کند شدن روند انتشار باج‌افزار WannaCry

به گزارش شرکت مهندسی شبکه گستر، منابع مختلف از کند شدن روند انتشار باج‌افزار WannaCry خبر داده‌اند. باج‌افزاری که طی چند روز گذشته با بهره‌جویی از یک ضعف امنیتی در بخش SMB سیستم عامل Windows ده‌ها هزار کامپیوتر را در حداقل 150 کشور جهان آلوده کرده است.

با آلوده شدن یک دستگاه، سایر دستگاه‌های شبکه نیز که حاوی این ضعف امنیتی باشند به‌صورت خودکار و بدون نیاز به دخالت کاربر آلوده خواهند شد.

در اطلاعیه باج گیری این باج‌افزار آمده، در صورتی که باج 300 دلاری طی سه روز پرداخت نشود مبلغ آن دو برابر خواهد شد. ضمن اینکه در آن تهدید می‌شود در صورت عدم پرداخت مبلغ اخاذی شده، فایل‌های رمزگذاری شده پس از یک هفته از روی سیستم حذف خواهند شد.

علیرغم آلودگی‌های گسترده، بررسی سه حساب بیت‌کوین مرتبط با این باج‌افزار نشان می‌دهد که تا عصر دوشنبه – 25 اردیبهشت ماه -، تنها 38 هزار دلار به آنها واریز شده است.

به گزارش شرکت مهندسی شبکه گستر، چندین منبع از جمله شرکت CheckPoint در خصوص خوش‌قولی صاحبان WannaCry و بازگردانی فایل‌ها به حالت اولیه در صورت پرداخت مبلغ باج اظهار تردید کرده‌اند.

در بین قربانیان باج‌افزار WannaCry که با نام‌های WanaCrypt0r و WCRY نیز شناخته می‌شود شرکت‌هایی بزرگ و معروف و همچنین مراکزی بسیار حساس عمدتاً در اروپا و سپس در آسیا به چشم می‌خورند. روز شنبه، 23 اردیبهشت ماه، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر)، از آلوده شدن 200 دستگاه در داخل کشور به این باج‌افزار خبر داد.

راهکار اصلی در پیشگیری از آلودگی به این باج‌افزار اطمینان از نصب بودن اصلاحیه امنیتی MS17-010 است.

محققان و شرکت‌های متعددی طی دو روز گذشته که در بسیاری از کشورها تعطیلات آخر هفته محسوب می‌شود از راه‌های مختلف از جمله نصب این اصلاحیه تلاش کردند تا شدت آلودگی‌ها را به حداقل برسانند که به نظر می‌رسد تلاش آنها بی‌حاصل نبوده است.

بخصوص آنکه سخنگوی پلیس اروپا نیز از آرام شدن اوضاع در اروپا خبر داده است.

با این حال برخی منابع از انتشار نسخه‌های جدیدی از این باج‌افزار خبر داده‌اند. چندین منبع نیز به سوءاستفاده ویروس‌نویسان دیگر با بهره‌جویی از شهرت این باج‌افزار و ساخت و انتشار باج‌افزارهایی در ظاهر WannaCry اشاره کرده‌اند.

از سویی دیگر یک محقق انگلیسی که با نام MalwareTech شناخته می‌شود پیش‌بینی کرده که حمله دیگری در راه باشد.

روز شنبه، این محقق اقدام به ثبت دامنه‌ای هم‌نام با دامنه‌ای کرد که در کد WannaCry به آن اشاره شده بود. هدف او صرفاً ردیابی آلودگی‌ها به این باج‌افزار در نقاط مختلف جهان بود. اما این کار او تصادفاً سبب از کار افتادن برخی گونه‌های این باج‌افزار شد.

برخی ویروس‌نویسان فرامینی را در کد منبع بدافزار خود درج می‌کنند که در صورت فعال شدن آنها، انتشار بدافزار متوقف می‌شود. به این نوع کدها Kill Switch گفته می‌شود. نویسنده یا نویسندگان WannaCry نیز در یکی از توابع برنامه‌نویسی خود درخواستی را به دامنه مذکور ارسال می‌کنند. بر طبق این تابع در صورت دریافت پاسخ از این دامنه باج‌افزار از اجرای فرامین مخرب خود صرف‌نظر می‌کند. به نظر می رسد صاحبان WannaCry  قصد داشته‌اند که در شرایط خاص با راه‌اندازی این دامنه انتشار باج‌افزار را متوقف کنند. ثبت زود هنگام این دامنه توسط MalwareTech عملاً سبب فعال‌سازی Kill Switch باج‌افزار حداقل در برخی گونه‌های آن شد که این موضوع نیز می‌تواند در کاهش روند آلودگی‌ها تاثیرگذار باشد.

انتشار گسترده WannaCry زنگ خطری برای تمامی کاربران از جمله راهبران شبکه است. هشداری برای جدی گرفتن وجود ضعف‌ها و آسیب‌پذیری‌های امنیتی و اهمیت دادن به نصب اصلاحیه‌های امنیتی. گزارش فنی بررسی و تحلیل WannaCry در اینجا قابل دریافت و مطالعه است.