توقف WannaCry در آمریکا با «سوئیچ مرگ»

انتشار باج‌افزار WannaCry با استفاده از سازوکار «سوئیچ مرگ» متوقف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،یک محقق امنیتی خود را «قهرمان تصادفی» نامید چون توانست با پیدا کردن یک «سوئیچ مرگ» باج‌افزار WannaCry را از کار بیندازد. در دنیای دیجیتال و رایانه‌ها، از سازوکاری به نام «سوئیچ مرگ» در دستگاه‌ها و یا سرویس‌ها استفاده‌می‌شود تا در‌صورتی‌که شرایط اضطراری پیش آمد و متوقف کردن دستگاه به‌شیوه‌ معمول ممکن نبود از این سوئیچ استفاده‌شود.

این محقق توانست با همکاری یکی از محققان امنیتی پروف‌پوینت به کد باج‌افزار WannaCry، نفوذ و در آن یک «سوئیچ مرگ» کشف کند. این سازوکار در کد بدافزار برای متوقف کردن اضطراری توسط نویسنده‌ هارکد شده‌است که درخواستی را برای این منظور به سمت یک دامنه با نام عجیب ارسال‌می‌کند. اگر این درخواست با موفقیت ارسال شود، عملکرد «سوئیچ مرگ» اجرا خواهد شد و بدافزار متوقف می‌شود.

تنها کاری که محققان در این زمینه انجام دادند، ثبت یک دامنه به این نام بود، کاری که مهاجم به خود زحمت ایجاد آن را نداده بود. محققان بر این باورند حتی پس از اینکه بدافزار توسط این سوئیچ اضطراری خاموش شد، انتشار آن متوقف نخواهد شد. مشکل اصلی در‌حال‌حاضر این است که مهاجمان می‌توانند از هر نقطه‌ای با کد باج‌افزار بازی کرده و «سوئیچ مرگ» را حذف کنند و یا اینکه دامنه‌ای را که درخواست به سمت آن ارسال می‌شود، تغییر دهند.

تاکنون شرکت بیت‌دیفندر ۱۸۰ هزار مورد آلودگی به این باج‌افزار را گزارش کرده‌است. بدون اینکه تعداد آلودگی‌ها را در نظر بگیریم، محققان دریافتند ۱۰۲ نفر باج‌ درخواستی به مبلغ ۳۰۰ دلار را در قالب بیت‌کوین پرداخت کرده‌اند و از این طریق مهاجمان ۲۷ هزار دلار به جیب زده‌اند. پیش از اینکه بدافزار متوقف شود در ۱۰۴ کشور منتشر شده‌است که ازجمله‌ این کشورها می‌توان انگلستان، روسیه، اوکراین، چین، هند، ایتالیا، مصر و دیگر کشورها را نام‌برد. آمریکا به لطف کشف «سوئیچ مرگ» کمترین آلودگی را به این باج‌افزار داشته‌است.

بدافزار WannaCry نمونه‌ای از باج‌افزارها است که از یک آسیب‌پذیری با شناسه‌ MS۱۷-۰۱۰ بهره‌برداری می‌کند که این آسیب‌پذیری بر روی بسیاری از نسخه‌های سیستم‌عامل ویندوز وجود دارد. این آسیب‌پذیری زمانی به‌طور عمومی افشا شد که یک گروه نفوذ با نام Shadow Brokers، ابزارهای نفوذ متعلق به آژانس امنیت ملی آمریکا را به‌طور برخط منتشر کردند. در بین این ابزارها، ابزار EternalBlue از این آسیب‌پذیری روز-صفرم در ویندوز بهره‌برداری می‌کرد.

باج‌افزار WannaCry یک بدافزار ترکیبی است که بار داده آن همچون یک باج‌افزار عمل کرده و در مرحله‌ توزیع، رفتاری شبیه به یک کرم دارد. این ویژگی توزیع، باعث شد WannaCry خطرناک‌ترین باج‌افزاری باشد که تاکنون ظاهر شده‌است. برای اینکه خود را از این حملات در امان نگه دارید، چندین راه‌حل وجود دارد. یکی از این راه‌حل‌ها این است که از نسخه‌های به‌روزرسانی‌شده‌ ویندوز استفاده‌کنید. در‌حال‌حاضر شرکت مایکروسافت برای برطرف کردن این آسیب‌پذیری وصله‌هایی را منتشر کرده‌است، ولی به نظر می‌رسد کسی به این وصله‌ها توجه نکرده و به‌روزرسانی‌ها را انجام نداده‌است.

شرکت مایکروسافت درحالی‌که اعلام کرده‌بود دیگر برای سیستم‌عامل ویندوز ایکس‌پی به‌روزرسانی امنیتی منتشر نمی‌کند، ولی اینک مجبور شد وصله‌هایی را برای این منظور ارائه کند. کاربران ویندوز اکس‌پی، ویندوز ۸ و کارگزار ویندوز ۲۰۰۳ می‌توانند این وصله‌ها را از کاتالوگ به‌روزرسانی‌های مایکروسافت بارگیری و نصب کنند. 

یکی دیگر از راه‌حل‌ها نیز این است که از یک نرم‌افزار امنیتی استفاده کنید تا در صورت وقوع حمله از دستگاه شما حفاظت کرده و به شما هشدار دهد. به احتمال زیاد باج‌افزار WannaCry به کتابخانه‌ نرم‌افزارهای امنیتی اضافه شده‌است و می‌توانند آن را به‌درستی شناسایی‌ کنند.