پیشگیری از آلودگی به باج افزار WCry یا WannaCry Ransomware
این روز ها تب جدیدی از بدافزارها در حال شیوع است و هر روز کاربران بسیاری را گرفتار خود کرده است. بدافزارهایی که این روزها مد شده و هر روز اخبار جدید از آن ها به گوش ما می رسد، باج افزارها هستند. از میان همه آن خبر از باج افزاری به گوش می رسد که گویا هدف آن مورد حمله قرار دادن تمامی کاربران در سرتاسر دنیاست و پیام های باج گیری خود را در 20 زبان دنیا منتشر کرده است! نام این باج افزار مخوف WannaCry یا به اختصار WCry است.
باج افزار WannaCry چه می خواهد؟
باج افزار WCry پس از این آلوده کردن سیستم و Encrypt کردن اطلاعات سیستم، از کاربر می خواهد تا 300 دلار پول در قالب Bitcoin به حساب صاحبان باج افزار واریز کند و در صورتی که بعد از گذشت 3 روز اقدام به پرداخت نکند، در این صورت باید مبلغ 600 دلار پرداخت کند و اگر تا 7 روز این مبلغ را واریز نکند، باج افزار اقدام به حذف اطلاعات Encrypt شده می کند.
باج افزار WannaCry چگونه سیستم های کاربران را آلوده می کند؟
این باج افزار با استفاده از آسیب پذیری کشف شده در SMBv1 که در سیستم عامل های مایکروسافت مورد استفاده قرار می گیرید، سیستم ها را آلوده می کند و پس از آن اقدام به Encypt کردن فایل های کاربر می کند. همچنین این توانایی را دارد که با استفاده از شبکه، اقدام به انتشار خود به سایر سیستم های آسیب پذیر کند.
چه سیستم هایی در معرض آلودگی به باج افزار WannaCry هستند؟
سیستم هایی که SMBv1 در آن ها فعال باشد در معرض آلودگی به به این باج افزار هستند. SMBپروتکل اشتراک گذاری فایل در سیستم عامل ویندوز است. این پروتکل ورژن های مختلفی دارد و همراه با عرضه نسخه های جدیدتر ویندوز، ورژن جدیدتری از SMB عرضه شده است. البته به منظور سازگاری با سیستم عامل های قدیمی تر، ورژن های قبلی SMB هم در ویندوزهای جدید پشتیبانی می شود.
هر نسخه از ویندوز، کدام ورژن SMB را پشتیبانی می کند؟
| SMB 3.1 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
ورژن SMB سیستم عامل |
| بله | بله | بله | بله | بله |
Windows 10 Windows Server 2016 |
| خیر | بله | بله | بله | بله |
Windows 8.1 Windows Server 2012 R2 |
| خیر | بله | بله | بله | بله |
Windows 8 Windows Server 2012 |
| خیر | خیر | بله | بله | بله |
Windows 7 Windows Server 2008 R2 |
| خیر | خیر | خیر | بله | بله |
Windows Vista Windows Server 2008 |
| خیر | خیر | خیر | خیر | بله |
Windows XP Windows Server 2003 |
| خیر | خیر | خیر | خیر | بله | ورژن های قبلی ویندوز |
با توجه به جدول بالا در میابیم که:
1- تمامی سیستم عامل های ویندوز از پروتکل SMBv1 پشتیبانی می کند.
2- تمامی سیستم عامل های ویندوز در معرض آلودگی به باج افزار WCry هستند.
چگونه از آلودگی ویندوز به باج افزار WannaCry پیشگیری کنیم؟
پیشگیری بهتر از درمان است و البته در مواجه با باج افزارها باید به این شعار ایمان قلبی داشت!
همانطور که گفته شد باج افزار WannaCry از آسیب پذیری موجود در SMBv1 استفاده می کند، بنابراین برای پیشگیری از آلودگی باید:
1- سرویس SMBv1 را از غیر فعال کرد.
2- سرویس SMBv1 را Patch کرد (با استفاده از آپدیت های عرضه شده توسط مایکروسافت)
غیر فعال کردن SMBv1:
SMB دارای 2 بخش است، SMB Server و SMB Client. برای غیر فعال کردن کامل SMBv1 باید هر دو بخش SMB Server و SMB Client غیر فعال شود. در این آموزش ابتدا SMB Server و سپس SMB Client را غیر فعال می کنیم. تریب اجرا مهم نیست.
حالت اول
غیر فعال کردن SMBv1 در:
- Windows 10
- Windows 8.1
- Windows 8
مرحله اول (غیر فعال کردن SMB Server):
- PowerShell را باز کنید و فرمان زیر را در آن وارد کنید تا SMBv1 غیر فعال شود:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
- برای چک کردن وضعیت غیر فعال بودن SMBv1 فرمان زیر را در PowerShell وارد کنید:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
نیاز به ریستارت نیست.
مرحله دوم و نهایی (غیر فعال کردن SMB Client):
وارد Windows Feature بشوید (در Search همین عبارت را تایپ کنید) و تیک گزینه SMB1.0/CIFS File Sharing Support را بردارید.
سپس باید سیستم را ریستارت کنید.
حالت دوم
غیر فعال کردن SMBv1 در:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
مرحله اول (غیر فعال کردن SMB Server):
- PowerShell را باز کنید و فرمان زیر را در آن وارد کنید تا SMBv1 غیر فعال شود:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
- برای چک کردن وضعیت غیر فعال بودن SMBv1 فرمان زیر را در PowerShell وارد کنید:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
نیاز به ریستارت نیست.
مرحله دوم و نهایی (غیر فعال کردن SMB Client):
از کنسول Server Manager وارد بخش Remove Roles and Features شوید و در بخش Features، تیک گزینه SMB1.0/CIFS File Sharing Support بردارید.
سپس باید سیستم را ریستارت کنید.
حالت سوم
غیر فعال کردن SMBv1 در:
- Windows 7
- Windows Vista
- Windows 2008 R2
- Windows 2008
مرحله اول (غیر فعال کردن SMB Server):
خط فرمان PowerShell را باز کنید و فرمان زیر را وارد کنید.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
همچنین می توانید از طریق رجیستری به مسیر "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" بروید و مقدار کلید SMB 1 را برابر با صفر قرار دهید.
سپس باید سیستم را ریستارت کنید.
مرحله دوم و نهایی(غیر فعال کردن SMB Client):
خط فرمان CMD یا PowerShell را باز کنید و فرمان زیر را در آن وارد کنید:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
سپس باید سیستم را ریستارت کنید.
فرمان بالا برای غیر فعال کردن SMBv1 Client در ویندوز های زیر نیز کار می کند:
- Windows 10
- Windows 8/8.1
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
برطرف سازی آسیب پذیری SMBv1 با استفاده از Update های ارائه شده توسط مایکروسافت:
مایکروسافت برای رفع آسیب پذیری SMBv1 آپدیت و Patch ارائه کرده که بسته به سیستم عامل های مختلف متفاوت است. برای دانلود این Update ها می توانید به لینک از سایت مایکروسافت سر بزنید:
دانلود آپدیت های مایکروسافت برای رفع آسیب پذیری SMBv1
امیدواریم این آموزش برای شما مفید باشد.
با سپاس از همراهی شما
ایمان شادمهری
هیوا شبکه
