![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۶/۲/۲۵، ۰۸:۰۵ عصر
روز جمعه 12 می 2017 یک باج افزار به نام WannaCry به سرعت در سر خط خبرها قرار گرفت، WannaCry به حدی خطرناک است که مایکروسافت در یک اقدام بی سابقه وصله امنیتی اورژانسی برای سیستم عامل قدیمی و منقضی شده XP ارائه کرد. این بدافزار تمامی نسخه های فعلی ویندوز شامل 7، 8، 8.1 و 10 را هدف می گیرد و با بکارگیری الگوریتم رمزنگاری RSA-2048 تمامی فایل های کاربر را به طور تقریباً غیر قابل برگشت قفل می کند و راهی جز پرداخت باج تقاضا شده وجود ندارد.
![[تصویر: do.php?img=3245]](http://romaak.ir/up/do.php?img=3245)
WannaCry چیست؟
Wanna Decryptor که با نام های WannaCry و wcry و WannaCryptor نیز شناخته می شود، یک بدافزار از نوع باج افزار (Ransomware) است که تمامی فایل های موجود بر روی کامپیوتر کاربر را قفل (رمزنگاری) می کند و در ازای بازگردانی آنها تقاضای پرداخت باج می کند. در حال حاضر برای بازگردانی فایل ها راه دیگری جز پرداخت باج 300 دلاری وجود ندارد.
هنگامی که سیستم آلوده شود و باج افزار واناکریپت فایل های کاربر را رمزنگاری کند، با نمایش اعلان به وی تنها 3 روز فرص می دهد تا برای بازگردانی فایل ها، مبلغ 300 دلار را پرداخت کند. در غیر این صورت با گذشت 7 روز فایل های کاربر به طور برگشت ناپذیر از بین خواهند رفت. سه روز مانده به ضربالاجل تعیین شده، مبلغ باج خواسته شده به 600 دلار افزایش می یابد. Bitcoin تنها روش پرداخت قابل قبول است.
لازم به ذکر است پسوند فایل های قفل شده به “WCRY.” تغییر می یابد.
در بخش توضیحات WannaCry ذکر شده در صورتی که کاربر قادر به پرداخت باج نباشد، با گذشت 6 ماه فایل های وی به طور مجانی رمزگشایی می شوند، هرچند که هیچ گونه تضمینی وجود ندارد.
WannaCry چگونه سیستم قربانی را آلوده می کند؟
به نظر می رسد WannaCry از طریق کرم (Worm) و از طریق شبکه به کامپیوترها راه می یابد. با این حال احتمال آلوده شدن از طریق اجرای پیوست های ایمیل و بازدید از وب سایت های آلوده نیز وجود دارد. لازم به ذکر است WannaCry خود یک کرم اینترنتی نبوده، بلکه در سطح شبکه همانند کرم رفتار می کند و از طریق آسیب پذیری موجود در کامپیوترهای فاقد وصله امنیتی ارائه شده برای یک آسیب پذیری مشخص در سیستم عامل ویندوز، به کامپیوترها نفوذ می کند.
در صورتی که کامپیوتر کاربر به آخرین وصله های امنیتی منتشر شده برای سیستم عامل ویندوز مجهز باشد، از این باج افزار در امان خواهد بود.
چگونه بفهمیم سیستم ما آلوده شده یا نه؟
پس از آلوده شدن سیستم و با گذشت دقایقی تا چند ساعت، WannaCry از طریق نمایش اعلان و پیغام باج خواهی، کاربر را نسبت به آنچه که رخ داده مطلع می کند و مخفی نمی ماند.
WannaCry کاربران چه کشورهایی را هدف می گیرد؟
هرچند شدت آلودگی در برخی کشورها بیشتر است، اما به طور کلی WannaCry در نزدیک به 80 کشور باعث آلودگی شدید شده و به نظر نمی رسد به یک محدوده جغرافیایی خاص محدود شود.
![[تصویر: do.php?img=3252]](http://romaak.ir/up/do.php?img=3252)
از آنجایی که امنیت کامپیوترهای شبکه بهداشت و درمان اغلب کشورها بسیار ضعیف است و به آنها توجه نمی شود، آلودگی سیستم های بیمارستانی به WannaCry بسیار شدید است.
چگونه از WannaCry در امان بمانیم؟
اولین گام نصب یک برنامه آنتی ویروس کارآمد و بروز است. همچنین مطمئن شوید سیستم عامل کامپیوتر شما به آخرین وصله های امنیتی مجهز است.
قویاً توصیه می شود از اجرای پیوست ایمیل های ناشناخته اجتناب کنید.
مایکروسافت اعلام کرده کاربران ویندوز 10 که آخرین وصله های امنیتی را دریافت کرده اند و از آنتی ویروس بروز (از جمله Windows Defender) استفاده می کنند، به طور کامل از WannaCry در امان هستند.
چه کسی پشت WannaCry است؟
هنوز مشخص نیست چه کس یا کسانی پشت باج افزار WannaCry هستند اما می دانیم از یک آسیب پذیری موجود در سیستم عامل ویندوز مایکروسافت (موسوم به EternalBlue) استفاده می کند که پیش تر نیز توسط آژانس امنیتی ملی آمریکا (موسوم به NSA) برای نفوذ به کامیپوترهای ویندوزی استفاده می شد.
هم اکنون آسیب پذیری مورد استفاده WannaCry که از آن برای آلوده سازی کامپیوترها استفاده می کند برطرف شده و تنها کافی است از نسخه بروز سیستم عامل ویندوز، مجهز به آخرین وصله های امنیتی استفاده کنید.
خودکشی WannaCry
روز شنبه یک پژوهشگر امنیتی 22 ساله اعلام کرد متوجه وجود کلید خودکشی در باج افزار WannaCry شده که به منظور متوقف کردن حمله توسط خود سازندگان آن تعبیه شده است. وی موفق شده این سویچ از راه دور را فعال کند و دست کم در گونه های فعلی WannaCry، در صورت متصل بودن کامپیوتر به اینترنت باج افزار غیر فعال می شود.
![[تصویر: do.php?img=3251]](http://romaak.ir/up/do.php?img=3251)
با این حال انتظار می رود به سرعت نسخه اصلاح شده WannaCry جایگزین نسخه فعلی شود. متاسفانه کامپیوترهایی که پیش از فعال سازی کلید خودکشی آلوده شده اند، فایل های آنها فعلاً قابل بازیابی نیست.
اگر کامپیوتر من به WannaCry آلوده شد چه کاری باید انجام بدهم؟
اولین توصیه متخصصین امنیتی، خودداری از پرداخت باج تقاضا شده است، چراکه هیچ تضمینی وجود ندارد با پرداخت آن فایل های خود را به دست بیاورید.
در سریع ترین زمان ممکن و بدون اتلاف وقت با بکارگیری آنتی ویروس های بروز بدافزار را از روی کامپیوتر خود پاک کنید. برخی ابزارهای موجود قادر به بازیابی بخشی از فایل های قفل شده هستند، با این حال بهترین روش موجود برای بازگردانی فایل ها استفاده از نسخه های پشتیبان (در صورت وجود) و یا استفاده از قابلیت های پیشرفته آنتی ویروس ها و قابلیت Volume Shadow Service (System Restore) سیستم عامل ویندوز است. البته این بدافزار تلاش می کند قابلیت مزبور را از کار بیاندازد.
آیا راهی جز پرداخت باج برای بازگردانی فایل های قفل شده وجود دارد؟
متاسفانه در حال حاضر راه دیگری جز پرداخت باج خواسته شده برای بازگردانی فایل های قفل شده وجود ندارد. با این حال ممکن است در آینده ابزارهای مجانی به منظور بازیابی فایل های قفل شده ارائه شود، هرچند که تضمینی وجود ندارد.
WannaCry چیست؟
Wanna Decryptor که با نام های WannaCry و wcry و WannaCryptor نیز شناخته می شود، یک بدافزار از نوع باج افزار (Ransomware) است که تمامی فایل های موجود بر روی کامپیوتر کاربر را قفل (رمزنگاری) می کند و در ازای بازگردانی آنها تقاضای پرداخت باج می کند. در حال حاضر برای بازگردانی فایل ها راه دیگری جز پرداخت باج 300 دلاری وجود ندارد.
هنگامی که سیستم آلوده شود و باج افزار واناکریپت فایل های کاربر را رمزنگاری کند، با نمایش اعلان به وی تنها 3 روز فرص می دهد تا برای بازگردانی فایل ها، مبلغ 300 دلار را پرداخت کند. در غیر این صورت با گذشت 7 روز فایل های کاربر به طور برگشت ناپذیر از بین خواهند رفت. سه روز مانده به ضربالاجل تعیین شده، مبلغ باج خواسته شده به 600 دلار افزایش می یابد. Bitcoin تنها روش پرداخت قابل قبول است.
لازم به ذکر است پسوند فایل های قفل شده به “WCRY.” تغییر می یابد.
در بخش توضیحات WannaCry ذکر شده در صورتی که کاربر قادر به پرداخت باج نباشد، با گذشت 6 ماه فایل های وی به طور مجانی رمزگشایی می شوند، هرچند که هیچ گونه تضمینی وجود ندارد.
WannaCry چگونه سیستم قربانی را آلوده می کند؟
به نظر می رسد WannaCry از طریق کرم (Worm) و از طریق شبکه به کامپیوترها راه می یابد. با این حال احتمال آلوده شدن از طریق اجرای پیوست های ایمیل و بازدید از وب سایت های آلوده نیز وجود دارد. لازم به ذکر است WannaCry خود یک کرم اینترنتی نبوده، بلکه در سطح شبکه همانند کرم رفتار می کند و از طریق آسیب پذیری موجود در کامپیوترهای فاقد وصله امنیتی ارائه شده برای یک آسیب پذیری مشخص در سیستم عامل ویندوز، به کامپیوترها نفوذ می کند.
در صورتی که کامپیوتر کاربر به آخرین وصله های امنیتی منتشر شده برای سیستم عامل ویندوز مجهز باشد، از این باج افزار در امان خواهد بود.
چگونه بفهمیم سیستم ما آلوده شده یا نه؟
پس از آلوده شدن سیستم و با گذشت دقایقی تا چند ساعت، WannaCry از طریق نمایش اعلان و پیغام باج خواهی، کاربر را نسبت به آنچه که رخ داده مطلع می کند و مخفی نمی ماند.
WannaCry کاربران چه کشورهایی را هدف می گیرد؟
هرچند شدت آلودگی در برخی کشورها بیشتر است، اما به طور کلی WannaCry در نزدیک به 80 کشور باعث آلودگی شدید شده و به نظر نمی رسد به یک محدوده جغرافیایی خاص محدود شود.
از آنجایی که امنیت کامپیوترهای شبکه بهداشت و درمان اغلب کشورها بسیار ضعیف است و به آنها توجه نمی شود، آلودگی سیستم های بیمارستانی به WannaCry بسیار شدید است.
چگونه از WannaCry در امان بمانیم؟
اولین گام نصب یک برنامه آنتی ویروس کارآمد و بروز است. همچنین مطمئن شوید سیستم عامل کامپیوتر شما به آخرین وصله های امنیتی مجهز است.
قویاً توصیه می شود از اجرای پیوست ایمیل های ناشناخته اجتناب کنید.
مایکروسافت اعلام کرده کاربران ویندوز 10 که آخرین وصله های امنیتی را دریافت کرده اند و از آنتی ویروس بروز (از جمله Windows Defender) استفاده می کنند، به طور کامل از WannaCry در امان هستند.
چه کسی پشت WannaCry است؟
هنوز مشخص نیست چه کس یا کسانی پشت باج افزار WannaCry هستند اما می دانیم از یک آسیب پذیری موجود در سیستم عامل ویندوز مایکروسافت (موسوم به EternalBlue) استفاده می کند که پیش تر نیز توسط آژانس امنیتی ملی آمریکا (موسوم به NSA) برای نفوذ به کامیپوترهای ویندوزی استفاده می شد.
هم اکنون آسیب پذیری مورد استفاده WannaCry که از آن برای آلوده سازی کامپیوترها استفاده می کند برطرف شده و تنها کافی است از نسخه بروز سیستم عامل ویندوز، مجهز به آخرین وصله های امنیتی استفاده کنید.
خودکشی WannaCry
روز شنبه یک پژوهشگر امنیتی 22 ساله اعلام کرد متوجه وجود کلید خودکشی در باج افزار WannaCry شده که به منظور متوقف کردن حمله توسط خود سازندگان آن تعبیه شده است. وی موفق شده این سویچ از راه دور را فعال کند و دست کم در گونه های فعلی WannaCry، در صورت متصل بودن کامپیوتر به اینترنت باج افزار غیر فعال می شود.
با این حال انتظار می رود به سرعت نسخه اصلاح شده WannaCry جایگزین نسخه فعلی شود. متاسفانه کامپیوترهایی که پیش از فعال سازی کلید خودکشی آلوده شده اند، فایل های آنها فعلاً قابل بازیابی نیست.
اگر کامپیوتر من به WannaCry آلوده شد چه کاری باید انجام بدهم؟
اولین توصیه متخصصین امنیتی، خودداری از پرداخت باج تقاضا شده است، چراکه هیچ تضمینی وجود ندارد با پرداخت آن فایل های خود را به دست بیاورید.
در سریع ترین زمان ممکن و بدون اتلاف وقت با بکارگیری آنتی ویروس های بروز بدافزار را از روی کامپیوتر خود پاک کنید. برخی ابزارهای موجود قادر به بازیابی بخشی از فایل های قفل شده هستند، با این حال بهترین روش موجود برای بازگردانی فایل ها استفاده از نسخه های پشتیبان (در صورت وجود) و یا استفاده از قابلیت های پیشرفته آنتی ویروس ها و قابلیت Volume Shadow Service (System Restore) سیستم عامل ویندوز است. البته این بدافزار تلاش می کند قابلیت مزبور را از کار بیاندازد.
آیا راهی جز پرداخت باج برای بازگردانی فایل های قفل شده وجود دارد؟
متاسفانه در حال حاضر راه دیگری جز پرداخت باج خواسته شده برای بازگردانی فایل های قفل شده وجود ندارد. با این حال ممکن است در آینده ابزارهای مجانی به منظور بازیابی فایل های قفل شده ارائه شود، هرچند که تضمینی وجود ندارد.
برای تشکر از دکمه لایک و اعتباردهی استفاده کنین 
