باسمه تعالي اقدامات عملي جهت پیشگیری و مقابله با wannacrypt باجافسار اردیبهشت ماه 96
ی ا ی ا ی ا اقدامات عملی جهت پیشگیری و مقابله با باجافزار wannacrypt مقدمه در ر س ای اخیز تاج افشاری تحت ػ اى wannacrypt تا قاتلیت خ د ا تطاری در ضثک کط ر ا ضی ع تزاساس رغذ ای ا جام ضذ ت سط هزکش ها ز ایي تذافشار در سطح ضثک کط ر ها یش رغذ ضذ است. است. یافت تا ایي لحظ تیص اس 022 قزتا ی ایي تاج افشار در کط ر ک تیطتز ایي آل دگی ا در ح س پشضکی سالهت ض اسایی ضذ اقذام ج ت رفغ آل دگی پاکساسی آ ا اس س ی تین کط ر در دست ا جام هی تاضذ. اهذاد جات هزکش ها ز )هزاکش آپا( هستقز در استاى ای ایي حول را هیت اى تشرگتزیي حول آل د و دى ت تاجافشار تاک ى اهیذ. ایي تاجافشار ت ام هختلفی وچ ى WCRY WannaCryptor Wana Decrypt0r WannaCry ض اخت هیض د. ایي تاجافشار وا ذ دیگز تاجافشار ا دستزسی قزتا ی ت کاهپی تز فایل ا را سلة کزد تزای تاسگزدا ذى دستزسی درخ است تاج هی ک ذ. تاجافشار هذک ر تزای پخص ضذى اس یک کذ اکسپل یت هتؼلق ت آصا س اه یت ه یل آهزیکا ت ام EternalBlue استفاد هیک ذ ک هذتی پیص ت سط گز shadowbrokers ه تطز ضذ. ایي کذ اکسپل یت اس یک آسیة پذیزی در سز یس SMB سیستن ػاهل ی ذ س تا ض اس MS17-010 استفاد هیک ذ. در حال حاضز ایي آسیةپذیزی ت سط هایکز سافت هزتفغ ضذ است اها کاهپی تز ایی ک تز سرسا ی هزت ط را دریافت و د ا ذ سثت ت ایي حول آل دگی ت ایي تاجافشار آسیةپذیز ست ذ. تػا یز سیز تػا یز پیاهی است ک تاجافشار ت قزتا ی وایص هید ذ. پیام تاجافشار ت ستاى ای هختلف قاتل هطا ذ است. 2
ی ا اقدامات عملی جهت پیشگیری و مقابله با باجافزار wannacrypt ایي تاجافشار تا استفاد اس ضثک TOR استفاد اس حساب ای تیتک یي یت خ د را هخفی و د است. حساب ای تیتک یي هتؼلق ت ایي تاجافشار اس ساػات اتتذایی آل دگی پ ل سیادی ت ػ اى تاج دریافت و د ا ذ. تاتحال تیص اس 02 پزداخت دریافت ضذ است. یؼ ی ت ا در ساػات ا لی تیص اس 0222 دالر تاج دریافت ضذ است. ح تاثیزگذاری ایي تاجافشار س ت غ رت دقیق هطخع طذ اها ه ردی ک هطخع است استفاد اس ایویل ای فیطی گ لی ک ای آل د در سایت ای غیز هؼتثز تزای پخص تاجافشار است. ایي تاجافشار فایل ای تا پس ذ سیز را رهش هیک ذ:.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc تات ج ت فؼالیت ایي تاج افشار در کط ر ها السم است ج ت پیطگیزی اس آل دگی ت آى هذیزاى ضثک سثت ت تز رسرسا ی سیستن ػاهل ی ذ س ت ی ک یپ پطتیثاى اس اطالػات ه ن خ د تز سرسا ی آ تی یز س ا اطالع رسا ی ت کارتزاى ج ت ػذم اجزای فایل ای پی ست ایویل ای اض اس در اسزع قت اقذام ک ذ. 3
: اقدامات پیشگیرانه نصب وصله MS17-010 1 آسیةپذیزی MS17-010 در پیاد ساسی سز یس SMB )پز تکل اضتزاک گذاری فایل( در و سخ ای ی ذ س ج د دارد. را کار اغلی قطؼی هقاتل تا ایي آسیةپذیزی جل گیزی اس س ءاستفاد اس آى السم است آخزیي تز سرسا ی ای سیستن ػاهل ی ذ س اػوال گزدد. تزای ایي ه ظ ر السم است تا استفاد اس اتشار تز سرسا ی ی ذ س update( )windows آخزیي تز سرسا ی ای سیستن ػاهل دریافت ضذ ػة گزدد. در خػ ظ سیستن ای ػاهل ی ذ س 022۲ xp ک هذتی است ه رد پطتیثا ی ضزکت هایکز سافت قزار ذار ذ خ ضثختا تا ت ج ت ا ویت ه ض ع ضزکت هایکز سافت غل ای اختػاغی خ د را در لی ک سیز در دستزس قزار داد است: http://www.catalog.update.microsoft.com/search.aspx?q=kb4012598 4
چ ا چ ت دلیلی اهکاى تز سرسا ی سیستن ػاهل یا ػة غل هزت ط ج د ذاضت تاضذ السم است دستزسی ت سز یس SMB هسذ د گزدد. تزای ایي ه ظ ر هی ت اى تا ت ج ت سخ سیستن ػاهل سثت ت حذف ت قف سز یس یا هسذ د ساسی پ رت ای ه رد استفاد آى اقذام و د غیر فعالسازی سرویس SMB در ویندوز 7 ویستا و ویندوز سرورهای 2008 و :powershell با استفاده از محیط R2 2008 تزای غیزفؼال کزدى SMBV1 ر ی سز ر :SMB "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 - Type DWORD -Value 0 -Force :SMB ر ی سز ر SMBV3 تزای غیزفؼال کزدى SMBV2 "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 - Type DWORD -Value 0 -Force :SMB ر ی سز ر تزای فؼال کزدى SMBV1 "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 - Type DWORD -Value 1 -Force :SMB ر ی سز ر SMBV3 تزای فؼال کزدى SMBV2 5
"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 - Type DWORD -Value 1 -Force ت ج ک یذ ک تزای ای ک ت ظیوات تاال اػوال ض د تایذ کاهپی تز خ د را ریستارت ک یذ. 2012 8 غیر فعالسازی سرویس SMB در ویندوز و ویندوز سرور به بعد با استفاده از محیط :powershell :SMB تزای هطا ذ ضؼیت پز تکل سز ر Get-SmbServerConfiguration Select EnableSMB1Protocol, EnableSMB2Protocol :SMB ر ی سز ر تزای غیزفؼال کزدى SMBV1 Set-SmbServerConfiguration -EnableSMB1Protocol $false :SMB ر ی سز ر SMBV3 تزای غیزفؼال کزدى SMBV2 Set-SmbServerConfiguration -EnableSMB2Protocol $false :SMB ر ی سز ر تزای فؼال کزدى SMBV1 Set-SmbServerConfiguration -EnableSMB1Protocol $true :SMB ر ی سز ر SMBV3 تزای فؼال کزدى SMBV2 Set-SmbServerConfiguration -EnableSMB2Protocol $true مسدودسازی دسترسي به سرویس SMB بدون توقف سرویس ت ػ اى را کار جایگشیي هی ت اى سثت ت تستي پ رت ای هزت ط ت پز تکل SMB ر ی فایز ال 9۲0 444 ی ذ س اقذام و د. 6
ت ج : خ ا طو ذ است در غ رت هطا ذ آل دگی ت تذافشار گشارش ضذ سزیؼا تا هزکش پاسخگ یی اهذاد هزکش تخػػی آپا ت ضوار تلفي 054-31136894 تواس یا اس طزیق ایویل cert@usb.ac.ir اطالعرسا ی غ رت پذیزد. 7