قربانیان جدیدترین باج افزار جهانی در کشور
ردپای واناکرای در رایانههای ایرانی
همزمان با آغاز حمله باجافزار واناکرای به بیش از ۳۰۰ هزار رایانه در ۱۵۰ کشور جهان که در همان سه روز نخست بسیاری از سیستمهای بهداشتی و درمانی، دانشگاهی و ارتباطی را مورد حمله قرار داده و فعالیت آنان را مختل کرده بود، بیش از دو هزار کامپیوتر را در ایران را نیز آلوده کرد. با این حال، این پایان حمله باجافزار واناکرای به کاربران ایرانی نبود تا به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، بهخاطر تعلل و عدم واکنش به موقع مدیران فناوری اطلاعات سازمانها برای اتخاذ تدابیر امنیتی بهمنظور جلوگیری از نفوذ واناکرای به سیستمهای آنها دو هزار قربانی جدید دیگر در کشور دیده شده تا به این ترتیب تعداد قربانیان واناکرای در ایران از ابتدای انتشار آن به چهار هزار برسد و وضعیت امنیت سایبری کشور را در وضعیت هشدار قرار دهد.
همزمان با آغاز حمله باجافزار واناکرای به بیش از ۳۰۰ هزار رایانه در ۱۵۰ کشور جهان که در همان سه روز نخست بسیاری از سیستمهای بهداشتی و درمانی، دانشگاهی و ارتباطی را مورد حمله قرار داده و فعالیت آنان را مختل کرده بود، بیش از دو هزار کامپیوتر را در ایران را نیز آلوده کرد. با این حال، این پایان حمله باجافزار واناکرای به کاربران ایرانی نبود تا به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر)، بهخاطر تعلل و عدم واکنش به موقع مدیران فناوری اطلاعات سازمانها برای اتخاذ تدابیر امنیتی بهمنظور جلوگیری از نفوذ واناکرای به سیستمهای آنها دو هزار قربانی جدید دیگر در کشور دیده شده تا به این ترتیب تعداد قربانیان واناکرای در ایران از ابتدای انتشار آن به چهار هزار برسد و وضعیت امنیت سایبری کشور را در وضعیت هشدار قرار دهد.
بهنظر میرسد، شیوع این حجم از آلودگی رایانههای کاربران ایرانی به باجافزار واناکرای با یک تخمین نادرست از سوی وزارت ارتباطات کلید خورد؛ بهطوریکه همزمان با انتشار وسیع این باجافزار در جهان، وزارت ارتباطات با انتشار اطلاعیهای اعلام کرده بود که یک آنتیویروس ایرانی موفق به جلوگیری از حملات این باجگیر شده است. در اطلاعیه وزارت ارتباطات با اشاره به اینکه بیش از ۷۵ هزار سیستم کامپیوتری در جهان به این سیستم آلوده شده، آمده بود که براساس اعلام مرکز ماهر تنها در ایران حدود ۵۰ مورد آلودگی شناسایی شده است. براساس این اطلاعیه این آلودگیها صرفا مختص برخی اپراتورهای ارتباطی و سازمانی در حوزههای پزشکی، سلامت و دانشگاهی در تهران و اصفهان بوده است.
در همین حال به گفته مرکز ماهر در آن زمان سیستمهایی که از ضد بدافزار بومی «پادویش» استفاده میکردند از این حملات مصون ماندهاند. این اطمینان خاطر در اطلاعیه وزارت ارتباطات و مرکز ماهر شاید یکی از دلایل عدم جدیگرفتن این موضوع به هشدارهای مربوط به این بدافزار باشد. مرکز ماهر نیز در آن زمان گفته بود: این کاهش حملات، بیانگر رعایت توصیههای ارائه شده از سوی مرکز ماهر توسط دستگاهها و کاربران کشورمان و اقدامهای پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است. همین مرکز ماهر تاکید میکرد که حمله این باجافزار گستردهتر شده و به خصوص در روزهای ابتدایی حمله این باجافزار، موارد آلودگی بسیار زیادی گزارش شده و احتمالا آمارها از این هم بیشتر خواهد شد. به این ترتیب ظاهرا این اقدامات حداقل تاکنون برای جلوگیری از گسترش و شیوع این باجافزار کافی نبوده است.
به هر حال، جدی نگرفتن این باجافزار تا حدی پیش رفت که رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز از ۱۰ برابر شدن حجم آلودگی رایانهها به ویروس باجافزار واناکرای خبر داد بهطوریکه در ابتدا نزدیک به دو هزار آی پی آلوده این باجافزار در کشور شده بود ولی آمارها همچنین به گفته کارشناسان پلیس فتا، علت اصلی افزایش سرعت آلودگی سیستمها به این باجافزار عدم به روزرسانی سیستمها است و درصورتیکه سیستمها آپدیت لازم را داشت و افزونههای آسیبزا روی آنها حذف میشد، امکان پاکسازی باجافزار وجود داشت.
آنچنان که گفته شد باجافزار واناکرای با قفل کردن سیستم اجازه دسترسی به اطلاعات کامپیوتر را به کاربر نمیدهد و در مقابل از کاربر میخواهد در ازای پرداخت پول، کامپیوتر و اطلاعاتش در دسترس قرار بگیرد، اما سوال اینجاست؛ آیا پرداخت پول واقعا منجر به گشایش اطلاعات میشود؟ از روی اطلاعات برخی کسانی که به هکرهای پشت این باجافزار پول پرداخت کردهاند میتوان گفت که این پرداخت پول میتواند به باز شدن کامپیوتر منجر شود؛ اما مواردی هم بوده که پرداخت پول تغییری در وضعیت دستگاه آلوده ایجاد نکرده است. اگر کامپیوتر شما به این باجافزار آلوده شده کار چندانی نمیتوانید انجام دهید. اگر از اطلاعاتتان بک آپ دارید میتوانید کامپیوتر را ابتدا کاملا پاک کرده و سپس ویندوز جدید نصب کرده و دوباره از آن استفاده کنید.
سابقه حملههای سایبری به ایران
نگاه اجمالی به سابقه حملات سایبری در ایران حاکی از آن است که آلوده شدن رایانهها به باجافزار واناکرای نخستین باری نیست که سیستم اطلاعاتی و ارتباطی کشور را تهدید میکند. یکی از سنگینترین حملات سایبری مربوط به حمله ویروس استاکس نت (Stuxnet) بود که سیستم هستهای ایران را در سالهای اوج تحریم با چالش مواجه کرد. این ویروس در اواسط تیرماه ۱۳۸۹ در سراسر جهان برای نابودی تاسیسات اتمی بوشهر انتشار یافت. نخستین بار کارشناس کامپیوتری ایرانی در مشهد متوجه وجود ویروسی شد که هدف آن سامانههای هدایتگر تاسیسات صنعت هستهای با سیستم عامل ویندوز است. کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران بود.
این ویروس برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکرد و همانطور که گفته شد به قصد ایران نوشته شده بود که بهعنوان یک جاسوس افزار صنعتی، اطلاعات داخلی سیستمهای مراکز تولیدی و تحقیقاتی شرکت زیمنس را که در ایران نصب شده بودند، برای سروری در خارج از کشور ارسال میکرد. از این ویروس به عنوان پیچیده ترین نوع ویروس و نخستین بدافزار نام میبرند و در حال حاضر دو نسخه از آن شناسایی و ردگیری شده است و چه بسا نسخههای دیگر از آن بهصورت خاموش در حال فعالیت باشند. همچنین در همان سالها اخباری درباره حمله ویروسی به وزارت نفت منتشر شد مبنیبر اینکه ویروسی به نام وایپر در رایانههای وزارت نفت نفوذ کرده بود که میتوانست اطلاعات را بدون بازگشت در کامپیوترها پاک کند و سرورها را از کار بیندازد. این در حالی بود که علاوه بر وزارت نفت در برخی از سایتهای صنعتی دیگر نیز حملاتی از این دست گزارش شد. البته در آن زمان قطع شبکههای مختلف وابسته به وزارت نفت برای جلوگیری از توسعه این ویروس از جمله اقداماتی بود که برای مقابله با این حمله سایبری صورت گرفت.
به هر حال، اکنون که بیش از دو هفته از آغاز حمله باجافزار واناکرای به سیستمهای رایانهای کشورهای مختلف میگذرد، همچنان نگرانیها در خصوص حمله مجدد آن وجود دارد. این در حالی است که با توسعه کاربرد اینترنت در اداره کسبوکارها و حتی زندگیهای امروزی و در سطوح وسیعتر ملی و بینالمللی، سیستمهای اطلاعاتی و ارتباطی در سرتاسر جهان هر روز دستخوش این نوع حملات میشوند یا اینکه حداقل همیشه تهدید این نوع حملهها با آنها همراه است. ایران نیز با توجه به توسعه فضای مجازی از این قاعده مستثنی نیست؛ بهطوریکه به گفته وزیر ارتباطات، تقریبا روزی نیست که سیستم سایبری کشور هزاران حمله از خارج نداشته باشد.
راهکارهای امنیتی
با شیوع حمله باجافزار واناکرای به رایانههای کاربران ایرانی، سازمان فناوری اطلاعات ایران با توجه به راهنماها و راهحلهای منتشر شده در سایتهای مختلف مبنیبر امکان بازیابی دادههای رمزگذاری شده توسط باجافزارها، ضمن انجام بررسیهای فنی و دقیق مستند کاملی را در این خصوص منتشر کرد که لازم است کاربران هرچه سریعتر نسبت به بهروزرسانی سیستمها براساس دستورالعملهای قبلی مرکز ماهر اقدام کنند. مرکز ماهر با رصد این باجافزار، راهکارهایی را برای پیشگیری و مقابله با این باجافزار ارائه کرده که عبارتند از:
۱. نصب پچ امنیتی MS۱۷-۰۱۰ مایکروسافت که از طریق ابزار به روزرسانی ویندوز (Windows Update)قابل دسترسی است. برای دریافت بسته امنیتی مربوط به سیستم عامل ویندوز اکس پی یا ویندوز سرور ۲۰۰۳ میتوانید از این لینک استفاده کنید.
۲. درصورتیکه به بسته امنیتی فوق دسترسی ندارید، میتوانید سرویس (Server Message Block)SMB را در نسخههای مختلف ویندوز با استفاده از محیط powershell غیرفعال کنید.
۳. درصورتیکه به سرویس SMB نیاز مبرم دارید، میتوانید صرفا پورتهای ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندید.
توصیههای پلیس فتا
مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز توصیههایی برای جلوگیری از حملات سایبری به کاربران ایرانی داشت؛ اینکه در مقابله با باجافزارها باید بک آپی جدا از سیستم صورت بگیرد و ترجیحا این موضوع برروی حافظههای فقط خواندنی مثل دی وی دی انجام شده و جدای از سیستم نگهداری شود. همچنین مراکز میزبانی سایتها و مسوول امنیت آنها باید به سرعت اقدام به بروزرسانی و اقدامات لازم بنماید. مواردی که در اینترنت وجود دارد مبنیبر اینکه ادعای رمزگشایی باجافزارها را میکنند صحت ندارد و عمدتا این سایتها کلاهبرداری است و این موضوع را پلیس فتا به صورت مستمر رصد میکند.
همچنین عدم نگهداری اطلاعات مهم و حیاتی روی کامپیوتر، تهیه دو نسخه پشتیبان از اطلاعات خود یکی روی سیدی یا دیویدی و یکی بر روی فضای ابری از قبیل دراپ باکس یا گوگل درایو (هرگز نسخه پشتیبان از اطلاعات خود را روی کامپیوتر نگه ندارید.) میتواند یک پشتیبان خوب از اطلاعات شما باشد. از نرمافزارهای همگام ساز حسابهای گوگل درایو یا دراپ باکس روی سیستم استفاده نکنید؛ زیرا ورودی این نرمافزارهای به حساب کاربریتان همیشه باز بوده و خطر نفوذ باجافزار به آن حسابها را افزایش میدهد. برای استفاده از این سرویسها فقط از مرورگر امن استفاده کرده و هرگز اطلاعات کاربری را روی مرورگر ذخیره نکنید، از آخرین به روز رسانیهای امنیتی برای سیستم عامل و مرورگرهای اینترنتی استفاده کنید و آنها را همیشه بهروز نگه دارید.
برای استفاده روزانه از سیستم عامل از حساب کاربری ادمین استفاده نکنید و یک کاربر جدید با دسترسی استاندارد تعریف کرده و هنگامیکه اینترنت استفاده میکنید از طریق آن وارد سیستم شوید. افزونههای مجموعه مایکروسافت در مرورگرها، همچنین پلاگینهای Adobe Flash، Adobe Reader،Java وSilverlight از مرورگر را غیرفعال کرده و در مواقع لزوم به فعال کردن آنها اقدام کنید. تنظیمات امنیتی و حریم خصوصی مرورگرها را برای افزایش حفاظت اعمال کنید. پلاگینهای قدیمی و منسوخ شده از مرورگرها را حذف کنید. همواره از یک آنتی ویروس اورجینال با قابلیت بهروزرسانی خودکار مجهز به فایروال استفاده کرده و یک راهحل امنیتی جهت کنترل ترافیک اطلاعات ورودی و خروجی داشته باشید و هیچگاه به مرورگر خود اجازه ذخیره رمز عبور حسابهای کاربری را ندهید.
محققان امنیت سایبری موفق به شکستن رمزنگاری برخی از فایلهای رمزگذاری شده توسط باجافزارها شدهاند. متاسفانه، تعدادی از باجافزارها هنوز در مقابل این راهحلها مقاوم هستند. با وجود این، فایلهای رمزگذاری شده توسط بسیاری از گونههای cryptoware توسط متخصصان باز شده است. در خصوص باجافزار wannacry نیز فعلا نرمافزار قفلشکن معرفی نشده است و در صورت معرفی میتوانید از سایتهای معتبر آن را دانلود و سپس استفاده کنید؛ بنابراین به هیچ عنوان به تبلیغات اینترنتی در این رابطه توجه نشود. برای حذف فایل باجافزار از سیستم و ترمیم کلیدهای رجیستری سیستم عامل میتوان از نرمافزارهای پاکسازی و ترمیم رجیستری استفاده کرد اما مجددا یادآوری میشود با اینکار نمیتوان فایلهای قفل شده را بازگرداند.
ارسال نظر