حمله وسیع یک باج‌افزار کامپیوتری به ایران

دنیای اقتصاد: دو هفته پس از آنکه یک باج‌افزار خطرناک کامپیوتری به کامپیوترهایی در اروپا حمله کرد و خسارت‌های زیادی را به خصوص در بخش بهداشتی به جا گذاشت حالا خبرهای رسیده حاکی است شیوع این باج‌افزار به سطح هشدار در کشور رسیده و به گفته مرکز ماهر تنها در سه روز گذشته بیش از ۲ هزار کامپیوتر در ایران به این باج‌افزار آلوده شده‌اند. این باج‌افزار که به نظر می‌رسد توسعه یافته از یک ابزار امنیتی پیشرفته و البته لو رفته از سازمان امنیت ملی آمریکا باشد بیستم اردیبهشت امسال در یک روز بسیاری از کامپیوترهای سرویس‌های خدماتی در حوزه بهداشت و مخابرات در کشورهایی چون اسپانیا، انگلستان و اوکراین را آلوده کرد. در صورت آلوده شدن یک کامپیوتر به این باج‌افزار دستگاه قفل شده و پیغامی مبنی بر پرداخت معادل ۳۰۰ دلار با پول مجازی (بیت‌کوین) به کاربر نمایش داده می‌شود؛ همچنین هکرهایی که پشت این باج‌افزار هستند تهدید می‌کنند در صورت عدم پرداخت هزینه، اطلاعات دستگاه کاملا پاک خواهد شد.

باج‌گیری از سیستم‌های قدیمی

اساس کار این باج‌افزار استفاده از حفره امنیتی در ویندوزهای نسخه قدیمی است که نه خود مایکروسافت از آن پشتیبانی می‌کند و نه روی این کامپیوترها آنتی‌ویروس‌های به روز استفاده می‌شود. در نخستین روزهای شیوع این باج‌افزار در جهان آلودگی بسیار کمی در ایران گزارش شد اما حالا با آغاز موج دوم ظاهرا ایران در معرض گسترده این حمله قرار گرفته است. تعداد قابل توجه نرم‌افزارهای قفل شکسته قدیمی و عدم توجه به امنیت در بین کاربران ایرانی یکی از مهم‌ترین دلایل شیوع این باج‌افزار عنوان می‌شود. بر اساس آنچه مرکز ماهر اعلام کرده تعلل کاربران و بعضا مدیران فناوری اطلاعات سازمان‌ها و دستگاه‌ها و شرکت‌ها در زمینه رعایت توصیه‌های امنیتی برای جلوگیری از باج‌افزار Wanna Cry باعث شده موارد آلودگی‌های این باج‌افزار در ایران به چهارهزار رایانه برسد که دو هزار مورد آن طی سه روز گذشته رخ داده است.

مرکز ماهر در این اطلاعیه که در سایت خبرگزاری ایسنا منتشر شده اشاره می‌کند باج‌افزاری تحت عنوان wannacrypt با قابلیت خودانتشاری در شبکه کشورها شیوع یافت که براساس رصدهای انجام شده از سوی مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شد و در چند روز نخست به حدود دو هزار قربانی رسید، اما با اطلاع‌رسانی به موقع انجام شده و عملیاتی شدن اقدام‌های لازم، این موضوع در کشور کنترل و گزارش‌های آلودگی به آن به شدت کاهش یافت. بر اساس اعلام مرکز ماهر این باج‌افزار از یک کد توسعه‌یافته شده مخرب متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی قبل یک گروه هکری به نام shadowbrokers آن را کشف کرد و در اختیار همگان قرار داد. در اختیار قراردادن این کد در همان زمان این نگرانی را ایجاد کرد که برخی افراد بتوانند با استفاده از این کد مخرب ابزارهای مخرب جدیدی را تولید کنند و حالا به نظر می‌رسد سازندگان واناکرآی از جمله آن افراد باشند. هرچند مایکروسافت پشتیبانی از سیستم XP را به‌طور کلی قطع کرده اما این باج‌افزار آنقدر مهم بود که این شرکت جداگانه برای آن یک به روزرسانی منتشر کرد، اما حداقل در ایران و برخی کشورهای دیگر که از کپی‌های غیر قانونی نرم‌افزار استفاده می‌کنند اساسا کاربران توجهی به این اطلاعیه‌های امنیتی ندارند.

تخمین غلط

دو هفته قبل همزمان با انتشار وسیع این باج‌افزار در جهان وزارت ارتباطات با انتشار اطلاعیه‌ای اعلام کرده بود که یک آنتی‌ویروس ایرانی موفق به جلوگیری از حملات این باج‌گیر شده است. در اطلاعیه وزارت ارتباطات با اشاره به اینکه بیش از ۷۵ هزار سیستم کامپیوتری در جهان به این سیستم آلوده شده، آمده بود که بر اساس اعلام مرکز ماهر تنها در ایران حدود ۵۰ مورد آلودگی شناسایی شده است. بر اساس این اطلاعیه این آلودگی‌ها صرفا مختص برخی اپراتورهای ارتباطی و سازمانی در حوزه‌های پزشکی، سلامت و دانشگاهی در تهران و اصفهان بوده است.

در همین حال به گفته مرکز ماهر در آن زمان سیستم‌هایی که از ضد بدافزار بومی «پادویش» استفاده می‌کردند از این حملات مصون مانده‌اند. این اطمینان خاطر در اطلاعیه وزارت ارتباطات و مرکز ماهر شاید یکی از دلایل عدم جدی‌گرفتن این موضوع به هشدارهای مربوط به این بدافزار باشد. مرکز ماهر در آن زمان گفته بود: این کاهش حملات، بیانگر رعایت توصیه‌های ارائه شده از سوی مرکز ماهر توسط دستگاه‌ها و کاربران کشورمان و اقدام‌های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است. حالا همین مرکز ماهر تاکید می‌کند که حمله این باج‌افزار گسترده‌تر شده و به خصوص در سه روز گذشته موارد آلودگی بسیار زیادی گزارش شده و احتمالا آمارها از این هم بیشتر خواهد شد. به این ترتیب به نظر می‌رسد این اقدامات حداقل تاکنون برای جلوگیری از گسترش و شیوع این باج‌افزار کافی نبوده است.

چه کسانی پشت این باج‌افزارند

سخت بتوان گفت چه کسانی این بدافزار را تولید کرده‌اند هرچند تحقیقات درمورد نحوه تولید و انتشار آن ادامه دارد. اما چیزی که همه می‌دانیم این است که این باج‌افزار از یک اسلحه سایبری توسعه داده شده از سوی بخش‌های امنیتی آمریکا لو رفته است. دولت آمریکا هفته قبل کره شمالی را مسوول این حملات باج‌افزاری معرفی کرده بود و این موضوع به خصوص با توجه به تنش بین دو کشور کره شمالی و آمریکا چندان تعجبی را برنمی‌انگیخت اما روز دوشنبه تحقیقات جدید موسسه امنیت فلش پوینت نشان داد که کدهای ابتدایی این باج‌افزار ابتدا به زبان چینی و گویش مناطق جنوبی آن نوشته شده و بعدا به زبان انگلیسی تغییر پیدا کرده است. بر اساس این گزارش فلش پوینت با تحلیل زبانی مطالب و یادداشت‌های منتشر شده از سوی طراحان واناکرآی به این نتیجه رسیده که چینی‌ها در این کار دخیل بوده‌اند. علاوه بر این بررسی محتوای یادداشت‌هایی که بین طراحان و قربانیان واناکرآی برای دریافت پول رد وبدل شده نشان می‌دهد که طراحان واناکرآی احتمالا چینی هستند.کارشناسان فلش پوینت معتقدند یادداشت‌های مذکور در اصل به زبان چینی نوشته شده و به‌صورت ماشینی و با استفاده از نرم‌افزار به دیگر زبان‌های دنیا ترجمه شده‌اند. چین هنوز در این زمینه واکنشی از خود نشان نداده است.

آیا پول باعث باز شدن قفل کامپیوتر می‌شود

آنچنان که گفته شد باج‌افزار با قفل کردن سیستم اجازه دسترسی به اطلاعات کامپیوتر را به کاربر نمی‌دهد و در مقابل از کاربر می‌خواهد در ازای پرداخت پول کامپیوتر و اطلاعاتش در دسترس قرار بگیرد اما سوال اینجاست آیا پرداخت پول واقعا منجر به گشایش اطلاعات می‌شود؟ از روی اطلاعات برخی کسانی که به هکرهای پشت این باج‌افزار پول پرداخت کرده‌اند می‌توان گفت که این پرداخت پول می‌تواند به باز شدن کامپیوتر منجر شود اما مواردی هم بوده که پرداخت پول تغییری در وضعیت دستگاه آلوده ایجاد نکرده است. اگر کامپیوتر شما به این باج‌افزار آلوده شده کار چندانی نمی‌توانید انجام دهید. اگر از اطلاعاتتان بک آپ دارید می‌توانید کامپیوتر را ابتدا کاملا پاک کرده و سپس ویندوز جدید نصب کرده و دوباره از آن استفاده کنید.