باج افزار گریه چیست و چه سامانه هایی در معرض الودگی ان هستند؟

باج‌افزار گذیه نوعی بدافزار است که پس از آلوده کردن سامانه پرونده‌های قربانی را با یک کلیدِ تصادفی رمز می‌کند به نحوی که قربانی از هیچ روشی نمی‌تواند پرونده‌ی خود را بازگشایی نماید و تنها راه بازپس‌گیری داده‌های حساس پرداخت مبلغی پول ( ارزِ دیجیتال بیت‌کوین) به مهاجم است.

این باج‌افزار سامانه‌های ویندوزی را آلوده می‌کند و از طریق شبکه با رفتاری شبیه‌ به «کرم‌واره‌های اینترنتی» منتشر می‌شود. راه انتشارِ کرم‌واره‌ی اینترنتی، انتشارِ گسترده از طریق شبکه‌ در سامانه‌‌های آسیب‌پذیر است. یعنی برخلاف سایر بدافزارها که قربانی با باز کردن یک وب‌گاه آلوده یا رایانامه‌ی آلوده یا اتصال یک USB آلوده ممکن است سامانه‌ را تحت تأثیر قرار دهد، کرم‌واره از طریق شبکه و بدون دخالتِ کاربر منتشر می‌شود.

باج‌افزار در بیش از ۷۰ کشور مشاهده شده است، از ۱۷۹ زبان محلی پشتیبانی می‌کند و به محض آلوده کردن سامانه از کاربر تقاضای پرداخت مبلغی در حدود ۳۰۰ دلار می‌کند. این مبلغ باید در قالب بیت‌کوین تهیه و سپس پرداخت شود. متخصصان امنیتی گزارش داده‌اند که علی‌رغم انتشار گسترده‌ی این‌ باج‌افزار، تاکنون کم‌تر از ۲۰۰ قربانی باج را پرداخت کرده‌اند. بسیاری از قربانیان این باج‌افزار مراکز حساس از جمله بیمارستان‌ها و مراکز مخابرات دولتی بوده‌اند.

چه سامانه‌هایی تحت تأثیر باج‌‌افزار گریه هستند؟

– همه‌ی نسخه‌های سامانه‌عامل ویندوز، از جمله ویندوز اکِس‌پی، ویندوز ویستا، ویندوز سِون، ویندوز ۸ و ویندوز ۱۰ و همه‌ی نسخه‌های کارگزار ویندوز (Windows Server) تحت تأثیر هستند.

– مایکروسافت به‌روز‌رسانی‌هایی را برای همه‌ی نسخه‌های ویندوز (به جز ویندوز اِکس‌پی) دو ماه پیش منتشر کرده است. و در روز گذشته به‌روز‌رسانی فوری برای ویندوز اِکس‌پی منتشر شده است (گفتنی است ویندوز اِکس‌پی توسط مایکروسافت پشتیبانی نمی‌شود اما به دلیل اهمیت و گستردگی انتشار باج‌افزار WannaCry، به‌روز‌رسانی فوری برای این نسخه از ویندوز منتشر شده است.) شناسه‌ی بولتن امنیتی که این آسیب‌پذیری را وصله می‌کرد MS۱۷-۰۱۰ می‌باشد.

– اگر شما از دیواره‌ی آتش استفاده می‌کنید باید درگاه شماره‌ی ۴۴۵ را مسدود نمایید. این درگاه برای ارتباطات نرم‌افزار آسیب‌پذیرِ SMB استفاده می‌شود و راه انتشار این باج‌افزار نیز همین درگاه می‌باشد.

– برای این‌کار از دیواره‌ی آتش ویندوز نیز می‌توانید استفاده کنید. به مسیر System and Security در کنترل پنِل وارد شوید و سپس Windows Firewall را انتخاب نمایید. از ستون سمت چپ گزینه‌ی Advanced settings را انتخاب کنید. سپس برای مشاهده‌ی قوانین دیواره‌ی آتش بخش Inbound Rules را باز نمایید.

سپس از منوی سمت راست گزینه‌ی New Rule را انتخاب کرده و با انتخاب نوع Port، درگاه ۴۴۵ در پروتکل TCP را مسدود نمایید. پس از ایجاد قانون مورد نظر با راست کلیک روی آن، قانون را فعال نمایید.

همین حالا یک نسخه‌ی پشتیبان تهیه نمایید

این باج‌افزار ۱۳ نوع از پرونده‌ها را رمز‌گذاری می‌کند. این بدین معنی است که تقریباً همه‌ی پرونده‌های مهم شما ممکن است برای همیشه از دست بروند. بنابراین همین حالا از پرونده‌های حساس خود یک نسخه تهیه کرده و در یک دیسک خارجی ذخیره نمایید.

در صورت آلوده شدن به این باج‌افزار از پرداخت باج (حدود ۳۰۰ الی ۶۰۰ دلار) اجتناب نمایید. هیچی تضمینی نیست که مجرمان سایبری با توجه به گستردگیِ توزیع این باج‌افزار کلید رمزگشایی شما را ذخیره کرده باشند و آن را برای شما ارسال نمایند.

اگر اخبار رسیده از چین صحیح باشد، رایانه‌های آسیب‌پذیرِ این کشور که با سامانه‌عامل ویندوز کار می‌کنند به طور گسترده‌ای قربانی باج‌افزار «گریه»شده‌اند.

در حالی که در چند روز گذشته با شناسایی دو «سوئیچ مرگ» که انتشار باج‌افزار گریه را متوقف می‌کنند، سرعت انتشار این باج‌افزار کاهش پیدا کرده بود، گزارش‌ها نشان می‌دهد این باج‌افزار به کشور چین رسیده است و با توجه به تعداد بسیار زیاد سامانه‌های ویندوزی به‌روز نشده در این کشور، ناگهان انتشار این باج‌افزار دوباره سرعت گرفته است. به گزارش خبرگزاری xinhuanet، شبکه‌ای با ۱۸ هزار رایانه در کشور چین گرفتار این باج‌افزار شده است.

این گزارش توسط مرکز پاسخ‌گویی به رخ‌دادهای رایانه‌ای چین تأیید شده است و حتی اضافه شده نزدیک به ۵۵۰۰ رایانه‌ی دیگر «احتمالاً» اغلب در شهرهای پکن و شانگهای آلوده شده‌اند. گزارش‌های دیگری حاکی از این است که شبکه‌ی دانشگاه‌های این کشور با نرخ بیش‌تری در حال آلوده شدن است. همچنین ۲۰ هزار مرکز ارائه‌ی خدمات متعلق به شرکت ملّی نفت این کشور فقط با دریافت پول نقد خدمات ارائه می‌دهند و ممکن است آلودگی در سطح شبکه‌ی آن‌ها مشاهده شده باشد.

مشکل اصلی در مقابله با این باج‌افزار سامانه‌های قدیمی و به‌روز‌نشده‌ای است که هنوز قادر به ارائه‌ی خدمات بوده و از دسترس خارج نشده‌اند. بسیاری از دستگاه‌های خودپرداز هنوز از سامانه‌های قدیمی ویندوز اِکس‌پی استفاده می‌کنند که بعید است به سرعت به‌روز‌رسانی‌های اضطراری را دریافت کرده باشند.