پلیس فضای تولید و تبادل اطلاعات ناجا هشدار فوری داد:

سازمان‌ها مراقب باشند باج افزار wannacrypt در کمین است

رئیس مرکز تشخیص و پیشگیری پلیس فتا در خصوص باج افزار  wannacrypt  گفت: در روز 12 می 2017 (22 اردیبهشت 96) یک نمونه جدید از باج افزار Ransome.CryptXXX) wannacrypt) به طور گسترده‌ای تعداد زیادی از ارگان‌ها و سازمان‌ها به ویژه در اروپا را تحت تاثیر قرار داده و آلوده کرده است.    

پایگاه اطلاع رسانی پلیس فتا: سرهنگ دوم علی نیک‌نفس در خصوص معرفی باج افزار wannacrypt  گفت:  این باج افزار داده‌ها را رمز کرده و سپس درخواست 300 دلار در قالب بیت‌کوین  در قبال رمز گشایی آن و اجازه دسترسی صاحبان اطلاعات را می‌کند. سپس عنوان می‌کند که اگر تا 3 روز مبلغ پرداخت نگردد میزان درخواستی آنها دوبرابر خواهد شد و اگر مبلغ تا 7 روز پرداخت نگردد، داده‌های رمز شده حذف خواهند شد.
 
وی ادامه داد: این باج افزار همچنین یک فایل با نام !Please Read Me!.txt به جا می‌گذارد که شامل متنی است که اعلام می‌کند که چه اتفاقی افتاده و باج ‌ درخواستی به چه صورت باید پرداخت شود.

 سرهنگ نیک نفس توضیح داد: باج افزار wannacrypt فایل هایی با پسوندهای .backup .tiff .djvu .mpeg .class .java.accdb .sqlitedb .sqlite3 .lay6 xltm .pptm .ppsm .ppsx .ppam .potx .potm .sldx .sldm .vmdk . vsdx .onetoc2 .jpeg .docb .docm.  dotm .dotx .xlsm .xlsb .xltx. docx .xlsx .pptx.  را رمزگذاری می کند.
 
 رئیس مرکز تشخیص و پیشگیری ادامه داد: این باج افزار به دیگر سیستم‌ها با بکارگیری آسیب پذیری کد اجرایی SMBv2 remote  در سیستم‌های ویندوزی انتقال پیدا می‌کند (MS17-010). سازمان‌ها می‌بایست مطمئن شوند که آخرین به روز رسانی امنیتی ویندوز و به خصوص MS17-010 را به منظور جلوگیری از انتشار آن نصب کرده‌اند.
 
سرهنگ نیک نفس در خصوص اینکه چه کاربران یا سازمان‌های تحت تاثیر این باج افزار قرار گرفته اند، گفت: تعدادی از سازمان‌ها که بیشتر آنها در اروپا هستند متاثر از این باج افزار شده‌اند. در زیر نوشته یک پزشک از یکی از بیمارستان‌های لندن که تحت تاثیر این باج افزار قرار گرفته آمده است: "همه چیز از کار افتاده است، هیچ نتیجه آزمایشی نداریم، هیچ گروه خونی در دسترس نیست، تمام عمل‌های جراحی کنسل شده است."

 
 وی ادامه داد: بر طبق گزارش Symantec تاکنون رمزگشای این باج افزار  موجود نیست و در همان ساعات اولیه فعالیت باج افزار بیش از 74 کشور عمدتا در اروپا و آسیا را تحت تاثیر قرار داده است.
 
سرهنگ نیک نفس در تشریح میزان آلودگی در 24 ساعت گذشته گفت: این باج افزار به سرعت در حال گسترش است و  به تمامی قاره‌ها نفوذ کرده است.
 

وی در خصوص راهکارهای محافظتی برای جلوگیری از آلوده شدن سیستم ها به این باج افزار گفت: غیر فعال کردن SMBv1 با استفاده دستور    Disable-WindowsOptionalFeature –Online –FeatureName smb1protocol
به کاربران کمک می کند تا مانع از آلودگی شوند.
 
سرهنگ نیک نفس با بیان اینکه تمامی سیستم عامل‌ها و نرم افزارهای خود را به روز نگه دارید، افزود: آپدیت‌های جدید گاهی شامل Patchهای آسیب پذیری هستند که ممکن است باج افزارها از آن استفاده کنند. لذا باید به محض ارائه وصله های امنیتی جدید سیستم را به روز رسانی مجدد نمود.
 
رئیس مرکز تشخیص و پیشگیری ادامه داد: ایمیل‌ها یکی از اصلی‌ترین روش‌های انتشار باج افزار است. مراقب ایمیل‌های ناخواسته باشید. به ویژه ایمیل‌های که ضمیمه آن‌ها فایل های مایکروسافتی هستند. مطمئن شوید که ایمیل‌ها را از منبع مطمئن دریافت کرده‌اید و برای باز کردن فایل‌های ضمیمه، ماکرو را فعال نکنید.
 
به گفته وی پشتیبان گیری از داده‌های حساس ساده‌ترین راه برای مبازره با این باج‌افزار است.
شایان ذکر است این باج افزار از آسیب پذیری ویندوزی استفاده کرده واقدام به آلوده کردن سیستم‌ها نموده است. سیستم آلوده نیز سیستم‌های متصل به شبکه را آلوده کرده و این فرآیند ادامه می‌یابد. در صورت به روز رسانی سیستم عامل و دیفندر آن، از ابتلای سیستم جلوگیری به عمل می‌آید.
 
 
 

نظرات کاربران (کامنتها)

سینا
| |
1396/02/31 - 10:37
در جواب دوستمون که با عنوان مدرس لینوکس کاربران سیستمهای غیر ویندوزی رو نا آگاه فرض کردن
باید بگم حتی تازه کار ترین افرادی که کاربر این سیستم ها میشن تجربی خوبی از نظر آشنایی و کار با سیستم ویندوز مایکروسافت دارن و به هر دلیلی که تغییر ابزار دادن باز از بی تجربه ترین افراد که کاربر ویندوز هستن آگاه تر می باشن و ظمنا همه ما میدونیم باگ گیری وآپدیتهای این سیستمها البته انواع غیر انحصاری بسیار سریع تر روز آمد و کارا تر هستش پس انتخابهای بهتری هم و جود داره و میشه بهش فکرکرد وخود مون رو اسیر چهار چوبهای تحمیلی و بازاری نکنیم
Jalal Botan
| |
1396/02/29 - 3:41
با این که این ویروس رو از نزدیک طرز کارش رو ندیدم ولی با خوندن این اطلاعات این راهکار ها رو پیشنهاد میکنم :
اول این رو در نظر بگیرید که هیچ ویروسی بیشتر از نهایت 2 ماه دووم نمیاره و سریع آنتی اون رو میسازن
پس شما به محض مواجه شدن با ویروس ، اطلاعات خودتون که توسط ویروس رمزگذاری شده رو داخل یه هارد بریزید و اون رو از کامپیوتر جدا کنید و صبر کنید تا آنتی این ویروس ساخته بشه و قفل اون ویروس رو دیکد کنند. و نهایت بعد از ساخته شدن آنتی ، دوباره هارد اکسترنال رو وصل می کنید و اطلاعاتتون رو دیکد میکنید.
این کار شاید زمانبر باشه ولی خیلی بهتر از پرداخت 300 یا 600 دلار یا پاک شدن اطلاعاته /: ** قبل از این که این ویروس اطلاعاتتون رو رمز گذاری کنه پیشنهاد میکنم یه بک آپ بگیرید. کلا چند ساعت زمان میبره و جلوی پرداخت 300 یا 600 دلاری رو میگیره /: ارزشش و داره.
Jalal Botan
| |
1396/02/29 - 3:38
با این که این ویروس رو از نزدیک طرز کارش رو ندیدم ولی با خوندن این اطلاعات این راهکار ها رو پیشنهاد میکنم :
اول این رو در نظر بگیرید که هیچ ویروسی بیشتر از نهایت 2 ماه دووم نمیاره و سریع آنتی اون رو میسازن
پس شما به محض مواجه شدن با ویروس ، اطلاعات خودتون که توسط ویروس رمزگذاری شده رو داخل یه هارد بریزید و اون رو از کامپیوتر جدا کنید و صبر کنید تا آنتی این ویروس ساخته بشه و قفل اون ویروس رو دیکد کنند. و نهایت بعد از ساخته شدن آنتی ، دوباره هارد اکسترنال رو وصل می کنید و اطلاعاتتون رو دیکد میکنید.
این کار شاید زمانبر باشه ولی خیلی بهتر از پرداخت 300 یا 600 دلار یا پاک شدن اطلاعاته /: ** قبل از این که این ویروس اطلاعاتتون رو رمز گذاری کنه پیشنهاد میکنم یه بک آپ بگیرید. کلا چند ساعت زمان میبره و جلوی پرداخت 300 یا 600 دلاری رو میگیره /: ارزشش و داره.
محمد
| |
1396/02/27 - 12:21
با سلام و خسته نباشید خدمت همه مسؤلان پلیس فتا
مدتی هست که در زمینه رفتارشناسی باجگیرها فعالیت می کنم. به صورت اتفاقی به روشی برخوردم که می توان اطلاعات مهم سیستم را بدون بک آپ گرفتن و به صورت امن در خود سیستم حفظ کرد. من توانستم اطلاعات مهم رو در سیستمی که wannacrypt را وارد آن کردم حفظ کنم.
لطفاً با من تماس بگیرید.
کاربران میهمان
| |
1396/02/26 - 6:50
برای ویندوز 8 به بالا از دستورات زیر در powershell استفاده کنید:
Get-SmbServerConfiguration | select EnableSMB1Protocol, EnableSMB2Protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Get-SmbServerConfiguration | select EnableSMB1Protocol, EnableSMB2Protocol
دستورات GET وضعیت را پیش از تغییر و پس از تغییر نشان می دهند.
موفق باشید
کاربران میهمان
| |
1396/02/25 - 7:34
سلام دوستان من تو قسمت Turn Windows features on or off میرم ولی اونجا چیزی به نام smb وجود نداره به نظرتون چیکار باید کنم؟؟ ویندوزم7 هستش
کاربر
| |
1396/02/26 - 11:42
سلام
این گزینه در ویندوز 7 وجود نداره،شما سعی کنید ار آخرین ورژن ویندوز 7 استفاده کنید و از اطلاعات مهمتون فایل پشتیبان تهیه کنید.
ایمیل های ناشناس رو باز نکنید و مراقب فایل هایی که از اینترنت دانلود میکنید.باشید.
این امکان فقط برای ویندوز های 8 به بالا امکان پذیر که میتونن اون رو غیرفعال کنند.
از لینک زیر آپدیت های امنیتی رو دریافت کنید.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
کاربران میهمان
| |
1396/02/26 - 6:48
راه حل در ویندوز 7:
Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -
Type DWORD -Value 0 -Force و Set-ItemProperty -Path
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -
Type DWORD -Value 0 -Force و سپس ریست کردن دستگاه
مهران عطائی
| |
1396/02/25 - 6:36
چون فردا روز اخر التوماتم مبلغ 300 دلار هست ، چطور میشه این مبلغ رو پرداخت کنم که دو برابر نشه
یک از دوستان که تونسته بود باهاشون تماس داشته باشه گفته بودن کشور شما تحریم و خدمات نمیدند.
دوستان اگر کسی پرداخت کرده و یا تجربه ای داره من رو در جریان بزار ممنون
09155061171 عطایی
Jalal Botan
| |
1396/02/29 - 3:46
جناب عطایی فایل هات رو که رمز گذاری شدن داخل یه هارد اکسترنال بریز و جدا کن از سیستم و صبر کن تا این ویروس توسط کرکر ها دیکد بشه
همچنین خودم دارم فایل این ویروس رو بررسی میکنم ببینم رمزگذاریش به چه شکله ولی فعلا به نظرم این بهترین راهه
علی
| |
1396/02/25 - 6:34
راهکاراتون عالیه ای
کاش در همه کار ها چنین روحیه جهادی وجود داشت.
حمید
| |
1396/02/25 - 5:26
سلام
من در قسمت كنترل پنل سيستم (win seven ultimated sp 1 64 )که وارد میشم بعد از گزينه Program and Features در قسمت Turn Windows features on or off رو انتخاب می کنم اما گزینه SMB1.0 را ندارم.
چرا راهنمایی کنید...
مدرس لینوکس
| |
1396/02/25 - 11:26
دوستانی که فکر می کنند با استفاده از سامانه عامل لینکوس در امنیت هستند ، اشتباه نکنند ! شاید این باج افزار برای لینوکس طراحی نشده باشه، اما نوشتن باج افزار برای لینوکس در حد چند خط بش اسکریپت ساده است ، و گول زدن کاربران برای راه اندازی این باج افزار بواسطه اگاهی کم کاربران لینوکس بسیار ساده تر 
کاربران میهمان
| |
1396/02/25 - 11:10
سلام
برای ویندوز 7 این گزینه وجود نداره؟
چی کار کنیم؟
باید ویندوز رو اپدیت کنم؟
کاربر
| |
1396/02/26 - 11:45
سلام
این گزینه رو فقط میشه در ویندوز های 8 به بالا غیرفعال کرد.توصیه میکنم به هیچ عنوان از ویندوز ایکس پی استفاده نکنید که به شدد آسیب پذیر،از لینک زیر میتونید بروزرسانی های امنیتی رو دریافت و نصب کنید.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
کاربران میهمان
| |
1396/02/25 - 10:40
سلام.
من ویندوز سون دارم .ولی همچین گزینه ای(SMB) اصلا توی قسمت Turn Windows features on or off نیست.
چیکار باید کنیم؟؟؟!!!!!
کاربر
| |
1396/02/24 - 11:48
سلام دوستان به صورت زیر عمل کنید
ابتدا وارد Control Panel بشید.بعد بخش Programs جایی که نرم افزارهای نصب شده رو نشان میده.
سمت چپ قسمت بالا روی گزینه Turn Windows features on or off کلیک کنید.
از بین گزینه های موجود تیک گزینه SMB1.0/CIFS File Sharing Support رو بردارید صبر کنید تا پردازش بشه،بعد سیستم رو ریستارت کنید.
برای نسخه سرور هم درخواست بشه نحوه غیرفعال کردن رو میگم.
باتشکر
کاربران میهمان
| |
1396/02/26 - 11:15
سلام میشه تنظیمات مربوط به بستن پورت 139 و 445 رو که پلیس فتا گفت ببنید رو هم بگید. باتشکر
علی
| |
1396/02/25 - 4:16
با سلام تو لب تاپ من پیدا نکردم این گزینه رو اگه میشه بگید کدوم قسمتشه
کاربران میهمان
| |
1396/02/25 - 1:04
سلام دوست عزیز
ممنون بابت راهنمایی
ممکنه برای نسخه های سرور هم راهنمایی بفرمایین.
ممنون
کاربران میهمان
| |
1396/02/25 - 12:31
برای من این گزینه رو نداره
ولی ویندوزم همیشه آپدیت میشه
samand
| |
1396/02/25 - 9:43
سلام بطفا برای سرور هم توضیح بدین . من تو فیوچر های ویندوز سرور 20008آردو هم پیدا نکردم .
کاربر
| |
1396/02/26 - 1:06
سلام
وارد بخش Server Manager بشید و بعد در منو یا بخش Manage گزینه Remove Roles and Features رو انتخاب کنید.
در بین گزینه های موجود باید SMB1.0/CIFS File Sharing Support باشه که میتونید فعال یا غیرفعال کنید.
نکته : در برخی از نسخه های ویندوز 7 و نسخه های ویندوز های پایین تر این گزینه وجود نداره و سعی کنید از آخرین نسخه های ویندوز ها استفاده کنید.
بروزرسانی های امنیتی هم از سایت خود مایکروسافت قابل دانلود ونصب است.
یه موضوع دیگه اینکه روی درایو مهمی که اطلاعات شما درون اون هست هم سعی کنید رمز بذارید با استفاده از خود ویندوز.
باتشکر
صدرا
| |
1396/02/24 - 9:28
سلام.
متاسفانه سرور شرکت ما گرفتار این ویروس شده و امکان دسترسی به فایلها وجود ندارد. ضمانتی هست که با پرداخت 300دلار مشکل حل بشه??
کاربر
| |
1396/02/26 - 1:09
سلام
خیر،توی دارک وب این پرداخت انجام میشه و این پرداخت ها هیچ گونه ضمانتی ندارند و این هکر ممکن اصلا دستگیر شده باشه یا اینکه مرده باشه.
نتیجه اینکه هیچ گونه ضمانتی نیست.سعی کنید رمزگشایی کنید.
باتشکر
کاربران میهمان
| |
1396/02/25 - 10:01
امتحان کنید ببینید با زدن دکمه ی decrypt و مشخص کردن فایل می تونه فایل رو برگرونه یا نه چون تو ویروس برای ایجاد اطمینان به کاربر که فایل ها بر می گرده میشه چند تا فایل رو به صورت رایگان برگردوند
سایبری _ جانم فدای رهبر
| |
1396/02/24 - 8:06
با عرض سلام و خسته نباشید....
دوستان به قسمت control panel وارد شید...
در سربرگ programs and features وارد Turn windows features on or off
و تیک گزینه SMB 1.0/CIFC file Sharing support رو بردارید....
mehdisarvari
| |
1396/02/24 - 7:10
با عرض سلام و خسته نباشید
CMD رو تو حالت admin اجرا کنین.کد های زیر رو به ترتیب یکی یکی بزنین
1.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
2.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
3.
dism /online /norestart /disable-feature /featurename:SMB1Protocol
فقط صرف بروز بودن سیستم عامل این مشکل حل نمیشه.
حتما آنتی ویروستون رو در حالت آپدیت کامل نگه دارید
ایمیل های ناشناس رو باز نکنید
از وبسایت های معتبر دانلود هارو انجام بدید
کسانی که سیستم عامل ایکس پی رو دوس دارن نیازی نیست عوض کنن فقط پیجی که مایکروسافت گذاشته تو سایتش نصب کنین
mehdi
| |
1396/02/24 - 5:58
خیلی ممنون..شما باید الگوباشید ...الان گواهی ssl شما کو
رامين
| |
1396/02/24 - 5:54
جاي نگراني نيست.
فقط سيستم عامل هاي ويندوز كه ديگه ساپورت نميشن مثل ويستا و ايكس پي لازمه كه MSB 1.0 رو از كنترل پنل، ويندوز فيچرز، تيكش رو بردارن.
بقيه هم فقط از طريق ويندوز آپديت بروز رساني كنن.
ضمنا ضد ويروسها هم بروز باشه.

ارسال نظر جدید

محتواي اين فيلد خصوصي نگهداشته شده و قابل مشاهده توسط عموم نخواهد بود.
  • آدرس‌های وب و آدرس‌های ایمیل به صورت خودکار به لینک تبدیل می‌شوند.
  • خطوط و پاراگراف‌ها به صورت خودکار شکسته می‌شوند.
  • Allowed HTML tags: <a> <span> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <thead> <table> <tr> <td> <tbody> <th> <img> <a> <div> <map> <br>

اطلاعات بیشتر درباره فرمت های ورود اطلاعات

پرسش امنیتی
این پرسش به منظور تامین امنیت بیشتر در برنامه و شناسایی شما به عنوان یک کاربر انسانی ارائه شده است تا از پر شدن اتوماتیک فرم توسط روبات ها و اسپمرها جلوگیری به عمل آید.
4 + 15 =
این سوال ساده ریاضی را حل کنید و نتیجه را در محل مربوطه وارد نمایید. به طور مثال: عدد (1) + عدد (3): پاسخ عدد (4) خواهد بود و شما باید عدد (4) را در محل مناسب وارد کنید.