هشدار مهم ویروس! مراقب و آماده برای ویروس احتمالی Wipe باشید

فایل PDF این خبر را می توانید از اینجا دریافت کنید.

براساس گزارشات دریافتی از برخی از مشتریان شرکت مهندسی شبکه گستر، اخیراً نامه ای از حراست وزارت خانه ها و سازمان های کشور درباره ویروس جدیدی که اطلاعات دستگاه ها را بصورت دایمی و غیرقابل برگشت، حذف (Wipe) می کند، ارسال شده است. با توجه به اینکه در این نامه هیچگونه اطلاعات فنی دقیقی برای پیگیری موضوع وجود ندارد، در حال حاضر تنها می توان توصیه های زیر را به مدیران شبکه ای که نگران آلودگی به این ویروس و یا قرار گرفتن در معرض تهدیدهای مشابه هستند، ارائه کرد.

1- از به روز بودن ضدویروس بر روی دستگاه های شبکه اطمینان حاصل کنید.

2- از اطلاعات موجود بر روی سرویس دهنده های خود یک نسخه پشتیبان (Backup) تهیه کرده و در محل دیگری، جدا از سرویس دهنده ها – مثلاً بر روی دیسک های قابل حمل و یا DVD کپی کنید.

3- آخرین بسته های به روز رسانی (Service Pack) و اصلاحیه (Patch)های سیستم عامل و نرم افزارهای کاربردی مورد استفاده را بر روی تمام دستگاه ها و به ویژه سرویس دهنده ها نصب کنید. برای اینکار می توان از نرم افزار WSUS استفاده کرد. همچنین شرکت شبکه گستر تمام اصلاحیه های سیستم عامل Windows و سایر نرم افزارهای کاربردی را بر روی DVD گردآوری کرده است که از آنها نیز می توان استفاده کرد.

4- دسترسی کاربران به درگاه های فیزیکی مانند درگاه USB برای استفاده از دیسک های قابل حمل را محدود کنید. برای اینکار می توان از محصولی مانند McAfee Device Control یا مشابه آن استفاده کرد.

5- در صورتیکه از سخت افزارهای امنیتی (UTM) یا نرم افزارهای دیواره آتش بر روی ورودی شبکه (Gateway) استفاده می کنید، دسترسی کاربران به اینترنت را محدود به سرویس ها و درگاه های (Port) لازم کنید تا از ویروسی شدن احتمالی کاربران پیشگیری شود.

6- در صورت دیدن فایل های مشکوک و به ویژه مرتبط با ویروس احتمالی Wipe، نسخه ای از آنها را برای گروه پشتیبانی شرکت شبکه گستر به نشانی support@shabakeh.net بفرستید.

7- برای اطلاعات بیشتر نیز می توانید با سایت پشتیبان این شرکت به نشانی help.shabakeh.net یا پست الکترونیک help@shabakeh.net و یا بصورت تلفنی با کارشناسان پشتیبانی شرکت تماس حاصل فرمایید.

 

همچنین اخیراً برخی منابع کارشناسی و تحقیقاتی درباره روش مقابله با ویروس احتمالی Wipe راهکارهایی را پیشنهاد داده اند. بر این اساس، باید دسترسی و فعالیت فایلی با نام diskpart محدود شود. بدین منظور می توانید به روش زیر، با استفاده از امکانات Access Protection ضدویروس McAfee جلوی فعالیت این فایل را بگیرید.

ابزار مدیریتی McAfee ePolicy Orchestrator 4

1- در نسخه ePolicy 4.0، زبانه Systems را انتخاب و بر روی Policy Catalog کلیک کنید.  اگر از نسخه ePolicy 4.5 استفاده می کنید، بر روی Menu کلیک و در بخش Policies بر روی Policy Catalog کلیک کنید.

2- در بخش Product ابتدا گزینه VirusScan Enterprise 8.8.0 را انتخاب و سپس در قسمت Category بر روی Access Protection Policies کلیک کنید.

3- در اینجا سیاست نامه (Policies) مورد استفاده در شبکه (برای مثال Shabakeh) را Edit نمایید.

 

4- در پنجره ظاهر شده و در قسمت Categories، گزینه User-defined Rules را انتخاب و در بخش سمت راست بر روی دگمه …New کلیک کنید.

5- در ادامه File/Folder Blocking Rule را انتخاب کنید.

6- در پنجره ای که به نمایش در می آید، مطابق شکل زیر Wipe را در قسمت Rule name، * را در قسمت Processes to include و *.diskpart\** را در قسمت File or folder name to block وارد کنید. در بخش File actions to prevent نیز تمامی گزینه ها به غیر Files being deleted را فعال کنید.

 

7- چنانچه می خواهید این قاعده بر روی سرورها نیز اعمال گردد در قسمت Settings for گزینه Server را انتخاب کرده و مراحل 4 تا 6 را انجام دهید.

8- پایان کار. بدین ترتیب هرگونه سعی برای دسترسی و اجرای غیرمجاز فایل diskpart مسدود و متوقف خواهد شد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

4 پاسخ

  1. آیا مطمئنید؟
    توصیه های خوبی بود.اگر چند مورد دیگر مانند کلمه عبور مناسب و دسترسی مناسب به sql و … را نیز می افزودید ، بسیار جالب می شد. اما آیا این موارد تنها برای این حمله خیالی کاربرد دارد و باید با این عنوان بیان شود؟
    احتمالأ کلمه “Social Engineering ” به گوشتان خورده ، بیایید فکر کنیم که یک Attacker هستیم و در یکی از مراحل کارمان نیاز داریم که کمی زمان بخریم و یا اهدافمان را سرگرم یک کار بیهوده کنبم و یا شاید یکی از بخشهای مهم سیستم عامل که میتواند کنترل تقسیم بندیهای هارد را بر عهده داشته باشد مزاحم ما شده و باید از سر راه ما برداشته شود. خب بهترین راه حل چیست؟
    1- خود را معرفی کنیم و از مدیران شبکه بخواهیم که به ما کمک کنند؟
    2- طرح خودمان را در مطبوعات و یا سازمانهای مربوطه معرفی کنیم و درخواست کمک کنیم؟
    3- از شرکت سازنده سیستم عامل بخواهیم که فایلی را که مزاحمت برای ما ایجاد نموده ، با یک اصلاحیه از سر راه ما بردارد؟
    4- طرحمان را در قالب یک روش مهندسی اجتماعی و با روش شایعه پراکنی و در سطح گسترده در حد یک کشور با استفاده از تنها یک وبلاگ ساده و نشر خبر آن به تأیید خودمان در سایتهای دیگر بیان کنیم؟ تازه وای به حال کشوری که مردمش به ضرب المثل “تا نباشد چیزکی مردم نگویند چیزها” ایمان داشته باشند.
    فرض کنیم این فایل قابل دسترسی است (آنهم از راه دور و با استفاده از حملات معروف DCOM) ، فکر میکنید این فایل چند نسل است که در سیستمهای عامل وجود دارد؟ یعنی Attacker های ناشی که حملاتی همچون conficker و stuxnet و … را ترتیب داده اند تا کنون یان قایل را ندیده بودند و یا میدانستند و می خواستند به رسم جوانمردی از آن استفاده نکنند و به روی مایکروسافت نیاورند.
    گفتید بر اساس گزارش مشتریان . آیا مشتریانتان با این موضوع برخورد داشته اند یعنی McAfee نمیتواند آنرا پوشش دهد؟
    آیا مشتران شما درگیر شایعات شده اند ؟ شما چطور؟
    چطور با در نظر گرفتن این موضوع که هیچ اطلاعات فنی در دسترس نیست ، راهکار ارائه می کنید؟
    آیا تا کنون از diskpart استفاده کرده اید؟
    آیا در خصوص Raid Array و دسته بندی های آن اطلاعاتی دارید؟
    ممکن است سایر مشتریان از شما به خاطر شایعه پراکنی و نشر راهکار برای آن و بالابردن آدرنالین خونشان ممنون باشند ، اما شاید شما هدف اصلی این حمله اجتماعی بودید و Attacker پیروز این میدان باشد؟!

    پاسخ

    1. در صورت بستن فایل diskpart در سرور2008 دیگر نمیتوان backup system state گرفت

      پاسخ

      1. به نظر من حق کاملا با شماست
        چون نه تنها مکافی بلکه هیچ شرکت آنتی ویروس دیگری هم گزارشی در مورد وجود همچین ویروسی ندادند.

        پاسخ

  2. با سلام خدمت همکاران محترم
    تقریبا 4 ماه قبل از سال 91 من با این ویروس در یکی از شرکتهای وابسته به انرژی اتمی برخورد کردم که دقیقا مشابه این ویروس عمل کرده بود و بعد از آن در یکی از ازگانهای نظامی و پس از آن در یکی از کارخانه ها و در نهایت امسال شرکت نفت . در همه موارد عملکرد ویروس یکسان بود و اثرات آن همانهایی هست که ذکر شد و در بعضی سایتها در مورد سوزاندن سخت افزار هارد صحبت شد که مورد تایید نمیباشد. به نظر اینجانب این یک Attack محسوب میشود زیرا اهداف آن مشخص و ارگانهای حیاتی را مورد هدف قرار داده است در صورتی که هیچ شرکت و یا ارگان دیگری که به این ویروس آلوده شده باشند با اینکه از نظر امنیتی در Level بسیار پایینتری هستند گزارشی در دست نیست. با توجه به تجربیات اینجانب در زمینه IT چنانچه هاردی بوسیله Diskpart و یا با هر نرم افزار پارتیشنینگ دیگری پارتیشن بندی گردد میتوان بوسیله نرم افزارهای recovery ویا با سخت افزارهایی در این زمینه اطلاعات را بازیابی نمود ولی عملکرد این ویروس بسیار متفاوت است و دیگر اطلاعات غیر قابل بازیابی خواهد شد در نتیجه از آنجایی که دستگاهی که این ویروس روی آن فعالیت میکند پس از آن اثری از ویروس باقی نمیماند تا بتوان رفتار آنرا انالیز نمود تصور میکنم روش عملیاتی آن طور دیگری است نظیر Low Level Format که پس از آن اطلاعات دیگر غیر قابل بازیابی میگردد. در تجربه اول اینجانب دستگاهی که پس از اجرای عملیات ویروس در حداقل زمان متوقف شد بخش عمده ای از اطلاعات بازیابی شد ولی دستگاههایی که مدت طولانی این عملیات ( عملیات آن نظیر Scan Disk ویندوز بعد از قطع ناگهانی برق میباشد) روی آنها (نظیر سرور مجموعه که ادمین آن از 4شنبه ساعت 10 صبح تا شنبه صبح متوجه ای رخداد نشده بود) انجام شد حتی یک بیت از اطلاعات آن بازیابی نگشت. لذا پیشنهاد میگردد با احتیاط بیشتریبا این ویروس برخورد گردد. به نظر من احتمال انجام آن بوسیله diskpart ویندوز بسیار کم میباشد و روش دیگری جهت انجام این عملیات انجام میدهد.

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *