اخیرا شاهد بروز نسخه جدید از نرم افزار باج گیر یا همان Wannacrypt در سطح دنیا هستیم. این ویروس قربانی های بسیاری در سطح دنیا گرفته است. کشور ما هم از این حملات بی نصیب نمانده است.

قابل ذکر است اصولا بهترین روش برخورد با باج افزارها تهیه Backup مطمئن هست، به همین دلیل کارفرمایان محترم دقت داشته باشند تنظیمات Offline Backup سامانه PVM در بازه های زمانی مطمئن تنظیم شده باشد.

نحوه پخش شدن این ویروس از طریق پروتکل Server Message Block/SMB‌‌ میباشد. این پروتکل دارای یک آسیب پذیری خطر ناک است که به مهاجم اجازه اجرای کد را میدهد. مهاجم از طریق اجرای یک exploit روی این پروتکل اقدام به انتقال ویروس میکند. این ویروس بعد از ورود به سیستم اقدام به رمزنگاری داده های مهم سیستم کرده و بعد برای رمزگشایی داده‌ها از اشما درخواست پول میکند و …

 

 این بدافزار  به دو طریق وارد شبکه شما میشود:

• اجرای یک ضمیمه آغشته به ویروس از طریق میل
• ورود از طریق پورت ۱۳۹ و ۴۴۵ (پورت های پرتکل SMB)

 

برای جلوگیری از ورود این بد افزار به سیستم لازم است موارد زیر انجام گیرد:

۱. بروز رسانی ویندوز (منبع یک). دقت کنید که مایکروسافت خوشبختانه برای ویندوزهای از رده خارج XP/۸/۲۰۰۳ هم وصله ارائه کرده است(منبع دو)

۲. بروزرسانی آنتی ویروس

۳. بستن دسترسی به پورتهای ۱۳۹ و ۴۴۵ (TCP) همه سرورها

 

 سیستم عامل های ویندوز از نسخه های مختلف پروتکل SMB استفاده میکنند:

SMB 1.0 – Windows 2000, Windows XP, Windows Server 2003 and Windows Server 2003 R2 (all unsupported Operating Systems by Microsoft)

SMB 2.0 – Windows Vista (SP1 or later) and Windows Server 2008 (Vista is unsupported in April 2017)

SMB 2.1 – Windows 7 and Windows Server 2008 R2

SMB 3.0 – Windows 8 and Windows Server 2012

SMB 3.02 – Windows 8.1 and Windows Server 2012 R2

SMB 3.1.1 – Windows 10 and Windows Server 2016

 

همانطور که در لیست فوق مشخص است به جز ویندوز اخیر مایکروسافت به نام Windows Nano Server 2016 همه ویندوز ها از smbv1 (هم به عنوان کلاینت و هم به عنوان سرور) پشتیبانی میکنند. دقت کنید که در لیست فوق همه ویندوزهای جدید نسخه های قبل را پشتیبانی میکنند. مثلا ویندوز ۲۰۱۲ همه پروتکل های SMBv3, SMBv2, and SMBv1 را پشتیبانی میکند.

نکته دیگر در مورد لیست فوق این است که با غیرفعال کردن پروتکل SMB 1.0 سرویسfile and print sharing با کلاینت های xp/200/2003 قطع خواهد شد. بنابراین به این موضوع توجه کامل داشته باشید. چنانچه به هر دلیل امکان تغییر سیستم عامل های قدیمی شبکه خود را ندارید باید سریع به سراغ نصب وصله های ارائه شده توسط مایکروسافت بروید.

 

اقدام فوری برای جلوگیری از ورود بد افزار:

اگر امکان بروزرسانی وجود ندارد لازم است از طریق دستورات زیر نسخه یک پروتکل SMB‌ غیرفعال یا حذف شود. دقت کنید که نسخه های ۲ و۳ را غیرفعال نکنید.

دقت کنید که منظور از PS برنامه Power shell مایکروسافت می باشد.

پروتکل SMB1‌در دو حالت کلاینت و سرور قابل استفاده است. به عنوان نمونه وقتی از share یک سیستم دیگر استفاده میکنید سیستم شما از پروتکل SMB‌ به عنوان کلاینت استفاده میکند و طرف مقابل از آن به عنوان سرور. لازم به ذکر است که باید هر دو حالت کلاینت و سرور پروتکل SMB1‌ را غیر فعال کرد.

برای غیرفعال سازی پروتکل SMB1 در حالت سرور :

سیستم عامل های : Windows 8.1, 2012 R2, 2016:

PS C:\> Remove-WindowsFeature FS-SMB1

سیستم عامل های Windows 8, 2012:

PS C:\> Set-SmbServerConfiguration -EnableSMB1Protocol $false

سیستم عامل های Windows 7, Vista, 2008, 2008 R2 (نیاز به راه اندازی مجدد سرور است)

PS C:\> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

برای غیرفعال سازی پروتکل SMB1 در حالت کلاینت :

سیستم عامل های : Windows 8.1, 2012 R2, 2016:

PS C:\>Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

سیستم عامل های Windows Vista, 7, 8, 2008, 2008 R2, and 2012 (نیاز به راه اندازی مجدد سرور است)

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

 

چند توصیه :

• دقت کنیدکه یک اقدام مطمئن بروز نگه داشتن کلیه کلاینتها و سرورها میباشد.
• سرورها در زون یا محدوده مجزا قرارداده شوند و دسترسی به آنها فقط از طریق پورتهای مورد نیاز کاربران باشد.
• ارتباط زون ها از طریق فایروال کنترل شود.
• دسترسی سرورها به اینترنت قطع شود.
• یک سرور آپدیت مرکزی یا همان WSUS‌‌ در شبکه راه اندازی شود و کلیه کلاینتها از طریق آن بروز رسانی شوند.

 

منبع۱: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
منبع۲: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
منبع ۳: http://blog.talosintelligence.com/2017/05/wannacry.html
منبع ۴: https://community.tenable.com/thread/11156