنید.

با سلام متاسفانه من هم این ویروس وارد لب تابم شد تمام عکسهای یاردگاری چند ساله رو خراب کرد لطفا اگه راهی بود وتوانستید من هم کمک کنید ممنون میشم از لطف شما

چهارشنبه, ۳ خرداد ۱۳۹۶

م

سلام خوشبختانه رمزگشایی برای برگرداندن فایلهای شما ساخته شده است. لطفاً به زدن این لینک به صفحه سازنده مراجعه و فایل مربوطه را دانلود و اجرا نمایید. فایلهای شما رمزگشایی خواهند شد.

شنبه, ۶ خرداد ۱۳۹۶

ن

با سلام ممنون از بررسی وتوجه شما امکان هست یا ایمیل از خودتان در اختیارم بگذارید تا نمونه ای از عکس ها را برایتان ارسال کنم ببینید قابل باز گردانی هستند ممنون میشم

دوشنبه, ۸ خرداد ۱۳۹۶

م

بله، خدمت شما ali.arefi[at].antivirus.ir البته خودتان هم میتوانید اینکار را انجام دهید، رمزگشای این ویروس ساخته شده است. لطفاً بخش «راه حل» ملاحظه نمایید و طبق آن رمزگشا را دانلود و اجرا کنید. بدین شکل که به این لینک که مربوط به سازنده برنامه رمزگشا می‌باشد مراجعه نمایید و فایل مورد نظر را دانلود نمایید. نحوه استفاده از آن بصورت زیر است: wanakiwi.exe البته بخش PID (شماره پروسس) اختیاری می‌باشد و خود برنامه رمزگشا سعی میکند از روی wnry.exe یا wcry.exe شماره پروسس (PID) را بدست آورد اما در صورتی که موفق نشود، بایستی آنرا وارد نمود.

سه شنبه, ۹ خرداد ۱۳۹۶

ن

سلام از من PID خواست و ویروس Kill process کرد و برنامه دیگه اجرا نمیشه

سه شنبه, ۱۳ تیر ۱۳۹۶

م

سلام در برنامه رمزگشای WannaCry بخش PID (شماره پروسس) اختیاری می‌باشد و خود برنامه رمزگشا سعی میکند از روی wnry.exe یا wcry.exe شماره پروسس (PID) را بدست آورد اما در صورتی که موفق نشود، بایستی آنرا وارد نمود.

سه شنبه, ۱۳ تیر ۱۳۹۶

ن

سلام .. این ویروس رو چطوری و از کجا میشه بگیریم..( پیداش ) کنیم..؟

سه شنبه, ۱۳ تیر ۱۳۹۶

م

سلام، میتوانید نمونه ای از فایلهای آنرا در سایتهای نظیر bleepingcomputer.com پیدا نمایید.

چهارشنبه, ۱۴ تیر ۱۳۹۶

ن