باج افزار WannaCry چیست؟
باجافزار WannaCry یک حمله باجافزاری بسیار معروف می باشد که در ماه می 2017 به سرعت در شبکههای رایانهای در سراسر جهان گسترش یافت.
WannaCry نمونهای از باجافزار رمزنگاری است، نوعی نرمافزار مخرب (بدافزار) که توسط مجرمان سایبری برای اخاذی استفاده میشود. باجافزار این کار را با رمزگذاری فایلهای ارزشمند انجام میدهد ،یا دسترسی کاربر را از سیستم کاملا قطع می کند.
باج افزاری که از رمزگذاری استفاده می کند، باج افزار رمزنگاری یا باج افزار کریپتو نامیده می شود. نوعی از باج افزار که دسترسی کاربر را از کامپیوتر می بندد ، لاکر یا باج افزار قفل کننده نامیده می شود.
مانند سایر انواع باج افزارهای رمزنگاری شده، باج افزار WCry داده های کاربر را گروگان می گیرد و قول می دهد در صورت پرداخت باج، آنها را برگرداند.
باج افزار WCry کامپیوترهایی را هدف قرار می دهد که از ویندوز مایکروسافت به عنوان یک سیستم عامل استفاده می کنند. دادهها را رمزگذاری میکند و برای بازگرداندن ارز دیجیتال بیتکوین باج میخواهد.
مولفه های حمله WannaCry
-
یک اپلیکیشن که داده ها را رمزگذاری و رمزگشایی می کند :
دراپر اولیه WannaCry حاوی اپلیکیشنی است که مهاجم را قادر می سازد تا داده ها را رمزگذاری و رمزگشایی کند. مؤلفه رمزگذاری به عنوان Wana Decrypt0r 2.0 شناخته می شود و در داخل آن یک فایل ZIP محافظت شده با رمز عبور قرار داشت.
-
فایل های حاوی کلیدهای رمزگذاری :
در داخل آن فایل ZIP چندین فایل جداگانه حاوی اطلاعات پیکربندی وجود داشت که به هکر کمک کرد تا حمله خود را انجام دهد. همچنین شامل کلیدهای رمزگذاری است که آنها را قادر می سازد قفل داده ها را باز کنند.
-
یک کپی از Tor :
فایل ZIP همچنین حاوی یک کپی از شبکه Tor بود که یک مرورگر وب منبع باز است که هدف آن محافظت و پنهان کردن دادهها، مکانها و فعالیت آنلاین کاربران از طریق مرور ناشناس است.
منشا حمله باج افزار WannaCry
WannaCry که با نام WCry نیز شناخته میشود، یک حمله باجافزاری بود که برای اولین بار در می 2017 ظاهر شد. این حمله بسیار مؤثر بود زیرا با استفاده از پروتکل Windows Server Message Block (SMB) که به ماشینهای ویندوز امکان برقراری ارتباط با یکدیگر را میدهد، در سراسر دستگاههای یک شبکه گسترش یافت.
این حمله با استفاده از EternalBlue، یک آسیبپذیری روز صفر در دستگاههایی که از نسخه قدیمی SMB استفاده میکنند، پخش شد.واناکرای اولین بار توسط آژانس امنیت ملی ایالات متحده (NSA) کشف شد .
گروهی از هکرها به عنوان ShadowBrokers ، باجافزار واناکرای را منتشر کرده و قدرت تخریب نهفته در WannaCry نخستین بار توسط NSA (آژانس امنیت ملی آمریکا) شناسایی شد. شرکتهای بزرگ نرمافزاری تولیدکنندهٔ سیستمعامل مانند مایکروسافت، گوگل و اپل هم بلافاصله دست به کار شده و شروع به رفع معایبی نمودند که میتوانست توسط WannaCry مورد سوءاستفاده قرار گیرد اما هکرها نیز بیکار ننشستند و نسخهٔ جدیدی از این Malware (بدافزار) را تولید کردند تا بتوانند کامپیوترها و دیوایسهای بیشتری را مورد حمله قرار دهند.
حمله WannaCry چگونه کار می کند؟
حمله باج افزار WannaCry با استفاده از دراپر معروف به DoublePulsar، برای حمله به رایانه آلوده عمل می کند. WannaCry سعی می کند به یک URL که به صورت هاردکدینگ در حمله کدگذاری شده، دسترسی پیدا کند. پس از دسترسی، WannaCry را خاموش می کند که به “سوئیچ کشتن” معروف شد. سپس WannaCry فایلهای مهم دستگاه را جستجو میکند، که معمولاً اسناد Microsoft Office، فایلهای MPEG Audio Layer 3 (MP3) یا فایلهای MKVهستند. این فایل ها را رمزگذاری می کند، آنها را در دسترس کاربر قرار نمی دهد و درخواست باج را به کاربر نشان می دهد که برای رمزگشایی فایل ها پرداخت کند.
کدنویسی سخت ( Hard coding ) یا هارد-کدینگ، از روشهای توسعه نرمافزار است، که برای جاسازی مستقیم دادهها در کد منبع یک برنامه یا یک شیء مورد استفاده قرار میگیرد و نقطه مقابلِ جمعآوری دادهها از منابع خارجی یا تولید دادهها در زمان اجرا میباشد.
اگر باج WannaCry پرداخت نشود چه اتفاقی می افتد؟
معمولا مهاجمان WannaCry ، از قربانیان درخواست پرداخت ۳۰۰ یا ۶۰۰ دلار بیتکوین ، میکنند که در عرض یک هفته پس از حمله به دستگاهشان بپردازند. با این حال، به قربانیان توصیه شد که باج را تسویه نکنند. در بیشتر موارد، مهاجمان دادهها را رمزگشایی نمیکردند و گمان میرفت که از نظر فنی توانایی انجام این کار را ندارند.
حمله WannaCry چه تأثیری داشت؟
WannaCry تأثیر بزرگی بر سازمانها در سراسر جهان داشت و بیش از 230000 رایانه را آلوده کرد و میلیاردها دلار خسارت وارد کرد. این امر به دلیل استفاده گسترده از دستگاههای ویندوز منسوخ و بدون پچ، تأثیر مخربی بر سازمانهای مراقبتهای بهداشتی، از جمله سرویس بهداشت ملی بریتانیا (NHS) داشت. این حمله منجر به از کار افتادن یا در دسترس نبودن تجهیزات و سیستمهای حیاتی شد که منجر به بسته شدن اتاقهای اورژانس و ناکارآمد شدن دستگاههای نجات بخش مانند تصویربرداری تشدید مغناطیسی (MRI) شد.
WannaCry همچنین تأثیر زیادی بر تولیدکنندگان بزرگی که از نسخههای آسیبپذیر ویندوز استفاده میکردند، داشت. بسیاری از آنها دچار قطعی تولید شدند که بسیار پرهزینه بود.
چگونه می توان WannaCry را متوقف کرد؟
WannaCry میتوانست با دانلود یک پچ مایکروسافت که بیش از دو ماه قبل از شروع حمله منتشر شده بود، متوقف شود. مایکروسافت پچ امنیتی Microsoft Security Bulletin MS17-010 را که در مارس 2017 منتشر شد، بهعنوان مهم معرفی کرد، اما بسیاری از سیستمها بدون اصلاح باقی ماندند و آنها را برای WannaCry باز گذاشت.
یک ویژگی خودکار تعبیه شده در سیستم های ویندوز 10 تضمین می کند که کاربران در برابر WannaCry محافظت می شوند. با این حال، این پچ در ابتدا فقط برای نسخههای ویندوز پشتیبانیشده در دسترس بود، که شامل میلیونها سیستم ویندوز XP که به اینترنت متصل بودند، نبود. مایکروسافت بعداً یک پچ برای سیستمهای ویندوز قدیمیتر و غیر قابل پشتیبانی منتشر کرد. سیستمهای پچ نشده که آلوده بودند تنها با بازگشت به یک نسخه پشتیبان امن قابل بازیابی هستند.