باج افزاری به نام wcry  باعث گریه تمام سازمانها شده است .

محققان امنیتی در باره این باج افزار هشدار دادندو قربانیان این باج افزار بیمارستان‌های بسیاری در انگلستان و شرکت ارتباطی تلفونیکا در اسپانیا بودند . با توجه با اطلاعات بدست امده از این باج افزار به نظر می رسد که این باج‌افزار یکی از تسلیحات نرم‌افزاری NSA یا سازمان امنیت ملی آمریکا می باشد.گروه هکری Shadow Brokers با نشت اطلاعاتی در حجمِ گیگابایت بسیاری از تسلیحات نرم‌افزاری این سازمان را منتشر کرد که بسیاری از آن‌ها جهت نفوذ از نقاط ضعف نسخه‌ی خاصی از سیستم‌عامل‌ ویندوز استفاده می‌کنند بنا بر گزارشی که توسط  شرکت کسپرسکی ارائه شد تا کنون بیش از 45هزار حمله در 74 کشور شناسایی شده است.این باج افزار مبلغ 300 دلار را به عنوان باج به قربانب اعلام می کند و 7 روز به قربانی برای پرداخت وقت خواهد داد و در صورتی که مبلغ توسزط قربانی پرداخت نگردید تمامی اطلاعات قربانی از دست خواهد رفت.باج_افزار Wanna Cryptor  اولین نوع از باج افزار ها بوده و به صورت WORM عمل می کند و نیازی به همکاری کاربر نداشته و به صورت خودکار انتشار خواهد شد.

در واقع کاری که این باج افزار انجام می دهد این است که از ضعف بسیار خطرناکی که توسط آژانس امنیت ملی آمریکا توسعه و در اوایل سال جدید شمسی به بیرون نشت کرده، استفاده می کند. نام دیگر این ضعف امنیتی  (MS17-010 )  ، EternalBlue می باشد که در تمامی نسخه های ویندوز ( سرور و کلاینت) وجود دارد.اما تعدا کشورهایی که قربانی این باج افزر می باشند در برخی منابع 74 و در برخی دیگر، 99 کشور، اعلام شده است. اما منابع رسمی‌تر، تعداد آن را 74 کشور اعلام کردند. برخی ار قربانیان این باج افزار عبارتند از : سرویس سلامت همگانی انگلیس، شرکت مخابراتی تلفونیکای اسپانیا،شرکت حمل‌ونقل آمریکایی فدرال اکسپرس، وزارت کشور روسیه، کشورهایی مانند، استرالیا، ایتالیا، تایوان، چین، ژاپن، ویتنام، اندونزی، قزاقستان، ترکیه، اوکراین و هند. اخیراً نشریه تلگراف در وبگاه خود بیان کرده است که این باج‌افزار در ایستگاه‌های  قطار آلمان نیز سبب بروز مشکلاتی شد.

در صورتی که بخواهید با این باج افزار مقابله کنید باید مراحل زیر را انجام دهید:

•  نصب  وصله امنیتی ضعف امنیتی گفته شده در تمامی ویندوز ها
• استفاده از آخرین نسخه KES برای کلاینت ها   با فعال بودن گزینه SystemWatcher ( آخرین نسخه تا زمان ارسال ایمیل 10.3.0.6294 )
•  از نسخه Kaspersky Security 10 for windows server  برای سرور های استفاده شود و حتما گزینه AntiCryptor فعال باشد. ( آخرین نسخه تا زمان ارسال ایمیل 10.0.0.486)
. نصب و بروز رسانی برنامه های Anti-malware & Anti-worm
. شناخت تکنیک های مهندسی اجتماعی و عدم اعتماد برای باز کردن لینک های مشکوک در شبکه های اجتماعی ,تلگرام , فیسبوک ,…

کاری که این باج افزار انجام می دهد این است که وارد سیستم شما شده و به رمزگذاری فایلهای شما می پردازد و در قبال پرداخت مبلغی فایل های شما را باز خواهد کرد.مهلت پرداخت مبلغ مشخص شده توسط باج افزار برای باز کردن فایلها 3 رز بوده و در صورتی که مبلغ مورد نظر پرداخت نشود مبلغ را دو برابر کرده و به شما مهلت دیری برای پرداخت داده خواهد شد.. همچنین این باج افزار به تهدید شما پرداخته و به شما خواهد گفت که در صورت عدم پرداخت مبلغ هرگز قادر به دست یافتن به اطلاعات خود نخواهید بود.

ممکن است فکر کنید که در صورت دانلود نکردن فایل از اینترنت هرگز گیر این باج افزار نخواهید افتاد اما با شنیدن تجربه یکی از کاربران نظرتان راجع به این قضیه عوض شود.

این کاربر  با این ویروس بر روی یکی از سرورهای ویندوزی سازمانشان مواجه شد و درباره ی این موضوع بیان کرد:

“سروری که درگیر شد به هیچ حساب کاربری ایمیلی وصل نبود چه برسد به این که بخواهد فایل ضمیمه ای را دانلود کند.”

بنابراین استفاده از راهکار دانلود نکردن فایده ای نخواهد داشت .بنابراین برای اینکه از ورود این باج افزار به سیستمتان خود داری کنید باید طبق اصل “پیشگیری بهتر از درمان است” عمل کنید و راه هایی که باعث می شود تا این ویروس به سیستم شما راه پیدا کند ببندید.

برای بستن راه نفوذ wanna cry سه راه وجود دارد:

1-آپدیت ویندوز

با استفاده از لینک اورده شده در پایین به آپدیت ویندوز خود بپردازید زیرا این کار باعث می شود تا حدودی از ورود این باج افزار به سیستم جلوگیری کند.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2- بستن پورت های 135 و 445

این باج افزار با توجه به گزارشات ارائه شده بوسیله پورت های SMB(Server Message Block)  قادر به ورود به سیستم شما خواهد بود  بنابراین برای جلوگیری از نفوذ این باج افزار باید پورتها 135 و 145 را ببندید.

برای اینکه این پورتها در سازمانها بسته شود باید با ادمین شبکه خود کنسول را باز کنید

cmd.exe -> run as administrator

سپس دو دستور زیر را اجرا کنید:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

3-غیر فعال کردن پشتیبانی از SMBv 1 .

با غیر فعال کردن پشتیبانی از SMBv 1 از نفوذ این باج افزار جلوگیری خواهد شد برای انجام این کار باید به قسمت cmd رفته و به اجرای دستور زیر بپردازید:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

همچنین میتوانید:

وارد منوی استارت شده و عبارت PowerShell را تایپ کردن و کلید های Ctrl+Shift+Enter را فشار دهید .سپس به اجرای دستورات زیر بپردازید:

در Windows 8 و Windows Server 2012:

Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $false
در Windows 7, Windows Server 2008 R2, Windows Vista Windows Server 2008

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

داشتن یک نسخه پشتیبان از سیستم همیشه یکی از راهکارهای پیشنهادی ما به شما می باشد زیرا اگرچه با انجام مراحل بالا از نفوذ این باج گیر به سیستم خود جلوگیری می کنید اما باج گیرها و بدافزار های دیگری موجود هستند که می توانند به سیستم شما وارد شوند.

همچنین در ویندوز 8 به بعد شما قادر هستید تا به قسمت control pannel  رفته و در قسمت Program and feature به انتخاب گزینه ی Turn windows feature on or off پرداخته و تیک مربوط به گزینه SMB1.0/CIES File Shearing Support را بردارید.

“خرگوش بد” نام یک باج افزار جدید می باشد که مشکلاتی را برای شبکه های کامپیوتری در چندین کشور اروپایی به وجود آورده است.

برخی از گروه های امنیت سایبری از جمله آزمایشگاه های کسپراسکای و محققان ESET و Proofpointبیان کردند “که این حمله از طریق یک آپدیت جعلی نرم افزار Adobe Flash انجام شده است و تاکنون حملات سایبری در رسانه های روسی گزارش شده است.”

در واقع کاری که این باج افزار  در زمان الوده شدن سیستم ها انجام می دهد این است که کاربران را به یک شبکه دسترسی محدود(darknet) فرستاده و به آنها گفته خواهد شد که باید بیش از ۲۸۱ دلار(۰.۰۵ بیت کوین) پرداخت کنند تا بتوانند به فایل های رمزگذاری شده خود بازگردانده شوند و دسترسی داشته باشند و حداکثر زمان پرداخت این مبلغ حدود ۴۰ ساعت  می باشد و اگر این مبلغ پرداخت نشود آنگاه میزان فیمت افزایش خواهد یافت.

آزمایشگاه کسپراسکای بیان کننده این موضوع بود که هنوز نمی تواند تایید کرد که “خرگوش بد” مربوط به NotPetya که در اوایل سال جاری در سراسر جهان پخش شد، باشد اما از روش های مشابه استفاده می کند.
ESET، شرکت امنیتی مستقر در جمهوری چک بیان کرد که “خرگوش بد” مانند NotPetya یک نوع از باج افزار “پتیا” است.
پتیا، نوت پتیا و واناکرای همه بوسیله  کشورهای مختلف در اوایل سال جاری گسترش یافته اند.
پتیا نام خانواده ای از باج افزارها بوده در سال ۲۰۱۶ میلادی کشف شد و هدف این باج افزر  سامانه هایی که بر پایه ویندوز می باشند است و به آلوده کردن رکورد راه انداز اصلی می پردازد.و بهد از آلودگی سیستم  از کاربران درخواست پرداخت مقداری پول به بیت کوین کرده تا اجازه دسترسی دوباره به سامانه به آنها داده شود.
اولین نسخه از پتیا در مارس ۲۰۱۶ از طریق پیوست های آلوده پست الکترونیکی منتشر شده است.