باج افزار Wanna Cryptor ، آنتی ویروس های ESET کاملا از شما محافظت میکند !

از روز جمعه 12 می ، باج افزاری به نام Wanna Cryptor بیش از 150 کشور جهان و 230.000 رایانه را مورد حمله قرار داده است. این باج افزار با استفاده از ضعف امنیتی EternalBlue در  ویندوز به صورت Remote code اجرا شده و فایل ها را با پسوند WCRY رمزنگاری می کند. برای جلوگیری از پخش این باج افزار نصب آپدیت امنیتی MS17-010 الزامی است. براي اطلاعات بيشتر  و دانلود آپدیت های مورد نیاز بر روي ادامه خبر كليك نمائيد.

این باج افزار با استفاده از یک Exploit در سامانه SMB ویندوز معروف به EternalBlue قادر است با استفاده از ضعف های امینتی ویندوز کدهای خود را از راه دور اجرا نماید. این باج افزار جمعه 12 می 2017 ( همان روز شروع حمله ) توسط آنتی ویروس های ESET شناسائی شده است:

http://www.virusradar.com/en/Win32_Filecoder.WannaCryptor.D/description

!!! نکته مهم اینست که نسخه ابتدائی این باج افزار یک ماه پیش از حمله اصلی در آپدیت شماره 15214 در تاریخ 6 آپریل 2017 ( 17 فروردین 1396 ) توسط آنتی ویروس های ESET شناسائی شده بود.

ویدئوی عملکرد موفق آنتی ویروس های ESET در برابر این باج افزار : 

http://www.kamiran.asia/videos/wannacryptor_7688dbc7f.html

خوشبختانه با توجه به شناسائی کامل باج افزار WannaCry توسط آنتی ویروس های قدرتمند ESET تا این لحظه هیچ گزارشی از هیچ یک از شرکت ها و سازمان های طرف قرارداد ESET و شرکت مهندسی کامیران ، مبنی بر آلوده شدن به باج افزار مذکور دریافت نشده است. اما با این حال برای بالا بردن امنیت شبکه ها و پوشش ضعف امنیتی مذکور در ویندوز ، از کلیه مدیران فناوری اطلاعات خواهشمندیم کلیه دستورالعمل های امنیتی مندرج در پایین ویدئوی زیر را در شبکه خود اعمال نمایند :

http://www.kamiran.asia/videos/wannacryptor_7688dbc7f.html

بسیاری از مدیران شبکه عزیز در مورد عدد آپدیت وصله های امنیتی MS17-010 در مورد باج افزار WannaCryptor و ضعف امنیتی آن سوال کردند که آپدیت هر ویندوز چه عددی خواهد بود. لیست زیر عدد آپدیت امنیتی ویندوز های مختلف است و وجود یکی از این ورژن ها در لیست آپدیت های ویندوز شما نشانه ایمن بودن در مقابل ضعف امنیتی EternalBlue (مورد استفاده باج افزار WannaCryptor) میباشد.

Windows XP & Vista & Windows Server 2003 & 2008 & 8 : KB4012598
Windows 7 & Windows Server 2008 R2: KB4012212 -Security Only or KB4012215 -Monthly Rollup
Windows 8.1: KB4012213 -Security Only or KB4012216 -Monthly Rollup
Windows Server 2012: KB4012214 -Security Only or KB4012217 -Monthly Rollup
Windows Server 2012 R2: KB4012213 -Security Only or KB4012216 -Monthly Rollup
Windows 10 : First release: KB4012606 , Version 1511: KB4013198 , Version 1607: KB4013429
Windows 2016: KB4013429

برای اطمینان از ایمن بودن سیستم شما با استفاده از آپدیت های امنیتی MS17-010 میتوانید از نرم افزار زیر استفاده نمائید :

https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe

اگر در نرم افزار فوق عبارت Your computer is safe, Microsoft security update is already installed ظاهر شد یعنی سیستم شما در مقابل ضعف امنیتی EternalBlue ایمن میباشد و آپدیت های لازم نصب شده است.

اما در غیر این صورت و با مشاهده عبارت Your Computer is vulnerable !!! باید آپدیت امنیتی مخصوص ویندوز خود را از لینک های زیر دانلود و نصب نمائید.

 برای دانلود مستقیم آپدیت های امنیتی MS17-010 میتوانید از لینک های مستقیم زیر استفاده نمائید:

Windows Xp Sp2 64bit
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

Windows XP Sp3 Embedded
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe

Windows Vista
32bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
64bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2003
32bit: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
64bit : http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2008
32bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
64bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 Itanium
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

Windows Server 2008 R2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 R2 Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

Windows 7
32bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
64bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Windows 8 Embedded Standard
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

Windows 8.1
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows Server 2012
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

Windows Server 2012 R2
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10 First Release / LTSB
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 Version 1511
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 Version 1607
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msu
64bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu

Windows 10 Version 1607 Cumulative Update
32bit : http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
64bit : http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

Windows Server 2016
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu

Windows Server 2016 Cumulative Update
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

اطلاعات بیشتر در مورد این باج افزار از ویکی پدیا : مقاله فارسی  ،  مقاله انگلیسی

نصب آپدیت های امنیتی ضد باج افزاری و وصله های امنیتی :

!!! هشدار : برای مقابله با باج افزار ها نصب کلیه وصله های امنیتی مایکروسافت توسط Windows Update برای امنیت ضد باج افزاری الزامی میباشد. برخی از آنها از این قرار هستند : این آسیب پذیری ها میتواند به راحتی کنترل سرور یا سیستم های شما را در اختیار مهاجم قراردهد !!!

1400-04-18 !!! هک سرورهای DC از طریق Print Spooler : هکرها با استفاده از این آسیب پذیری به راحتی میتوانند سرور DC شما را کنترل نمایند. تنها کافیست سرویس Print spooler بر روی DC فغال باشد که همیشه این سرویس به صورت پیش فرض فعال است . در سرورهای DC و سرورهای مهم که فعالیت پرینتی انجام نمیدهند همیشه سرویس Print Spooler را برای همیشه Disable نمائید - حتی در صورت نصب آخرین وصله های امنیتی -  اطلاعات کامل تر در مقاله زیر در دسترس شماست:

https://www.kamiran.asia/100-PrintNightmare.html

1399-12-16 !!! هک سرورهای Exchange از طریق پورت 443 : هکرها با استفاده از این آسیب پذیری به راحتی میتوانند سرور Exchange شما را هک نمایند. اگر پورت 443 سرور Exchange شما روی اینترنت باز است ( معمولا سرویس های وب این سرور روی اینترنت روی این پورت قرار دارد و اکثرا هم باز هستند) سریعا آخرین Cumulative Update موجود را طبق مقاله زیر بر روی سرور نصب نمائید و تا قبل از آن پورت 443 را روی اینترنت مسدود نمائید :

https://www.kamiran.asia/98-Exchange_HAFNIUM.html

1399-07-23 !!! هشدار به مدیران شبکه درباره آسیب پذیری ZeroLogon در سرور های DC : حتما آسیب‌پذیری بحرانی ZeroLogon را طبق این مقاله پچ نمائید. این آسیب پذیری کنترل DC را به راحتی تقدیم هکر مینماید:

https://www.kamiran.asia/93-ZeroLogonCyberAttack.html

1399-04-03 !!! هشدار به کاربران Windows 10 : حتما آسیب‌پذیری بحرانی SMBGhost در ویندوز ۱۰ را طبق این مقاله پچ نمائید:

https://www.kamiran.asia/89-SMBGhost.html

1399-04-25 !!! هشدار به مدیران شبکه درباره آسیب پذیری DNS Server های Microsoft : حتما آسیب‌پذیری بحرانی DNS Server را طبق این مقاله پچ نمائید:

https://www.kamiran.asia/90-CVE-2020-1350.html

1397-08-07 !!! هشدار به کاربران Oracle Weblogic : بر اساس اخبار لابراتوآر ویروس شناسی کامیران سرور های دارای Oracle Weblogic که معمولا مربوط به اتوماسیون ها و پورتال ها هستند و اغلب هم روی پورت پیش فرض 7001 سرویس وب میدهند به شدت آسیب پذیر و قابل هک شدن از طریق اوراکل هستند :

http://www.kamiran.asia/69-GandCrab_OracleWebLogic.html

1396-02-27 !!! وصله های آسیب پذیری MS17-010 را نصب نمائید : عدم نصب برخی وصله ها در شبکه منجر به توزیع سریع باج افزار میگردد. برای مثال باج افزار WannaCry یکی از معروف ترین باج افزارهای این سبک است :

https://www.kamiran.asia/53-WannaCryptor.html#waanacry

!!! ویندوز های سرور متصل به اینترنت را همیشه آپدیت نگاه دارید : بسیاری از حملات باج افزاری با استفاده از آسیب پذیری های موجود در ویندوز های آپدیت نشده اتفاق می افتد. لذا اکیدا توصیه میشود در شبکه خود حتما سرویس WSUS را راه اندازی نموده و یا ویندوز های سرور های خود را همیشه بروزرسانی نمائید.

!!! ویندوز های آپدیت نشده به راحتی توسط هکر از راه دور قابل کنترل هستند : بسیاری از آسیب پذیری های کشف شده در ویندوز به نفوذگر اجازه اجرای فرامین با سطح دسترسی ادمین را میدهد. لذا ویندوز های آپدیت نشده به شدت در معرض هک شدن و حملات باج افزاری توسط هکر ها هستند.

!!! نرم افزار ها و سرویس های سرور ها را آپدیت کنید : آسیب پذیری های کشف شده در نرم افزار های سرویس دهنده مثل وب سرور ها و میل سرور ها و ... نیز به اندازه آسیب پذیری های ویندوز خطرناک هستند. باز هم هکر با استفاده از این آسیب پذیری ها قادر به کنترل کامل سرور در سطح مدیر خواهد بود.

برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :

کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@

اگر دسترسی به تلگرام ندارید و نمیتوانید در جریان اخبار حملات سایبری جدید و طرق مقابله با آنها باشید عدد 11 را به شماره 09302700800 واتساپ نمائید تا اخبار کانال تلگرامی مدیران شبکه کامیران از طریق واتساپ برای شما ارسال شود.

با تشكر
لابراتوآر ویروس شناسی شرکت کامیران
__________________________________________

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect

 آسیب پذیری خطرناک در فایروالهای Fortigate

 هک فایروال Sophos در ده ثانیه

 اطلاعیه افتا برای حمله سایبری مهر99

 ESET حملات Zerologon را مسدود میکند

 ابزار رمزگشایی باج افزار Crysis

 امنیت چند لایه ضد باج افزار

 ابزار ضدباج افزار کامیران

 نسخه جدید باج افزار Cerber4

 هشدار امنیتی باج افزار Crysis