این امکان وجود دارد که موج دوم حملات جهانی بسیار بزرگ در راه باشد، چراکه SMB یا سرور مسدود کردن پیام تنها پروتکل شبکهای نیست که دارای اکسپلویتهای روز صفر است که توسط گروه Shadow Brokers در ماه گذشته در اختیار عموم قرار گرفت.
همچنین مایکروسافت پچهای برای برطرف کردن آسیبپذیری SMB در ویندوزهای دارای پشتیبانی در ماه مارس ۲۰۱۷ منتشر کرد و نسخههای ویندوز از رده خارج شده نیز بلافاصله پس از منتشر شدن باجگیر افزار WannaCry مورد حمایت قرار گرفته و پچ های مربوط به آنها منتشر شد. اما این شرکت ۳ ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نامگذاری شده بودند را نادیده گرفت.
در حال حاضر تقریباً ۳ هفته از شروع گسترش باجگیر افزار WannaCry گذشته است که تقریباً ۳۰۰.۰۰۰ کامپیوتر را در ۴۵۰ کشور و در طی ۷۲ ساعت آلوده کرده است که البته الان از سرعت گسترش آن کاسته شده است.
باج افزارواناکرای یک آسیبپذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و از این طریق به مهاجمان از راه دور اجازه میدهد تا کامپیوترهایی را که دارای سیستمعامل ویندوز پچ نشده هستند را تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستمهای پچ نشده گسترش دهند.
علی رغم اینکه هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در مواقعی دچار اشتباه میشوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این اشتباهات میتواند به قربانیان برای دسترسی مجدد به فایل های خود پس از آلودگی کمک کند. این مقاله شرح کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مطلب به خوشحالی قربانیان بسیاری کمک کند و به دلهرههای شما پایان دهد.
اشتباهات در استدلال حذف فایلها
هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند “WNCRYT” ذخیره می شوند. پس از پروسه ی رمزنگاری آنها از پسوند “WNCRYT” به “WNCRY” تغییر می یابند و تمام فایلهای اورجینال پاک میشوند. استدلال این حذف شدن فایل ها می تواند به موقعیت و properties ( مشخصات فایل ها) بستگی داشته باشد.
فایلهایی که بر روی هارد سیستم قرار دارند:
اگر که فایل ها در فولدر مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا مدارک هستند)، فایل های اورجینال با رونوشت دوباره قبل از اینکه حذف شوند تغییر داده می شوند. در این مورد متاسفانه هیچ راهی برای بازگرداندن محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.
اما اگر فایلها در خارج از فولدرهای مهم باشند، فایل های اورجینال به ” %TEMP%\%d.WNCRYT” (%d در آن نشانگر یک مقدار عددی است) تغییر مییابند. این فایلها شامل دادههای اورجینال و رونوشت دوباره هکرها نیست و به راحتی از دیسک پاک خواهند شد. این بدان معنی است که احتمال بازگرداندن آنها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.
تغییر نام فایلهای اورجینال که میتواند از %TEMP% بازیابی شود.
فایلهایی که بر روی دیگردرایوها ذخیره شدهاند:
باج افزار فولدر “$RECYCLE ” را ایجاد می کند و ویژگی hidden+system را برای این فولدر قرار میدهد. این عمل باعث میشود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، پنهان باقی بماند. این بدافزار در این هنگام خیال عزیمت به فایلهای اورجینال را در دایرکتوری پس از رمز نگاری در سر دارد.
با این حال به دلیل خطاهایی که در کدهای نوشته شده باجافزار وجود دارد، فایل های اورجینال در همان دایرکتوری باقی میماند و به فولدر ” $RECYCLE” انتقال داده نمی شود.
فایلهای اورجینال در روش های امن حذف می شوند. و دراین مورد هم بازیابی فایل های حذف شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.
فایلهای اورجینالی که می توانند از یک درایو بازیابی شوند
مسیری که برای فایل اورجینال به صورت موقت ایجاد میکند
یک قطعه از کدی که در بالا فراخوانی شد
اشتباه در پردازش فایلهای Read-only
ما زمان بسیار زیادی را برای آنالیز واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه باگی به صورت read-only شدیم. اگر چنین فایلهایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده فایل های اورجینال ایجاد خواهد شد، در حالی که فایل های اورجینال آنها به صورت پنهان وجود دارند. هنگامی که این اتفاق رخ می دهد، پیدا کردن آن ها به سادگی رخ می دهد و بازگردانی آن ها به روش های آسان امکان پذیر است.
فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند
نتیجه گیری
از عمق پژوهشهای ما در رابطه با این باج افزار، روشن است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله خود داشتهاند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت خوبی وجود دارد که فایلهای روی کامپیوتر آلوده خود را بازیابی کنید. برای بازیابی فایل ها، شما میتوانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه میکنیم در صورتیکه ویندوزهای خود را آپدیت نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.
راهکارهای لازم برای در امان ماندن مقابل واناکرای
• از یک راهکار امنیتی خوب و مطمئن برای مقابله با این باجافزار استفاده کنید. و به طور منظم از مهمترین دادههای خود بک آپ بگیرید.
• ازآنجاکه مایکروسافت هنوز هیچگونه پچای برای این آسیبپذیری منتشر نکرده است، به شرکتها و کاربران عادی شدیداً توصیه میشود تا سیستمعاملهای خود را به سیستمعاملهای جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.
• معمولا سیستم عاملهای ویندوزی که برروی رایانهها استفاده میشود، از نسخههای غیراصلی و غیراورجینال هستند. این موضوع مشکلات امنیتی و آسیبپذیری زیادی را بهدلیل استفاده از کرک و دستکاری ویندوز ایجاد میکند، ضمن اینکه اکثر این نسخهها امکان دریافت آپدیتها و پشتیبانی مایکروسافت را ندارند. همانطور که مشاهده می کنید حملهای هم که آسیبپذیری ویندوز را مورد هدف قرار داد ناشی از آپدیت نبودن ویندوزها بود که سرانجام به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر جهلان منجر شد.
• همزمان با این رویداد، ایدکو توزیعکننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه از تاریخ ۸ خرداد ماه(به مدت محدود) به تمام کاربرانی که آنتی ویروس سهکاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز ۱۰ اورجینال دو کاربره(بدون محدودیت فعالسازی)، با همکاری کی بازارهدیه می دهد. این فروش کوتاه مدت برای تمام کاربران فرصتی استثنایی و تکرار نشدنی است. برای خرید از این فروش ویژه به این قسمت مراجعه کنید.