باج افزار WannaCry چیست؟

باج‌افزار WannaCry یک حمله باج‌افزاری بسیار معروف می باشد که در ماه می 2017 به سرعت در شبکه‌های رایانه‌ای در سراسر جهان گسترش یافت.

WannaCry نمونه‌ای از باج‌افزار رمزنگاری است، نوعی نرم‌افزار مخرب (بدافزار) که توسط مجرمان سایبری برای اخاذی استفاده می‌شود. باج‌افزار این کار را با رمزگذاری فایل‌های ارزشمند انجام می‌دهد ،یا دسترسی کاربر را از سیستم کاملا قطع می کند.

باج افزاری که از رمزگذاری استفاده می کند، باج افزار رمزنگاری یا باج افزار کریپتو نامیده می شود. نوعی از باج افزار که دسترسی کاربر را از کامپیوتر می بندد ، لاکر یا باج افزار قفل کننده نامیده می شود.

کریپتوجکینگ (Cryptojacking) چیست ؟

مانند سایر انواع باج افزارهای رمزنگاری شده، باج افزار WCry داده های کاربر را گروگان می گیرد و قول می دهد در صورت پرداخت باج، آنها را برگرداند.

باج افزار WCry کامپیوترهایی را هدف قرار می دهد که از ویندوز مایکروسافت به عنوان یک سیستم عامل استفاده می کنند. داده‌ها را رمزگذاری می‌کند و برای بازگرداندن ارز دیجیتال بیت‌کوین باج می‌خواهد.

مولفه های حمله WannaCry

یک اپلیکیشن که داده ها را رمزگذاری و رمزگشایی می کند :

دراپر اولیه WannaCry حاوی اپلیکیشنی است که مهاجم را قادر می سازد تا داده ها را رمزگذاری و رمزگشایی کند. مؤلفه رمزگذاری به عنوان Wana Decrypt0r 2.0 شناخته می شود و در داخل آن یک فایل ZIP محافظت شده با رمز عبور قرار داشت.

فایل های حاوی کلیدهای رمزگذاری :

در داخل آن فایل ZIP چندین فایل جداگانه حاوی اطلاعات پیکربندی وجود داشت که به هکر کمک کرد تا حمله خود را انجام دهد. همچنین شامل کلیدهای رمزگذاری است که آنها را قادر می سازد قفل داده ها را باز کنند.

یک کپی از Tor :

فایل ZIP همچنین حاوی یک کپی از شبکه Tor بود که یک مرورگر وب منبع باز است که هدف آن محافظت و پنهان کردن داده‌ها، مکان‌ها و فعالیت آنلاین کاربران از طریق مرور ناشناس است.

منشا حمله باج افزار WannaCry

WannaCry که با نام WCry نیز شناخته می‌شود، یک حمله باج‌افزاری بود که برای اولین بار در می 2017 ظاهر شد. این حمله بسیار مؤثر بود زیرا با استفاده از پروتکل Windows Server Message Block (SMB) که به ماشین‌های ویندوز امکان برقراری ارتباط با یکدیگر را می‌دهد، در سراسر دستگاه‌های یک شبکه گسترش یافت.

این حمله با استفاده از EternalBlue، یک آسیب‌پذیری روز صفر در دستگاه‌هایی که از نسخه قدیمی SMB استفاده می‌کنند، پخش شد.واناکرای اولین بار توسط آژانس امنیت ملی ایالات متحده (NSA) کشف شد .

گروهی از هکرها به عنوان ShadowBrokers ، باج‌افزار واناکرای را منتشر کرده و قدرت تخریب نهفته در WannaCry نخستین بار توسط NSA (آژانس امنیت ملی آمریکا) شناسایی شد. شرکت‌های بزرگ نرم‌افزاری تولیدکنندهٔ سیستم‌عامل مانند مایکروسافت،‌ گوگل و اپل هم بلافاصله دست‌ به‌ کار شده و شروع به رفع معایبی نمودند که می‌توانست توسط WannaCry مورد سوءاستفاده قرار گیرد اما هکرها نیز بیکار ننشستند و نسخهٔ جدیدی از این Malware (بدافزار) را تولید کردند تا بتوانند کامپیوتر‌ها و دیوایس‌های بیشتری را مورد حمله قرار دهند.

حذف باج افزار: نحوه شناسایی و حذف

حمله WannaCry چگونه کار می کند؟

حمله WannaCry با آلوده کردن رایانه‌های شخصی و انتشار بین دستگاه‌ها ، به صورت خودکار و بدون نیاز به دخالت کاربر یا مهندسی اجتماعی کار می‌کند. از اکسپلویت EternalBlue برای حمله به هر دستگاهی که در برابر آسیب پذیری پچ نشده است استفاده می کند.

حمله باج افزار WannaCry با استفاده از دراپر معروف به DoublePulsar، برای حمله به رایانه آلوده عمل می کند. WannaCry سعی می کند به یک URL که به صورت هاردکدینگ در حمله کدگذاری شده، دسترسی پیدا کند. پس از دسترسی، WannaCry را خاموش می کند که به “سوئیچ کشتن” معروف شد. سپس WannaCry فایل‌های مهم دستگاه را جستجو می‌کند، که معمولاً اسناد Microsoft Office، فایل‌های MPEG Audio Layer 3 (MP3) یا فایل‌های MKVهستند. این فایل ها را رمزگذاری می کند، آنها را در دسترس کاربر قرار نمی دهد و درخواست باج را به کاربر نشان می دهد که برای رمزگشایی فایل ها پرداخت کند.

کدنویسی سخت ( Hard coding ) یا هارد-کدینگ، از روش‌های توسعه نرم‌افزار است، که برای جاسازی مستقیم داده‌ها در کد منبع یک برنامه یا یک شیء مورد استفاده قرار می‌گیرد و نقطه مقابلِ جمع‌آوری داده‌ها از منابع خارجی یا تولید داده‌ها در زمان اجرا می‌باشد.

این روش تضمین می کند بدافزار WannaCry به صورت رمزگذاری نشده روی دیسک دستگاه نوشته نمی شود، که آن را از برنامه های آنتی ویروس سنتی پنهان می کند. این حمله علاوه بر رمزگذاری فایل‌های قربانی، اشتراک‌گذاری فایل‌های قابل مشاهده را نیز اسکن می‌کند و سیستم‌های متصل به آن‌ها را آلوده می‌کند، که به آن امکان می‌دهد به سرعت در سراسر شبکه‌ها پخش شود.

اگر باج WannaCry پرداخت نشود چه اتفاقی می افتد؟

معمولا مهاجمان WannaCry ، از قربانیان درخواست پرداخت ۳۰۰ یا ۶۰۰ دلار بیت‌کوین ، می‌کنند که در عرض یک هفته پس از حمله به دستگاهشان بپردازند. با این حال، به قربانیان توصیه شد که باج را تسویه نکنند. در بیشتر موارد، مهاجمان داده‌ها را رمزگشایی نمی‌کردند و گمان می‌رفت که از نظر فنی توانایی انجام این کار را ندارند.

حمله WannaCry چه تأثیری داشت؟

WannaCry تأثیر بزرگی بر سازمان‌ها در سراسر جهان داشت و بیش از 230000 رایانه را آلوده کرد و میلیاردها دلار خسارت وارد کرد. این امر به دلیل استفاده گسترده از دستگاه‌های ویندوز منسوخ و بدون پچ، تأثیر مخربی بر سازمان‌های مراقبت‌های بهداشتی، از جمله سرویس بهداشت ملی بریتانیا (NHS) داشت. این حمله منجر به از کار افتادن یا در دسترس نبودن تجهیزات و سیستم‌های حیاتی شد که منجر به بسته شدن اتاق‌های اورژانس و ناکارآمد شدن دستگاه‌های نجات بخش مانند تصویربرداری تشدید مغناطیسی (MRI) شد.

WannaCry همچنین تأثیر زیادی بر تولیدکنندگان بزرگی که از نسخه‌های آسیب‌پذیر ویندوز استفاده می‌کردند، داشت. بسیاری از آنها دچار قطعی تولید شدند که بسیار پرهزینه بود.

چگونه می توان WannaCry را متوقف کرد؟

WannaCry می‌توانست با دانلود یک پچ مایکروسافت که بیش از دو ماه قبل از شروع حمله منتشر شده بود، متوقف شود. مایکروسافت پچ امنیتی Microsoft Security Bulletin MS17-010 را که در مارس 2017 منتشر شد، به‌عنوان مهم معرفی کرد، اما بسیاری از سیستم‌ها بدون اصلاح باقی ماندند و آنها را برای WannaCry باز گذاشت.

یک ویژگی خودکار تعبیه شده در سیستم های ویندوز 10 تضمین می کند که کاربران در برابر WannaCry محافظت می شوند. با این حال، این پچ در ابتدا فقط برای نسخه‌های ویندوز پشتیبانی‌شده در دسترس بود، که شامل میلیون‌ها سیستم ویندوز XP که به اینترنت متصل بودند، نبود. مایکروسافت بعداً یک پچ برای سیستم‌های ویندوز قدیمی‌تر و غیر قابل پشتیبانی منتشر کرد. سیستم‌های پچ نشده که آلوده بودند تنها با بازگشت به یک نسخه پشتیبان امن قابل بازیابی هستند.