هشدار
در دو روز اخیر خبر بزرگترین حمله باج افزاری منتشر شده که سیستمهای کامپیوتری کاربران سازمان ها و مراکز دولتی ، مراکز بهداشتی از جمله بیمارستانها و مراکز آموزشی و خدماتی را هدف خود قرار داده است. این باج_افزار Wanna Cryptor نام دارد که از یک سرویس مایکروسافت ویندوز که SMBv2 نام دارد و بصورت Remote code روی آن اجرا می شود، فایلها را با پسوند *.WCRY رمزگذاری می کند.
Wanna Cryptor اولین نوع از باج افزار هاست که به صورت WORM عمل کرده و نیازی به همکاری کاربر نداشته و به صورت خودکار انتشار می یابد. این حمله از یکی از حفره های امنیتی سیستم عامل ویندوز که در ۱۴ مارچ توسط شرکت مایکروسافت Patch شده استفاده می کند. این حفره امنیتی خطرناک، توسط آژانس امنیت ملی آمریکا توسعه و در اوایل سال جدید شمسی به بیرون نشت کرده است.
این ضعف امنیتی (MS17-010 ) که با نام EternalBluee هم شناخته می شود در تمامی نسخه های ویندوز ( سرور و کلاینت) وجود دارد.
• نوع Exploit کد اجرا شد
Notes:
۱٫ Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi).
۲٫ Less common and nation-specific office formats (.sxw, .odt, .hwp).
۳٫ Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
۴٫ Emails and email databases (.eml, .msg, .ost, .pst, .edb).
۵٫ Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd).
۶٫ Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm).
۷٫ Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
۸٫ Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd).
۹٫ Virtual machine files (.vmx, .vmdk, .vdi).
کسپرسکی این باج افزار را با نام های زیر شناسایی می نماید :
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
برای مقابله با این باج افزار مراحل زیر انجام شود:
• ابتدا وصله امنیتی این ضعف امنیتی در تمامی ویندوز ها نصب شود. برای نصب این وصله حتما از Windows Update استفاده شود و از نصب دستی این Patch خودداری نمایید. همچنین در صورتی که از لایسنس Advanced کسپرسکی استفاده می کنید می توانید با استفاده از قابلیت Patch Management این وصله را نصب نمایید.
• از آخرین نسخه KES برای کلاینت ها با فعال بودن گزینه System Watcher استفاده شود. ( آخرین نسخه تا زمان ارسال ایمیل ۱۰٫۳٫۰٫۶۲۹۴ )
• از نسخه Kaspersky Security 10 for windows server برای سرور های استفاده شود و حتما گزینه AntiCryptor فعال باشد. ( آخرین نسخه تا زمان ارسال ایمیل ۱۰٫۰٫۰٫۴۸۶) ( لازم به ذکر است این قابلیت فقط با لایسنس Advanced فعال خواهد شد)
. نصب و بروز رسانی برنامه های Anti-malware & Anti-worm
• یک Critical Area Scan Task داخل آنتی ویروس شما وجود دارد حتما آن را اجرا کرده یا حداقل برنامه ای برای اجرای آن در ۲۴ ساعت آینده داشته باشید.
• مطمئن شوید که آخرین بک آپ را از اطلاعات خود در جایی غیر از محیط شبکه داشته باشید.
• در صورت یافتن تروجانی به نام MEM: Trojan.Win64.EquationDrug.gen سیستم را ریستارت نمایید.
• آگاهی سریع به کاربران و اعلام هر گونه موارد مشکوک به مدیر شبکه
اطلاعات مربوط به آپدیت در لینک زیر قابل دسترس می باشد :
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
برای اطلاعات بیشتر به کانال شرکت آتنا مراجعه کند