ردپای واناکرای در رایانه‌های ایرانی

همزمان با آغاز حمله باج‌افزار واناکرای به بیش از ۳۰۰ هزار رایانه در ۱۵۰ کشور جهان که در همان سه روز نخست بسیاری از سیستم‌های بهداشتی و درمانی، دانشگاهی و ارتباطی را مورد حمله قرار داده و فعالیت آنان را مختل کرده بود، بیش از دو هزار کامپیوتر را در ایران را نیز آلوده کرد. با این حال، این پایان حمله باج‌افزار واناکرای به کاربران ایرانی نبود تا به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر)، به‌خاطر تعلل و عدم واکنش به موقع مدیران فناوری اطلاعات سازمان‌ها برای اتخاذ تدابیر امنیتی به‌منظور جلوگیری از نفوذ واناکرای به سیستم‌های آنها دو هزار قربانی جدید دیگر در کشور دیده شده تا به این ترتیب تعداد قربانیان واناکرای در ایران از ابتدای انتشار آن به چهار هزار برسد و وضعیت امنیت سایبری کشور را در وضعیت هشدار قرار دهد.

به‌نظر می‌رسد، شیوع این حجم از آلودگی رایانه‌های کاربران ایرانی به باج‌افزار واناکرای با یک تخمین نادرست از سوی وزارت ارتباطات کلید خورد؛ به‌طوری‌که همزمان با انتشار وسیع این باج‌افزار در جهان، وزارت ارتباطات با انتشار اطلاعیه‌‌ای اعلام کرده بود که یک آنتی‌‌ویروس ایرانی موفق به جلوگیری از حملات این باج‌گیر شده است. در اطلاعیه وزارت ارتباطات با اشاره به اینکه بیش از ۷۵ هزار سیستم کامپیوتری در جهان به این سیستم آلوده شده، آمده بود که براساس اعلام مرکز ماهر تنها در ایران حدود ۵۰ مورد آلودگی شناسایی شده است. براساس این اطلاعیه این آلودگی‌ها صرفا مختص برخی اپراتورهای ارتباطی و سازمانی در حوزه‌‌های پزشکی، سلامت و دانشگاهی در تهران و اصفهان بوده است.

در همین حال به گفته مرکز ماهر در آن زمان سیستم‌هایی که از ضد بدافزار بومی «پادویش» استفاده می‌کردند از این حملات مصون مانده‌اند. این اطمینان خاطر در اطلاعیه وزارت ارتباطات و مرکز ماهر شاید یکی از دلایل عدم جدی‌گرفتن این موضوع به هشدارهای مربوط به این بدافزار باشد. مرکز ماهر نیز در آن زمان گفته بود: این کاهش حملات، بیانگر رعایت توصیه‌های ارائه شده از سوی مرکز ماهر توسط دستگاه‌ها و کاربران کشورمان و اقدام‌های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده است. همین مرکز ماهر تاکید می‌‌کرد که حمله این باج‌افزار گسترده‌تر شده و به خصوص در روزهای ابتدایی حمله این باج‌افزار، موارد آلودگی بسیار زیادی گزارش شده و احتمالا آمارها از این هم بیشتر خواهد شد. به این ترتیب ظاهرا این اقدامات حداقل تاکنون برای جلوگیری از گسترش و شیوع این باج‌افزار کافی نبوده است.

به هر حال، جدی نگرفتن این باج‌افزار تا حدی پیش رفت که رئیس مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز از ۱۰ برابر شدن حجم آلودگی رایانه‌ها به ویروس باج‌افزار واناکرای خبر داد به‌طوری‌که در ابتدا نزدیک به دو هزار آی پی آلوده این باج‌افزار در کشور شده بود ولی آمارها همچنین به گفته کارشناسان پلیس فتا، علت اصلی افزایش سرعت آلودگی سیستم‌ها به این باج‌افزار عدم به روز‌رسانی سیستم‌ها است و در‌صورتی‌که سیستم‌ها آپدیت لازم را داشت و افزونه‌های آسیب‌زا روی آنها حذف می‌شد، امکان پاکسازی باج‌افزار وجود داشت.

آنچنان که گفته شد باج‌افزار واناکرای با قفل کردن سیستم اجازه دسترسی به اطلاعات کامپیوتر را به کاربر نمی‌دهد و در مقابل از کاربر می‌خواهد در ازای پرداخت پول، کامپیوتر و اطلاعاتش در دسترس قرار بگیرد، اما سوال اینجاست؛ آیا پرداخت پول واقعا منجر به گشایش اطلاعات می‌شود؟ از روی اطلاعات برخی کسانی که به هکرهای پشت این باج‌افزار پول پرداخت کرده‌اند می‌توان گفت که این پرداخت پول می‌تواند به باز شدن کامپیوتر منجر شود؛ اما مواردی هم بوده که پرداخت پول تغییری در وضعیت دستگاه آلوده ایجاد نکرده است. اگر کامپیوتر شما به این باج‌افزار آلوده شده کار چندانی نمی‌توانید انجام دهید. اگر از اطلاعاتتان بک آپ دارید می‌توانید کامپیوتر را ابتدا کاملا پاک کرده و سپس ویندوز جدید نصب کرده و دوباره از آن استفاده کنید.

سابقه حمله‌های سایبری به ایران

نگاه اجمالی به سابقه حملات سایبری در ایران حاکی از آن است که آلوده شدن رایانه‌ها به باج‌افزار واناکرای نخستین باری نیست که سیستم اطلاعاتی و ارتباطی کشور را تهدید می‌کند. یکی از سنگین‌ترین حملات سایبری مربوط به حمله ویروس استاکس نت (Stuxnet) بود که سیستم هسته‌ای ایران را در سال‌های اوج تحریم با چالش مواجه کرد. این ویروس در اواسط تیرماه ۱۳۸۹ در سراسر جهان برای نابودی تاسیسات اتمی بوشهر انتشار یافت. نخستین بار کارشناس کامپیوتری ایرانی در مشهد متوجه وجود ویروسی شد که هدف آن سامانه‌‌های هدایت‌گر تاسیسات صنعت هسته‌ای با سیستم عامل ویندوز است. کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران بود.

این ویروس برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کرد و همانطور که گفته شد به قصد ایران نوشته شده بود که به‌عنوان یک جاسوس افزار صنعتی، اطلاعات داخلی سیستم‌های مراکز تولیدی و تحقیقاتی شرکت زیمنس را که در ایران نصب شده بودند، برای سروری در خارج از کشور ارسال می‌کرد. از این ویروس به عنوان پیچیده ترین نوع ویروس و نخستین بدافزار نام می‌برند و در حال حاضر دو نسخه از آن شناسایی و ردگیری شده است و چه بسا نسخه‌های دیگر از آن به‌صورت خاموش در حال فعالیت باشند. همچنین در همان سال‌ها اخباری درباره حمله ویروسی به وزارت نفت منتشر شد مبنی‌بر اینکه ویروسی به نام وایپر در رایانه‌های وزارت نفت نفوذ کرده بود که می‌توانست اطلاعات را بدون بازگشت در کامپیوترها پاک کند و سرورها را از کار بیندازد. این در حالی بود که علاوه بر وزارت نفت در برخی از سایت‌های صنعتی دیگر نیز حملاتی از این دست گزارش شد. البته در آن زمان قطع شبکه‌های مختلف وابسته به وزارت نفت برای جلوگیری از توسعه این ویروس از جمله اقداماتی بود که برای مقابله با این حمله سایبری صورت گرفت.

به هر حال، اکنون که بیش از دو هفته از آغاز حمله باج‌افزار واناکرای به سیستم‌های رایانه‌ای کشورهای مختلف می‌گذرد، همچنان نگرانی‌ها در خصوص حمله مجدد آن وجود دارد. این در حالی است که با توسعه کاربرد اینترنت در اداره کسب‌و‌کارها و حتی زندگی‌های امروزی و در سطوح وسیع‌تر ملی و بین‌المللی، سیستم‌های اطلاعاتی و ارتباطی در سرتاسر جهان هر روز دستخوش این نوع حملات می‌شوند یا اینکه حداقل همیشه تهدید این نوع حمله‌ها با آنها همراه است. ایران نیز با توجه به توسعه فضای مجازی از این قاعده مستثنی نیست؛ به‌طوری‌که به گفته وزیر ارتباطات، تقریبا روزی نیست که سیستم سایبری کشور هزاران حمله از خارج نداشته باشد.

راهکارهای امنیتی

با شیوع حمله باج‌افزار واناکرای به رایانه‌های کاربران ایرانی، سازمان فناوری اطلاعات ایران با توجه به راهنماها و راه‌حل‌های منتشر شده در سایت‌های مختلف مبنی‌بر امکان بازیابی داده‌های رمزگذاری شده توسط باج‌افزارها، ضمن انجام بررسی‌‌های فنی و دقیق مستند کاملی را در این خصوص منتشر کرد که لازم است کاربران هرچه سریع‌تر نسبت به به‌روز‌رسانی سیستم‌ها براساس دستورالعمل‌های قبلی مرکز ماهر اقدام کنند. مرکز ماهر با رصد این باج‌افزار، راهکارهایی را برای پیشگیری و مقابله با این باج‌افزار ارائه کرده که عبارتند از:

۱. نصب پچ امنیتی MS۱۷-۰۱۰ مایکروسافت که از طریق ابزار به روز‌رسانی ویندوز (Windows Update)قابل دسترسی است. برای دریافت بسته امنیتی مربوط به سیستم عامل ویندوز اکس پی یا ویندوز سرور ۲۰۰۳ می‌توانید از این لینک استفاده کنید.

۲. در‌صورتی‌که به بسته امنیتی فوق دسترسی ندارید، می‌توانید سرویس (Server Message Block)SMB را در نسخه‌های مختلف ویندوز با استفاده از محیط powershell غیرفعال کنید.

۳. در‌صورتی‌که به سرویس SMB نیاز مبرم دارید، می‌توانید صرفا پورت‌های ۴۴۵ و ۱۳۹ مربوط به پروتکل SMB را روی فایروال ویندوز ببندید.

توصیه‌های پلیس فتا

مرکز تشخیص و پیشگیری پلیس فتا ناجا نیز توصیه‌هایی برای جلوگیری از حملات سایبری به کاربران ایرانی داشت؛ اینکه در مقابله با باج‌افزارها باید بک آپی جدا از سیستم صورت بگیرد و ترجیحا این موضوع برروی حافظه‌های فقط خواندنی مثل دی وی دی انجام شده و جدای از سیستم نگهداری شود. همچنین مراکز میزبانی سایت‌ها و مسوول امنیت آنها باید به سرعت اقدام به بروز‌رسانی و اقدامات لازم بنماید. مواردی که در اینترنت وجود دارد مبنی‌بر اینکه ادعای رمزگشایی باج‌افزارها را می‌کنند صحت ندارد و عمدتا این سایت‌ها کلاهبرداری است و این موضوع را پلیس فتا به صورت مستمر رصد می‌کند.

همچنین عدم نگهداری اطلاعات مهم و حیاتی روی کامپیوتر، تهیه دو نسخه پشتیبان از اطلاعات خود یکی روی سی‌‌دی یا دی‌وی‌دی و یکی بر روی فضای ابری از قبیل دراپ باکس یا گوگل درایو (هرگز نسخه پشتیبان از اطلاعات خود را روی کامپیوتر نگه ندارید.) می‌تواند یک پشتیبان خوب از اطلاعات شما باشد. از نرم‌افزارهای همگام ساز حساب‌های گوگل درایو یا دراپ باکس روی سیستم استفاده نکنید؛ زیرا ورودی این نرم‌افزارهای به حساب کاربریتان همیشه باز بوده و خطر نفوذ باج‌افزار به آن حساب‌ها را افزایش می‌دهد. برای استفاده از این سرویس‌ها فقط از مرورگر امن استفاده کرده و هرگز اطلاعات کاربری را روی مرورگر ذخیره نکنید، از آخرین به روز رسانی‌های امنیتی برای سیستم عامل و مرورگرهای اینترنتی استفاده کنید و آنها را همیشه به‌روز نگه دارید.

برای استفاده روزانه از سیستم عامل از حساب کاربری ادمین استفاده نکنید و یک کاربر جدید با دسترسی استاندارد تعریف کرده و هنگامی‌که اینترنت استفاده می‌کنید از طریق آن وارد سیستم شوید. افزونه‌های مجموعه مایکروسافت در مرورگرها، همچنین پلاگین‌های Adobe Flash، Adobe Reader،Java وSilverlight از مرورگر را غیرفعال کرده و در مواقع لزوم به فعال کردن آنها اقدام کنید. تنظیمات امنیتی و حریم خصوصی مرورگرها را برای افزایش حفاظت اعمال کنید. پلاگین‌های قدیمی ‌و منسوخ شده از مرورگرها را حذف کنید. همواره از یک آنتی ویروس اورجینال با قابلیت به‌روزرسانی خودکار مجهز به فایروال استفاده کرده و یک راه‌حل امنیتی جهت کنترل ترافیک اطلاعات ورودی و خروجی داشته باشید و هیچگاه به مرورگر خود اجازه ذخیره رمز عبور حساب‌های کاربری را ندهید.

محققان امنیت سایبری موفق به شکستن رمزنگاری برخی از فایل‌های رمزگذاری شده توسط باج‌افزارها شده‌اند. متاسفانه، تعدادی از باج‌افزارها هنوز در مقابل این راه‌حل‌ها مقاوم هستند. با وجود این، فایل‌های رمزگذاری شده توسط بسیاری از گونه‌های cryptoware توسط متخصصان باز شده است. در خصوص باج‌افزار wannacry نیز فعلا نرم‌‌افزار قفل‌شکن معرفی نشده است و در صورت معرفی می‌توانید از سایت‌های معتبر آن را دانلود و سپس استفاده کنید؛ بنابراین به هیچ عنوان به تبلیغات اینترنتی در این رابطه توجه نشود. برای حذف فایل باج‌افزار از سیستم و ترمیم کلیدهای رجیستری سیستم عامل می‌توان از نرم‌افزارهای پاک‌سازی و ترمیم رجیستری استفاده کرد اما مجددا یادآوری می‌شود با این‌کار نمی‌توان فایل‌های قفل شده را بازگرداند.