ارائه راهکار برای جلوگیری از نفوذ باج افزار wanna cry پشتیبانی VOIP
کاری که این باج افزار انجام می دهد این است که وارد سیستم شما شده و به رمزگذاری فایلهای شما می پردازد و در قبال پرداخت مبلغی فایل های شما را باز خواهد کرد.مهلت پرداخت مبلغ مشخص شده توسط باج افزار برای باز کردن فایلها 3 رز بوده و در صورتی که مبلغ مورد نظر پرداخت نشود مبلغ را دو برابر کرده و به شما مهلت دیری برای پرداخت داده خواهد شد.. همچنین این باج افزار به تهدید شما پرداخته و به شما خواهد گفت که در صورت عدم پرداخت مبلغ هرگز قادر به دست یافتن به اطلاعات خود نخواهید بود.
ممکن است فکر کنید که در صورت دانلود نکردن فایل از اینترنت هرگز گیر این باج افزار نخواهید افتاد اما با شنیدن تجربه یکی از کاربران نظرتان راجع به این قضیه عوض شود.
این کاربر با این ویروس بر روی یکی از سرورهای ویندوزی سازمانشان مواجه شد و درباره ی این موضوع بیان کرد:
“سروری که درگیر شد به هیچ حساب کاربری ایمیلی وصل نبود چه برسد به این که بخواهد فایل ضمیمه ای را دانلود کند.”
بنابراین استفاده از راهکار دانلود نکردن فایده ای نخواهد داشت .بنابراین برای اینکه از ورود این باج افزار به سیستمتان خود داری کنید باید طبق اصل “پیشگیری بهتر از درمان است” عمل کنید و راه هایی که باعث می شود تا این ویروس به سیستم شما راه پیدا کند ببندید.
برای بستن راه نفوذ wanna cry سه راه وجود دارد:
1-آپدیت ویندوز
با استفاده از لینک اورده شده در پایین به آپدیت ویندوز خود بپردازید زیرا این کار باعث می شود تا حدودی از ورود این باج افزار به سیستم جلوگیری کند.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2- بستن پورت های 135 و 445
این باج افزار با توجه به گزارشات ارائه شده بوسیله پورت های SMB(Server Message Block) قادر به ورود به سیستم شما خواهد بود بنابراین برای جلوگیری از نفوذ این باج افزار باید پورتها 135 و 145 را ببندید.
برای اینکه این پورتها در سازمانها بسته شود باید با ادمین شبکه خود کنسول را باز کنید
cmd.exe -> run as administrator
سپس دو دستور زیر را اجرا کنید:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
3-غیر فعال کردن پشتیبانی از SMBv 1 .
با غیر فعال کردن پشتیبانی از SMBv 1 از نفوذ این باج افزار جلوگیری خواهد شد برای انجام این کار باید به قسمت cmd رفته و به اجرای دستور زیر بپردازید:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
همچنین میتوانید:
وارد منوی استارت شده و عبارت PowerShell را تایپ کردن و کلید های Ctrl+Shift+Enter را فشار دهید .سپس به اجرای دستورات زیر بپردازید:
در Windows 8 و Windows Server 2012:
Set-SmbServerConfiguration -EnableSMB1Protocol $false Set-SmbServerConfiguration -EnableSMB2Protocol $false در Windows 7, Windows Server 2008 R2, Windows Vista Windows Server 2008 Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
داشتن یک نسخه پشتیبان از سیستم همیشه یکی از راهکارهای پیشنهادی ما به شما می باشد زیرا اگرچه با انجام مراحل بالا از نفوذ این باج گیر به سیستم خود جلوگیری می کنید اما باج گیرها و بدافزار های دیگری موجود هستند که می توانند به سیستم شما وارد شوند.
همچنین در ویندوز 8 به بعد شما قادر هستید تا به قسمت control pannel رفته و در قسمت Program and feature به انتخاب گزینه ی Turn windows feature on or off پرداخته و تیک مربوط به گزینه SMB1.0/CIES File Shearing Support را بردارید.