انتشار باجافزار WannaCry با استفاده از سازوکار «سوئیچ مرگ» متوقف شد.
توسط محققی که قهرمان تصادفی نام گرفت
توقف WannaCry در آمریکا با «سوئیچ مرگ»
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 25 ارديبهشت 1396 ساعت 10:00
انتشار باجافزار WannaCry با استفاده از سازوکار «سوئیچ مرگ» متوقف شد.
انتشار باجافزار WannaCry با استفاده از سازوکار «سوئیچ مرگ» متوقف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،یک محقق امنیتی خود را «قهرمان تصادفی» نامید چون توانست با پیدا کردن یک «سوئیچ مرگ» باجافزار WannaCry را از کار بیندازد. در دنیای دیجیتال و رایانهها، از سازوکاری به نام «سوئیچ مرگ» در دستگاهها و یا سرویسها استفادهمیشود تا درصورتیکه شرایط اضطراری پیش آمد و متوقف کردن دستگاه بهشیوه معمول ممکن نبود از این سوئیچ استفادهشود.
این محقق توانست با همکاری یکی از محققان امنیتی پروفپوینت به کد باجافزار WannaCry، نفوذ و در آن یک «سوئیچ مرگ» کشف کند. این سازوکار در کد بدافزار برای متوقف کردن اضطراری توسط نویسنده هارکد شدهاست که درخواستی را برای این منظور به سمت یک دامنه با نام عجیب ارسالمیکند. اگر این درخواست با موفقیت ارسال شود، عملکرد «سوئیچ مرگ» اجرا خواهد شد و بدافزار متوقف میشود.
تنها کاری که محققان در این زمینه انجام دادند، ثبت یک دامنه به این نام بود، کاری که مهاجم به خود زحمت ایجاد آن را نداده بود. محققان بر این باورند حتی پس از اینکه بدافزار توسط این سوئیچ اضطراری خاموش شد، انتشار آن متوقف نخواهد شد. مشکل اصلی درحالحاضر این است که مهاجمان میتوانند از هر نقطهای با کد باجافزار بازی کرده و «سوئیچ مرگ» را حذف کنند و یا اینکه دامنهای را که درخواست به سمت آن ارسال میشود، تغییر دهند.
تاکنون شرکت بیتدیفندر ۱۸۰ هزار مورد آلودگی به این باجافزار را گزارش کردهاست. بدون اینکه تعداد آلودگیها را در نظر بگیریم، محققان دریافتند ۱۰۲ نفر باج درخواستی به مبلغ ۳۰۰ دلار را در قالب بیتکوین پرداخت کردهاند و از این طریق مهاجمان ۲۷ هزار دلار به جیب زدهاند. پیش از اینکه بدافزار متوقف شود در ۱۰۴ کشور منتشر شدهاست که ازجمله این کشورها میتوان انگلستان، روسیه، اوکراین، چین، هند، ایتالیا، مصر و دیگر کشورها را نامبرد. آمریکا به لطف کشف «سوئیچ مرگ» کمترین آلودگی را به این باجافزار داشتهاست.
بدافزار WannaCry نمونهای از باجافزارها است که از یک آسیبپذیری با شناسه MS۱۷-۰۱۰ بهرهبرداری میکند که این آسیبپذیری بر روی بسیاری از نسخههای سیستمعامل ویندوز وجود دارد. این آسیبپذیری زمانی بهطور عمومی افشا شد که یک گروه نفوذ با نام Shadow Brokers، ابزارهای نفوذ متعلق به آژانس امنیت ملی آمریکا را بهطور برخط منتشر کردند. در بین این ابزارها، ابزار EternalBlue از این آسیبپذیری روز-صفرم در ویندوز بهرهبرداری میکرد.
باجافزار WannaCry یک بدافزار ترکیبی است که بار داده آن همچون یک باجافزار عمل کرده و در مرحله توزیع، رفتاری شبیه به یک کرم دارد. این ویژگی توزیع، باعث شد WannaCry خطرناکترین باجافزاری باشد که تاکنون ظاهر شدهاست. برای اینکه خود را از این حملات در امان نگه دارید، چندین راهحل وجود دارد. یکی از این راهحلها این است که از نسخههای بهروزرسانیشده ویندوز استفادهکنید. درحالحاضر شرکت مایکروسافت برای برطرف کردن این آسیبپذیری وصلههایی را منتشر کردهاست، ولی به نظر میرسد کسی به این وصلهها توجه نکرده و بهروزرسانیها را انجام ندادهاست.
شرکت مایکروسافت درحالیکه اعلام کردهبود دیگر برای سیستمعامل ویندوز ایکسپی بهروزرسانی امنیتی منتشر نمیکند، ولی اینک مجبور شد وصلههایی را برای این منظور ارائه کند. کاربران ویندوز اکسپی، ویندوز ۸ و کارگزار ویندوز ۲۰۰۳ میتوانند این وصلهها را از کاتالوگ بهروزرسانیهای مایکروسافت بارگیری و نصب کنند.
یکی دیگر از راهحلها نیز این است که از یک نرمافزار امنیتی استفاده کنید تا در صورت وقوع حمله از دستگاه شما حفاظت کرده و به شما هشدار دهد. به احتمال زیاد باجافزار WannaCry به کتابخانه نرمافزارهای امنیتی اضافه شدهاست و میتوانند آن را بهدرستی شناسایی کنند.
کد مطلب: 12666