روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)این امکان وجود دارد که موج دوم حملات جهانی بسیار بزرگ در راه باشد، چراکه SMB یا سرور مسدود کردن پیام تنها پروتکل شبکهای نیست که دارای اکسپلویت های روز صفر است که توسط گروه Shadow Brokers در ماه گذشته در اختیار عموم قرار گرفت.
همچنین مایکروسافت پچ های برای برطرف کردن آسیبپذیری SMB در ویندوزهای دارای پشتیبانی در ماه مارس 2017 منتشر کرد و نسخههای ویندوز از رده خارج شده نیز بلافاصله پس از منتشر شدن باجگیر افزار WannaCry مورد حمایت قرار گرفته و پچ های مربوط به آنها منتشر شد. اما این شرکت 3 ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نامگذاری شده بودند را نادیده گرفت.
در حال حاضر تقریباً 3 هفته از شروع گسترش باجگیر افزار WannaCry گذشته استکه تقریباً 300.000 کامپیوتر را در 450 کشور و در طی 72 ساعت آلوده کرده است که البته الان از سرعت گسترش آن کاسته شده است.
باج افزارواناکرای یک آسیبپذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و از این طریق به مهاجمان از راه دور اجازه میدهد تا کامپیوترهایی را که دارای سیستمعامل ویندوز پچ نشده هستند را تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستمهای پچ نشده گسترش دهند.
علی رغم اینکه هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در مواقعی دچار اشتباه می شوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این اشتباهات می تواند به قربانیان برای دسترسی مجدد به فایل های خود پس از آلودگی کمک کند. این مقاله شرح کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مطلب به خوشحالی قربانیان بسیاری کمک کند و به دلهره های شما پایان دهد.
اشتباهات در استدلال حذف فایل ها
هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند "WNCRYT" ذخیره می شوند. پس از پروسه ی رمزنگاری آن ها از پسوند "WNCRYT" به "WNCRY" تغییر می یابند و تمام فایل های اورجینال پاک می شوند. استدلال این حذف شدن فایل ها می تواند به موقعیت و properties ( مشخصات فایل ها) بستگی داشته باشد.
فایل هایی که بر روی هارد سیستم قرار دارند:
- اگر که فایل ها در فولدر مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا مدارک هستند)، فایل های اورجینال با رونوشت دوباره قبل از اینکه حذف شوند تغییر داده می شوند. در این مورد متاسفانه هیچ راهی برای بازگرداندن محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.
- اما اگر فایل ها در خارج از فولدرهای مهم باشند، فایل های اورجینال به " %TEMP%\%d.WNCRYT" (%d در آن نشانگر یک مقدار عددی است) تغییر می یابند. این فایل ها شامل داده های اورجینال و رونوشت دوباره هکرها نیست و به راحتی از دیسک پاک خواهند شد. این بدان معنی است که احتمال بازگرداندن آن ها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.
تغییر نام فایل های اورجینال که می تواند از %TEMP% بازیابی شود.
فایل هایی که بر روی دیگردرایوها ذخیره شده اند:
- باج افزار فولدر "$RECYCLE " را ایجاد می کند و ویژگی hidden+system را برای این فولدر قرار می دهد. این عمل باعث می شود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، پنهان باقی بماند. این بدافزار در این هنگام خیال عزیمت به فایل های اورجینال را در دایرکتوری پس از رمز نگاری در سر دارد.
- با این حال به دلیل خطاهایی که در کدهای نوشته شده ی باج افزار وجود دارد، فایل های اورجینال در همان دایرکتوری باقی می ماند و به فولدر " $RECYCLE" انتقال داده نمی شود.
فایل های اورجینال در روش های امن حذف می شوند. و دراین مورد هم بازیابی فایل های حذف شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.فایل های اورجینالی که می توانند از یک درایو بازیابی شوند مسیری که برای فایل اورجینال به صورت موقت ایجاد می کند
یک قطعه از کدی که در بالا فراخوانی شد
اشتباه در پردازش فایل های Read-only
ما زمان بسیار زیادی را برای آنالیز واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه باگی به صورت read-only شدیم. اگر چنین فایل هایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده ی فایل های اورجینال ایجاد خواهد شد، در حالی که فایل های اورجینال آن ها به صورت پنهان وجود دارند. هنگامی که این اتفاق رخ می دهد، پیدا کردن آن ها به سادگی رخ می دهد و بازگردانی آن ها به روش های آسان امکان پذیر است.
فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند
نتیجه گیری
از عمق پژوهش های ما در رابطه با این باج افزار، روشن است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله ی خود داشته اند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت خوبی وجود دارد که فایل های روی کامپیوتر آلوده ی خود را بازیابی کنید. برای بازیابی فایل ها، شما می توانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه می کنیم در صورتیکه ویندوزهای خود را آپدیت نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.
راهکار های لازم برای در امان ماندن مقابل واناکرای
- از یک راهکار امنیتی خوب و مطمئن برای مقابله با این باج افزار استفاده کنید. و به طور منظم از مهمترین داده های خود بک آپ بگیرید.
- ازآنجاکه مایکروسافت هنوز هیچگونه پچ ای برای این آسیبپذیری منتشر نکرده است، به شرکتها و کاربران عادی شدیداً توصیه میشود تا سیستمعاملهای خود را به سیستمعاملهای جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.
- معمولا سیستم عاملهای ویندوزی که برروی رایانهها استفاده میشود، از نسخههای غیراصلی و غیراورجینال هستند. این موضوع مشکلات امنیتی و آسیبپذیری زیادی را بهدلیل استفاده از کرک و دستکاری ویندوز ایجاد میکند، ضمن اینکه اکثر این نسخهها امکان دریافت آپدیتها و پشتیبانی مایکروسافت را ندارند. همانطور که مشاهده می کنید حمله ای هم که آسیب پذیری ویندوز را مورد هدف قرار داد ناشی از آپدیت نبودن ویندوزها بود که سرانجام به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر جهلان منجر شد.
- همزمان با این رویداد، ایدکو توزیعکننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه از تاریخ 8 خرداد ماه(به مدت محدود) به تمام کاربرانی که آنتی ویروس سهکاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز 10 اورجینال دو کاربره(بدون محدودیت فعالسازی)، با همکاری کی بازارهدیه می دهد. این فروش کوتاه مدت برای تمام کاربران فرصتی استثنایی و تکرار نشدنی است. برای خرید از این فروش ویژه به این قسمت مراجعه کنید.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.