ویروس Wipe

چيست؟

ویروس احتمالی Wipe ویروسی با درجه خطر بالا (High) است. براساس گزارشات دریافتی از برخی از مشتریان شرکت مهندسی شبکه گستر، اخیراً نامه ای از حراست وزارت خانه ها و سازمان های کشور درباره ویروس جدیدی که اطلاعات دستگاه ها را بصورت دائمی و غیرقابل برگشت، حذف (Wipe) می کند، ارسال شده است.

انتشار

با توجه به اینکه نمونه ای از این ویروس مشاهده و نمونه برداری نشده است و همچنین در نامه فوق الذکر هیچگونه اطلاعات فنی دقیقی برای پیگیری موضوع وجود ندارد، در حال حاضر تنها می توان توصیه های زیر را به مدیران شبکه ای که نگران آلوگی به این ویروس و یا قرار گرفتن در معرض تهدیدهای مشابه هستند، ارائه کرد.

خرابکاری

انجام عمل Erase و دوباره نویسی تمامی سکتورهای هارد دیسک یا Raid Array به نحوی که دیگر اطلاعات قابل بازیابی نیست.

پيشگيری

در برخی اطلاعات اولیه به این نکته اشاره شده که این ویروس احتمالی، از دستور diskpart برای حذف اطلاعات استفاده می کند. این دستور از دستورات command prompt می باشد و در Windows هم قابل اجرا است. در ادامه این بخش، راهکاری برای جلوگیری از فعالیت این دستور ارائه شده است.

ولی برای مقابله و آمادگی در برابر این ویروس احتمالی، رعایت توصیه های زیر بطور جدی تاکید می شود.

1- از به روز بودن ضدویروس بر روی دستگاه های شبکه اطمینان حاصل کنید.

2- از اطلاعات موجود بر روی سرویس دهنده های خود یک نسخه پشتیبان (Backup) تهیه کرده و در محل دیگری، جدا از سرویس دهنده ها – مثلاً بر روی دیسک های قابل حمل و یا DVD- کپی کنید.

3- آخرین بسته های به روزرسانی (Service Pack) و اصلاحیه (Patch)های سیستم عامل و نرم افزارهای کاربردی مورد استفاده را بر روی تمام دستگاه ها و به ویژه سرویس دهنده ها نصب کنید. برای اینکار می توان از نرم افزار WSUS استفاده کرد. همچنین شرکت شبکه گستر تمام اصلاحیه های سیستم عامل Windows و سایر نرم افزارهای کاربردی را بر روی DVD گردآوری کرده است که از آنها نیز می توان استفاده کرد.

4- دسترسی کاربران به درگاه های فیزیکی مانند درگاه USB برای استفاده از دیسک های قابل حمل را محدود کنید. برای اینکار می توان از محصولی مانند McAfee Device Control یا مشابه آن استفاده کرد.

5- در صورتیکه از سخت افزارهای امنیتی (UTM) یا نرم افزارهای دیواره آتش بر روی ورودی شبکه (Gateway) استفاده می کنید، دسترسی کاربران به اینترنت را محدود به سرویس ها و درگاه های (Port) لازم کنید تا از ویروسی شدن احتمالی کاربران پیشگیری شود.

6- در صورت دیدن فایل های مشکوک و به ویژه مرتبط با ویروس احتمالی Wipe، نسخه ای از آنها را برای گروه پشتیبانی شرکت شبکه گستر به نشانی support@shabakeh.net بفرستید.

7- برای اطلاعات بیشتر نیز می توانید با سایت پشتیبان این شرکت به نشانی help.shabakeh.net یا پست الکترونیک help@shabakeh.net و یا بصورت تلفنی با کارشناسان پشتیبانی شرکت تماس حاصل فرمایید.

همچنین برخی منابع کارشناسی و تحقیقاتی درباره روش مقابله با ویروس احتمالی Wipe راهکارهایی را پیشنهاد داده اند. بر این اساس، باید دسترسی و فعالیت فایلی با نام diskpart محدود شود. بدین منظور می توانید به روش زیر، با استفاده از امکانات Access Protection ضدویروس McAfee جلوی فعالیت این فایل را بگیرید.

در ابزار مدیریتی McAfee ePolicy Orchestrator 4

1- زبانه Systems را انتخاب و بر روی Policy Catalog کلیک کنید.

2- در بخش Product ابتدا گزینه VirusScan Enterprise 8.8.0 را انتخاب و سپس در قسمت Category بر روی Access Protection Policies کلیک کنید.

3- در اینجا سیاست نامه (Policies) مورد استفاده در شبکه (برای مثال Shabakeh) را Edit کنید.

4- در پنجره ظاهر شده و در قسمت Categories، گزینه User-defined Rules را انتخاب و در بخش سمت راست بر روی دکمه … New کلیک کنید.

5- در ادامه File/Folder Blocking Rule را انتخاب کنید.

6- در پنجره ای که به نمایش در می آید، مطابق شکل زیر Wipe را در قسمت Rule name، * را در قسمت Processes to include و **\diskpart.* را در قسمت File or folder name to block وارد کنید. در بخش File actions to prevent نیز تمامی گزینه ها به غیر Files being deleted را فعال کنید.