حمله واناکرای در ایران به وضعیت هشدار رسید

پس از دو هفته از جولان باج‌افزار واناکرای در دنیا به نظر می‌رسد که وضعیت انتشار آن در کشور به وضعیت هشدار رسیده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو هفته پس از آنکه یک باج‌افزار خطرناک واناکرای به کامپیوترهایی در اروپا حمله کرد و خسارت‌های زیادی را بهخصوص در بخش بهداشتی به جا گذاشت حالا خبرهای رسیده حاکی است شیوع این باج‌افزار به سطح هشدار در کشور رسیده‌است و به گفته مرکز ماهر تنها در سه روز گذشته بیش از دو‌هزار کامپیوتر در ایران به این باج‌افزار آلوده شده‌اند.
 
این باج‌افزار که به نظر می‌رسد توسعه‌یافته از یک ابزار امنیتی پیشرفته و البته لو رفته از سازمان امنیت ملی آمریکا باشد، بیستم اردیبهشت امسال در یک روز، بسیاری از کامپیوترهای سرویس‌های خدماتی حوزه بهداشت و مخابرات در کشورهایی چون اسپانیا، انگلستان و اوکراین را آلوده کرد. در صورت آلوده شدن یک کامپیوتر به این باج‌افزار دستگاه قفل شده و پیغامی مبنی‌بر پرداخت معادل ۳۰۰ دلار با پول مجازی (بیت‌کوین) به کاربر نمایش داده‌می‌شود؛ همچنین هکرهایی که پشت این باج‌افزار هستند تهدید می‌کنند درصورت عدم پرداخت هزینه، اطلاعات دستگاه کاملا پاک خواهدشد.

باج‌گیری از سیستم‌های قدیمی
اساس کار این باج‌افزار استفاده از حفره امنیتی در ویندوزهای نسخه قدیمی است که نه خود مایکروسافت از آن پشتیبانی می‌کند و نه روی این کامپیوترها آنتی‌ویروس‌های به‌روز استفاده‌می‌شود. در نخستین روزهای شیوع این باج‌افزار در جهان آلودگی بسیار کمی در ایران گزارش شد، اما حالا با آغاز موج دوم ظاهرا ایران در معرض گسترده این حمله قرار گرفته‌است. تعداد قابل توجه نرم‌افزارهای قفل شکسته قدیمی و عدم توجه به امنیت در بین کاربران ایرانی یکی از مهم‌ترین دلایل شیوع این باج‌افزار عنوان می‌شود. 

بر اساس اعلام مرکز ماهر، تعلل کاربران و بعضا مدیران فناوری اطلاعات سازمان‌ها و دستگاه‌ها و شرکت‌ها در زمینه رعایت توصیه‌های امنیتی برای جلوگیری از باج‌افزار Wanna Cry باعث شد تا موارد آلودگی‌های این باج‌افزار در ایران به چهارهزار رایانه برسد که دو هزار مورد آن طی سه روز گذشته رخ داده‌است.

مرکز ماهر در این اطلاعیه اشاره می‌کند که باج‌افزاری تحت عنوان wannacrypt با قابلیت خودانتشاری در شبکه کشورها شیوع یافت که براساس رصدهای انجام شده از سوی مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شد و در چند روز نخست به حدود دو هزار قربانی رسید، اما با اطلاع‌رسانی به موقع انجام شده و عملیاتی شدن اقدام‌های لازم، این موضوع در کشور کنترل و گزارش‌های آلودگی به آن به‌شدت کاهش یافت. بر اساس اعلام مرکز ماهر، این باج‌افزار از یک کد توسعه‌یافته شده مخرب متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی قبل یک گروه هکری به نام shadowbrokers آن را کشف کرد و در اختیار همگان قرار داد. در اختیار قراردادن این کد در همان زمان این نگرانی را ایجاد کرد که برخی افراد بتوانند با استفاده از این کد مخرب ابزارهای مخرب جدیدی را تولید کنند و حالا به نظر می‌رسد سازندگان واناکرای ازجمله آن افراد باشند. هرچند مایکروسافت پشتیبانی از سیستم XP را به‌طور کلی قطع کرده‌بود اما این باج‌افزار آن‌قدر مهم بود که این شرکت جداگانه برای آن یک به‌روزرسانی منتشر کرد، اما حداقل در ایران و برخی کشورهای دیگر که از کپی‌های غیرقانونی نرم‌افزار استفاده می‌کنند اساسا کاربران توجهی به این اطلاعیه‌های امنیتی ندارند.

تخمین اشتباه
دو هفته قبل هم‌زمان با انتشار وسیع این باج‌افزار در جهان وزارت ارتباطات با انتشار اطلاعیه‌ای اعلام کرده‌بود که یک آنتی‌ویروس ایرانی موفق به جلوگیری از حملات این باج‌گیر شده‌است. در اطلاعیه وزارت ارتباطات با اشاره به آلودگی بیش از ۷۵ هزار سیستم کامپیوتری در جهان،آمده بود که بر اساس اعلام مرکز ماهر تنها در ایران حدود ۵۰ مورد آلودگی شناسایی شده است. بر اساس این اطلاعیه این آلودگی‌ها صرفا مختص برخی اپراتورهای ارتباطی و سازمانی در حوزه‌های پزشکی، سلامت و دانشگاهی در تهران و اصفهان بوده‌است.

در همین حال به گفته مرکز ماهر در آن زمان سیستم‌هایی که از ضد بدافزار بومی «پادویش» استفاده می‌کردند از این حملات مصون مانده‌اند. این اطمینان‌خاطر در اطلاعیه وزارت ارتباطات و مرکز ماهر شاید یکی از دلایل عدم جدی‌گرفتن این موضوع به هشدارهای مربوط به این بدافزار باشد. مرکز ماهر در آن زمان گفته‌بود: «این کاهش حملات، بیانگر رعایت توصیه‌های ارائه‌شده از سوی مرکز ماهر توسط دستگاه‌ها و کاربران کشورمان و اقدام‌های پیشگیرانه در سطح شبکه زیرساخت ارتباطی کشور بوده‌است. حالا همین مرکز ماهر تاکید می‌کند که حمله این باج‌افزار گسترده‌تر شده‌است و به خصوص در سه روز گذشته موارد آلودگی بسیار زیادی گزارش شده و احتمالا آمارها از این هم بیشتر خواهدشد. به این ترتیب به نظر می‌رسد این اقدامات حداقل تاکنون برای جلوگیری از گسترش و شیوع این باج‌افزار کافی نبوده‌است. 

دست‌های پشت پرده این باج‌افزار
سخت بتوان گفت چه کسانی این بدافزار را تولید کرده‌اند؛ هرچند تحقیقات درمورد نحوه تولید و انتشار آن ادامه دارد، اما چیزی که همه می‌دانیم این است که این باج‌افزار از یک اسلحه سایبری توسعه داده‌شده از سوی بخش‌های امنیتی آمریکا لو رفته‌است. دولت آمریکا هفته قبل کره شمالی را مسئول این حملات باج‌افزاری معرفی کرده‌بود و این موضوع به‌خصوص با توجه به تنش بین دو کشور کره شمالی و آمریکا چندان تعجبی را برنمی‌انگیخت، اما روز دوشنبه تحقیقات جدید مؤسسه امنیت فلش‌پوینت نشان داد که کدهای ابتدایی این باج‌افزار ابتدا به زبان چینی و گویش مناطق جنوبی آن نوشته شده و بعدا به زبان انگلیسی تغییر پیدا کرده‌است. بر اساس این گزارش فلش پوینت با تحلیل زبانی مطالب و یادداشت‌های منتشر شده از سوی طراحان واناکرآی به این نتیجه رسیده که چینی‌ها در این کار دخیل بوده‌اند. علاوه‌بر این بررسی محتوای یادداشت‌هایی که بین طراحان و قربانیان واناکرای برای دریافت پول رد‌وبدل شده نشان می‌دهد که طراحان واناکرای احتمالا چینی هستند. کارشناسان فلش‌پوینت معتقدند یادداشت‌های مذکور در اصل به زبان چینی نوشته شده و به‌صورت ماشینی و با استفاده از نرم‌افزار به دیگر زبان‌های دنیا ترجمه شده‌اند. چین هنوز در این زمینه واکنشی از خود نشان نداده‌است. 

آیا پرداخت باج باعث باز شدن قفل کامپیوتر می‌شود
آن‌چنان که گفته‌شد باج‌افزار با قفل کردن سیستم اجازه دسترسی به اطلاعات کامپیوتر را به کاربر نمی‌دهد و در مقابل از کاربر می‌خواهد در ازای پرداخت پول کامپیوتر و اطلاعاتش در دسترس قرار بگیرد، اما سؤال اینجاست آیا پرداخت پول واقعا منجر به گشایش اطلاعات می‌شود؟ از روی اطلاعات برخی کسانی که به هکرهای پشت این باج‌افزار پول پرداخت کرده‌اند می‌توان گفت که این پرداخت پول می‌تواند به باز شدن کامپیوتر منجر شود، اما مواردی هم بوده که پرداخت پول تغییری در وضعیت دستگاه آلوده ایجاد نکرده‌است. اگر کامپیوتر شما به این باج‌افزار آلوده شده‌باشد کار چندانی نمی‌توانید انجام دهید. اگر از اطلاعات‌تان بک‌آپ دارید می‌توانید کامپیوتر را ابتدا کاملا پاک کرده سپس ویندوز جدید نصب کرده و دوباره از آن استفاده‌کنید.