باج افزار واناکرای چیست و چگونه حمله باج افزاری می‌کند

باج افزار واناکرای چیست

امروزه با پیشرفت کردن علم و تکنولوژی در سراسر جهان این قابلیت به وجود آمده است تا افراد بتوانند راحت‌تر زندگی کنند و کمتر درگیر مشکلاتی که در گذشته بوده است شوند البته این را هم بگوییم که با پیشرفت تکنولوژی درست است که زندگی لذت‌بخش‌تر شده است اما این ویژگی ممکن است معایبی نیز داشته باشد که مانع پیشرفت افراد در زمینه‌های مختلف شود.پس اگر شما هم می‌خواهید بدانید که باج افزار واناکرای چیست با ما تا آخرین مطلب این مقاله همراه باشید.

 

 

در حال حاضر یکی از نگرانی‌هایی که به وجود آمده، وجود انواع مختلف باج افزار یا بدافزار است که می‌توانند با وارد شدن به سیستم عامل شما، عملیات مخربی را طراحی و ایجاد کنند.

یکی از این نمونه بدافزارها، باج افزار WannaCry است که این نوع باج افزار در سراسر جهان به عنوان مخرب‌ترین باج افزار شناخته می‌شود که در ادامه این مطلب ما می‌خواهیم بیشتر در رابطه با این موضوع سخن بگوییم. 

 

باج افزار واناکرای چگونه حمله باج افزاری می‌کند

باج افزار واناکرای (WannaCry) به نوعی یک کرم باج افزاری است که توانست با بدافزاری که دارد در ماه می (May) سال ۲۰۱۷ توسط تعداد زیادی از شبکه‌های رایانه‌ای در سراسر جهان پخش شود. واناکرای با سوءاستفاده از یک آسیب پذیری در پروتکل (Windows Server Message Block (SMB خود را توسعه و گسترش می‌دهد. 

به طور معمول باج افزار واناکرای سیستم عامل ویندوز را مورد هدف خود قرار می‌دهد و با رمزگذاری کردن انواع فایل‌های موجود در سیستم عامل، خواستار دریافت باج از طریق بیت کوین (Bitcoin) می‌شود. باج افزار واناکرای با نام‌های دیگری مانند: WannaCrypt ، WCry ، Wana Decrypt0r 2.0 ، WanaCrypt0r 2.0 و Wanna Decryptor نیز شناخته می‌شود.

نکته: پروتکل SMB امکان برقراری ارتباط بین ماشین‌های ویندوز در شبکه‌های مختلف رایانه‌ای را فراهم می‌کند.

 

 

باج افزار واناکرای بعد از وارد شدن به سیستم عامل و آلوده کردن آن، تمامی فایل‌ها را رمزگذاری می‌کند و به نوعی دسترسی کامل کاربر به فایل‌های موجود در سیستم را غیر ممکن می‌کند و پس از آن خواستار دریافت باج از طریق بیت کوین (Bitcoin) برای رمزگشایی کردن فایل‌ها می‌شود.

باج افزار واناکرای در اصل برای کنترل کردن مسائل مختلف و نظارت بر سازمان‌ها، اول در اختیار سازمان NSA بود که بر اثر یک آسیب‌پذیری در سیستم سازمان NSA هکرهایی به نام سایه شکن‌ها آن را شناسایی و به سوءاستفاده از آن پرداختند و اینگونه شد که در ماه آوریل این هکرها یک cache از اسناد سرقت شده‌‌ی NSA در اینترنت منتشر کردند که دارای باج افزار واناکرای بود.

شاید این سوال برایتان به وجود بیاید که باج افزار واناکرای چگونه موجب آلوده شدن سیستم می‌شود؟! برای پاسخ دادن به این سوال باید بگوییم که باج افزار واناکرای داری چندین مولفه (components) است که می‌توانند به صورت قطره چکانی سیستم را آلوده کنند.

 

مولفه‌های باج افزار واناکرای 

همانطور که پیش تر گفتیم واناکرای دارای چندین مولفه است که شامل:

• برنامه‌ای که اطلاعات را رمزگذاری و رمزگشایی می‌کند
•  فایل‌های حاوی کلیدهای رمزگذاری
• کپی از Tor

حال با دانستن این مولفه‌ها بگذارید شما را با چگونگی عملیات باج افزار واناکرای آشنا کنیم. کد برنامه واناکرای زیاد پیچیده و مبهم نیست و تجزیه و تحلیل برای جوانب امنیتی نسبتاً آسان است. پس از راه‌اندازی  WannaCry سعی می‌کند به یک hard-coded URL  رمزگذاری شده که اصطلاحا به آن kill switch  می‌گویند، دسترسی پیدا کند.

 

 

اگر نتواند این کار را انجام دهد به جستجوی و رمزگذاری پرونده‌ها در تعداد زیادی از فایل‌های Microsoft Office تا MP3 و MKV ادامه می‌دهد و آنها را برای کاربر غیرقابل دسترسی می‌کند. سپس بعد از انجام این کارها درخواست اعلان باج نمایش داده می‌شود.

سوال: شاید پرسش به وجود بیاید که kill switch چیست؟!

حتی اگر رایانه شخصی نیز آلوده باشد WannaCry لزوماً رمزگذاری اسناد را آغاز نمی‌کند. ابتدا سعی می‌کند به یک URL طولانی و پر زرق و برق دسترسی پیدا کند. در صورت دسترسی به آن دامنه، WannaCry خود را خاموش می‌کند. این عمل به عنوان کلید کشتن  (kill switch) WannaCry شناخته می‌شود. 

برخی از محققان بر این باورند که این قابلیت راهی است که سازندگان بدافزار می‌توانند حمله WannaCry را قطع کنند. دیگران فکر می‌کنند این تلاش برای جلوگیری از اجرای بدافزار و ارزیابی آن در محیط sandbox  است. به هر دلیل، kill switch توسط مقامات برای کاهش سرعت گسترش WannaCry استفاده می‌شود.

 

نمونه‌هایی از حملات باج افزار واناکرای

باج افزار واناکرای در سال ۲۰۱۷ توانست با آلوده کردن بیش از 230،000 کامپیوتر در سراسر جهان به اوج خود برسد به طوری که سازمان‌های مختلف چندین هزار میلیارد دلار به واسطه این باج افزار خسارات دیدند.

این حملات ادامه داشت تا بالاخره در سال ۲۰۱۸ سازمان‌های بهداشتی و تولید کنندگان بزرگ کشورها در معرض این باج افزار قرار گرفتند که بخش مراقبت‌های بهداشتی به دلیل استفاده گسترده از رایانه‌های ویندوزی بسیار تحت تأثیر WannaCry قرار گرفتند.

 

 

این حمله باعث شد بسیاری از سیستم‌های مهم در دسترس نباشند و منجر به اقدامات شدید مانند بستن اتاق‌های اضطراری و جدا شدن تجهیزات مهم بهداشتی از شبکه شوند. دستگاه‌هایی مانند ام آر آی که برای مراقبت و تشخیص بیماری هستند و بسیار حساس به زمان و صرفه جویی در مصرف می شوند، بی اثر شدند.

چگونگی حمله باج افزار واناکرای

بعد از آنکه باج افزار واناکرای سیستم عامل را آلوده کرد مراحل ذیل را طی می‌کند که عبارت اند:

1. هنگام اجرا، واناکرای اول بررسی می‌کند که دامنه kill switch در دسترس است یا خیر.
2. اگر kill switch در دسترس نباشد، باج افزار اطلاعات را در رایانه رمزگذاری نمی‌کند اما همچنان سعی می‌کند به صورت آنلاین و از طریق شبکه محلی به سایر رایانه‌ها سرایت کند.
3.  در صورت وجود kill switch، WannaCry تمام داده‌های موجود در دستگاه را رمزگذاری می‌کند.
4. بعد از انجام این مراحل از قربانیان خواسته می‌شود ظرف سه روز 300 دلار یا در عرض یک هفته 600 دلار بیت کوین پرداخت کنند.
5. رایانه آلوده به دنبال دستگاه‌هایی است که در پورت‌های TCP 135-139 یا حتی 445 ترافیک را بپذیرند، که نشان می‌دهد دستگاه برای اجرای SMB پیکربندی شده است.
6.  اتصال SMBv1 آغاز می‌شود و حمله سرریز بافر (buffer) برای به خطر انداختن سیستم و نصب باج افزار واناکرای شروع می‌شود.

 

 

نکته‌ای که در اینجا وجود دارد این است که کارشناسان امنیتی توصیه می‌کنند باج یا دیه را پرداخت نکنید؛ در بیشتر موارد، مهاجمان WannaCry داده‌ها را رمزگشایی نمی کنند و حتی ممکن است راهی برای این کار فنی نداشته باشند.

 

راه‌ حل‌هایی که می‌تواند از حمله باج افزار واناکرای جلوگیری کند

Imperva File Security می‌تواند قبل از اینکه آسیب گسترده‌ای به سیستم عامل وارد شود با استفاده از فناوری نظارت و فریب مبتنی بر سیاست، می‌تواند فعالیت باج افزارها از جمله باج افزار واناکرای را تشخیص دهد.

 

 

Imperva رفتار مشکوک دسترسی فایل را در زمان واقعی شناسایی می‌کند و کاربران یا دستگاه‌های آلوده را که ممکن است تحت تأثیر باج افزار قرار بگیرند را، قرنطینه می‌کند. همچنین داده‌هایی فراهم می‌کند که می‌تواند به تیم‌های امنیتی در تحقیق و گزارش فعالیت باج افزار کمک کند. 

توصیه می‌شود که اگر از نسخه‌های قدیمی Microsoft Windows استفاده می‌کنید ، حتما مطمئن شوید که بروز رسانی امنیتی MS17-010 را بر روی سیستم عامل ویندوز خود نصب کرده‌اید. هیچ‌گاه بر روی لینک‌های ناشناس کلیک نکنید و همچنین ایمیل‌هایی که مشکوک و غیر منتظره هستند را باز نکنید.