hiva-network.com

کارگاه تخصصی شبکه - هیوا شبکه

پیشگیری از آلودگی به باج افزار WCry یا  WannaCry Ransomware

WCry00 Malware

این روز ها تب جدیدی از بدافزارها در حال شیوع است و هر روز کاربران بسیاری را گرفتار خود کرده است. بدافزارهایی که این روزها مد شده و هر روز اخبار جدید از آن ها به گوش ما می رسد، باج افزارها هستند. از میان همه آن خبر از باج افزاری به گوش می رسد که گویا هدف آن مورد حمله قرار دادن تمامی کاربران در سرتاسر دنیاست و پیام های باج گیری خود را در 20 زبان دنیا منتشر کرده است! نام این باج افزار مخوف WannaCry یا به اختصار WCry است.

باج افزار WannaCry چه می خواهد؟

باج افزار WCry پس از این آلوده کردن سیستم و Encrypt کردن اطلاعات سیستم، از کاربر می خواهد تا 300 دلار پول در قالب Bitcoin به حساب صاحبان باج افزار واریز کند و در صورتی که بعد از گذشت 3 روز اقدام به پرداخت نکند، در این صورت باید مبلغ 600 دلار پرداخت کند و اگر تا 7 روز این مبلغ را واریز نکند، باج افزار اقدام به حذف اطلاعات Encrypt شده می کند.

WCry01 Malware

باج افزار WannaCry چگونه سیستم های کاربران را آلوده می کند؟

این باج افزار با استفاده از آسیب پذیری کشف شده در SMBv1 که در سیستم عامل های مایکروسافت مورد استفاده قرار می گیرید، سیستم ها را آلوده می کند و پس از آن اقدام به Encypt کردن فایل های کاربر می کند. همچنین این توانایی را دارد که با استفاده از شبکه، اقدام به انتشار خود به سایر سیستم های آسیب پذیر کند.

چه سیستم هایی در معرض آلودگی به باج افزار WannaCry هستند؟

سیستم هایی که SMBv1 در آن ها فعال باشد در معرض آلودگی به به این باج افزار هستند. SMBپروتکل اشتراک گذاری فایل در سیستم عامل ویندوز است. این پروتکل ورژن های مختلفی دارد و همراه با عرضه نسخه های جدیدتر ویندوز، ورژن جدیدتری از SMB عرضه شده است. البته به منظور سازگاری با سیستم عامل های قدیمی تر، ورژن های قبلی SMB هم در ویندوزهای جدید پشتیبانی می شود.

هر نسخه از ویندوز، کدام ورژن SMB را پشتیبانی می کند؟

SMB 3.1 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0

ورژن SMB

               سیستم عامل

بله بله بله بله بله

Windows 10

Windows Server 2016

خیر بله بله بله بله

Windows 8.1

Windows Server 2012 R2

خیر بله بله بله بله

Windows 8

Windows Server 2012

خیر خیر بله بله بله

Windows 7

Windows Server 2008 R2

خیر خیر خیر بله بله

Windows Vista

Windows Server 2008

خیر خیر خیر خیر بله

Windows XP

Windows Server 2003

خیر خیر خیر خیر بله ورژن های قبلی ویندوز

با توجه به جدول بالا در میابیم که:

1-       تمامی سیستم عامل های ویندوز از پروتکل SMBv1 پشتیبانی می کند.

2-     تمامی سیستم عامل های ویندوز در معرض آلودگی به باج افزار WCry هستند.

 

چگونه از آلودگی ویندوز به باج افزار WannaCry پیشگیری کنیم؟

پیشگیری بهتر از درمان است و البته در مواجه با باج افزارها باید به این شعار ایمان قلبی داشت!

همانطور که گفته شد باج افزار WannaCry از آسیب پذیری موجود در SMBv1 استفاده می کند، بنابراین برای پیشگیری از آلودگی باید:

1-       سرویس SMBv1 را از غیر فعال کرد.

2-     سرویس SMBv1 را Patch کرد (با استفاده از آپدیت های عرضه شده توسط مایکروسافت)

غیر فعال کردن SMBv1:

SMB دارای 2 بخش است، SMB Server و SMB Client. برای غیر فعال کردن کامل SMBv1 باید هر دو بخش SMB Server و SMB Client غیر فعال شود. در این آموزش ابتدا SMB Server و سپس SMB Client را غیر فعال می کنیم. تریب اجرا مهم نیست.

حالت اول

غیر فعال کردن SMBv1 در:

  • Windows 10
  • Windows 8.1
  • Windows 8

مرحله اول (غیر فعال کردن SMB Server):

  • PowerShell را باز کنید و فرمان زیر را در آن وارد کنید تا SMBv1 غیر فعال شود:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

  • برای چک کردن وضعیت غیر فعال بودن SMBv1 فرمان زیر را در PowerShell وارد کنید:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

WCry03 Malware

نیاز به ریستارت نیست.

مرحله دوم و نهایی (غیر فعال کردن SMB Client):

وارد Windows Feature بشوید (در Search همین عبارت را تایپ کنید) و تیک گزینه SMB1.0/CIFS File Sharing Support را بردارید.

WCry02 Malware

سپس باید سیستم را ریستارت کنید.

حالت دوم

غیر فعال کردن SMBv1 در:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

مرحله اول (غیر فعال کردن SMB Server):

  • PowerShell را باز کنید و فرمان زیر را در آن وارد کنید تا SMBv1 غیر فعال شود:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

  • برای چک کردن وضعیت غیر فعال بودن SMBv1 فرمان زیر را در PowerShell وارد کنید:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

WCry06 Malware

نیاز به ریستارت نیست.

مرحله دوم و نهایی (غیر فعال کردن SMB Client):

از کنسول Server Manager وارد بخش Remove Roles and Features شوید و در بخش Features، تیک گزینه SMB1.0/CIFS File Sharing Support بردارید.

WCry04 Malware

 

WCry05 Malware

سپس باید سیستم را ریستارت کنید.

حالت سوم

غیر فعال کردن SMBv1 در:

  • Windows 7
  • Windows Vista
  • Windows 2008 R2
  • Windows 2008

مرحله اول (غیر فعال کردن SMB Server):

خط فرمان PowerShell را باز کنید و فرمان زیر را وارد کنید.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 Force

همچنین می توانید از طریق رجیستری به مسیر "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" بروید و مقدار کلید SMB 1 را برابر با صفر قرار دهید.

سپس باید سیستم را ریستارت کنید.

مرحله دوم و نهایی(غیر فعال کردن SMB Client):

خط فرمان CMD یا PowerShell را باز کنید و فرمان زیر را در آن وارد کنید:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

سپس باید سیستم را ریستارت کنید.

فرمان بالا برای غیر فعال کردن SMBv1 Client در ویندوز های زیر نیز کار می کند:

  • Windows 10
  • Windows 8/8.1
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012

 

برطرف سازی آسیب پذیری SMBv1 با استفاده از Update های ارائه شده توسط مایکروسافت:

مایکروسافت برای رفع آسیب پذیری SMBv1 آپدیت و Patch ارائه کرده که بسته به سیستم عامل های مختلف متفاوت است. برای دانلود این Update ها می توانید به لینک از سایت مایکروسافت سر بزنید:

دانلود آپدیت های مایکروسافت برای رفع آسیب پذیری SMBv1

 

امیدواریم این آموزش برای شما مفید باشد.

با سپاس از همراهی شما

ایمان شادمهری

هیوا شبکه

 

روزی یک خط، فرمان با خط فرمان

پوشه Hiva1 رو که در درایو E قرار داره، با نام Hiva2 به اشتراک بزار! چطوری ؟
Net Share Hiva2=E:\Hiva1

بیشتر بگو!

به دوستانتان هم بگویید...

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn

دوره های جدید

 

کانال تلگرام و اینستاگرام هیوا شبکه

telegram Hivashabakeinstagram hiva.network

تجهیزات شبکه

آمار بازدید سایت

4705967
امروز
هفته جاری
ماه جاری
بازدید کل
1490
7062
28507
4705967

آی‌پی شما: 35.175.182.106
امروز: س، 20 آذر 1397

هر جای ایران که هستید...
ما پشتیبان و مشاور شما هستیم...

 

سامانه مشاوره و پشتیبانی

سازمان ها و ادارات ...

کارخانه ها و شرکت ها ...

 

تا راه اندازی و نگهداری از

سرویس های شبکه شما ...

با ما در تماس باشید ...

 

تلفن: 33241269-13

تلفن: 33260041-13

ایمیل: info@hiva-network.com

محصول ویژه برای شما

در جستجوی محصول آموزشی خاصی هستید اما هرچه جستجو می کنید آن را نمی یابید ؟

به ما بگویید...